对有益构建中国数据跨境治理方案的思考

作者：曹芳 赵子飞

如何安全有效利用数据资源是各国面临的共同问题，数据有序流动也将有利于促进全球可持续发展目标的实现。2021 年，我国陆续出台《数据安全法》《个人信息保护法》等重要法律及配套文件，并申请加入《全面与进步跨太平洋伙伴关系协定》（CPTPP）、《数字经济伙伴关系协定》（DEPA）等国际贸易协定，不仅为企业的数据跨境活动提供了规则指引，也为全球数据流动提供了中国方案的有益探索。

一、我国逐步构建了数据跨境的规则体系

我国数据跨境治理体系以“网络与信息安全理念”为基石，以促进数据跨境安全、自由流动为目标，并随着数据安全管理制度的构建而逐步发展和完善。

“碎片化”的立法文件开始出现。2016 年，国务院发布《“十三五”国家信息化规划》，明确提出“建立跨境数据流动安全监管制度”的战略性要求。在此之前，数据传输相关规范着眼数据收集、存储等处理活动，集中在金融、交通、征信等特殊领域。例如，2011 年的《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》要求，境内收集的个人金融信息应采取本地化存储措施，并不得向境外提供。2013 年的《征信业管理条例》要求，征信机构在境内采集的信息的整理、保存和加工也应当在境内进行。2013年的国家标准《信息安全技术 公共及商用服务信息系统个人信息保护指南》（GB/Z28828-2012）要求，未经同意或法定许可，个人信息管理者不得将收集的个人信息转移给境外组织或个人。总体看，此阶段的数据跨境治理多为原则性规定，可操作性弱，偶有“碎片化”的规则出现，但是立法层级整体偏低，甚至是不具有强制效力的国家标准。

数据跨境治理从“诸法分立”走向“协调统一”。2016 年出台的《网络安全法》对数据跨境治理做出了突破性规定，标志着我国数据跨境治理从“诸法分立”时代走向“协调统一”时代。《网络安全法》首次提出了数据跨境传输的安全评估制度，引入关键信息基础设施、重要数据等核心概念，为后续立法提供了明确的指引和方向。以此为起点，我国数据跨境规则体系开始快速发展，从广度和深度上不断加强。2019 年起，《个人信息出境安全评估办法（征求意见稿）》《数据安全管理办法（征求意见稿）》等多部配套规章相继公开征求意见。

数据跨境治理体系的顶层设计趋于成熟。2021年，《数据安全法》《个人信息保护法》相继颁布，与《网络安全法》并列，成为拉动数据治理的“三驾马车”。《数据安全法》专门针对重要数据跨境制度进行了完善，并对数据分类分级保护、政务数据利用、数据安全审查制度等做出规定。《个人信息保护法》对个人信息的跨境提供做出了专章规定，明确了个人信息处理者实施个人信息跨境的具体规则，同时对个人信息处理者提出了更加严格的合规要求，包括告知义务以及在以同意作为数据处理的合法性基础时，要求取得用户的单独同意。自此，我国数据跨境治理体系的顶层立法设计基本完成。

配套立法密集出台促进制度落地。上述三部上位法在实践中落地还要依赖系列配套规范性文件，为此，多部门密集出台配套文件，既有行政法规层面高位阶立法的有序推进，也有部门规范性文件相继公开征求意见。2021 年 10 月，《数据出境安全评估办法（征求意见稿）》公开发布，专门针对安全评估制度进行细化，成为继三部上位法生效后首部“细化和落实”数据出境安全评估的部门规章，对评估程序、评估内容、评估时限等都做出了具体规定，具有一定可操作性。2021 年 11 月，《网络数据安全管理条例（征求意见稿）》发布，设置了专门章节对数据跨境安全管理做出了规定。该条例是对 2019 年《数据安全管理办法（草案）》的效力升级，且由原部门规章升为行政法规，将成为连接三部上位法和其他部门规章、部门规范性文件的重要桥梁，对构建我国数据跨境治理体系具有重要意义。此外，《个人信息出境标准合同规定》等多部配套规范，也在起草过程中。

二、我国数据跨境治理体系兼顾发展与安全

在与数据相关法律法规及配套文件陆续出台的过程中，我国数据跨境治理体系逐步实现了从“碎片化”到“体系化”的演进。这一过程既体现了我国数据跨境治理规则在制度设计、保障措施、执法力度等方面不断提高，也彰显了兼顾发展与安全的基本理念。

构建体系完善、目标明确的数据跨境治理规则。在充分借鉴国际立法经验的基础上，我国逐步形成了“法律 + 行政法规 + 部门规范性文件 + 地方规范性文件 + 标准”的较完善的数据跨境治理体系。这样既能维护我国数据治理体系的统筹一致，又使我国数据跨境规则在制度设计、保障措施方面均得到了提高。在数据跨境治理的监管架构方面，形成了网信部门主导、行业主管部门配合的工作机制。此外，重要数据目录制订及其他相关监管工作也由各地行业主管部门参与。可见，在监管架构上，国家网信部门发挥统一协调的作用，各职能部门密切配合，有利于克服数据出境监管中可能出现的监管漏洞和责任问题，进而保证安全评估制度的专业性、完整性和连续性。

采用精细化管理思路，构建科学合理的监督管理机制。我国数据跨境规则采用精细化管理思路，对数据跨境的主体和类型进行细化区分，并做出监管流程及义务上的区别规定，以灵活设置不同主体及数据客体的跨境规则，构建科学合理的监督管理机制。《网络安全法》着力“一个主体、两类数据”，即关键信息基础设施的运营者这一主体；个人信息和重要数据这两类数据，首先要进行本地化存储，其次要经安全评估后才能出境。《数据安全法》则规定了“两个主体、一类数据”，即“关键信息基础设施 + 其他数据处理者”两类主体收集和产生的“重要数据”，前者适用《网络安全法》相关规定，后者则由有关部门另行制订办法。《个人信息保护法》又从个人信息保护的角度规定了“三类特殊主体”处理个人信息需要进行安全评估的情况，包括国家机关、关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者。上述规定给企业的数据跨境实践提供了相对明确的引导，解决了企业合规困惑，并填补了数据跨境安全评估制度中的监管漏洞。

立足基本国情，为企业全球化运营提供多元化合规基础。为避免过于严厉的数据跨境前置条件对数据自由流动产生过多负担，我国实际上建立了分层次的多元化数据跨境管理制度。对关键信息基础设施、重要数据、达到一定数量的个人信息等实施更为严格的出境安全评估制度，而对其他一般性数据则实施第三方认证、标准合同等便捷制度，从而实现促进数字流动与兼顾维护国家安全、公共利益和个人隐私权益间的平衡。此外，数据跨境安全评估制度在借鉴欧美等地区规定的基础上，做出了更加符合我国国情的调整。《数据出境安全评估办法》增加了风险自评估程序，在国家网信部门对跨境数据进行评估前增加了一道企业“自评估”程序，从而建立起“自评估 +安全评估”的双层评估机制。

三、对我国数据跨境治理方案的未来展望

整体看，我国已构建了层级分明、体系科学的数据跨境治理规则，但是具体落地方案仍有可优化的空间，尤其是加强国际合作、积极参与国际规则制定等方面。

建立更加明确的数据分类分级标准。数据分类分级可以帮助企业有效地管理、保护、存储和使用数据资产，是实现数据跨境传输、提升数字竞争力的一项基础性制度。《数据安全法》提出“国家建立数据分类分级保护制度”，并将数据明确分为一般数据、重要数据、核心数据，要求各地区、各部门制定重要数据目录。2021 年 9 月发布的《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》和 11 月公布的《信息安全技术 重要数据识别指南（征求意见稿）》等配套文件，采取了“概括 + 列举”的形式对重要数据的定义进行了细化。可以预见，未来数据分类分级标准、具体类别和详细特征将更加明确，对三类数据的关系与处理原则也将提供更具操作性的实务指引，从而有利于企业在数据跨境传输的场景中做好合规工作，确保数据安全。

进一步完善和细化数据跨境流动操作规范。随着数据出境安全评估制度的明确，相关操作规范将进一步推出。受限于立法的规范与体例，目前的法律法规不可能涵盖所有数据跨境传输中的操作规范。例如，对“向境外提供”这一术语的理解，可能存在包括向境外主体提供、向境外服务器提供，以及境内主体出境等诸多解释。在《数据出境安全评估办法》（征求意见稿）中，省级网信部门向国家网信部门提交申报材料的时间周期、国家网信部门收到评估申报材料后的处理程序等，还有待进一步明确；而对于特定情形下需要重新申报评估的规定，也暂时欠缺具象的、可把握的标准。因此，为了提高实际操作中的规范水平，相关具体规则还需要进一步细化和完善。

有效分流各类数据出境场景。《数据出境安全评估办法 ( 征求意见稿 )》细化了《个人信息保护法》中规定的“达到一定数量的个人信息”适用安全评估制度的范围，明确了“处理个人信息达到一百万人以上的个人信息处理者向境外提供个人信息”“累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息”等适用场景。虽然以上数额门槛已不低，但是考虑到我国数字服务的用户众多，在实践中可能会出现大多数数据出境仍然要适用出境安全评估制度，而不能够有效分流至第三方安全认证、标准合同等出境管理机制。因此，充分贯彻三部上位法确立的数据出境分类监管框架，有效分流各类数据出境场景，实施与风险程度相匹配的安全管理制度，有利于在确保安全的前提下，促进数据跨境流动，实现数字经济的健康有序发展。

可适度引入“白名单”制度，加强国际合作。欧盟、美国等都在数据保护立法中规定了“白名单”制度，以加快构建数据跨境流动圈。欧盟《通用数据保护条例》（GDPR）基于“充分性认定”机制，综合考虑目标国家或地区的数据保护立法实施、执法能力、救济机制、国际参与等情况，符合其理念、达到与其同等水平的国家和地区可被纳入“白名单”。在“白名单”内的国家无需特别授权即可自由地接受来自欧盟的个人数据。俄罗斯同样实施“白名单”制度，并在其《个人数据保护法》中规定特定条件下可按照“白名单”制度予以审核。日本则已加入了美国主导的“APEC 跨境隐私规则”，并与欧盟达成了充分性认定协议，倡导“可信数据自由流动”理念，与美等西方国家积极促进多边数据跨境流动。

目前，我国在数据跨境立法中也已体现出从“严监管”向“促进数据跨境安全、自由流动”的治理态度转变，主张要积极参与国际数据治理合作与规则制定，但是在治理体系中尚未确立类似的“白名单”规则。我国也要在数据跨境体系中进一步提高出境安全评估的透明度和效率，预留国际协作相关制度的法律空间。

（本文刊登于《中国信息安全》杂志2022年第3期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。