國(guó)際數(shù)據(jù)跨境流動(dòng)管理制度及對(duì)我國(guó)的啟示

在數(shù)字經(jīng)濟(jì)時(shí)代，數(shù)據(jù)已經(jīng)成為一種全新的市場(chǎng)化要素，是各國(guó)競(jìng)相爭(zhēng)奪的基礎(chǔ)性戰(zhàn)略資源。海量跨境數(shù)據(jù)在支撐國(guó)際貿(mào)易活動(dòng)、促進(jìn)跨國(guó)科技合作、推動(dòng)數(shù)據(jù)資源共享的同時(shí)，給個(gè)人隱私權(quán)、企業(yè)商業(yè)利益和國(guó)家安全也帶來(lái)挑戰(zhàn)。歐美國(guó)家或地區(qū)紛紛加強(qiáng)數(shù)據(jù)治理前瞻布局，頻繁出臺(tái)數(shù)據(jù)跨境戰(zhàn)略法案和配套細(xì)則，不斷強(qiáng)化數(shù)據(jù)資源掌控能力，力求在全球數(shù)字經(jīng)濟(jì)發(fā)展格局中占據(jù)優(yōu)勢(shì)。在此國(guó)際形勢(shì)下，我國(guó)急需加緊完善數(shù)據(jù)跨境流動(dòng)管理制度體系，全面提高我國(guó)數(shù)據(jù)跨境流動(dòng)管理能力。

一、國(guó)際數(shù)據(jù)跨境流動(dòng)管理主要做法

（一）明確數(shù)據(jù)跨境流動(dòng)管理基本思路

美國(guó)、歐盟等以自身核心戰(zhàn)略利益為原則，對(duì)數(shù)據(jù)流入和流出采用不同的管理思路。

美國(guó)《國(guó)家安全戰(zhàn)略報(bào)告》將數(shù)據(jù)安全作為維護(hù)國(guó)家安全的核心戰(zhàn)略要素，強(qiáng)調(diào)要保持美國(guó)在網(wǎng)絡(luò)空間和數(shù)據(jù)資源上的優(yōu)勢(shì)。在數(shù)據(jù)流入方面主張“數(shù)據(jù)自由流動(dòng)”，憑借美國(guó)信息科技優(yōu)勢(shì)匯聚和利用全球數(shù)據(jù)資源，助力其數(shù)字經(jīng)濟(jì)發(fā)展。在數(shù)據(jù)流出方面，利用出口管制手段限制高科技、軍民兩用技術(shù)數(shù)據(jù)出境。

歐盟以《數(shù)字化單一市場(chǎng)戰(zhàn)略》為指引，采取“內(nèi)松外緊”的數(shù)據(jù)跨境流動(dòng)管理思路。2018年，歐盟出臺(tái)《非個(gè)人數(shù)據(jù)在歐盟境內(nèi)自由流動(dòng)框架條例》（簡(jiǎn)稱《框架條例》）與《通用數(shù)據(jù)保護(hù)條例》（GDPR），形成歐盟數(shù)據(jù)保護(hù)的完整法律框架體系，一方面通過《框架條例》促進(jìn)歐盟內(nèi)部數(shù)據(jù)自由流動(dòng)，另一方面通過GDPR加大對(duì)數(shù)據(jù)向境外流動(dòng)管控力度。

（二）設(shè)置差異化數(shù)據(jù)岀境安全管理制度

美國(guó)和歐盟等國(guó)家或地區(qū)主要根據(jù)數(shù)據(jù)類型設(shè)置差異化的岀境管理制度，以確保數(shù)據(jù)出境活動(dòng)不威脅國(guó)家安全、公共利益和個(gè)人主體權(quán)益。

一方面，在數(shù)據(jù)接收方所在國(guó)家或地區(qū)滿足一定的安全保障要求時(shí)，一般允許個(gè)人數(shù)據(jù)出境。歐盟GDPR通過白名單、標(biāo)準(zhǔn)合同、風(fēng)險(xiǎn)評(píng)估、協(xié)議控制等方式進(jìn)行個(gè)人信息出境安全管理。但是存在對(duì)出境國(guó)家的針對(duì)性管理趨勢(shì)，如2019年11 月美國(guó)參議員提議制定《2019年國(guó)家安全和個(gè)人數(shù)據(jù)保護(hù)法》（草案），限制對(duì)中國(guó)、俄羅斯等“特別關(guān)注國(guó)家”特定數(shù)據(jù)的跨境傳輸和存儲(chǔ)行為。

另一方面，限制重要數(shù)據(jù)和個(gè)人敏感數(shù)據(jù)出境。歐盟、美國(guó)、澳大利亞、韓國(guó)等無(wú)專門重要數(shù)據(jù)岀境管理文件，管理規(guī)則分散于國(guó)家產(chǎn)品、技術(shù)出口管理?xiàng)l例及國(guó)家行業(yè)立法中。根據(jù)數(shù)據(jù)屬性和影響程度等因素，有些國(guó)家對(duì)銀行、金融、征信等重要行業(yè)或領(lǐng)域數(shù)據(jù)實(shí)施禁止岀境管理；有些國(guó)家結(jié)合本國(guó)國(guó)情和政治文化差異，對(duì)健康、稅收、地圖、政府等相對(duì)敏感數(shù)據(jù)，選擇性地實(shí)施禁止或限制岀境管理。美國(guó)依據(jù)《出口管理?xiàng)l例》梳理匯編形成“受管控非秘?cái)?shù)據(jù)列表”，將國(guó)家經(jīng)濟(jì)數(shù)據(jù)、政府管理數(shù)據(jù)、敏感技術(shù)數(shù)據(jù)等視為重要數(shù)據(jù)，并采取嚴(yán)格出境管理。中美貿(mào)易摩擦背景下，美國(guó)對(duì)技術(shù)數(shù)據(jù)和敏感個(gè)人信息的管控日趨嚴(yán)格。

（三）架設(shè)與重要貿(mào)易伙伴間的跨境流動(dòng)國(guó)際通道

一是開展數(shù)據(jù)跨境流動(dòng)認(rèn)證。歐盟、美國(guó)積極與重要貿(mào)易伙伴國(guó)開展數(shù)據(jù)跨境流動(dòng)認(rèn)證。如美歐雙方達(dá)成《隱私盾協(xié)議》。歐盟加快完成對(duì)重要貿(mào)易伙伴（如日本、新西蘭、瑞士等）基于GDPR的充分性認(rèn)定工作。

二是通過自由貿(mào)易協(xié)定推行數(shù)據(jù)跨境流動(dòng)規(guī)則。2011年，亞太經(jīng)合組織（APEC ）建立出境商業(yè)個(gè)人隱私保護(hù)規(guī)則體系（CBPR ），美國(guó)作為首批成員國(guó)加入CBPR，并積極拉攏日本、加拿大、墨西哥等國(guó)形成其主導(dǎo)地位，推動(dòng)CBPR 與歐盟約束性公司規(guī)則（BCR ）的互認(rèn)工作，擴(kuò)大CBPR影響范圍。

（四）逐步完善重點(diǎn)領(lǐng)域數(shù)據(jù)跨境傳輸規(guī)則

一是強(qiáng)化跨境執(zhí)法領(lǐng)域數(shù)據(jù)調(diào)取。2018年美國(guó)制定出臺(tái)《澄清境外數(shù)據(jù)的合法使用法案》，為美國(guó)執(zhí)法機(jī)構(gòu)訪問在美國(guó)境內(nèi)運(yùn)營(yíng)的企業(yè)存儲(chǔ)在海外的用戶數(shù)據(jù)提供明確授權(quán)，擴(kuò)大了美國(guó)執(zhí)法機(jī)構(gòu)調(diào)取域外數(shù)據(jù)的權(quán)力，并與英國(guó)簽署雙邊數(shù)據(jù)訪問協(xié)議。2020年3月，澳大利亞聯(lián)邦政府修訂《電信（監(jiān)聽和訪問）法案》，為與美國(guó)簽署雙邊協(xié)議奠定基礎(chǔ)。

二是推進(jìn)公共領(lǐng)域數(shù)據(jù)跨境合作。2020年2月24日，歐洲數(shù)據(jù)保護(hù)委員會(huì)發(fā)布《EEA與non-EEA公共機(jī)構(gòu)間數(shù)據(jù)國(guó)際轉(zhuǎn)移指南》（征求意見稿），要求數(shù)據(jù)控制方和數(shù)據(jù)接收方簽訂數(shù)據(jù)傳輸協(xié)議，為歐洲經(jīng)濟(jì)區(qū)公共機(jī)構(gòu)向第三國(guó)公共機(jī)構(gòu)及國(guó)際組織轉(zhuǎn)移數(shù)據(jù)提供了相對(duì)靈活便捷的傳輸途徑。

二、我國(guó)數(shù)據(jù)跨境流動(dòng)管理主要情況

（一）戰(zhàn)略層面明確安全與發(fā)展并重的數(shù)據(jù)跨境流動(dòng)方針

為進(jìn)一步推動(dòng)“一帶一路”和企業(yè)“走出去和引進(jìn)來(lái)”等國(guó)家戰(zhàn)略實(shí)施，我國(guó)高度重視數(shù)據(jù)的共享和開放，出臺(tái)大數(shù)據(jù)戰(zhàn)略綱要，鼓勵(lì)數(shù)據(jù)自由有序跨境流動(dòng)。國(guó)務(wù)院印發(fā)《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》，提出要把數(shù)據(jù)開放共享作為戰(zhàn)略部署的重要任務(wù)，以順應(yīng)未來(lái)發(fā)展大勢(shì)。2019年，工業(yè)和信息化部部長(zhǎng)苗圩在參加G20會(huì)議時(shí)指出，推動(dòng)跨境數(shù)據(jù)安全有序流動(dòng)，讓數(shù)據(jù)流動(dòng)更好地促進(jìn)技術(shù)進(jìn)步，服務(wù)數(shù)字經(jīng)濟(jì)發(fā)展。

（二）法律制度標(biāo)準(zhǔn)層面初步明確了數(shù)據(jù)岀境管理要求

《網(wǎng)絡(luò)安全法》第37條明確我國(guó)數(shù)據(jù)出境安全評(píng)估要求，保障我國(guó)國(guó)家安全以及個(gè)人信息主體權(quán)益。2019年6月，國(guó)家互聯(lián)網(wǎng)信息辦公室組織對(duì)《個(gè)人信息出境安全評(píng)估辦法（征求意見稿）》向社會(huì)征求意見，探索建立政府部門評(píng)估和企業(yè)自評(píng)估相結(jié)合的評(píng)估體系。中國(guó)信息通信研究院牽頭研究起草并公開征求意見的國(guó)家標(biāo)準(zhǔn)《數(shù)據(jù)岀境安全評(píng)估指南（征求意見稿）》，構(gòu)建數(shù)據(jù)岀境安全評(píng)估框架，提出數(shù)據(jù)出境評(píng)估方法和指標(biāo)體系。

金融、交通、保險(xiǎn)等行業(yè)根據(jù)監(jiān)管需要制定管理政策文件，對(duì)個(gè)人金融信息、人口健康信息、征信信息等重要敏感數(shù)據(jù)提岀本地化存儲(chǔ)、限制岀境等管理要求。中國(guó)人民銀行發(fā)布《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》，明確規(guī)定在中國(guó)境內(nèi)收集的個(gè)人金融信息的存儲(chǔ)、處理和分析應(yīng)當(dāng)在中國(guó)境內(nèi)進(jìn)行。交通運(yùn)輸部、工信部等7部委共同頒布《網(wǎng)絡(luò)預(yù)約出租汽車經(jīng)營(yíng)服務(wù)管理暫行辦法》，要求網(wǎng)約車平臺(tái)公司應(yīng)將所采集的個(gè)人信息和生成的業(yè)務(wù)數(shù)據(jù)在中國(guó)內(nèi)地存儲(chǔ)和使用，除法律法規(guī)另有規(guī)定外不得外流。此外，《人口健康信息管理辦法（試行）》《保險(xiǎn)公司開業(yè)驗(yàn)收指引》《征信管理?xiàng)l例》《地圖管理?xiàng)l例》等都提岀了不同程度的數(shù)據(jù)本地化要求。

（三）實(shí)踐層面選取典型場(chǎng)景開展安全評(píng)估

網(wǎng)信辦等積極選擇典型場(chǎng)景和典型企業(yè)，開展安全評(píng)估試點(diǎn)實(shí)踐。一方面，依托大數(shù)據(jù)安全審查制度，籌備開展數(shù)據(jù)岀境安全評(píng)估試點(diǎn)示范，針對(duì)騰訊等重點(diǎn)互聯(lián)網(wǎng)企業(yè)探索開展評(píng)估實(shí)踐，指引企業(yè)加強(qiáng)數(shù)據(jù)出境安全保障能力建設(shè)。另一方面，結(jié)合國(guó)家標(biāo)準(zhǔn)研制等工作，組織企業(yè)開展評(píng)估方法驗(yàn)證，指導(dǎo)企業(yè)梳理涉及數(shù)據(jù)出境的業(yè)務(wù)清單、業(yè)務(wù)場(chǎng)景分類，開展典型業(yè)務(wù)數(shù)據(jù)岀境安全風(fēng)險(xiǎn)等級(jí)判定等。

三、完善我國(guó)數(shù)據(jù)跨境流動(dòng)管理的思路建議

目前，我國(guó)數(shù)據(jù)跨境管理存在數(shù)據(jù)出境管理制度有待進(jìn)一步完善，管理手段較為單一，數(shù)據(jù)跨境流動(dòng)國(guó)際合作不足等問題�；�于典型國(guó)家數(shù)據(jù)跨境流動(dòng)管理主要做法，提岀以下完善建議。

（一）明確數(shù)據(jù)跨境流動(dòng)管理基本思路

兼顧數(shù)據(jù)“流入”和“流出”兩方面，將“拿得到，護(hù)得住”作為數(shù)據(jù)跨境流動(dòng)管理基本思路。在數(shù)據(jù)流入方面，在安全與發(fā)展并重的數(shù)據(jù)跨境流動(dòng)方針的引導(dǎo)下，推動(dòng)數(shù)據(jù)流動(dòng)共享，促進(jìn)我國(guó)數(shù)字經(jīng)濟(jì)發(fā)展。在數(shù)據(jù)流出方面，加強(qiáng)數(shù)據(jù)安全保護(hù)和岀境評(píng)估，避免重要數(shù)據(jù)和個(gè)人敏感信息非法出境危害公民合法權(quán)益和國(guó)家安全。

（二）加快構(gòu)建數(shù)據(jù)跨境法律管理制度體系

一是推進(jìn)《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等數(shù)據(jù)安全和個(gè)人信息保護(hù)頂層立法，完善數(shù)據(jù)跨境流動(dòng)管理的上位法依據(jù)。二是推進(jìn)《個(gè)人信息出境安全評(píng)估辦法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《數(shù)據(jù)安全管理辦法》等《網(wǎng)絡(luò)安全法》配套規(guī)范，設(shè)置安全評(píng)估、例外事項(xiàng)、標(biāo)準(zhǔn)合同等多元數(shù)據(jù)岀境途徑，保障我國(guó)數(shù)據(jù)岀境安全。

（三）建立分級(jí)分類的數(shù)據(jù)岀境安全監(jiān)管機(jī)制

一是根據(jù)個(gè)人信息和重要數(shù)據(jù)的分類明確安全管理模式。對(duì)于個(gè)人信息出境，通過合同約束、備案申請(qǐng)等方式，重點(diǎn)保障出境后個(gè)人信息主體權(quán)益與救濟(jì)。對(duì)于重要數(shù)據(jù)，通過一事一議、行政審批等強(qiáng)監(jiān)管措施，保障國(guó)家安全、經(jīng)濟(jì)發(fā)展與社會(huì)穩(wěn)定。二是按照出境國(guó)家地區(qū)政治環(huán)境、國(guó)際關(guān)系、數(shù)據(jù)保護(hù)水平等因素，劃分?jǐn)?shù)據(jù)岀境風(fēng)險(xiǎn)等級(jí)，探索制定對(duì)低風(fēng)險(xiǎn)國(guó)家地區(qū)的數(shù)據(jù)出境白名單，減少數(shù)據(jù)流動(dòng)障礙。同時(shí)，針對(duì)數(shù)據(jù)出境主體的風(fēng)險(xiǎn)高地，制定特別管理要求，對(duì)于如外資企業(yè)、合資企業(yè)、境外組織機(jī)構(gòu)等高風(fēng)險(xiǎn)主體，制定差異化數(shù)據(jù)岀境管理要求，加強(qiáng)數(shù)據(jù)岀境安全保障。

（四）加強(qiáng)數(shù)據(jù)跨境流動(dòng)管理國(guó)際合作

一是增進(jìn)國(guó)際交流，構(gòu)建政府間、行業(yè)間、研究機(jī)構(gòu)間多類型多線條的溝通模式，確保管理框架和基本制度與國(guó)際規(guī)則銜接，增進(jìn)數(shù)據(jù)跨境領(lǐng)域國(guó)際互信。二是加強(qiáng)數(shù)據(jù)跨境流動(dòng)認(rèn)證，以工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)等重點(diǎn)領(lǐng)域數(shù)據(jù)出境為突破口，積極尋求與重要貿(mào)易伙伴通過雙邊、多邊協(xié)議建立數(shù)據(jù)跨境流動(dòng)認(rèn)證等信任機(jī)制，推動(dòng)建立區(qū)域統(tǒng)一的數(shù)據(jù)流動(dòng)規(guī)則，打通數(shù)據(jù)跨境流動(dòng)壁壘，形成數(shù)據(jù)流入?yún)R聚效應(yīng)。三是積極促進(jìn)跨境執(zhí)法、公共機(jī)構(gòu)間數(shù)據(jù)跨境傳輸?shù)戎攸c(diǎn)領(lǐng)域的國(guó)際合作。

 

（原載于《保密科學(xué)技術(shù)》雜志2020年4月刊）