國際數(shù)據(jù)跨境流動管理制度及對我國的啟示

在數(shù)字經(jīng)濟時代，數(shù)據(jù)已經(jīng)成為一種全新的市場化要素，是各國競相爭奪的基礎性戰(zhàn)略資源。海量跨境數(shù)據(jù)在支撐國際貿(mào)易活動、促進跨國科技合作、推動數(shù)據(jù)資源共享的同時，給個人隱私權、企業(yè)商業(yè)利益和國家安全也帶來挑戰(zhàn)。歐美國家或地區(qū)紛紛加強數(shù)據(jù)治理前瞻布局，頻繁出臺數(shù)據(jù)跨境戰(zhàn)略法案和配套細則，不斷強化數(shù)據(jù)資源掌控能力，力求在全球數(shù)字經(jīng)濟發(fā)展格局中占據(jù)優(yōu)勢。在此國際形勢下，我國急需加緊完善數(shù)據(jù)跨境流動管理制度體系，全面提高我國數(shù)據(jù)跨境流動管理能力。

一、國際數(shù)據(jù)跨境流動管理主要做法

（一）明確數(shù)據(jù)跨境流動管理基本思路

美國、歐盟等以自身核心戰(zhàn)略利益為原則，對數(shù)據(jù)流入和流出采用不同的管理思路。

美國《國家安全戰(zhàn)略報告》將數(shù)據(jù)安全作為維護國家安全的核心戰(zhàn)略要素，強調(diào)要保持美國在網(wǎng)絡空間和數(shù)據(jù)資源上的優(yōu)勢。在數(shù)據(jù)流入方面主張“數(shù)據(jù)自由流動”，憑借美國信息科技優(yōu)勢匯聚和利用全球數(shù)據(jù)資源，助力其數(shù)字經(jīng)濟發(fā)展。在數(shù)據(jù)流出方面，利用出口管制手段限制高科技、軍民兩用技術數(shù)據(jù)出境。

歐盟以《數(shù)字化單一市場戰(zhàn)略》為指引，采取“內(nèi)松外緊”的數(shù)據(jù)跨境流動管理思路。2018年，歐盟出臺《非個人數(shù)據(jù)在歐盟境內(nèi)自由流動框架條例》（簡稱《框架條例》）與《通用數(shù)據(jù)保護條例》（GDPR），形成歐盟數(shù)據(jù)保護的完整法律框架體系，一方面通過《框架條例》促進歐盟內(nèi)部數(shù)據(jù)自由流動，另一方面通過GDPR加大對數(shù)據(jù)向境外流動管控力度。

（二）設置差異化數(shù)據(jù)岀境安全管理制度

美國和歐盟等國家或地區(qū)主要根據(jù)數(shù)據(jù)類型設置差異化的岀境管理制度，以確保數(shù)據(jù)出境活動不威脅國家安全、公共利益和個人主體權益。

一方面，在數(shù)據(jù)接收方所在國家或地區(qū)滿足一定的安全保障要求時，一般允許個人數(shù)據(jù)出境。歐盟GDPR通過白名單、標準合同、風險評估、協(xié)議控制等方式進行個人信息出境安全管理。但是存在對出境國家的針對性管理趨勢，如2019年11 月美國參議員提議制定《2019年國家安全和個人數(shù)據(jù)保護法》（草案），限制對中國、俄羅斯等“特別關注國家”特定數(shù)據(jù)的跨境傳輸和存儲行為。

另一方面，限制重要數(shù)據(jù)和個人敏感數(shù)據(jù)出境。歐盟、美國、澳大利亞、韓國等無專門重要數(shù)據(jù)岀境管理文件，管理規(guī)則分散于國家產(chǎn)品、技術出口管理條例及國家行業(yè)立法中。根據(jù)數(shù)據(jù)屬性和影響程度等因素，有些國家對銀行、金融、征信等重要行業(yè)或領域數(shù)據(jù)實施禁止岀境管理；有些國家結合本國國情和政治文化差異，對健康、稅收、地圖、政府等相對敏感數(shù)據(jù)，選擇性地實施禁止或限制岀境管理。美國依據(jù)《出口管理條例》梳理匯編形成“受管控非秘數(shù)據(jù)列表”，將國家經(jīng)濟數(shù)據(jù)、政府管理數(shù)據(jù)、敏感技術數(shù)據(jù)等視為重要數(shù)據(jù)，并采取嚴格出境管理。中美貿(mào)易摩擦背景下，美國對技術數(shù)據(jù)和敏感個人信息的管控日趨嚴格。

（三）架設與重要貿(mào)易伙伴間的跨境流動國際通道

一是開展數(shù)據(jù)跨境流動認證。歐盟、美國積極與重要貿(mào)易伙伴國開展數(shù)據(jù)跨境流動認證。如美歐雙方達成《隱私盾協(xié)議》。歐盟加快完成對重要貿(mào)易伙伴（如日本、新西蘭、瑞士等）基于GDPR的充分性認定工作。

二是通過自由貿(mào)易協(xié)定推行數(shù)據(jù)跨境流動規(guī)則。2011年，亞太經(jīng)合組織（APEC ）建立出境商業(yè)個人隱私保護規(guī)則體系（CBPR ），美國作為首批成員國加入CBPR，并積極拉攏日本、加拿大、墨西哥等國形成其主導地位，推動CBPR 與歐盟約束性公司規(guī)則（BCR ）的互認工作，擴大CBPR影響范圍。

（四）逐步完善重點領域數(shù)據(jù)跨境傳輸規(guī)則

一是強化跨境執(zhí)法領域數(shù)據(jù)調(diào)取。2018年美國制定出臺《澄清境外數(shù)據(jù)的合法使用法案》，為美國執(zhí)法機構訪問在美國境內(nèi)運營的企業(yè)存儲在海外的用戶數(shù)據(jù)提供明確授權，擴大了美國執(zhí)法機構調(diào)取域外數(shù)據(jù)的權力，并與英國簽署雙邊數(shù)據(jù)訪問協(xié)議。2020年3月，澳大利亞聯(lián)邦政府修訂《電信（監(jiān)聽和訪問）法案》，為與美國簽署雙邊協(xié)議奠定基礎。

二是推進公共領域數(shù)據(jù)跨境合作。2020年2月24日，歐洲數(shù)據(jù)保護委員會發(fā)布《EEA與non-EEA公共機構間數(shù)據(jù)國際轉移指南》（征求意見稿），要求數(shù)據(jù)控制方和數(shù)據(jù)接收方簽訂數(shù)據(jù)傳輸協(xié)議，為歐洲經(jīng)濟區(qū)公共機構向第三國公共機構及國際組織轉移數(shù)據(jù)提供了相對靈活便捷的傳輸途徑。

二、我國數(shù)據(jù)跨境流動管理主要情況

（一）戰(zhàn)略層面明確安全與發(fā)展并重的數(shù)據(jù)跨境流動方針

為進一步推動“一帶一路”和企業(yè)“走出去和引進來”等國家戰(zhàn)略實施，我國高度重視數(shù)據(jù)的共享和開放，出臺大數(shù)據(jù)戰(zhàn)略綱要，鼓勵數(shù)據(jù)自由有序跨境流動。國務院印發(fā)《促進大數(shù)據(jù)發(fā)展行動綱要》，提出要把數(shù)據(jù)開放共享作為戰(zhàn)略部署的重要任務，以順應未來發(fā)展大勢。2019年，工業(yè)和信息化部部長苗圩在參加G20會議時指出，推動跨境數(shù)據(jù)安全有序流動，讓數(shù)據(jù)流動更好地促進技術進步，服務數(shù)字經(jīng)濟發(fā)展。

（二）法律制度標準層面初步明確了數(shù)據(jù)岀境管理要求

《網(wǎng)絡安全法》第37條明確我國數(shù)據(jù)出境安全評估要求，保障我國國家安全以及個人信息主體權益。2019年6月，國家互聯(lián)網(wǎng)信息辦公室組織對《個人信息出境安全評估辦法（征求意見稿）》向社會征求意見，探索建立政府部門評估和企業(yè)自評估相結合的評估體系。中國信息通信研究院牽頭研究起草并公開征求意見的國家標準《數(shù)據(jù)岀境安全評估指南（征求意見稿）》，構建數(shù)據(jù)岀境安全評估框架，提出數(shù)據(jù)出境評估方法和指標體系。

金融、交通、保險等行業(yè)根據(jù)監(jiān)管需要制定管理政策文件，對個人金融信息、人口健康信息、征信信息等重要敏感數(shù)據(jù)提岀本地化存儲、限制岀境等管理要求。中國人民銀行發(fā)布《關于銀行業(yè)金融機構做好個人金融信息保護工作的通知》，明確規(guī)定在中國境內(nèi)收集的個人金融信息的存儲、處理和分析應當在中國境內(nèi)進行。交通運輸部、工信部等7部委共同頒布《網(wǎng)絡預約出租汽車經(jīng)營服務管理暫行辦法》，要求網(wǎng)約車平臺公司應將所采集的個人信息和生成的業(yè)務數(shù)據(jù)在中國內(nèi)地存儲和使用，除法律法規(guī)另有規(guī)定外不得外流。此外，《人口健康信息管理辦法（試行）》《保險公司開業(yè)驗收指引》《征信管理條例》《地圖管理條例》等都提岀了不同程度的數(shù)據(jù)本地化要求。

（三）實踐層面選取典型場景開展安全評估

網(wǎng)信辦等積極選擇典型場景和典型企業(yè)，開展安全評估試點實踐。一方面，依托大數(shù)據(jù)安全審查制度，籌備開展數(shù)據(jù)岀境安全評估試點示范，針對騰訊等重點互聯(lián)網(wǎng)企業(yè)探索開展評估實踐，指引企業(yè)加強數(shù)據(jù)出境安全保障能力建設。另一方面，結合國家標準研制等工作，組織企業(yè)開展評估方法驗證，指導企業(yè)梳理涉及數(shù)據(jù)出境的業(yè)務清單、業(yè)務場景分類，開展典型業(yè)務數(shù)據(jù)岀境安全風險等級判定等。

三、完善我國數(shù)據(jù)跨境流動管理的思路建議

目前，我國數(shù)據(jù)跨境管理存在數(shù)據(jù)出境管理制度有待進一步完善，管理手段較為單一，數(shù)據(jù)跨境流動國際合作不足等問題。基于典型國家數(shù)據(jù)跨境流動管理主要做法，提岀以下完善建議。

（一）明確數(shù)據(jù)跨境流動管理基本思路

兼顧數(shù)據(jù)“流入”和“流出”兩方面，將“拿得到，護得住”作為數(shù)據(jù)跨境流動管理基本思路。在數(shù)據(jù)流入方面，在安全與發(fā)展并重的數(shù)據(jù)跨境流動方針的引導下，推動數(shù)據(jù)流動共享，促進我國數(shù)字經(jīng)濟發(fā)展。在數(shù)據(jù)流出方面，加強數(shù)據(jù)安全保護和岀境評估，避免重要數(shù)據(jù)和個人敏感信息非法出境危害公民合法權益和國家安全。

（二）加快構建數(shù)據(jù)跨境法律管理制度體系

一是推進《數(shù)據(jù)安全法》《個人信息保護法》等數(shù)據(jù)安全和個人信息保護頂層立法，完善數(shù)據(jù)跨境流動管理的上位法依據(jù)。二是推進《個人信息出境安全評估辦法》《關鍵信息基礎設施安全保護條例》《數(shù)據(jù)安全管理辦法》等《網(wǎng)絡安全法》配套規(guī)范，設置安全評估、例外事項、標準合同等多元數(shù)據(jù)岀境途徑，保障我國數(shù)據(jù)岀境安全。

（三）建立分級分類的數(shù)據(jù)岀境安全監(jiān)管機制

一是根據(jù)個人信息和重要數(shù)據(jù)的分類明確安全管理模式。對于個人信息出境，通過合同約束、備案申請等方式，重點保障出境后個人信息主體權益與救濟。對于重要數(shù)據(jù)，通過一事一議、行政審批等強監(jiān)管措施，保障國家安全、經(jīng)濟發(fā)展與社會穩(wěn)定。二是按照出境國家地區(qū)政治環(huán)境、國際關系、數(shù)據(jù)保護水平等因素，劃分數(shù)據(jù)岀境風險等級，探索制定對低風險國家地區(qū)的數(shù)據(jù)出境白名單，減少數(shù)據(jù)流動障礙。同時，針對數(shù)據(jù)出境主體的風險高地，制定特別管理要求，對于如外資企業(yè)、合資企業(yè)、境外組織機構等高風險主體，制定差異化數(shù)據(jù)岀境管理要求，加強數(shù)據(jù)岀境安全保障。

（四）加強數(shù)據(jù)跨境流動管理國際合作

一是增進國際交流，構建政府間、行業(yè)間、研究機構間多類型多線條的溝通模式，確保管理框架和基本制度與國際規(guī)則銜接，增進數(shù)據(jù)跨境領域國際互信。二是加強數(shù)據(jù)跨境流動認證，以工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)等重點領域數(shù)據(jù)出境為突破口，積極尋求與重要貿(mào)易伙伴通過雙邊、多邊協(xié)議建立數(shù)據(jù)跨境流動認證等信任機制，推動建立區(qū)域統(tǒng)一的數(shù)據(jù)流動規(guī)則，打通數(shù)據(jù)跨境流動壁壘，形成數(shù)據(jù)流入?yún)R聚效應。三是積極促進跨境執(zhí)法、公共機構間數(shù)據(jù)跨境傳輸?shù)戎攸c領域的國際合作。

 

（原載于《保密科學技術》雜志2020年4月刊）