我國數據跨境流動相關舉措分析*

劉耀華

（中國信息通信研究院 互聯網法律研究中心，北京 100191）

0 引 言

2020年，我國數據跨境流動工作，尤其是自貿區（港）、重點行業相關工作的開展如火如荼，商務部發布的《關于印發全面深化服務貿易創新發展試點總體方案的通知》（以下稱《通知》）以及海南全面深化改革開放領導小組印發的《智慧海南總體方案（2020—2025年）》（以下稱《方案》）便是其中的典型代表。兩個文件中涉及有關數據跨境流動的安全評估、區域性規則構建、白名單機制等重點問題。本文將以兩個文件為抓手，聚焦其中提到的幾大關鍵點進行研究和探討，既總結整理國際相關經驗，又對我國的數據跨境流動制度構建、實踐開展等方面提出了針對性建議。

1 相關文件的具體內容

《通知》和《方案》從數據跨境流動整體工作的部署出發，明確了我國試點地區和海南自貿港未來在數據跨境流動工作中的重點方向。

1.1 《通知》的主要內容

為了貫徹黨中央、國務院關于進一步推動試點創新示范、推進服務貿易開放的重要精神，促進外貿工作的高質量、優結構發展，《通知》于2020年8月由商務部正式向社會發布，總體目標是通過在北京、天津、上海等28個省市（區域）全民開展深化試點工作，實現服務貿易深層次改革全面推進，高水平開放有序推進，全方位創新更加深化。在“全面探索完善監管模式”的試點任務當中，《通知》提出要“探索符合新時期服務貿易發展特點的監管體系，在服務貿易高質量發展中實現監管職權規范、監管系統優化、監管效能提升”，其中一項具體舉措就是“支持試點地區聚焦集成電路、人工智能、工業互聯網、生物醫藥、總部經濟等重點領域，試點開展數據跨境流動安全評估，建立數據保護能力認證、數據流通備份審查、跨境數據流動和交易風險評估等數據安全管理機制……”

1.2 《方案》的主要內容

《方案》是2020年8月由推進海南全面深化改革開放領導小組印發。《方案》的出臺并非偶然，習近平總書記在慶祝海南建省辦經濟特區30周年大會上的講話已經明確要全面推進深化改革開放在海南落地，《中共中央 國務院關于支持海南全面深化改革開放的指導意見》《海南自由貿易港建設總體方案》等文件中，也已經為全面發展海南自由貿易港、發揮中國特色海島優勢做出了整體部署，以實現培育壯大外向型數字經濟和現代服務業，促進資源要素高效有序自由流通等目標。

其中，數據跨境流動是建設海南自由貿易港的一項重點工作，是發展貿易港整體經濟的重要支撐因素，《方案》明確提出要在海南“開放發展，先行先試”，要“以信息流支撐貿易、投資、跨境資金、人員進出、運輸來往和數據安全自由流動”，涉及數據跨境流動的重點任務主要包括兩個方面，一是培育國際大數據服務新業態，在海南試點建設開放透明、安全可控的跨境數據流動監管體系，并通過建立和參與區域性的跨境數據流動規則以及白名單機制，圍繞以多語種翻譯、數字內容等為代表的相關領域，開展國際化的大數據相關服務。二是培育國際數據服務業務，研究制定與數據跨境流動緊密聯系的數據安全管理機制，并根據海南自身特色，以主要國際貿易伙伴以及游客來源國等國家和地區為主，優先探索代表性的旅游、跨境貿易等領域的數據跨境流動。

1.3 文件的主要目標

《通知》和《方案》均體現出促進數據跨境流動對構建我國整體數字營商環境便利化、提升我國數字經濟發展水平具有重要作用，我國政府相關部門應當為數據跨境流動創建良好的外部環境，但同時更要注重數據跨境流動過程中的安全監管和安全評估工作，以確保促進數據跨境安全、自由流動。在試點領域方面，《通知》和《方案》規定不同，《通知》選取了包括集成電路、人工智能、工業互聯網、生物醫藥、總部經濟等在內的多個區域積極探索開展數據跨境流動安全評估，而《方案》中在海南選取多語種翻譯、數字內容等領域開展國際大數據服務，同時以全球主要貿易伙伴以及游客來源國等國家和地區為主率先研究完善旅游以及跨境貿易等重要領域的數據跨境流動。在安全監管方面，《通知》支持試點開展安全評估工作，并建立相應的數據安全管理機制；《方案》也明確要在海南通過先行先試，研究制定數據跨境流動的安全管理機制。在對外合作方面，《通知》和《方案》都注重通過對外交流合作來提升我國在數據領域的參與程度，《通知》鼓勵試點地區參與數字規則的國際合作以加大數據保護力度，《方案》則主張建立區域性跨境數據流動規則和白名單機制，建立我國的數據跨境流動合作“朋友圈”。

從《通知》和《方案》的整體工作來看，完善數據跨境流動安全監管（安全評估）機制、探索建立數據跨境流動區域性規則和白名單機制將是我國未來在數據跨境流動領域的重點工作。

2 重點問題分析

數據跨境流動安全評估、區域性規則建立、白名單機制等重點問題分別在我國立法和國際制度中有規定，為我國試點地區和海南自貿港制度的建立提供了法律基礎和經驗借鑒。

2.1 數據跨境流動安全評估

數據跨境流動安全評估制度是《中華人民共和國網絡安全法》中規定的數據出境監管制度，2021年出臺的《中華人民共和國數據安全法》和《中華人民共和國個人信息保護法》在此基礎上進一步進行了補充和完善。第三十七條規定“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。”該條明確我國數據出境以“本地化存儲+出境安全評估”為原則的管理制度，需要出境的關鍵信息基礎設施運營者的個人信息和重要數據應當按照相關規定進行安全評估之后才能出境，這種安全評估的舉措屬于一事一議的事前審批方式。除此之外，《中華人民共和國個人信息保護法》還規定處理個人信息達到一定數量的個人信息處理者，如果跨境傳輸個人信息，那么也應當經過網信部門組織的安全評估[1]。

2019年6月13日發布的《個人信息出境安全評估辦法（征求意見稿）》細化了該項制度，通過審查出境合同實現數據出境活動中的個人信息保護，也屬于對每一次個人信息出境活動所涉及的合同文本進行個案評估，需要進行安全評估的范圍為“網絡運營者向境外提供在中華人民共和國境內運營中收集的個人信息”的，安全評估的審查機構為網絡運營者所在地的省級網信部門。

當前，我國的數據出境安全評估制度還存在以下問題：一是《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》中僅明確了“關鍵信息基礎設施運營者”的“個人信息和重要數據”、處理個人信息達到一定數量的個人信息處理者的個人信息應當通過安全評估進行出境，但是對于其他網絡運營者的數據應當怎么監管才能確保整體數據安全有待明確，如非關鍵信息基礎設施運營者的重要數據如果需要出境，《中華人民共和國數據安全法》規定還有待網信部門制定相關管理辦法，但當前尚未出臺相關辦法；二是安全評估制度的具體規定沒有出臺，安全評估制度無法實質性落地，數據出境存在困境；三是在監管數據是否出境方面缺少技術監管手段和實質性執法，目前存在數據不受監管出境的情形。

2.2 數據跨境流動區域性規則

世界各國在推動經濟增長、促進產業升級等方面對數據資源的依賴程度也越來越大，數據跨境流動已成為各國制定政策的關注重點，也成為主要國際機制和諸多雙多邊談判的主要議題和關鍵議題。當前，美國在世界數據跨境流動區域性規則的制定中占據了主導地位，在多個區域性規則中倡導數據自由流動。比較重要的區域性規則包括：

（1）《跨太平洋伙伴關系協定》（TPP）。2011年TPP第七輪談判時，美國將強制性的跨境數據流動規則列入草案文本中。TPP強制要求各方允許跨境數據流動，禁止數據本地化，僅允許為實現公共政策目標而采取或維持本地化措施。2017年1月，因為特朗普反對自由貿易，遷回域外工廠、增加底層就業機會，選擇退出TPP。美國退出后，2017年11月，TPP被全面與進步跨太平洋伙伴關系協定（CPTPP）所替代。2018年12月CPTPP正式生效，明確了“通過電子方式跨境轉移信息”的要求，禁止締約方采取計算機設備本地化措施。

（2）《跨境隱私規則》（CBPR）。2011年，美國主導建立的APEC《跨境隱私規則》（CBPR）是當前多邊監管合作中較為成熟的機制，通過認證的企業間跨境數據流動不受阻礙。加入CBPR的評估標準包括：國內隱私法、隱私保護執法機構、信任標志提供商、隱私法與APEC隱私框架的一致性等。目前參與CBPR機制的國家或地區共有八個，包括了美國、墨西哥、日本、加拿大、新加坡、韓國、澳大利亞和中國臺灣，由于中國沒有隱私保護法而被認為不具備加入CBPRs的條件。

（3）《北美自由貿易協定》（NAFTA）。2018年11月，美國、墨西哥和加拿大三國在原來的《北美自由貿易協定》基礎上進行了完善和升級，簽署了新的《美墨加協定》（USMCA），其中包含了高水平的跨境數據流動條款，要求確保跨境數據自由流動，盡量取消對于數據加工和存儲地點的要求。

當前，我國還沒有與任何國家和地區在數據跨境流動方面達成相關的區域性規則。

2.3 白名單機制

白名單機制是指對于其他國家的數據保護機制進行審查認證，決定本國數據是否可以流轉到該國，將滿足本國要求的國家列入白名單，允許今后數據自由傳輸到該國。歐盟是典型的設立白名單機制的地區。《通用數據保護條例》GDPR實施以后，歐盟通過“充分性保護”認定機制與多個國家建立了跨境數據流動合作機制[2]，按照GDPR的規定，歐盟委員會在審核其他國家、地區、國際組織是否可以加入根據“充分性保護”建立的白名單時應當考慮以下因素：一是一個國家或地區的相關法律環境，對于人權、基本自由等的尊重程度，包括在有關公共安全、防衛、國家安全和刑事法律制度在內的政策中規定的公共機構對個人數據的訪問權及相關立法的實施，個人數據保護的相關規定，職業準則和安全措施等；二是其他國家、地區或國際組織是否設立了一個或多個獨立、有效運行的監管機構，目的在于全面負責確保數據保護規則的執行和遵守，包括是否具有足夠的執法權，以幫助和指導個人數據主體行使相關的權利，也包括是否能夠與成員國中的其他監管機構開展廣泛的合作；三是第三國、地區以及相關國際組織是否以及締結了相關的國際協定，或者是否會遵守其他具有約束力的公約、文件所規定的義務等。

目前歐洲委員會確認的“充分性”認定國家（白名單國家）共有13個，包括安道爾、阿根廷、加拿大（商業組織）、法羅群島、根西島、以色列、馬恩島、澤西島、新西蘭、瑞士、烏拉圭和美國（僅限于隱私盾框架，已被廢除[3]）以及日本。隨著GDPR的實施，越來越多的國家通過制定或修訂個人數據保護法，對接歐盟規則，試圖與歐盟開展充分性認定談判，以進入歐盟市場。目前，韓國正在與歐盟進行談判，希望通過修訂立法，賦予機構更多的獨立性和執法權，以滿足歐盟的要求。印度、智利以及巴西等國家也正在制定或修改本國法律，以期加入與歐盟的數據保護“充分性”認定談判。目前，我國因自身特點，未通過“充分性保護”認定機制，在國內也尚未建立類似白名單機制的數據跨境流動合作制度。

3 意見與建議

從《通知》和《方案》兩個文件可以看出，在數據跨境流動方面，我國聚焦于國內國際兩個方面在試點區域和海南自貿港開展相關工作，國內主要是落實數據跨境安全評估制度，確保通過安全監管實現數據安全、有序流動；在國際合作方面，主要通過探索制定區域性規則、建立白名單機制的方式來拓展我國的數據跨境流動圈。

3.1 數據跨境安全評估

數據跨境流動安全評估工作應當從制度和實踐兩方面推進。一方面，落實我國《中華人民共和國網絡安全法》第三十七條的精神，加快構建完善我國數據跨境流動的安全評估制度。加快制定出臺個人信息和重要數據出境安全評估辦法，明確安全評估的具體手段、具體要求和具體程序，為數據合法合規出境建立可行性機制。另一方面，《通知》和《方案》中試點地區和海南自貿港的數據跨境安全評估手段可以以《通知》中的幾項具體手段為參考，例如，鼓勵第三方機構建立對數據保護水平和能力的認證；要求跨境傳輸數據的企業做好數據跨境的相關備份，監管機構可以進行不定期日常檢查；鼓勵企業跨境傳輸數據時開展第三方評估和自評估，監管機構可以將此作為安全評估的參考。

3.2 積極參與和制定數據跨境流動區域性規則

區域性的“數據跨境流動圈”是目前全球數據跨境流動的主要趨勢，而且主要國家和地區一般會考慮和自己經貿往來比較頻繁、或者與本國在價值理念方面比較一致的國家和地區建立跨境數據流動機制。我國在該領域還有待突破，可以參考歐美國家和地區的成熟經驗，一方面，應充分發揮現有多邊機制作用，在傳統貿易伙伴基礎上，擴大數據領域合作，依托“一帶一路”倡議、區域全面經濟伙伴關系協定等機制，提出中國方案，推動將跨境數據流動議題納入其中，推進構建以我國為主導的區域性數據跨境流動規則。另一方面，可以充分利用當前美歐“隱私盾協議”被判無效，數據跨境流動機制產生分歧的有利時機和有利機會，爭取把握住歐盟的動向，積極主動與歐盟及其成員國家溝通數據跨境流動的多雙邊規則[4]。

3.3 建立我國數據跨境流動“白名單”

數據跨境流動“白名單”主要包括建立國家白名單和建立可以自由流動的數據白名單方式。一方面，建立國家“白名單機制”，既要明確我國對于數據跨境流動的具體要求和前提基礎，也可以參考歐盟的“充分性保護”模式，對數據保護水平較高、與我國商貿往來比較頻繁、企業開展業務潛在需求較大的國家和地區可以積極開展談判，簽署數據跨境流動的協議，允許試點地區、自貿港內企業將數據跨境傳輸到這些國家和地區。另一方面，建立數據“白名單機制”，采取事后監督管理辦法，將個人屬性較低及非敏感的工業設備運行數據、純屬個人意愿產生的國際漫游數據等納入白名單中，允許這些數據跨境傳輸時不進行安全評估，僅做備案即可。

4 結 語

整體來看，我國的數據跨境流動管理制度雖然進展較慢，但在近兩年數字經濟全球化以及國際形勢不斷動蕩的大背景下，我國有關部門已經意識到構建完善的數據跨境流動頂層制度、推進數據跨境流動的開展已經成為關系我國數字經濟發展、影響我國國際經貿合作的關鍵問題[5]。針對我國構建的以安全評估為核心的管理制度，我國下一步可以借鑒成熟國際經驗，同時立足我國實際情況，進一步推進試點示范工作的進行，同時不斷完善和細化我國相關制度，為我國跨境數據流動相關工作的開展構建合理、合法的可行路徑。