我国数据跨境流动相关举措分析*

刘耀华

（中国信息通信研究院 互联网法律研究中心，北京 100191）

0 引 言

2020年，我国数据跨境流动工作，尤其是自贸区（港）、重点行业相关工作的开展如火如荼，商务部发布的《关于印发全面深化服务贸易创新发展试点总体方案的通知》（以下称《通知》）以及海南全面深化改革开放领导小组印发的《智慧海南总体方案（2020—2025年）》（以下称《方案》）便是其中的典型代表。两个文件中涉及有关数据跨境流动的安全评估、区域性规则构建、白名单机制等重点问题。本文将以两个文件为抓手，聚焦其中提到的几大关键点进行研究和探讨，既总结整理国际相关经验，又对我国的数据跨境流动制度构建、实践开展等方面提出了针对性建议。

1 相关文件的具体内容

《通知》和《方案》从数据跨境流动整体工作的部署出发，明确了我国试点地区和海南自贸港未来在数据跨境流动工作中的重点方向。

1.1 《通知》的主要内容

为了贯彻党中央、国务院关于进一步推动试点创新示范、推进服务贸易开放的重要精神，促进外贸工作的高质量、优结构发展，《通知》于2020年8月由商务部正式向社会发布，总体目标是通过在北京、天津、上海等28个省市（区域）全民开展深化试点工作，实现服务贸易深层次改革全面推进，高水平开放有序推进，全方位创新更加深化。在“全面探索完善监管模式”的试点任务当中，《通知》提出要“探索符合新时期服务贸易发展特点的监管体系，在服务贸易高质量发展中实现监管职权规范、监管系统优化、监管效能提升”，其中一项具体举措就是“支持试点地区聚焦集成电路、人工智能、工业互联网、生物医药、总部经济等重点领域，试点开展数据跨境流动安全评估，建立数据保护能力认证、数据流通备份审查、跨境数据流动和交易风险评估等数据安全管理机制……”

1.2 《方案》的主要内容

《方案》是2020年8月由推进海南全面深化改革开放领导小组印发。《方案》的出台并非偶然，习近平总书记在庆祝海南建省办经济特区30周年大会上的讲话已经明确要全面推进深化改革开放在海南落地，《中共中央 国务院关于支持海南全面深化改革开放的指导意见》《海南自由贸易港建设总体方案》等文件中，也已经为全面发展海南自由贸易港、发挥中国特色海岛优势做出了整体部署，以实现培育壮大外向型数字经济和现代服务业，促进资源要素高效有序自由流通等目标。

其中，数据跨境流动是建设海南自由贸易港的一项重点工作，是发展贸易港整体经济的重要支撑因素，《方案》明确提出要在海南“开放发展，先行先试”，要“以信息流支撑贸易、投资、跨境资金、人员进出、运输来往和数据安全自由流动”，涉及数据跨境流动的重点任务主要包括两个方面，一是培育国际大数据服务新业态，在海南试点建设开放透明、安全可控的跨境数据流动监管体系，并通过建立和参与区域性的跨境数据流动规则以及白名单机制，围绕以多语种翻译、数字内容等为代表的相关领域，开展国际化的大数据相关服务。二是培育国际数据服务业务，研究制定与数据跨境流动紧密联系的数据安全管理机制，并根据海南自身特色，以主要国际贸易伙伴以及游客来源国等国家和地区为主，优先探索代表性的旅游、跨境贸易等领域的数据跨境流动。

1.3 文件的主要目标

《通知》和《方案》均体现出促进数据跨境流动对构建我国整体数字营商环境便利化、提升我国数字经济发展水平具有重要作用，我国政府相关部门应当为数据跨境流动创建良好的外部环境，但同时更要注重数据跨境流动过程中的安全监管和安全评估工作，以确保促进数据跨境安全、自由流动。在试点领域方面，《通知》和《方案》规定不同，《通知》选取了包括集成电路、人工智能、工业互联网、生物医药、总部经济等在内的多个区域积极探索开展数据跨境流动安全评估，而《方案》中在海南选取多语种翻译、数字内容等领域开展国际大数据服务，同时以全球主要贸易伙伴以及游客来源国等国家和地区为主率先研究完善旅游以及跨境贸易等重要领域的数据跨境流动。在安全监管方面，《通知》支持试点开展安全评估工作，并建立相应的数据安全管理机制；《方案》也明确要在海南通过先行先试，研究制定数据跨境流动的安全管理机制。在对外合作方面，《通知》和《方案》都注重通过对外交流合作来提升我国在数据领域的参与程度，《通知》鼓励试点地区参与数字规则的国际合作以加大数据保护力度，《方案》则主张建立区域性跨境数据流动规则和白名单机制，建立我国的数据跨境流动合作“朋友圈”。

从《通知》和《方案》的整体工作来看，完善数据跨境流动安全监管（安全评估）机制、探索建立数据跨境流动区域性规则和白名单机制将是我国未来在数据跨境流动领域的重点工作。

2 重点问题分析

数据跨境流动安全评估、区域性规则建立、白名单机制等重点问题分别在我国立法和国际制度中有规定，为我国试点地区和海南自贸港制度的建立提供了法律基础和经验借鉴。

2.1 数据跨境流动安全评估

数据跨境流动安全评估制度是《中华人民共和国网络安全法》中规定的数据出境监管制度，2021年出台的《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》在此基础上进一步进行了补充和完善。第三十七条规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”该条明确我国数据出境以“本地化存储+出境安全评估”为原则的管理制度，需要出境的关键信息基础设施运营者的个人信息和重要数据应当按照相关规定进行安全评估之后才能出境，这种安全评估的举措属于一事一议的事前审批方式。除此之外，《中华人民共和国个人信息保护法》还规定处理个人信息达到一定数量的个人信息处理者，如果跨境传输个人信息，那么也应当经过网信部门组织的安全评估[1]。

2019年6月13日发布的《个人信息出境安全评估办法（征求意见稿）》细化了该项制度，通过审查出境合同实现数据出境活动中的个人信息保护，也属于对每一次个人信息出境活动所涉及的合同文本进行个案评估，需要进行安全评估的范围为“网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息”的，安全评估的审查机构为网络运营者所在地的省级网信部门。

当前，我国的数据出境安全评估制度还存在以下问题：一是《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》中仅明确了“关键信息基础设施运营者”的“个人信息和重要数据”、处理个人信息达到一定数量的个人信息处理者的个人信息应当通过安全评估进行出境，但是对于其他网络运营者的数据应当怎么监管才能确保整体数据安全有待明确，如非关键信息基础设施运营者的重要数据如果需要出境，《中华人民共和国数据安全法》规定还有待网信部门制定相关管理办法，但当前尚未出台相关办法；二是安全评估制度的具体规定没有出台，安全评估制度无法实质性落地，数据出境存在困境；三是在监管数据是否出境方面缺少技术监管手段和实质性执法，目前存在数据不受监管出境的情形。

2.2 数据跨境流动区域性规则

世界各国在推动经济增长、促进产业升级等方面对数据资源的依赖程度也越来越大，数据跨境流动已成为各国制定政策的关注重点，也成为主要国际机制和诸多双多边谈判的主要议题和关键议题。当前，美国在世界数据跨境流动区域性规则的制定中占据了主导地位，在多个区域性规则中倡导数据自由流动。比较重要的区域性规则包括：

（1）《跨太平洋伙伴关系协定》（TPP）。2011年TPP第七轮谈判时，美国将强制性的跨境数据流动规则列入草案文本中。TPP强制要求各方允许跨境数据流动，禁止数据本地化，仅允许为实现公共政策目标而采取或维持本地化措施。2017年1月，因为特朗普反对自由贸易，迁回域外工厂、增加底层就业机会，选择退出TPP。美国退出后，2017年11月，TPP被全面与进步跨太平洋伙伴关系协定（CPTPP）所替代。2018年12月CPTPP正式生效，明确了“通过电子方式跨境转移信息”的要求，禁止缔约方采取计算机设备本地化措施。

（2）《跨境隐私规则》（CBPR）。2011年，美国主导建立的APEC《跨境隐私规则》（CBPR）是当前多边监管合作中较为成熟的机制，通过认证的企业间跨境数据流动不受阻碍。加入CBPR的评估标准包括：国内隐私法、隐私保护执法机构、信任标志提供商、隐私法与APEC隐私框架的一致性等。目前参与CBPR机制的国家或地区共有八个，包括了美国、墨西哥、日本、加拿大、新加坡、韩国、澳大利亚和中国台湾，由于中国没有隐私保护法而被认为不具备加入CBPRs的条件。

（3）《北美自由贸易协定》（NAFTA）。2018年11月，美国、墨西哥和加拿大三国在原来的《北美自由贸易协定》基础上进行了完善和升级，签署了新的《美墨加协定》（USMCA），其中包含了高水平的跨境数据流动条款，要求确保跨境数据自由流动，尽量取消对于数据加工和存储地点的要求。

当前，我国还没有与任何国家和地区在数据跨境流动方面达成相关的区域性规则。

2.3 白名单机制

白名单机制是指对于其他国家的数据保护机制进行审查认证，决定本国数据是否可以流转到该国，将满足本国要求的国家列入白名单，允许今后数据自由传输到该国。欧盟是典型的设立白名单机制的地区。《通用数据保护条例》GDPR实施以后，欧盟通过“充分性保护”认定机制与多个国家建立了跨境数据流动合作机制[2]，按照GDPR的规定，欧盟委员会在审核其他国家、地区、国际组织是否可以加入根据“充分性保护”建立的白名单时应当考虑以下因素：一是一个国家或地区的相关法律环境，对于人权、基本自由等的尊重程度，包括在有关公共安全、防卫、国家安全和刑事法律制度在内的政策中规定的公共机构对个人数据的访问权及相关立法的实施，个人数据保护的相关规定，职业准则和安全措施等；二是其他国家、地区或国际组织是否设立了一个或多个独立、有效运行的监管机构，目的在于全面负责确保数据保护规则的执行和遵守，包括是否具有足够的执法权，以帮助和指导个人数据主体行使相关的权利，也包括是否能够与成员国中的其他监管机构开展广泛的合作；三是第三国、地区以及相关国际组织是否以及缔结了相关的国际协定，或者是否会遵守其他具有约束力的公约、文件所规定的义务等。

目前欧洲委员会确认的“充分性”认定国家（白名单国家）共有13个，包括安道尔、阿根廷、加拿大（商业组织）、法罗群岛、根西岛、以色列、马恩岛、泽西岛、新西兰、瑞士、乌拉圭和美国（仅限于隐私盾框架，已被废除[3]）以及日本。随着GDPR的实施，越来越多的国家通过制定或修订个人数据保护法，对接欧盟规则，试图与欧盟开展充分性认定谈判，以进入欧盟市场。目前，韩国正在与欧盟进行谈判，希望通过修订立法，赋予机构更多的独立性和执法权，以满足欧盟的要求。印度、智利以及巴西等国家也正在制定或修改本国法律，以期加入与欧盟的数据保护“充分性”认定谈判。目前，我国因自身特点，未通过“充分性保护”认定机制，在国内也尚未建立类似白名单机制的数据跨境流动合作制度。

3 意见与建议

从《通知》和《方案》两个文件可以看出，在数据跨境流动方面，我国聚焦于国内国际两个方面在试点区域和海南自贸港开展相关工作，国内主要是落实数据跨境安全评估制度，确保通过安全监管实现数据安全、有序流动；在国际合作方面，主要通过探索制定区域性规则、建立白名单机制的方式来拓展我国的数据跨境流动圈。

3.1 数据跨境安全评估

数据跨境流动安全评估工作应当从制度和实践两方面推进。一方面，落实我国《中华人民共和国网络安全法》第三十七条的精神，加快构建完善我国数据跨境流动的安全评估制度。加快制定出台个人信息和重要数据出境安全评估办法，明确安全评估的具体手段、具体要求和具体程序，为数据合法合规出境建立可行性机制。另一方面，《通知》和《方案》中试点地区和海南自贸港的数据跨境安全评估手段可以以《通知》中的几项具体手段为参考，例如，鼓励第三方机构建立对数据保护水平和能力的认证；要求跨境传输数据的企业做好数据跨境的相关备份，监管机构可以进行不定期日常检查；鼓励企业跨境传输数据时开展第三方评估和自评估，监管机构可以将此作为安全评估的参考。

3.2 积极参与和制定数据跨境流动区域性规则

区域性的“数据跨境流动圈”是目前全球数据跨境流动的主要趋势，而且主要国家和地区一般会考虑和自己经贸往来比较频繁、或者与本国在价值理念方面比较一致的国家和地区建立跨境数据流动机制。我国在该领域还有待突破，可以参考欧美国家和地区的成熟经验，一方面，应充分发挥现有多边机制作用，在传统贸易伙伴基础上，扩大数据领域合作，依托“一带一路”倡议、区域全面经济伙伴关系协定等机制，提出中国方案，推动将跨境数据流动议题纳入其中，推进构建以我国为主导的区域性数据跨境流动规则。另一方面，可以充分利用当前美欧“隐私盾协议”被判无效，数据跨境流动机制产生分歧的有利时机和有利机会，争取把握住欧盟的动向，积极主动与欧盟及其成员国家沟通数据跨境流动的多双边规则[4]。

3.3 建立我国数据跨境流动“白名单”

数据跨境流动“白名单”主要包括建立国家白名单和建立可以自由流动的数据白名单方式。一方面，建立国家“白名单机制”，既要明确我国对于数据跨境流动的具体要求和前提基础，也可以参考欧盟的“充分性保护”模式，对数据保护水平较高、与我国商贸往来比较频繁、企业开展业务潜在需求较大的国家和地区可以积极开展谈判，签署数据跨境流动的协议，允许试点地区、自贸港内企业将数据跨境传输到这些国家和地区。另一方面，建立数据“白名单机制”，采取事后监督管理办法，将个人属性较低及非敏感的工业设备运行数据、纯属个人意愿产生的国际漫游数据等纳入白名单中，允许这些数据跨境传输时不进行安全评估，仅做备案即可。

4 结 语

整体来看，我国的数据跨境流动管理制度虽然进展较慢，但在近两年数字经济全球化以及国际形势不断动荡的大背景下，我国有关部门已经意识到构建完善的数据跨境流动顶层制度、推进数据跨境流动的开展已经成为关系我国数字经济发展、影响我国国际经贸合作的关键问题[5]。针对我国构建的以安全评估为核心的管理制度，我国下一步可以借鉴成熟国际经验，同时立足我国实际情况，进一步推进试点示范工作的进行，同时不断完善和细化我国相关制度，为我国跨境数据流动相关工作的开展构建合理、合法的可行路径。