中国是数据跨境流动管控最严的国家吗？

       近年来，针对我国的数据跨境流动管理制度，国外部分研究机构时常作出一些较为片面的评价。尤其是在OECD、Salesforce、世界经济论坛等机构发布的有关数据跨境流动管理的报告中，但凡提到我国，其评价一般都是负面和消极的。例如OECD2020年12月发布的《数据本地化趋势和挑战》报告，指出中国在《网络安全法》第三十七条中实施的是数据本地化，其根本目的是防止互联网成为威胁意识形态安全的工具，认为这项政策不仅威胁到人权，而且也导致网络安全价值得不到保障。再如，2019年7月，Salesforce在比较了G20经济体在跨境数据流动方面的流动性后，发布了“Data Beyond Border”报告。该报告中对20个国家进行了评分和排名，总分为48分，我国只得到10分，与印度尼西亚、俄罗斯同被归类为最低等级。

       纵观我国的数据跨境流动监管制度，无论是在整体思路、具体目标还是在管理方式上，都与国际社会主要国家和地区的监管趋势具有一致性。那么，我国的数据跨境流动监管制度究竟是怎么样的？导致一些国家或组织对我国制度做出诟病的原因究竟是什么？以及我们后续应该如何进一步完善相关制度？本文拟对上述问题做出全面分析和探讨。

       一、我国的制度是什么？

       目前，我国数据跨境流动管理体系已经初步构建，形成了以《网络安全法》《数据安全法》《个人信息保护法》为顶层设计的管理制度，同时，金融、征信、地图等重点领域也明确了本行业本领域重点数据跨境流动的管理要求。

       第一，《网络安全法》明确了关键信息基础设施的个人信息和重要数据的跨境流动管理要求。第37条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据在跨境流动方面的两方面要求，法律、行政法规另有规定的，依照其规定。一方面，这类数据原则上应当在境内存储；另一方面，这类数据只有在满足三个条件的情况下才能够对外传输，主要包括因业务需要、确需向境外提供的、按照国家网信部门会同国务院有关部门制定的办法进行安全评估。《网络安全法》的第三十七条的要求构成了我国数据跨境流动管理的法律基础，后续出台的《数据安全法》《个人信息保护法》的相关规定均是以此条为前提的。但《网络安全法》中并没有明确什么是“重要数据”。

       第二，《数据安全法》明确了重要数据的跨境流动管理要求。根据《数据安全法》第31条的规定，一方面，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《网络安全法》第三十七条的规定；另一方面，其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。针对其他数据处理者的重要数据的出境管理，我国相关文件中基本已经有了初步的方向，如2021年10月，国家互联网信息办公室公布的《数据出境安全评估办法（征求意见稿）》第四条明确出境数据中只要包含重要数据的，都要申报安全评估；2021年11月，国家互联网信息办公室公布的《网络数据安全管理条例（征求意见稿）》第三十七条也明确了同样的管理要求。因此，根据以上规定，所有重要数据的出境均依照《网络安全法》第三十七条进行管理。

       第三，《个人信息保护法》明确了个人信息的跨境流动管理要求。首先，《个人信息保护法》针对所有个人信息的出境进行管理，第三十八条明确个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备相关条件。其次，《个人信息保护法》扩展了个人信息出境的方式，除安全评估外，个人信息处理者还可以通过三种方式跨境传输个人信息，即按照国家网信部门的规定经专业机构进行个人信息保护认证、按照国家网信部门制定的标准合同与境外接收方订立合同、按照法律行政法规或者国家网信部门规定的其他条件。其中，需要通过安全评估跨境传输个人信息的，主要涉及关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，《网络数据安全管理条例（征求意见稿）》中将这一数量设置成“处理一百万人以上个人信息”，《数据出境安全评估办法（征求意见稿）》中将这一数量设置成“处理个人信息达到一百万人的个人信息处理者”以及“累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息”。

       第四，部分特定行业的管理规定明确了重点类型数据的出境要求。2012年通过的《征信业管理条例》要求对征信信息的整理、保存和加工应当在中国境内进行；2014年国家卫生计生委发布的《人口健康信息管理办法（试行）》第十条设置了绝对的数据本地化存储规则，明确不得将人口健康信息在境外的服务器中存储，不得托管、租赁在境外的服务器；2015年公布的《地图管理条例》规定了设施本地化的要求，但并没有禁止地图数据流出，规定互联网地图服务单位应当将存放地图数据的服务器设在中华人民共和国境内，并制定互联网地图数据安全管理制度和保障措施。2016年公布的《网络预约出租汽车经营服务管理暂行办法》规定网约车平台公司所采集的个人信息和生成的业务数据，应当在中国内地存储和使用。

       同时，我国跨境数据流动的管理要求在落地实施方面不断加快步伐，构建了可行路径。如《网络数据安全管理条例（征求意见稿）》《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》等文件中提出了明确重要数据的具体办法，有望进一步指导企业明确重要数据的类型，《数据出境安全评估办法（征求意见稿）》中进一步明确了安全评估的具体要求、条件、程序。同时，网信办等相关部门也在加紧制定标准合同模板，有助于指导企业通过各种方式跨境传输数据。

       二、我国的制度与其他国家具有本质差别吗？

       从整体思路、具体目标、管理手段等方面来看，我国的数据跨境流动管理制度与全球主要国家和地区呈现出较为一致性的目标和管理趋势。

       （一）在整体思路上，我国与其他国家一样，均希望确保数据能够在安全前提下实现有序、自由流动。

       近年来，我国与美国、日本、英国、法国、德国、新加坡等世界主要国家构建数据跨境流动规则体系，体现出我国在对待数据跨境流动方面与其他国家和地区具有目标一致性。签署“大阪数字经济宣言”。2019年6月，在G20峰会上，中国与美国、日本等国家一起共同签署了“大阪数字经济宣言”，宣言提出建立允许数据跨境自由流动的“数据流通圈”，强调数字化能够鼓励创新与经济增长，拥有解决国际社会课题的可能性。习近平主席在会上指出，作为数字经济大国，中国愿积极参与国际合作，保持市场开放，实现互利共赢。签署《区域全面经济伙伴关系协定》（RCEP）。2020年11月，中国和东盟10国、日本、韩国、澳大利亚、新西兰共15个亚太国家正式签署了RCEP，其中针对数据跨境流动达成了一致性协议，为促进区域内数据跨境奠定了良好基础。

       （二）在具体目标上，我国数据跨境流动管理制度在于实现个人数据保护、国家安全、社会公共利益等合法合理目标，与国际关注重点一致。

       首先，对个人信息的跨境数据流动进行管理是出于保护个人数据、个人隐私和维护国家安全利益的需要。个人信息不仅蕴含了大量涉及个人身份、行为、特征、喜好、习惯的多种数据，涉及到个人的人格、尊严、自由和隐私利益，而且违规收集、滥用个人信息也会导致危害交易安全，扰乱市场竞争，破坏网络空间秩序、危害国家安全等风险。当前，个人信息的跨境流动日益频繁，但由于不同国家或地区针对个人信息保护的法律制度、保护水平和力度存在差异，个人信息跨境风险问题更加复杂，如全球个人数据泄露事件频繁发生，2020年涉及个人信息的有68起，累计超过48亿人次的姓名、联系方式等身份标识信息被普遍泄露。针对个人信息的出境进行数据跨境流动管理，致力于在保护个人信息安全的同时，建立科学合理的跨境规制体系，即是适应国际经贸往来、促进数字经济发展的现实需要，又是维护广大人民切身利益、公共利益、国家安全的必然要求。

       其次，对重要数据的出境进行管理是维护公共利益、保障国家安全的必然需要。我国2021年9月1日生效的《数据安全法》中，对数据分类分级作出了专门规定，提出：“国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。”2021年8月国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合颁布的《汽车数据安全管理若干规定（试行）》，也明确规定：“重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益或者个人、组织合法权益的数据”，并在汽车领域对重要数据进行了列举。由工信部发布并于2021年7月生效的《基础电信企业重要数据识别指南》，也将重要数据界定为“企业在运营中收集、产生、控制的不涉及国家秘密，但与国家安全、经济发展、社会稳定，以及公共利益密切相关的数据，特别是与国家基础通信网络安全密切相关的数据”。由此可见，重要数据是始终站在数据背后的重要价值保护之上的概念，不是涉及单个个人、某个企业的数据类型，其重要性针对的是整体层面的利益保护，即保护国家安全、国计民生、公共利益。通过数据跨境流动维护重要数据的安全，是保障一国经济、社会、公共利益的必然需要。

       最后，我国的数据跨境流动管理制度与欧盟、美国、智利、新加坡、新西兰等全球主要国家和地区的管理思路具有一致性，是符合国际趋势的表现。当前，各国普遍将数据作为国家战略性资源进行对待，如美国2012年3月推出“大数据研究和发展倡议”，其中明确应当通过对数据的治理和使用，加快科学、工程领域的创新步伐，强化美国国土安全；欧盟在2020年发布的《数据战略》中也明确提出要通过保护欧盟公民数据、吸引其他国家数据流入来实现欧盟的数据主权和技术主权。出于数据的重要性，主要国家和地区也实施了对数据跨境流动的管理，其中涉及到的也主要是个人数据和重要数据类型。一方面，个人信息是新加坡、智利、新西兰进行跨境管理的主要数据类型，主要目的在于保护个人隐私，同时也是包括欧美在内的其他国家和地区所关注的数据跨境流动管理对象。欧盟对个人数据保护进行严格规定的《通用数据保护条例》在2018年5月生效之后，包括数据跨境流动在内的各项规则均成为全球个人数据保护的标杆，被誉为全球最严个人数据保护立法，对于没有达到个人数据的跨境流动管理要求的，欧盟公民的个人数据是不能流出到欧盟以外的国家的。另一方面，重要数据类型虽然在各个国家的关注重点不一致，但从国际趋势来看，主要国家和地区均根据自己的需要设置了重要数据本地化的要求，如美国对于国防数据、金融数据、敏感个人数据的出境设置了限制，微软宣布了一项名为“微软云的欧盟数据边界”的新举措，旨在使欧盟客户在2022年前将其所有数据存储在该地区，也反映出欧盟立法对于数据保护的严格管理已经使得数据呈现本地化的趋势，智利关于银行的“重要”或“战略性”外包数据设置了本地化的要求，新西兰关于国税数据设置了本地化要求等等。对个人信息和重要数据的出境管理体现了不同国家不同政策目标的考量。从国际趋势来看，我国的政策似乎比一些国家的规定要宽松，考虑到需要评估的数据类型的敏感性和重要性，很多国家针对这些类型的数据直接设置了数据本地化的要求，绝对禁止流到境外，而我国并没有做出这样的规定，而是采取了具体情况具体分析的方式，允许这类数据可以进行安全评估，通过安全评估决定是否可以出境。

       （三）在管理方式上，我国数据跨境流动管理的方式、关注重点也是国际普遍趋势。

       我国三部立法针对数据跨境流动设置的安全评估、保护认证、标准合同三种管理方式具有合理性和必要性，不同管理方式混合适用可以满足不同管理需求，符合业务中的相关需要，有利于实现数据跨境安全、自由流动。

       首先，安全评估的适用具有合理性。虽然安全评估的要求相对较为严格，需要由网信部门会同其他行业主管部门进行，但安全评估的范围和要求也是有限的，第一，安全评估并不针对所有数据。根据《网络安全法》《数据安全法》《个人信息保护法》《数据出境安全评估办法（征求意见稿）》等的规定，只涉及到以下具体的重点数据类型：（一）关键信息基础设施的运营者收集和产生的个人信息和重要数据；（二）出境数据中包含重要数据；（三）处理个人信息达到一百万人的个人信息处理者向境外提供个人信息；（四）累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息。第二，安全评估并非进行一事一议。根据《数据出境安全评估办法（征求意见稿）》的规定，安全评估并非实时的一事一议行为，数据出境评估结果的有效期为二年，在有效期内只有出现以下情形的，数据处理者才应当重新申报评估：（一）向境外提供数据的目的、方式、范围、类型和境外接收方处理数据的用途、方式发生变化，或者延长个人信息和重要数据境外保存期限的；（二）境外接收方所在国家或者地区法律环境发生变化，数据处理者或者境外接收方实际控制权发生变化，数据处理者与境外接收方合同变更等可能影响出境数据安全的；（三）出现影响出境数据安全的其他情形。第三，安全评估并不会绝对造成数据不能流动的结果。由于安全评估涉及到的数据根据相关法律的规定，安全评估可能导致两种结果，一种是数据过于敏感，可能会被禁止出境（很多国家的规定也是这样的，与国际趋势相符）；另一种是数据出境的风险不大，或已经能够通过安全保障措施解决风险，可以允许数据出境，当前，实践中已经存在重要企业通过安全评估进行数据跨境流动的实践案例。

       其次，安全评估具有必要性。当前，全球各个国家和地区之间的数据保护水平和管理制度具有非常大的差异性，主要国家和地区出于保护个人隐私、公共利益等合法公共政策目标的考虑，在开展数据跨境流动过程中也非常关注数据流入国的数据保护情况，如欧盟GDPR中明确规定在涉及数据跨境流动“充分性保护认定”中应重点评估数据流入国的数据保护法律规则、数据保护的监管水平等情况，同时数据流出方的企业也应当对数据接收方的数据安全保障措施、数据接收方所在国的数据保护水平进行评估和担保；日本《个人信息保护法》、新加坡《个人信息保护法》等立法中规定的“充分性保护”认定中关注的主要因素与此都有共通之处。我国安全评估内容与国际主要国家和地区针对数据跨境流动涉及的关注重点具有一致性。从我国立法来看，重点评估的事项涉及以下内容：数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；出境数据的数量、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险；境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；数据出境和再转移后泄露、毁损、篡改、滥用等的风险，个人维护个人信息权益的渠道是否通畅等；与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。这些内容均是数据跨境流动过程中为了确保数据安全应当重点关注的，同时也是为了实现保障数据出境安全性的重要目标，维护数据所涉及的个人利益、公共利益，对数据出境进行重要事项评估也是管理过程中应当关注的重点内容。

       再次，保护认证、标准合同等方式也是重要的出境路径。除了《网络安全法》《数据安全法》《个人信息保护法》《数据出境安全评估办法（征求意见稿）》等规定中明确的，需要进行安全评估的数据类型外，其他的个人信息、非重要数据均是可以通过专业机构的个人信息保护认证、国家网信部门制定的标准合同方式进行出境。三种方式并行的管理路径有助于加强对重点类型数据出境的严格管理，同时也能够在尽力保障安全的前提下便利其他类型数据的出境。在欧盟GDPR中，对于不满足“充分性保护认定”的国家，这两种方式也是实现数据出境过程中适当保障措施的重要举措。

       最后，所有数据跨境流动路径均可落地实施。当前我国跨境数据流动的管理要求在落地实施方面也不断加快步伐，有利于进一步完善管理制度，构建数据出境可行路径。如《网络数据安全管理条例（征求意见稿）》《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》等文件中提出了明确重要数据的具体办法，有望进一步指导企业明确重要数据的类型，《数据出境安全评估办法（征求意见稿）》中进一步明确了安全评估的具体要求、条件、程序，同时，网信办等相关部门也在加紧制定标准合同模板，有助于指导企业通过各种方式跨境传输数据。

       三、我国制度与其他国家的具体差异在哪里？

       我国数据跨境流动管理的整体思路和管理方式符合现实需求和国际趋势，那么，为什么我国的数据跨境流动管理制度会受到诟病？

       第一，需要“境内存储”的数据范围较多。一方面，当前，国际社会对于数据本地化的反对呼声较高，而我国《网络安全法》中恰恰使用了“境内存储”的说法，而且被后续的《数据安全法》第31条、《个人信息保护法》第40条所延续，而且涉及范围包括关键信息基础设施运营者的重要数据，以及处理个人信息超过一定数量的个人信息处理者，无疑会引起国际社会一些国家或组织的不认同。但其实，我国《网络安全法》规定的第37条并非绝对的数据本地化，而更趋向于一种数据本地备份的跨境管理方式，与数据跨境流动并不冲突。另一方面，我国数据跨境流动的主要管理手段为“安全评估”，其中的“安全”也会被其他方认为就是指的“国家安全”，但随着我国《数据安全法》《个人信息保护法》及其他相关立法的出台，我们可以看出，此处的“安全”并非仅指国家安全，还包含个人数据的安全、社会公共利益的安全等多个方面。

       第二，管理手段含义可能产生歧义。“安全评估”作为数据出境的重要管理手段可能会被误认为是“一事一议”的管理方式，即只要数据出境一次，企业就要进行一次安全评估。如果事实如此，那么企业数据出境的效率将会大大降低，业务开展也将受到较大影响。但其实，我国的“安全评估”并不是一事一议，而是有时间限制和行为限制的。例如，《数据出境安全评估办法（征求意见稿）》规定的有效期限为二年。

       第三，管理对象的范围可能引发争议。我国数据跨境流动制度中，管理的最关键的一种数据类型为重要数据，但当前，我国没有统一确定哪些是重要数据，重要数据的范围是什么？这种情况可能会给企业带来一定程度的不确定性，而且如果“重要数据”范围过宽的话，企业开展业务的成本可能也会受到较大影响。

       第四，除安全评估外的其他出境路径尚不明确。专业机构认证、标准合同是实践中企业数据出境的重要方式，而且相对安全评估来说，较为便捷。但当前我国针对这两种方式的进展还不明显，因此，企业在实践中还不能实际采用。在这种不确定的情况下，企业可能就不敢把数据向境外传输。

       针对以上问题，可以做出以下判断：

       第一，评估《网络安全法》第37条在当前形势下的必要性，思考和评判是否要对《网络安全法》的说法进行改动。《网络安全法》自2016年出台至今已经施行五年多的时间，数据跨境流动的相关形势和我国思路也发生了一些变化，可以研究探讨是否需要进行适当修改。但由于后续很多立法都是依据《网络安全法》做出的，修改《网络安全法》的说法影响的范围会比较大，因此，该做法也应慎重。

       第二，进一步明确《网络安全法》《数据安全法》规制的数据范围。例如，加快出台重要数据判断标准和制定重要数据目录。国家数据安全工作协调机制可以尽快统筹协调确定重要数据目录的制定标准。各地区、各行业、各部门可以按照确定的标准，尽快确定本地区、本行业、本领域的重要数据具体目录。

       第三，考虑放宽需要“境内存储”的数据类型，并明确安全评估及其他管理措施的具体要求。首先，可以针对原则上需要境内存储的“超过网信部门规定数量”的范围进行进一步研究探索，决定是否可以适当放宽限制。其次，尽快制定出台安全评估、个人信息保护认证、标准合同等管理措施的具体实施办法，为跨境数据流动构建可行路径。最后，可以针对安全评估的具体适用，建议适当降低严格程度，如放宽安全评估的有效期限；在实践中注重简化安全评估的具体程序，减少安全评估的审核期，提高跨境贸易的效率。

       第四，丰富数据跨境流动的途径。寻找突破口，针对海南、深圳等自贸程度较高地区的部分数据适当放松管理，进行试点示范。针对数据保护水平整体较高的国家和地区，可以在实践中考虑设置“白名单”机制，尽量减轻部分数据传输到这些国家和地区的时间成本。