刘金瑞 | 促进和管控数据跨境流动的中国探索

数据跨境流动，一般是指位于不同国家或地区的服务器之间的数据传输。目前来看数据跨境流动治理尚未单独作为一个全球议题，对其讨论往往从属于数字贸易谈判。但我国很早就认识到仅从贸易角度探讨数据跨境流动的局限性，2019年在WTO电子商务诸边谈判最初提案中也强调，应该将电子商务界定为通过互联网进行的跨境货物贸易以及相关支付和物流等服务，数据跨境流动等问题具有复杂性和敏感性，应该进行更多的探讨。

基于这种深刻把握，近年来我国提出了“数据跨境安全流动”的新理念新范式，发起了《全球数据安全倡议》，并就构建数据出境监管制度进行了积极探索。2017年之前，对金融、征信、人口健康、互联网地图、网约车等特定领域的数据出境，通过行政法规、部门规章和规范性文件等进行了规范。2017年之后，先后颁行《网络安全法》《数据安全法》《个人信息保护法》，建立起全面的数据出境管理制度。

一、数据跨境安全流动的理念 

在《网络安全法》“网络信息依法有序自由流动”的基础上，《数据安全法》确立了“数据跨境安全流动”的价值理念和基本原则，可以结合其与《个人信息保护法》《全球数据安全倡议》的相关表述，从保护与利用并重、统筹国内与国际两个方面来理解。 

（一）有效保护与合法利用并重 

《数据安全法》第11条明确规定国家“促进数据跨境安全、自由流动”，这里的“自由”应该连同第7条“数据依法有序自由流动”一并理解。此时“依法有序”是核心，“自由”只是延续《网络安全法》类似表述，用来描述数据“流动”状态，彰显“促进数据开发利用”的立法价值，实际并没有多少规制层面的意义。因此，对于数据跨境流动而言，我国的核心规制理念是确保数据“安全流动”。

对于数据安全，《数据安全法》第3条将之定义为“通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力”。从表述上看，强调确保数据“有效保护”和“合法利用”并重。笔者认为，这里的“有效保护”和“合法利用”可以分别对应数据的“自身安全”和“利用安全”，数据自身安全就是传统数据安全概念所强调的数据自身的完整性、保密性、可用性，而数据利用安全是强调防范数据大规模聚合和分析引发的安全风险。这实际上是顺应了数字经济时代数据大规模流动和利用的现实需求，极大扩展了“数据安全”的内涵。

基于这种新理念，《数据安全法》构建了数据自身安全与利用安全并重的新范式，其在“促进数据开发利用”的同时，对数据利用安全作了原则性规范，强调“应当有利于促进经济社会发展，增进人民福祉，符合社会公德和伦理”，“不得危害国家安全、公共利益，不得损害个人、组织的合法权益”。确保数据跨境安全流动，就是既要确保流动数据的自身安全，也要确保数据跨境符合这种利用安全的要求。《全球数据安全倡议》就明确提出，各国不得利用数据从事危害他国国家安全和社会公共利益的行为。 

（二）统筹国内法治与涉外法治 

数据跨境流动属于关系国家数据安全的全球性议题，参与相关国际规则的制定必须坚持总体国家安全观，统筹推进国内法治和涉外法治。我国发起《全球数据安全倡议》，就是贯彻总体国家安全观，“打造命运共同体，推动各方朝着互利互惠、共同安全的目标相向而行”，推动形成国际共识的具体举措，其中涉及数据跨境安全流动的主张包括：

第一，维护国家安全。应以事实为依据全面客观看待数据安全问题，反对利用信息技术破坏他国关键基础设施或窃取重要数据，以及利用其从事危害他国国家安全和社会公共利益的行为。

第二，保护个人信息。采取措施防范、制止利用网络侵害个人信息的行为，反对滥用信息技术从事针对他国的大规模监控、非法采集他国公民个人信息。

第三，数据本地化存储。应要求企业严格遵守所在国法律，不得要求本国企业将境外产生、获取的数据存储在境内。

第四，司法跨境调取数据。应尊重他国主权、司法管辖权和对数据的安全管理权，未经他国法律允许不得直接向企业或个人调取位于他国的数据；如因打击犯罪等执法需要跨境调取数据，应通过司法协助渠道或其他相关多双边协议解决；国家间缔结跨境调取数据双边协议，不得侵犯第三国司法主权和数据安全。 

二、双轨多层规制的制度构造 

综合《网络安全法》《数据安全法》《个人信息保护法》规定来看，我国从数据跨境流动的不同关切入手，以“重要数据”和“个人信息”为抓手建立了两种独立的数据出境规制制度：一是为了维护国家安全的重要数据出境安全管理制度，主要规定在《数据安全法》和《网络安全法》；二是为了维护个人权益的个人信息跨境提供制度，主要规定在《个人信息保护法》。这两种制度在监管目标、适用范围、规制手段上均存在显著区别，形成了“双轨并行”的模式。在这两种制度之中，又区分了关键信息基础设施运营者、重要数据处理者、处理个人信息达到规定数量的处理者等不同主体，还规定了司法执法跨境调取等不同场景规则，呈现出“多层规制”的特征。主要制度简要梳理如下： 

（一）维护国家安全的重要数据出境管理制度 

为了切实维护网络空间主权和国家安全，《网络安全法》借鉴域外经验，设立了关键信息基础设施保护制度，第37条就关键信息基础设施的重要数据出境管理作了专门规定：关键信息基础设施的运营者在我国境内运营中收集和产生的个人信息和重要数据应当在境内存储；因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

考虑到重要数据出境不仅限于关键信息基础设施，《数据安全法》根据实践发展和数据安全管理工作的需要，将重要数据出境管理的适用范围扩大到所有的重要数据处理者。第31条明确规定：关键信息基础设施的运营者在我国境内运营中收集和产生的重要数据的出境安全管理，适用《网络安全法》的规定；其他数据处理者在我国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。此外，还与《出口管制法》相衔接，在第25条规定了数据出口管制制度，“国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制”。

对于重要数据出境管理制度，《网络安全法》《数据安全法》只是明确了基本框架，具体制度设计有待配套规定予以明确。对于核心抓手“重要数据”，国家网信办2021年11月发布的《网络数据安全管理条例（征求意见稿）》（以下简称“《条例征求意见稿》”）第73条界定了其内涵和外延，规定“重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据”，并列举了可能涉及的七大类数据，但表述非常宽泛，缺乏操作性。国家网信办2021年10月发布的《数据出境安全评估办法（征求意见稿）》提出了重要数据出境安全评估细则，其中评估事项包括：数据出境的目的、范围、方式的合法性、正当性、必要性，出境数据的数量、范围、种类、敏感程度，数据出境可能对国家安全、公共利益等带来的风险，数据出境和再转移后泄露、毁损、篡改、滥用的风险等。 

（二）保护个人权益的个人信息跨境提供制度 

为保护个人信息权益，适应个人信息跨境流动日益频繁的现实需要，《个人信息保护法》第3章专章规定了个人信息跨境提供制度，主要包括：一是明确个人信息跨境提供的合法途径，包括特定情形通过国家网信部门组织的安全评估，经专业机构进行个人信息保护认证，与境外接收方订立标准合同，满足法律、行政法规或者国家网信部门规定的其他条件，以及按照我国缔结或参加的国际条约、协定的有关规定。二是要求个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。三是对跨境提供个人信息的“告知——同意”作出更严格的规定，要求应当取得个人的单独同意。

《个人信息保护法》第40条规定，关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在我国境内收集和产生的个人信息存储在境内，确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。该规定的原因在于，关键信息基础设施涉及的个人信息和数量巨大的个人信息集合，都可能影响国家安全，那么其出境也如同重要数据一样应该通过国家网信部门组织的安全评估。

对于个人信息跨境提供制度，《个人信息保护法》确立的制度框架仍需要配套规定予以细化。除了前述《数据出境安全评估办法（征求意见稿）》对第40条“安全评估”作出规定外，经专业机构认证、订立标准合同等个人信息跨境合法途径的细则有待出台。

（三）尊重主权管辖的司法跨境调取数据制度 

关于司法执法跨境调取数据，我国历来主张应以尊重各国主权管辖为原则，《全球数据安全倡议》重申了这一主张。《数据安全法》第36条和《个人信息保护法》第41条都贯彻了该原则，延续了2018年《国际刑事司法协助法》的跨境司法协助模式，表述也基本一致，具体而言：我国主管机关根据有关法律和我国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据/存储于境内个人信息的请求，非经我国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于我国境内的数据/个人信息。《数据安全法》第48条还对此专门规定了较重的罚则，以“为有关组织、个人拒绝外国不合理要求提供更为充分的法律依据”。

此外，“斯诺登事件”之后，滥用公权力获取私主体数据成为各国关注的焦点。为打消其他国家对我国司法跨境调取数据的顾虑，《数据安全法》第35条还规范了我国司法执法机关调取数据的行为，明确公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据，应当按照国家有关规定，经过严格的批准手续，依法进行。

三、要继续深化中国探索 

总结来看，就数据跨境流动，我国坚持“安全流动”的理念，构建了“重要数据”和“个人信息”出境规制“双轨并行”分层次的制度框架。我国个人信息跨境提供规则，借鉴了域外立法经验，在强化个人权益保护的同时，为个人信息跨境流动提供了多种合法途径，有利于推动我国与其他经济体接轨，促进我国数字经济发展。我国关于重要数据出境管理的探索，从世界范围来看极大发展了基于国家安全关切规制数据跨境流动的法治架构，为全球应对数据跨境流动国家安全挑战提供了新的制度选项。

但需要指出的是，目前我国法律层面仅规定了“双轨”管控的制度框架，配套制度远未健全，重要数据范围、出境安全评估等核心规则仍不明确，不仅影响了我国数据流和贸易流，还极易导致我国被误解和指责以“安全”为由阻碍数据流动和制造贸易壁垒。从全球化视野看，我国目前的制度设计多聚焦“数据外流”，避免数据被不当获取，规制手段多为事前监管，并没有同步考虑这些规制措施对“数据内流”的影响，基本还是一种防御主义。长远看，这不仅无法满足我国数字经济发展的实践需要，也无法适应我国在这一轮数字经济全球化中的全面布局，我国数据跨境流动制度仍有较大完善空间。

限于篇幅，省去引注，本文主要内容将发表于《行政法学研究》2022年第4期