? ? ? ?近年來(lái)，針對(duì)我國(guó)的數(shù)據(jù)跨境流動(dòng)管理制度，國(guó)外部分研究機(jī)構(gòu)時(shí)常作出一些較為片面的評(píng)價(jià)。尤其是在OECD、Salesforce、世界經(jīng)濟(jì)論壇等機(jī)構(gòu)發(fā)布的有關(guān)數(shù)據(jù)跨境流動(dòng)管理的報(bào)告中，但凡提到我國(guó)，其評(píng)價(jià)一般都是負(fù)面和消極的。例如OECD2020年12月發(fā)布的《數(shù)據(jù)本地化趨勢(shì)和挑戰(zhàn)》報(bào)告，指出中國(guó)在《網(wǎng)絡(luò)安全法》第三十七條中實(shí)施的是數(shù)據(jù)本地化，其根本目的是防止互聯(lián)網(wǎng)成為威脅意識(shí)形態(tài)安全的工具，認(rèn)為這項(xiàng)政策不僅威脅到人權(quán)，而且也導(dǎo)致網(wǎng)絡(luò)安全價(jià)值得不到保障。再如，2019年7月，Salesforce在比較了G20經(jīng)濟(jì)體在跨境數(shù)據(jù)流動(dòng)方面的流動(dòng)性后，發(fā)布了“Data Beyond Border”報(bào)告。該報(bào)告中對(duì)20個(gè)國(guó)家進(jìn)行了評(píng)分和排名，總分為48分，我國(guó)只得到10分，與印度尼西亞、俄羅斯同被歸類為最低等級(jí)。

? ? ? ?縱觀我國(guó)的數(shù)據(jù)跨境流動(dòng)監(jiān)管制度，無(wú)論是在整體思路、具體目標(biāo)還是在管理方式上，都與國(guó)際社會(huì)主要國(guó)家和地區(qū)的監(jiān)管趨勢(shì)具有一致性。那么，我國(guó)的數(shù)據(jù)跨境流動(dòng)監(jiān)管制度究竟是怎么樣的？導(dǎo)致一些國(guó)家或組織對(duì)我國(guó)制度做出詬病的原因究竟是什么？以及我們后續(xù)應(yīng)該如何進(jìn)一步完善相關(guān)制度？本文擬對(duì)上述問(wèn)題做出全面分析和探討。

? ? ? ?一、我國(guó)的制度是什么？

? ? ? ?目前，我國(guó)數(shù)據(jù)跨境流動(dòng)管理體系已經(jīng)初步構(gòu)建，形成了以《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》為頂層設(shè)計(jì)的管理制度，同時(shí)，金融、征信、地圖等重點(diǎn)領(lǐng)域也明確了本行業(yè)本領(lǐng)域重點(diǎn)數(shù)據(jù)跨境流動(dòng)的管理要求。

? ? ? ?第一，《網(wǎng)絡(luò)安全法》明確了關(guān)鍵信息基礎(chǔ)設(shè)施的個(gè)人信息和重要數(shù)據(jù)的跨境流動(dòng)管理要求。第37條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)在跨境流動(dòng)方面的兩方面要求，法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。一方面，這類數(shù)據(jù)原則上應(yīng)當(dāng)在境內(nèi)存儲(chǔ)；另一方面，這類數(shù)據(jù)只有在滿足三個(gè)條件的情況下才能夠?qū)ν鈧鬏敚饕ㄒ驑I(yè)務(wù)需要、確需向境外提供的、按照國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定的辦法進(jìn)行安全評(píng)估。《網(wǎng)絡(luò)安全法》的第三十七條的要求構(gòu)成了我國(guó)數(shù)據(jù)跨境流動(dòng)管理的法律基礎(chǔ)，后續(xù)出臺(tái)的《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》的相關(guān)規(guī)定均是以此條為前提的。但《網(wǎng)絡(luò)安全法》中并沒(méi)有明確什么是“重要數(shù)據(jù)”。

? ? ? ?第二，《數(shù)據(jù)安全法》明確了重要數(shù)據(jù)的跨境流動(dòng)管理要求。根據(jù)《數(shù)據(jù)安全法》第31條的規(guī)定，一方面，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理，適用《網(wǎng)絡(luò)安全法》第三十七條的規(guī)定；另一方面，其他數(shù)據(jù)處理者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法，由國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定。針對(duì)其他數(shù)據(jù)處理者的重要數(shù)據(jù)的出境管理，我國(guó)相關(guān)文件中基本已經(jīng)有了初步的方向，如2021年10月，國(guó)家互聯(lián)網(wǎng)信息辦公室公布的《數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》第四條明確出境數(shù)據(jù)中只要包含重要數(shù)據(jù)的，都要申報(bào)安全評(píng)估；2021年11月，國(guó)家互聯(lián)網(wǎng)信息辦公室公布的《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》第三十七條也明確了同樣的管理要求。因此，根據(jù)以上規(guī)定，所有重要數(shù)據(jù)的出境均依照《網(wǎng)絡(luò)安全法》第三十七條進(jìn)行管理。

? ? ? ?第三，《個(gè)人信息保護(hù)法》明確了個(gè)人信息的跨境流動(dòng)管理要求。首先，《個(gè)人信息保護(hù)法》針對(duì)所有個(gè)人信息的出境進(jìn)行管理，第三十八條明確個(gè)人信息處理者因業(yè)務(wù)等需要，確需向中華人民共和國(guó)境外提供個(gè)人信息的，應(yīng)當(dāng)具備相關(guān)條件。其次，《個(gè)人信息保護(hù)法》擴(kuò)展了個(gè)人信息出境的方式，除安全評(píng)估外，個(gè)人信息處理者還可以通過(guò)三種方式跨境傳輸個(gè)人信息，即按照國(guó)家網(wǎng)信部門(mén)的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證、按照國(guó)家網(wǎng)信部門(mén)制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同、按照法律行政法規(guī)或者國(guó)家網(wǎng)信部門(mén)規(guī)定的其他條件。其中，需要通過(guò)安全評(píng)估跨境傳輸個(gè)人信息的，主要涉及關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定數(shù)量的個(gè)人信息處理者，《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》中將這一數(shù)量設(shè)置成“處理一百萬(wàn)人以上個(gè)人信息”，《數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》中將這一數(shù)量設(shè)置成“處理個(gè)人信息達(dá)到一百萬(wàn)人的個(gè)人信息處理者”以及“累計(jì)向境外提供超過(guò)十萬(wàn)人以上個(gè)人信息或者一萬(wàn)人以上敏感個(gè)人信息”。

? ? ? ?第四，部分特定行業(yè)的管理規(guī)定明確了重點(diǎn)類型數(shù)據(jù)的出境要求。2012年通過(guò)的《征信業(yè)管理?xiàng)l例》要求對(duì)征信信息的整理、保存和加工應(yīng)當(dāng)在中國(guó)境內(nèi)進(jìn)行；2014年國(guó)家衛(wèi)生計(jì)生委發(fā)布的《人口健康信息管理辦法（試行）》第十條設(shè)置了絕對(duì)的數(shù)據(jù)本地化存儲(chǔ)規(guī)則，明確不得將人口健康信息在境外的服務(wù)器中存儲(chǔ)，不得托管、租賃在境外的服務(wù)器；2015年公布的《地圖管理?xiàng)l例》規(guī)定了設(shè)施本地化的要求，但并沒(méi)有禁止地圖數(shù)據(jù)流出，規(guī)定互聯(lián)網(wǎng)地圖服務(wù)單位應(yīng)當(dāng)將存放地圖數(shù)據(jù)的服務(wù)器設(shè)在中華人民共和國(guó)境內(nèi)，并制定互聯(lián)網(wǎng)地圖數(shù)據(jù)安全管理制度和保障措施。2016年公布的《網(wǎng)絡(luò)預(yù)約出租汽車經(jīng)營(yíng)服務(wù)管理暫行辦法》規(guī)定網(wǎng)約車平臺(tái)公司所采集的個(gè)人信息和生成的業(yè)務(wù)數(shù)據(jù)，應(yīng)當(dāng)在中國(guó)內(nèi)地存儲(chǔ)和使用。

? ? ? ?同時(shí)，我國(guó)跨境數(shù)據(jù)流動(dòng)的管理要求在落地實(shí)施方面不斷加快步伐，構(gòu)建了可行路徑。如《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）（征求意見(jiàn)稿）》等文件中提出了明確重要數(shù)據(jù)的具體辦法，有望進(jìn)一步指導(dǎo)企業(yè)明確重要數(shù)據(jù)的類型，《數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》中進(jìn)一步明確了安全評(píng)估的具體要求、條件、程序。同時(shí)，網(wǎng)信辦等相關(guān)部門(mén)也在加緊制定標(biāo)準(zhǔn)合同模板，有助于指導(dǎo)企業(yè)通過(guò)各種方式跨境傳輸數(shù)據(jù)。

? ? ? ?二、我國(guó)的制度與其他國(guó)家具有本質(zhì)差別嗎？

? ? ? ?從整體思路、具體目標(biāo)、管理手段等方面來(lái)看，我國(guó)的數(shù)據(jù)跨境流動(dòng)管理制度與全球主要國(guó)家和地區(qū)呈現(xiàn)出較為一致性的目標(biāo)和管理趨勢(shì)。

? ? ? ?（一）在整體思路上，我國(guó)與其他國(guó)家一樣，均希望確保數(shù)據(jù)能夠在安全前提下實(shí)現(xiàn)有序、自由流動(dòng)。

? ? ? ?近年來(lái)，我國(guó)與美國(guó)、日本、英國(guó)、法國(guó)、德國(guó)、新加坡等世界主要國(guó)家構(gòu)建數(shù)據(jù)跨境流動(dòng)規(guī)則體系，體現(xiàn)出我國(guó)在對(duì)待數(shù)據(jù)跨境流動(dòng)方面與其他國(guó)家和地區(qū)具有目標(biāo)一致性。簽署“大阪數(shù)字經(jīng)濟(jì)宣言”。2019年6月，在G20峰會(huì)上，中國(guó)與美國(guó)、日本等國(guó)家一起共同簽署了“大阪數(shù)字經(jīng)濟(jì)宣言”，宣言提出建立允許數(shù)據(jù)跨境自由流動(dòng)的“數(shù)據(jù)流通圈”，強(qiáng)調(diào)數(shù)字化能夠鼓勵(lì)創(chuàng)新與經(jīng)濟(jì)增長(zhǎng)，擁有解決國(guó)際社會(huì)課題的可能性。習(xí)近平主席在會(huì)上指出，作為數(shù)字經(jīng)濟(jì)大國(guó)，中國(guó)愿積極參與國(guó)際合作，保持市場(chǎng)開(kāi)放，實(shí)現(xiàn)互利共贏。簽署《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》（RCEP）。2020年11月，中國(guó)和東盟10國(guó)、日本、韓國(guó)、澳大利亞、新西蘭共15個(gè)亞太國(guó)家正式簽署了RCEP，其中針對(duì)數(shù)據(jù)跨境流動(dòng)達(dá)成了一致性協(xié)議，為促進(jìn)區(qū)域內(nèi)數(shù)據(jù)跨境奠定了良好基礎(chǔ)。

? ? ? ?（二）在具體目標(biāo)上，我國(guó)數(shù)據(jù)跨境流動(dòng)管理制度在于實(shí)現(xiàn)個(gè)人數(shù)據(jù)保護(hù)、國(guó)家安全、社會(huì)公共利益等合法合理目標(biāo)，與國(guó)際關(guān)注重點(diǎn)一致。

? ? ? ?首先，對(duì)個(gè)人信息的跨境數(shù)據(jù)流動(dòng)進(jìn)行管理是出于保護(hù)個(gè)人數(shù)據(jù)、個(gè)人隱私和維護(hù)國(guó)家安全利益的需要。個(gè)人信息不僅蘊(yùn)含了大量涉及個(gè)人身份、行為、特征、喜好、習(xí)慣的多種數(shù)據(jù)，涉及到個(gè)人的人格、尊嚴(yán)、自由和隱私利益，而且違規(guī)收集、濫用個(gè)人信息也會(huì)導(dǎo)致危害交易安全，擾亂市場(chǎng)競(jìng)爭(zhēng)，破壞網(wǎng)絡(luò)空間秩序、危害國(guó)家安全等風(fēng)險(xiǎn)。當(dāng)前，個(gè)人信息的跨境流動(dòng)日益頻繁，但由于不同國(guó)家或地區(qū)針對(duì)個(gè)人信息保護(hù)的法律制度、保護(hù)水平和力度存在差異，個(gè)人信息跨境風(fēng)險(xiǎn)問(wèn)題更加復(fù)雜，如全球個(gè)人數(shù)據(jù)泄露事件頻繁發(fā)生，2020年涉及個(gè)人信息的有68起，累計(jì)超過(guò)48億人次的姓名、聯(lián)系方式等身份標(biāo)識(shí)信息被普遍泄露。針對(duì)個(gè)人信息的出境進(jìn)行數(shù)據(jù)跨境流動(dòng)管理，致力于在保護(hù)個(gè)人信息安全的同時(shí)，建立科學(xué)合理的跨境規(guī)制體系，即是適應(yīng)國(guó)際經(jīng)貿(mào)往來(lái)、促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展的現(xiàn)實(shí)需要，又是維護(hù)廣大人民切身利益、公共利益、國(guó)家安全的必然要求。

? ? ? ?其次，對(duì)重要數(shù)據(jù)的出境進(jìn)行管理是維護(hù)公共利益、保障國(guó)家安全的必然需要。我國(guó)2021年9月1日生效的《數(shù)據(jù)安全法》中，對(duì)數(shù)據(jù)分類分級(jí)作出了專門(mén)規(guī)定，提出：“國(guó)家建立數(shù)據(jù)分類分級(jí)保護(hù)制度，根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度，對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)。國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門(mén)制定重要數(shù)據(jù)目錄，加強(qiáng)對(duì)重要數(shù)據(jù)的保護(hù)。關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國(guó)家核心數(shù)據(jù)，實(shí)行更加嚴(yán)格的管理制度。”2021年8月國(guó)家互聯(lián)網(wǎng)信息辦公室、國(guó)家發(fā)展和改革委員會(huì)、工業(yè)和信息化部、公安部、交通運(yùn)輸部聯(lián)合頒布的《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》，也明確規(guī)定：“重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益的數(shù)據(jù)”，并在汽車領(lǐng)域?qū)χ匾獢?shù)據(jù)進(jìn)行了列舉。由工信部發(fā)布并于2021年7月生效的《基礎(chǔ)電信企業(yè)重要數(shù)據(jù)識(shí)別指南》，也將重要數(shù)據(jù)界定為“企業(yè)在運(yùn)營(yíng)中收集、產(chǎn)生、控制的不涉及國(guó)家秘密，但與國(guó)家安全、經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定，以及公共利益密切相關(guān)的數(shù)據(jù)，特別是與國(guó)家基礎(chǔ)通信網(wǎng)絡(luò)安全密切相關(guān)的數(shù)據(jù)”。由此可見(jiàn)，重要數(shù)據(jù)是始終站在數(shù)據(jù)背后的重要價(jià)值保護(hù)之上的概念，不是涉及單個(gè)個(gè)人、某個(gè)企業(yè)的數(shù)據(jù)類型，其重要性針對(duì)的是整體層面的利益保護(hù)，即保護(hù)國(guó)家安全、國(guó)計(jì)民生、公共利益。通過(guò)數(shù)據(jù)跨境流動(dòng)維護(hù)重要數(shù)據(jù)的安全，是保障一國(guó)經(jīng)濟(jì)、社會(huì)、公共利益的必然需要。

? ? ? ?最后，我國(guó)的數(shù)據(jù)跨境流動(dòng)管理制度與歐盟、美國(guó)、智利、新加坡、新西蘭等全球主要國(guó)家和地區(qū)的管理思路具有一致性，是符合國(guó)際趨勢(shì)的表現(xiàn)。當(dāng)前，各國(guó)普遍將數(shù)據(jù)作為國(guó)家戰(zhàn)略性資源進(jìn)行對(duì)待，如美國(guó)2012年3月推出“大數(shù)據(jù)研究和發(fā)展倡議”，其中明確應(yīng)當(dāng)通過(guò)對(duì)數(shù)據(jù)的治理和使用，加快科學(xué)、工程領(lǐng)域的創(chuàng)新步伐，強(qiáng)化美國(guó)國(guó)土安全；歐盟在2020年發(fā)布的《數(shù)據(jù)戰(zhàn)略》中也明確提出要通過(guò)保護(hù)歐盟公民數(shù)據(jù)、吸引其他國(guó)家數(shù)據(jù)流入來(lái)實(shí)現(xiàn)歐盟的數(shù)據(jù)主權(quán)和技術(shù)主權(quán)。出于數(shù)據(jù)的重要性，主要國(guó)家和地區(qū)也實(shí)施了對(duì)數(shù)據(jù)跨境流動(dòng)的管理，其中涉及到的也主要是個(gè)人數(shù)據(jù)和重要數(shù)據(jù)類型。一方面，個(gè)人信息是新加坡、智利、新西蘭進(jìn)行跨境管理的主要數(shù)據(jù)類型，主要目的在于保護(hù)個(gè)人隱私，同時(shí)也是包括歐美在內(nèi)的其他國(guó)家和地區(qū)所關(guān)注的數(shù)據(jù)跨境流動(dòng)管理對(duì)象。歐盟對(duì)個(gè)人數(shù)據(jù)保護(hù)進(jìn)行嚴(yán)格規(guī)定的《通用數(shù)據(jù)保護(hù)條例》在2018年5月生效之后，包括數(shù)據(jù)跨境流動(dòng)在內(nèi)的各項(xiàng)規(guī)則均成為全球個(gè)人數(shù)據(jù)保護(hù)的標(biāo)桿，被譽(yù)為全球最嚴(yán)個(gè)人數(shù)據(jù)保護(hù)立法，對(duì)于沒(méi)有達(dá)到個(gè)人數(shù)據(jù)的跨境流動(dòng)管理要求的，歐盟公民的個(gè)人數(shù)據(jù)是不能流出到歐盟以外的國(guó)家的。另一方面，重要數(shù)據(jù)類型雖然在各個(gè)國(guó)家的關(guān)注重點(diǎn)不一致，但從國(guó)際趨勢(shì)來(lái)看，主要國(guó)家和地區(qū)均根據(jù)自己的需要設(shè)置了重要數(shù)據(jù)本地化的要求，如美國(guó)對(duì)于國(guó)防數(shù)據(jù)、金融數(shù)據(jù)、敏感個(gè)人數(shù)據(jù)的出境設(shè)置了限制，微軟宣布了一項(xiàng)名為“微軟云的歐盟數(shù)據(jù)邊界”的新舉措，旨在使歐盟客戶在2022年前將其所有數(shù)據(jù)存儲(chǔ)在該地區(qū)，也反映出歐盟立法對(duì)于數(shù)據(jù)保護(hù)的嚴(yán)格管理已經(jīng)使得數(shù)據(jù)呈現(xiàn)本地化的趨勢(shì)，智利關(guān)于銀行的“重要”或“戰(zhàn)略性”外包數(shù)據(jù)設(shè)置了本地化的要求，新西蘭關(guān)于國(guó)稅數(shù)據(jù)設(shè)置了本地化要求等等。對(duì)個(gè)人信息和重要數(shù)據(jù)的出境管理體現(xiàn)了不同國(guó)家不同政策目標(biāo)的考量。從國(guó)際趨勢(shì)來(lái)看，我國(guó)的政策似乎比一些國(guó)家的規(guī)定要寬松，考慮到需要評(píng)估的數(shù)據(jù)類型的敏感性和重要性，很多國(guó)家針對(duì)這些類型的數(shù)據(jù)直接設(shè)置了數(shù)據(jù)本地化的要求，絕對(duì)禁止流到境外，而我國(guó)并沒(méi)有做出這樣的規(guī)定，而是采取了具體情況具體分析的方式，允許這類數(shù)據(jù)可以進(jìn)行安全評(píng)估，通過(guò)安全評(píng)估決定是否可以出境。

? ? ? ?（三）在管理方式上，我國(guó)數(shù)據(jù)跨境流動(dòng)管理的方式、關(guān)注重點(diǎn)也是國(guó)際普遍趨勢(shì)。

? ? ? ?我國(guó)三部立法針對(duì)數(shù)據(jù)跨境流動(dòng)設(shè)置的安全評(píng)估、保護(hù)認(rèn)證、標(biāo)準(zhǔn)合同三種管理方式具有合理性和必要性，不同管理方式混合適用可以滿足不同管理需求，符合業(yè)務(wù)中的相關(guān)需要，有利于實(shí)現(xiàn)數(shù)據(jù)跨境安全、自由流動(dòng)。

? ? ? ?首先，安全評(píng)估的適用具有合理性。雖然安全評(píng)估的要求相對(duì)較為嚴(yán)格，需要由網(wǎng)信部門(mén)會(huì)同其他行業(yè)主管部門(mén)進(jìn)行，但安全評(píng)估的范圍和要求也是有限的，第一，安全評(píng)估并不針對(duì)所有數(shù)據(jù)。根據(jù)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》等的規(guī)定，只涉及到以下具體的重點(diǎn)數(shù)據(jù)類型：（一）關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)；（二）出境數(shù)據(jù)中包含重要數(shù)據(jù)；（三）處理個(gè)人信息達(dá)到一百萬(wàn)人的個(gè)人信息處理者向境外提供個(gè)人信息；（四）累計(jì)向境外提供超過(guò)十萬(wàn)人以上個(gè)人信息或者一萬(wàn)人以上敏感個(gè)人信息。第二，安全評(píng)估并非進(jìn)行一事一議。根據(jù)《數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》的規(guī)定，安全評(píng)估并非實(shí)時(shí)的一事一議行為，數(shù)據(jù)出境評(píng)估結(jié)果的有效期為二年，在有效期內(nèi)只有出現(xiàn)以下情形的，數(shù)據(jù)處理者才應(yīng)當(dāng)重新申報(bào)評(píng)估：（一）向境外提供數(shù)據(jù)的目的、方式、范圍、類型和境外接收方處理數(shù)據(jù)的用途、方式發(fā)生變化，或者延長(zhǎng)個(gè)人信息和重要數(shù)據(jù)境外保存期限的；（二）境外接收方所在國(guó)家或者地區(qū)法律環(huán)境發(fā)生變化，數(shù)據(jù)處理者或者境外接收方實(shí)際控制權(quán)發(fā)生變化，數(shù)據(jù)處理者與境外接收方合同變更等可能影響出境數(shù)據(jù)安全的；（三）出現(xiàn)影響出境數(shù)據(jù)安全的其他情形。第三，安全評(píng)估并不會(huì)絕對(duì)造成數(shù)據(jù)不能流動(dòng)的結(jié)果。由于安全評(píng)估涉及到的數(shù)據(jù)根據(jù)相關(guān)法律的規(guī)定，安全評(píng)估可能導(dǎo)致兩種結(jié)果，一種是數(shù)據(jù)過(guò)于敏感，可能會(huì)被禁止出境（很多國(guó)家的規(guī)定也是這樣的，與國(guó)際趨勢(shì)相符）；另一種是數(shù)據(jù)出境的風(fēng)險(xiǎn)不大，或已經(jīng)能夠通過(guò)安全保障措施解決風(fēng)險(xiǎn)，可以允許數(shù)據(jù)出境，當(dāng)前，實(shí)踐中已經(jīng)存在重要企業(yè)通過(guò)安全評(píng)估進(jìn)行數(shù)據(jù)跨境流動(dòng)的實(shí)踐案例。

? ? ? ?其次，安全評(píng)估具有必要性。當(dāng)前，全球各個(gè)國(guó)家和地區(qū)之間的數(shù)據(jù)保護(hù)水平和管理制度具有非常大的差異性，主要國(guó)家和地區(qū)出于保護(hù)個(gè)人隱私、公共利益等合法公共政策目標(biāo)的考慮，在開(kāi)展數(shù)據(jù)跨境流動(dòng)過(guò)程中也非常關(guān)注數(shù)據(jù)流入國(guó)的數(shù)據(jù)保護(hù)情況，如歐盟GDPR中明確規(guī)定在涉及數(shù)據(jù)跨境流動(dòng)“充分性保護(hù)認(rèn)定”中應(yīng)重點(diǎn)評(píng)估數(shù)據(jù)流入國(guó)的數(shù)據(jù)保護(hù)法律規(guī)則、數(shù)據(jù)保護(hù)的監(jiān)管水平等情況，同時(shí)數(shù)據(jù)流出方的企業(yè)也應(yīng)當(dāng)對(duì)數(shù)據(jù)接收方的數(shù)據(jù)安全保障措施、數(shù)據(jù)接收方所在國(guó)的數(shù)據(jù)保護(hù)水平進(jìn)行評(píng)估和擔(dān)保；日本《個(gè)人信息保護(hù)法》、新加坡《個(gè)人信息保護(hù)法》等立法中規(guī)定的“充分性保護(hù)”認(rèn)定中關(guān)注的主要因素與此都有共通之處。我國(guó)安全評(píng)估內(nèi)容與國(guó)際主要國(guó)家和地區(qū)針對(duì)數(shù)據(jù)跨境流動(dòng)涉及的關(guān)注重點(diǎn)具有一致性。從我國(guó)立法來(lái)看，重點(diǎn)評(píng)估的事項(xiàng)涉及以下內(nèi)容：數(shù)據(jù)出境及境外接收方處理數(shù)據(jù)的目的、范圍、方式等的合法性、正當(dāng)性、必要性；出境數(shù)據(jù)的數(shù)量、范圍、種類、敏感程度，數(shù)據(jù)出境可能對(duì)國(guó)家安全、公共利益、個(gè)人或者組織合法權(quán)益帶來(lái)的風(fēng)險(xiǎn)；數(shù)據(jù)處理者在數(shù)據(jù)轉(zhuǎn)移環(huán)節(jié)的管理和技術(shù)措施、能力等能否防范數(shù)據(jù)泄露、毀損等風(fēng)險(xiǎn)；境外接收方承諾承擔(dān)的責(zé)任義務(wù)，以及履行責(zé)任義務(wù)的管理和技術(shù)措施、能力等能否保障出境數(shù)據(jù)的安全；數(shù)據(jù)出境和再轉(zhuǎn)移后泄露、毀損、篡改、濫用等的風(fēng)險(xiǎn)，個(gè)人維護(hù)個(gè)人信息權(quán)益的渠道是否通暢等；與境外接收方訂立的數(shù)據(jù)出境相關(guān)合同是否充分約定了數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)。這些內(nèi)容均是數(shù)據(jù)跨境流動(dòng)過(guò)程中為了確保數(shù)據(jù)安全應(yīng)當(dāng)重點(diǎn)關(guān)注的，同時(shí)也是為了實(shí)現(xiàn)保障數(shù)據(jù)出境安全性的重要目標(biāo)，維護(hù)數(shù)據(jù)所涉及的個(gè)人利益、公共利益，對(duì)數(shù)據(jù)出境進(jìn)行重要事項(xiàng)評(píng)估也是管理過(guò)程中應(yīng)當(dāng)關(guān)注的重點(diǎn)內(nèi)容。

? ? ? ?再次，保護(hù)認(rèn)證、標(biāo)準(zhǔn)合同等方式也是重要的出境路徑。除了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》等規(guī)定中明確的，需要進(jìn)行安全評(píng)估的數(shù)據(jù)類型外，其他的個(gè)人信息、非重要數(shù)據(jù)均是可以通過(guò)專業(yè)機(jī)構(gòu)的個(gè)人信息保護(hù)認(rèn)證、國(guó)家網(wǎng)信部門(mén)制定的標(biāo)準(zhǔn)合同方式進(jìn)行出境。三種方式并行的管理路徑有助于加強(qiáng)對(duì)重點(diǎn)類型數(shù)據(jù)出境的嚴(yán)格管理，同時(shí)也能夠在盡力保障安全的前提下便利其他類型數(shù)據(jù)的出境。在歐盟GDPR中，對(duì)于不滿足“充分性保護(hù)認(rèn)定”的國(guó)家，這兩種方式也是實(shí)現(xiàn)數(shù)據(jù)出境過(guò)程中適當(dāng)保障措施的重要舉措。

? ? ? ?最后，所有數(shù)據(jù)跨境流動(dòng)路徑均可落地實(shí)施。當(dāng)前我國(guó)跨境數(shù)據(jù)流動(dòng)的管理要求在落地實(shí)施方面也不斷加快步伐，有利于進(jìn)一步完善管理制度，構(gòu)建數(shù)據(jù)出境可行路徑。如《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）（征求意見(jiàn)稿）》等文件中提出了明確重要數(shù)據(jù)的具體辦法，有望進(jìn)一步指導(dǎo)企業(yè)明確重要數(shù)據(jù)的類型，《數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》中進(jìn)一步明確了安全評(píng)估的具體要求、條件、程序，同時(shí)，網(wǎng)信辦等相關(guān)部門(mén)也在加緊制定標(biāo)準(zhǔn)合同模板，有助于指導(dǎo)企業(yè)通過(guò)各種方式跨境傳輸數(shù)據(jù)。

? ? ? ?三、我國(guó)制度與其他國(guó)家的具體差異在哪里？

? ? ? ?我國(guó)數(shù)據(jù)跨境流動(dòng)管理的整體思路和管理方式符合現(xiàn)實(shí)需求和國(guó)際趨勢(shì)，那么，為什么我國(guó)的數(shù)據(jù)跨境流動(dòng)管理制度會(huì)受到詬病？

? ? ? ?第一，需要“境內(nèi)存儲(chǔ)”的數(shù)據(jù)范圍較多。一方面，當(dāng)前，國(guó)際社會(huì)對(duì)于數(shù)據(jù)本地化的反對(duì)呼聲較高，而我國(guó)《網(wǎng)絡(luò)安全法》中恰恰使用了“境內(nèi)存儲(chǔ)”的說(shuō)法，而且被后續(xù)的《數(shù)據(jù)安全法》第31條、《個(gè)人信息保護(hù)法》第40條所延續(xù)，而且涉及范圍包括關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的重要數(shù)據(jù)，以及處理個(gè)人信息超過(guò)一定數(shù)量的個(gè)人信息處理者，無(wú)疑會(huì)引起國(guó)際社會(huì)一些國(guó)家或組織的不認(rèn)同。但其實(shí)，我國(guó)《網(wǎng)絡(luò)安全法》規(guī)定的第37條并非絕對(duì)的數(shù)據(jù)本地化，而更趨向于一種數(shù)據(jù)本地備份的跨境管理方式，與數(shù)據(jù)跨境流動(dòng)并不沖突。另一方面，我國(guó)數(shù)據(jù)跨境流動(dòng)的主要管理手段為“安全評(píng)估”，其中的“安全”也會(huì)被其他方認(rèn)為就是指的“國(guó)家安全”，但隨著我國(guó)《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》及其他相關(guān)立法的出臺(tái)，我們可以看出，此處的“安全”并非僅指國(guó)家安全，還包含個(gè)人數(shù)據(jù)的安全、社會(huì)公共利益的安全等多個(gè)方面。

? ? ? ?第二，管理手段含義可能產(chǎn)生歧義。“安全評(píng)估”作為數(shù)據(jù)出境的重要管理手段可能會(huì)被誤認(rèn)為是“一事一議”的管理方式，即只要數(shù)據(jù)出境一次，企業(yè)就要進(jìn)行一次安全評(píng)估。如果事實(shí)如此，那么企業(yè)數(shù)據(jù)出境的效率將會(huì)大大降低，業(yè)務(wù)開(kāi)展也將受到較大影響。但其實(shí)，我國(guó)的“安全評(píng)估”并不是一事一議，而是有時(shí)間限制和行為限制的。例如，《數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》規(guī)定的有效期限為二年。

? ? ? ?第三，管理對(duì)象的范圍可能引發(fā)爭(zhēng)議。我國(guó)數(shù)據(jù)跨境流動(dòng)制度中，管理的最關(guān)鍵的一種數(shù)據(jù)類型為重要數(shù)據(jù)，但當(dāng)前，我國(guó)沒(méi)有統(tǒng)一確定哪些是重要數(shù)據(jù)，重要數(shù)據(jù)的范圍是什么？這種情況可能會(huì)給企業(yè)帶來(lái)一定程度的不確定性，而且如果“重要數(shù)據(jù)”范圍過(guò)寬的話，企業(yè)開(kāi)展業(yè)務(wù)的成本可能也會(huì)受到較大影響。

? ? ? ?第四，除安全評(píng)估外的其他出境路徑尚不明確。專業(yè)機(jī)構(gòu)認(rèn)證、標(biāo)準(zhǔn)合同是實(shí)踐中企業(yè)數(shù)據(jù)出境的重要方式，而且相對(duì)安全評(píng)估來(lái)說(shuō)，較為便捷。但當(dāng)前我國(guó)針對(duì)這兩種方式的進(jìn)展還不明顯，因此，企業(yè)在實(shí)踐中還不能實(shí)際采用。在這種不確定的情況下，企業(yè)可能就不敢把數(shù)據(jù)向境外傳輸。

? ? ? ?針對(duì)以上問(wèn)題，可以做出以下判斷：

? ? ? ?第一，評(píng)估《網(wǎng)絡(luò)安全法》第37條在當(dāng)前形勢(shì)下的必要性，思考和評(píng)判是否要對(duì)《網(wǎng)絡(luò)安全法》的說(shuō)法進(jìn)行改動(dòng)。《網(wǎng)絡(luò)安全法》自2016年出臺(tái)至今已經(jīng)施行五年多的時(shí)間，數(shù)據(jù)跨境流動(dòng)的相關(guān)形勢(shì)和我國(guó)思路也發(fā)生了一些變化，可以研究探討是否需要進(jìn)行適當(dāng)修改。但由于后續(xù)很多立法都是依據(jù)《網(wǎng)絡(luò)安全法》做出的，修改《網(wǎng)絡(luò)安全法》的說(shuō)法影響的范圍會(huì)比較大，因此，該做法也應(yīng)慎重。

? ? ? ?第二，進(jìn)一步明確《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》規(guī)制的數(shù)據(jù)范圍。例如，加快出臺(tái)重要數(shù)據(jù)判斷標(biāo)準(zhǔn)和制定重要數(shù)據(jù)目錄。國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制可以盡快統(tǒng)籌協(xié)調(diào)確定重要數(shù)據(jù)目錄的制定標(biāo)準(zhǔn)。各地區(qū)、各行業(yè)、各部門(mén)可以按照確定的標(biāo)準(zhǔn)，盡快確定本地區(qū)、本行業(yè)、本領(lǐng)域的重要數(shù)據(jù)具體目錄。

? ? ? ?第三，考慮放寬需要“境內(nèi)存儲(chǔ)”的數(shù)據(jù)類型，并明確安全評(píng)估及其他管理措施的具體要求。首先，可以針對(duì)原則上需要境內(nèi)存儲(chǔ)的“超過(guò)網(wǎng)信部門(mén)規(guī)定數(shù)量”的范圍進(jìn)行進(jìn)一步研究探索，決定是否可以適當(dāng)放寬限制。其次，盡快制定出臺(tái)安全評(píng)估、個(gè)人信息保護(hù)認(rèn)證、標(biāo)準(zhǔn)合同等管理措施的具體實(shí)施辦法，為跨境數(shù)據(jù)流動(dòng)構(gòu)建可行路徑。最后，可以針對(duì)安全評(píng)估的具體適用，建議適當(dāng)降低嚴(yán)格程度，如放寬安全評(píng)估的有效期限；在實(shí)踐中注重簡(jiǎn)化安全評(píng)估的具體程序，減少安全評(píng)估的審核期，提高跨境貿(mào)易的效率。

? ? ? ?第四，豐富數(shù)據(jù)跨境流動(dòng)的途徑。尋找突破口，針對(duì)海南、深圳等自貿(mào)程度較高地區(qū)的部分?jǐn)?shù)據(jù)適當(dāng)放松管理，進(jìn)行試點(diǎn)示范。針對(duì)數(shù)據(jù)保護(hù)水平整體較高的國(guó)家和地區(qū)，可以在實(shí)踐中考慮設(shè)置“白名單”機(jī)制，盡量減輕部分?jǐn)?shù)據(jù)傳輸?shù)竭@些國(guó)家和地區(qū)的時(shí)間成本。