保障數(shù)據(jù)依法有序流動

　　數(shù)據(jù)在當今世界具有鮮明的時代特性，且具有天然的流動優(yōu)勢，在全球化時代，數(shù)據(jù)隨著流動而不斷增值。近年來，隨著數(shù)字經(jīng)濟的蓬勃發(fā)展，數(shù)據(jù)跨境活動日益頻繁，數(shù)據(jù)處理者的數(shù)據(jù)出境需求快速增長。但是，數(shù)據(jù)流動本身便意味著風險存在，在促進數(shù)據(jù)自由流動的同時，也應妥善應對和防范數(shù)據(jù)出境安全風險，實現(xiàn)數(shù)據(jù)流動與數(shù)據(jù)保護的平衡。

　　2022年7月7日，國家互聯(lián)網(wǎng)信息辦公室公布《數(shù)據(jù)出境安全評估辦法》（以下簡稱《辦法》），自9月1日起施行�！掇k法》旨在落實網(wǎng)絡安全法、數(shù)據(jù)安全法、個人信息保護法的規(guī)定，規(guī)范數(shù)據(jù)出境活動，保護個人信息權(quán)益，維護國家安全和社會公共利益，促進數(shù)據(jù)跨境安全、自由流動，切實以安全保發(fā)展、以發(fā)展促安全。

　　數(shù)據(jù)跨境流動在形式上可以分為數(shù)據(jù)入境與數(shù)據(jù)出境。根據(jù)《辦法》，數(shù)據(jù)出境活動主要包括：一是數(shù)據(jù)處理者將在境內(nèi)運營中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲至境外。二是數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲在境內(nèi)，境外的機構(gòu)、組織或者個人可以訪問或者調(diào)用。實際上，數(shù)據(jù)跨境流動不僅會涉及跨境貿(mào)易等經(jīng)濟問題，也會涉及私權(quán)保護、國家安全、主權(quán)管轄等問題。而與數(shù)據(jù)入境相比，數(shù)據(jù)出境存在的風險可能更大。對于個人來說，數(shù)據(jù)出境后，易引發(fā)個人數(shù)據(jù)泄露和數(shù)據(jù)濫用問題；對于企業(yè)而言，數(shù)據(jù)出境可能帶來技術(shù)、資產(chǎn)和組織管理等方面的弊端；在國家層面，則可能涉及本國的數(shù)據(jù)利益和安全。因此，對數(shù)據(jù)出境進行法律規(guī)制，是許多國家的普遍做法。

　　我國關(guān)于數(shù)據(jù)出境的法律規(guī)制，主要規(guī)定于網(wǎng)絡安全法、數(shù)據(jù)安全法、個人信息保護法之中。在這三部法律出臺之前，我國立法對于數(shù)據(jù)跨境流動的問題有所涉及，但僅針對特定對象，以業(yè)務數(shù)據(jù)和行業(yè)信息為主。2013年，工信部實施了《信息安全技術(shù)公共及商用服務信息系統(tǒng)個人信息保護指南》，其中規(guī)定，個人信息管理者向境外轉(zhuǎn)移個人信息，須合乎法律，經(jīng)信息主體明示同意或主管部門同意。這是對于個人信息的跨境流動的一般性規(guī)定，但是該文件的立法層級較低，所規(guī)范的范圍也僅限于個人信息。此外，其他法律法規(guī)與規(guī)章中也間接涉及數(shù)據(jù)跨境流動的問題，如國家安全法和保守國家秘密法分別從檔案、國家秘密的角度對該問題進行了規(guī)制。但綜合而言，這一時期我國對于數(shù)據(jù)跨境流動的規(guī)制并不充分，相應的規(guī)則也比較概括，且缺乏配套制度。

　　2016年起，隨著網(wǎng)絡安全法、數(shù)據(jù)安全法、個人信息保護法等法律的陸續(xù)出臺，我國基本構(gòu)建了數(shù)據(jù)治理的法律制度。其中，根據(jù)網(wǎng)絡安全法第37條規(guī)定，關(guān)鍵信息基礎設施運營者在我國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)原則上應當遵循本地化儲存原則，確需進行跨境傳輸時應當履行數(shù)據(jù)出境安全評估義務。數(shù)據(jù)安全法第30條和第31條規(guī)定了重要數(shù)據(jù)處理者的風險評估義務，以及關(guān)鍵信息基礎設施運營者和其他數(shù)據(jù)處理者在我國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的數(shù)據(jù)出境安全評估義務。個人信息保護法第36條和第40條規(guī)定了國家機關(guān)處理的個人信息在向境外提供時，應當進行安全評估，以及關(guān)鍵信息基礎設施運營者和處理個人信息達到規(guī)定數(shù)量的個人信息處理者，在向境外提供個人信息時，應當進行安全評估。然而，上述法律并未對數(shù)據(jù)出境評估規(guī)范進行細化規(guī)定，導致實踐中對數(shù)據(jù)出境進行安全評估時缺乏具體實施規(guī)則，不利于依法規(guī)范開展數(shù)據(jù)出境安全評估，維護個人信息權(quán)益、國家安全和社會公共利益。

　　此次《辦法》在遵循上述法律基本要求的前提下，對數(shù)據(jù)出境安全評估規(guī)范進行了細致的規(guī)定�！掇k法》第2條明確規(guī)定，數(shù)據(jù)處理者向境外提供在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)和依法應當進行安全評估的個人信息，應當按照本辦法的規(guī)定進行安全評估。在適用對象上，《辦法》并未采用網(wǎng)絡安全法、數(shù)據(jù)安全法、個人信息保護法中“關(guān)鍵信息基礎設施運營者”“重要數(shù)據(jù)處理者”“其他數(shù)據(jù)處理者”的表述，而是統(tǒng)一使用“數(shù)據(jù)處理者”，在適用對象上更具廣泛性和包容性。

　　《辦法》確定了事前評估和持續(xù)監(jiān)督相結(jié)合、風險自評估與安全評估相結(jié)合的基本原則，明確了應當申報數(shù)據(jù)出境安全評估的具體情形，內(nèi)容涵蓋關(guān)鍵信息基礎設施運營者、重要數(shù)據(jù)處理者、處理個人信息達到規(guī)定數(shù)量的個人信息處理者以及其他數(shù)據(jù)處理者等；規(guī)定了數(shù)據(jù)處理者向境外提供數(shù)據(jù)滿足規(guī)定情形時的兩類評估義務，即數(shù)據(jù)出境安全自評估與監(jiān)管部門數(shù)據(jù)出境安全評估，同時，要求數(shù)據(jù)處理者與境外接收方訂立合同時應當充分約定數(shù)據(jù)安全保護責任。上述規(guī)定，填補了過去法律規(guī)定的空白，有利于我國數(shù)據(jù)出境企業(yè)和權(quán)益受損的個人依法進行維權(quán)，也對監(jiān)管部門全方位審查數(shù)據(jù)出境活動的安全風險程度提供了更加全面客觀的指南，有助于靈活高效應對數(shù)據(jù)跨境流動中可能存在的治理難題，提升數(shù)據(jù)出境安全評估治理效能。

　　實踐中，數(shù)據(jù)出境安全保護環(huán)境復雜多變，《辦法》的有效落實需要相應機制的配合。在遵循網(wǎng)絡安全法等上位法的規(guī)范，維護法律法規(guī)間的統(tǒng)一性與系統(tǒng)性的基礎上，一方面，應加強數(shù)據(jù)跨境流動治理領域的國際合作，推動國際協(xié)定與國內(nèi)治理的有效銜接；另一方面，應切實發(fā)揮行業(yè)協(xié)會與企業(yè)的積極性與能動性，減輕政府對數(shù)據(jù)跨境流動風險審查的壓力。（吳凡）