论后全球化时代下中国数据出境安全监管实践 及企业合规路径探索

2023年第06期    作者:文│江海 程丰    阅读 158 次

数据作为新型生产要素，在全球经济和贸易体系中扮演着至关重要的角色。数据价值有赖于规模和维度的增加，以及有效配置下的自由流动。但国家安全等公共利益风险也在数据维度增加过程中集聚，国家对数据的掌控与处理能力也是治理能力的体现。数据的自由流通与国家主权和个人隐私之间存在不可避免的矛盾。后全球化国际竞争中，国家角力舞台已变革为借助数据权力增强区域经济影响力和规则制定话语权。本文总结了当前环境下国际主体间的数据治理规则博弈现状，并梳理出我国数据出境安全评估制度的治理逻辑与立法框架，分析了当前各行业的数据出境趋势与合规需求，指出我国应根据行业特征形成具有中国特色的“重要数据”判定标准和技术优势，在实践中探索能够兼顾安全和发展的中国数据治理方案。

一、数据跨境流动治理国际实践经验与中国路径选择

（一）流动与共享：释放数据生产要素价值的重要路径

经济的发展有赖于要素的流动。传统模式下，商品贸易在要素流动中占绝对数量，但随着要素的概念外延从两要素论（劳动力和土地）发展至包括数据在内的七要素论，数据流动已超越传统贸易，成为国际贸易和投资的基础。

数据要素价值释放依赖于流通与共享。在数字经济时代，数据跨境流动也是国际贸易与交流的必要组成部分。跨国企业、公共部门等数据处理者在业务推进中面临大量数据跨境处理需求，有效的监管措施不仅可以保障企业合规开展业务，也释放了生产要素的潜在价值。2022年9月出台的《数据出境安全评估办法》（以下简称《办法》）明确了数据出境安全评估的合规路径。新规出台当日，具有大量数据跨境需求的互联网中概股多数收涨，其原因在于规则的明晰使得监管的“靴子”得以落地，成为中国互联网企业发展的利好因素。

（二）安全价值：数据本质属性、国家主权及个人隐私之间的必然冲突

数字经济呈现由区域走向全球化的趋势，作为数据时代主角的互联网平台的数据跨境需求激增。但商业主体由于自身利益驱动，天然具有扩大针对用户的数据收集范围倾向，以开发其中的商业价值。同时，新型商业模式（如“元宇宙”等）不断涌现，导致个人隐私概念的内涵和外延不再如以往易于确定与解释，边界趋于模糊。数据安全研究已延伸至包括国家安全、主权管辖在内的非经济领域。关注数据安全并不仅仅只是出于安全考虑，而是为了更好地兼顾发展与安全。

（三）国际数据治理现状：规则博弈呈“不可能三角”态势

挖掘数据“新石油”并充分释放价值，面临价值、技术和安全难题，其中最为核心的是国家主体价值观和利益上的差异。文化和国情的差异使各主要经济体站在不同立法出发点，导致跨境数据流动缺乏体系化治理，仅由各种单边、双边、多边框架和贸易规则组成。因此，跨境数据流动面临“不可能三角”问题。即在限定的时间和空间内，一国的数据保护自主权、充分保障个人数据权利和推动数据跨境自由流动三大目标不能同时实现，最多只能同时满足其中的两个目标。

理解数据安全、国家主权和主体权益的关系，方能理解数据跨境流动规则博弈的深层次原因。各大经济体的数据治理战略呈现以发达国家为主的“自由流动”和以发展中国家为主的“本地限制”两大类型。美国和其盟友依靠其在抢占科技制高点上占据的技术优势，采用“自由并后置监管”的双重标准数据治理体系。欧盟则基于其权利保障观念，将“人权保障”视为制定跨境数据流动规则的首要考虑因素。其他主要数据立法经济体则将主权列为第一位的考虑要素，采取“在数据主权维护前提下驱动经济发展”的数据治理模式。

在这些价值关切中，国家基于数据主权对数据的管辖与自由主义相矛盾；数据保护自主权的视野落在了国家概念之内，更强调国家的主权，而充分保障个人数据权利是站在了数据产生者的角度，更强调私主体的权利。不同制度间的差异导致企业合规成本上升，最终抑制了数据驱动创新发展。

（四）国际数据治理经验对中国的启示

1.中国数据治理的道路选择

国际数据流动治理经验可以概括为清晰界定和明确数据出境链条上相关主体的角色、权利和义务。例如，数据出境前需要获得个人信息主体的同意；明确数据控制者的数据保护责任；落实主体的救济手段，如欧盟将救济途径视为他国数据保护“充分性”的重要标准之一。在充分吸收国际数据治理立法经验的基础上，中国数据出境安全标准立足“网络安全是国家安全的基础，数据安全是国家安全的题中之义”，《网络安全法》《数据安全法》《个人信息保护法》全面建立起数据出境安全评估制度的框架。

2.中国数据出境治理的概念基础

形成有效的数据出境治理制度，需要对“数据出境”概念进行清晰的界定，明确各概念的内涵和外延。国际共识认为，数据出境依托通信系统、信息交互和互联网等媒介工具进行；其次，“数据”本身不应存在机器可读性限制、地域使用限制和拒绝复制。只要能够使境外获得境内的数据，就落入数据出境的概念范围之内。基于此，数据出境活动主要包括：一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外；二是数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以访问或者调用。

二、中国数据出境安全评估制度的治理逻辑分析

（一）数据出境安全评估关注由量变到质变的“高风险”场景

中国治理方案相对于欧盟《通用数据保护条例》（GDPR）更加深入和全面，GDPR的落脚点在主体权益，但随着数据出境体量积累，量变积累下的侵犯个体利益风险将会质变扩展至牵涉公共利益和国家安全层面，承担维护公共利益义务的政府介入即有正当性基础。因此，中国对不同类型数据采取差异化规制措施：处理者特殊（如关键信息基础设施运营者）；数据类型特殊（重要数据）；数据规模特殊（包括个人信息与敏感信息的大规模处理）。

量变意味着“自特定时点起累计特定体量的个人信息”，只能适用安全评估方案。立法者的关切落点于保障数据背后的主体权益，而非纸面的数据本身，因此“10万”等体量指向境外传输个人信息的主体人数，而非信息条目。同时，安全需要兼顾发展，如果将门槛设置得过低，几乎每一家企业都需要进行安全评估，增加了管理和监督的复杂性。同时，监管也需要消耗包括时间和人力等社会资源，过低的门槛将会对企业和监管机构的资源造成巨大压力。从国际规则博弈出发，中性的安全评估门槛可以使中国规则更具竞争力，吸引数据流向中国。

（二）重要数据：数据出境安全评估制度的关键切入点

重要数据是数据治理的“牛鼻子”。我国采取“抓大放小”战略，从重要数据切入把握数据治理体系。重要数据的管理疏忽可能会存在多种法律责任竞合，新修订的《反间谍法》特别将“刺探其他关系国家安全和利益的数据”纳入了间谍行为的范畴，与重要数据的领域显然存在交集与重叠。

在未来的治理方向上，由于数据的价值释放依赖于有效流动，因此只要不涉及重要数据且未达到量级，对其流动就应持鼓励态度。以境外诉讼为例，国内企业在境外诉讼中通过提供数据举证证明事实，应是企业自身的权利，也很少有个案满足需要申报数据出境安全评估的情况。监管机关应积极与各行业主管部门协调，致力于创建并向公众公开重要数据的大目录。然而，鉴于牵涉的部门众多，“重要数据目录”制定尚未形成规模；但以重要数据为抓手仍是我国未来数据治理的关键方向。

（三）单独同意：个人信息出境合规的实质性义务

个人信息具备双重属性，个人信息权益承载了个体对其隐私自主控制的决定权；但个人信息不同于传统私有财产，其本身也具有信息的公共性质。治理的核心方向应在尊重主体权益的基础上鼓励信息自由流通，通过流通维持和释放信息的价值，降低信息不对导致的资源无效分配。因此，个人信息的保护不能简单地归类为传统私法或公法的范畴。

根据《个人信息保护法》，无论是处理个人信息抑或是境外提供个人信息，均需具有“必要性”，且满足“告知”和“单独同意”义务。个人信息收集必要性与数据出境必要性不可等同，前者关注对主体权益的影响，而后者是围绕“数据出境活动是否可能对国家安全、公共利益、个人或者组织合法权益带来风险”展开，数据出境的必要性建立在判断个人信息收集的必要性之上。

个人信息合法流动还需取得主体的“单独同意”。过往实践中，通常以在软件或应用程序中点击同意条款作为授权方式。但需注意，单独同意不是形式性的流程，而是实质性的合规证据。根据对近期数据出境安全评估的被否决案例的研究，大量个人信息出境案例被否决是因为其单独同意书不完整。例如，某医药企业申报个人信息出境时，因其提交的同意书将多个主体的同意内容合并在一起，不符合单独同意的要求而被否决。

三、中国数据出境安全评估制度运行现状框架分析

（一）数据出境安全评估的基本流程

根据《办法》的规定，触发数据出境安全评估的情形包括：（1）重要数据（例如北京友谊医院的医疗数据出境需求）；（2）关键信息基础设施运营者数据出境；（3）数据处理达到法定量级。

《办法》明确了构建“自评估—申请评估—重新申报评估”的出境安全评估流程框架，一般至多57个工作日内可完成流程。但《办法》同时规定，国家网信部门有权自主决定延长评估期限，这意味着流程期限实际上具有很大不确定性；因此，企业如有数据出境需求，在制定数据合规计划时应谨慎考虑时间因素。

（二）各行业申报比例及场景必要性分析

根据北京网信办和上海网信办发布的公开数据，在两地总共约700件申报中，首批通过率低于1%。根据公开信息，笔者整理出已获得通过的企业，如表1所示。

根据《办法》第八条，数据出境安全评估重点评估包括数据出境的必要性。数据必要性因素包括企业业务场景、数据数量、类型和频率。企业类型上，16个成功的数据出境申报案例中有三分之二属于外资企业；作为其跨境经营的基本方式，跨国公司基于市场分析等目的申报数据出境可以视为具有必要性。同时，跨境酒店旅游、国际航空客运行业由于涉及境内与境外航司、机场、海关等机构的双向信息交流，旅客指纹、护照号码、照片等信息构成敏感个人信息，因此国际航司的业务需求也可以视为具有数据出境必要性。

（三）数据出境安全评估将成为个人信息出境的主要选择路径

《网络安全法》《数据安全法》《个人信息保护法》三大顶层立法提供了个人信息向境外提供的三条路径，即“安全评估”“标准合同”与“个人信息保护认证”，数据出境安全评估仅仅只是诸多出境链路之一。但根据各行业申报数据出境成功的比例，数据出境安全评估申报被批准的企业数量远多于通过个人信息出境标准合同备案的企业。这种趋势未来将伴随着中国企业全球化业务的规模提升继续发展，《办法》所制定的“100万”量级硬性申报标准在中国“走出去”企业的运营中已非常容易达到；同时，中国企业“走出去”已不再局限于传统的制造业，而是涉足了更多的行业，包括科技、金融、文化媒体等。全球化业务需求导致中国企业更频繁地进行数据出境操作，因此更容易触发数据出境安全评估的要求。数据出境安全评估将可能成为未来个人信息出境链路的主流模式。

（四）申报安全评估的前置条件：数据处理者“自评估”

《办法》要求数据处理者在向监管机关提起申报前进行自评估，其主要目的在于要求数据处理者开展事先评估，将合规监管前置。自评估的义务由征求意见稿中的“数据处理者在向境外提供数据前”改为“数据处理者在申报数据出境安全评估前”，即对于不需要向监管申报安全评估（如未达量级的非重要数据）的出境，自评估并非强制性法律义务，企业的合规成本得以降低；但这并不意味着企业无需进行任何内部自主判断，企业对合规风险的判断应保持在合理标准中。

此外，《个人信息保护法》中规定的“个人信息保护影响评估”与《办法》中的“自评估”既有关联也有区别。二者的目的都是梳理活动中的风险点，在内容上有相似性，合并个人信息保护影响评估和数据出境自评估工作可以降低企业合规成本。但个人信息保护影响评估以主体权益保护为入口，评估企业处理个人信息的风险；而数据出境自评估以数据为切入点，包含对数据接收方的安全保障能力的评价以及对数据传输的安全评估，所评估的风险维度更加广泛。

四、后全球化时代释放数据价值的合规之道

（一）多边协调机制层面：加快推进中国数据标准融入国际数据体系

技术的实践经验需转化为切实可行的制度。中国应在国际交流与合作框架下积极推动重要数据目录和数据出境标准的制定，并参与国际规则和标准的讨论与修订工作。在区域层面，积极探索将中国的数据安全标准纳入区域国际协议，例如“一带一路”和上海合作组织，形成区域共识并积累合作经验，推动符合我国利益和价值取向的数据跨境合作。基于区域合作基础，在国际舞台上积极推动多边数据跨境监管协议或相关规则的制定，成为该领域的协调者和领先者，提升我国数据网络安全的国际竞争力和标准话语权。

（二）行业监管层面：从重要数据切入，完善监管覆盖范围

重要数据在数据治理体系中处于关键地位，是数据治理的重要切入点。我国需要通过高级别的工作协调机制的统筹职能，加快协调各相关部门制定重要数据目录和相应的配套措施，确保数据管理体系更为统一和高效。

同时，区块链、隐私计算、“云空间”等新兴技术模式对传统“出境”概念提出了挑战，“境内运营”“数据出境”“数据接收者”等概念也可能因这些新兴技术而产生新的定义，将影响到数据出境安全评估制度的适用范围。因此，监管层面需要在稳定性和灵活性之间寻找平衡，保持对技术演进趋势的关注，并随时准备对监管措施进行更新和调整。

（三）数据处理者层面：从合规角度出发，全面评估业务中的数据出境活动

在整体趋势上，数据出境安全评估让业务主营战场为国际领域、数据输出量较大的公司增加了必要的合规成本；但善变方能应变，谨慎应对分散的监管环境变得更加重要。从激励角度，出境安全评估程序可能将倒逼企业合规调整业务结构，例如推进数据本地化建设。而未通过评估的企业，将面临重新思考其业务模式合规性和数据出境必要性的局面。

在微观操作层面，一方面，关于数据处理者的身份，考虑到关键信息基础设施运营者（CIIO）向境外提供个人信息将直接触发数据出境安全评估，尽管CIIO由行业和领域的主管部门以及监督管理部门进行认定，但有数据出境需求的企业也应当谨慎初步评估是否符合CIIO的身份标准。

另一方面，对于确有数据出境需求的主体，整个出境流程中最为重要的步骤是自评估。自评估报告要求企业以详细方式描述所发现的风险问题、采取的整改措施以及最终的整改效果，涉及在精细度和披露规模间进行的敏感平衡；关注点在于企业让监管看到需求和出境必要性，同时具有良好的安全措施，消除监管对安全性的疑虑。此外，在精细度和披露规模间进行的敏感平衡需要通过不断的实践经验总结来获得。根据官方口径，企业可委托具有监管沟通经验的第三方机构参与评估流程，但需说明基本情况以及参与评估情况，不同企业的数据出境需求各不相同，因此需要针对性的申报方案。经验丰富的第三方机构可以根据企业的具体情况和需求，量身定制申报计划，帮助企业更高效地完成申报流程，节省时间和资源。

结语

传统行政监管活动所依赖的强制性法定义务和禁止性规范无法全面回应信息技术创新迭代所带来的诸多不确定性。在传统经济要素增速放缓的时代环境中，数据驱动创新经济逆势稳步崛起。2022年12月，中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》，其中有17处提到数据跨境的规范化与国际化。这意味着我国在政策层面已充分汲取国际数据治理经验和深刻理解数字化转型的变革范式，并在多方主体合作基础上着力构建有序多维的数据生态图景。

展望未来，中国应当把握时代机遇、总结治理经验，向更精细处布局跨境数据流通治理体系，协同多域数据价值释放，以确保制度始终充满活力。同时，企业也需尽早审视自身的数据出境需求，确保合规要求得以及时满足。协同努力将确保数据流动兼顾发展与安全，从而促进经济繁荣与和谐稳定。

江海上海和归律师事务所合伙人，全国律协医药卫生法律专业委员会委员、上海律协医药健康专业委员会副主任，上海市黄浦区区委法律顾问业务方向：合规和涉外公司业务

程丰

上海和归律师事务所合伙人

业务方向：合规和涉外公司业务