文｜赵建琳 张可

ID | BMR2004 

数字经济时代的到来，使得数据成为驱动经济发展的关键生产要素，其创新驱动性和价值多元性超过其他要素的一般属性，通过持续的加工分析和流转利用，能够与千行百业融合并产生广泛的乘数效应，其突出特点在于非排他性、可复制性、可再生性和高价值性。而伴随经济全球化，数据的跨境流通将越发常见，并日益融入技术创新、产业发展、权益保护、公共秩序乃至国家安全等多元因素。

今年3月22日，国家互联网信息办公室（以下简称“国家网信办”）公布《促进和规范数据跨境流动规定》（以下简称《规定》），《规定》自公布之日起施行。

同日，国家网信办有关负责人在答记者问环节中表示：“《规定》对现有数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的实施和衔接作出进一步明确，适当放宽数据跨境流动条件，适度收窄数据出境安全评估范围，在保障国家数据安全的前提下，便利数据跨境流动，降低企业合规成本，充分释放数据要素价值，扩大高水平对外开放，为数字经济高质量发展提供法律保障。”

随着中国企业越来越多地发力海外市场谋求全球化发展，如何既有序地开展业务，又保证数据跨境流通过程中的安全，已经成为一道必答题。

为积极促进数据依法有序自由流动，我国相继制定实施《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》，对数据出境活动作出明确规定。为落实法律法规要求，我国又进一步出台了《数据出境安全评估办法》《个人信息出境标准合同办法》《数据出境安全评估申报指南》《个人信息出境标准合同备案指南》等文件。2023年9月，国家网信办发布《促进和规范数据跨境流动规定（征求意见稿）》（以下简称《征求意见稿》），并进行了为期半个月的意见征集，直到2024年3月，《规定》正式出炉并施行。

方达律师事务所合伙人张毅是具有国际数据保护经验的中国律师，他指出，《规定》的最终出台体现了我国在维护国家数据安全的前提下，促进数据依法有序自由流动的决心和态度。

“相比《征求意见稿》，《规定》再次明确了我国在数据出境监管问题上的监管态度，即并非任何数据出境活动都需要强监管，不涉及个人信息或者重要数据的数据出境活动都无需进行管理。只有涉及关键信息基础设施运营者、重要数据出境，或者极大量个人信息或敏感个人信息出境的情况下，才需要落实‘数据出境安全评估’这种最为严格的合规制度。”张毅表示。

张毅表示，从对“重要数据”的法律定义来看，各行各业均有可能存在相应的重要数据，在评估某些数据是否可能构成重要数据，最重要的是看相关数据遭遇安全风险后，对国家安全、经济运行、社会稳定、公共健康和安全等因素可能造成的影响程度。另外，从关键信息基础设施运营者的法律定义来看，在实践中，相关行业和领域的主管部门、监督管理部门负责对所属行业、领域的关键信息基础设施进行认定，一般情况下，即使身处前述的重要行业和领域，未接收到认定通知的企业也不构成关键信息基础设施运营者。

《规定》提到，未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估；数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供，处理过程中没有引入境内个人信息或者重要数据的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。“这意味着，企业需要树立对数据进行分类评估的意识，当业务涉及跨境时，要有意识地按照国家有关规定对相关数据进行分类和评估，若涉及重要数据，及时进行申报。这是《规定》给企业带来的重要意义之一。”国内一家面向全球从事IT业务的公司高管汪嘉（化名）表示。

张毅观察到，《规定》出台后，结合过往国家网信办和各地方网信办的监管实践，企业在数据出境实操方面其实已经积累了不少经验，配合落实合规的态度也十分积极。不过，由于监管部门尚未对豁免场景的实际范围和适用标准、特定场景下单独同意的取得、因敏感个人信息触发标准合同备案的申报策略、境外个人信息处理者如何申报等具体问题提供官方指引，企业对实践中如何处理此类问题尚存疑问，期待监管部门能够早日提供明确指引。

当业务开展难以避免跨境的情况下，即使所涉数据无关中国的国家安全、经济运行、社会稳定、公共健康和安全等方面，无需在中国申报数据出境安全评估，也不能掉以轻心，例如中国企业出海时，除了要符合国内对于数据跨境的法律法规，也要符合出海目的地所制定的法律法规，它关系着中国企业在海外能否合规运营下去。

汪嘉说，尽管不同国家对于数据保护和数据跨境的基本原则大体一致，但在具体细则上仍有诸多不同，例如欧盟国家对保护个人数据安全的要求极为严格，任何涉及到个人信息的数据都不允许对外公开，更不允许跨境流动。“如果出海到这类地区，一旦发生数据泄露的情况，企业基本上就不要想继续在欧盟做生意了，法院会把公司告到破产。”

为了规避上述风险，有的中国公司会对国内和海外的业务数据做物理隔离，即在中国产生的数据存储在位于中国的服务器上，在海外产生的数据存储在海外服务器上。若业务必须涉及到境内外数据联动拉通，企业可以通过数据加密等技术手段，或通过寻求相关技术服务提供商的帮助，来实现数据脱敏和传输过程中的数据安全。

张毅介绍，经常遇到数据出境问题的还有在中国开展业务的外资企业，绝大多数在中国开展业务的外资企业，都是由集团统一采用境外集中部署的信息系统，或某些业务由境外总部或者关联方直接运营等原因引发数据出境问题。“事实上，《规定》出台后，不少外资企业也都能够适用‘为履行个人作为一方当事人的合同’‘实施跨境人力资源管理’或者‘当年累计向境外提供不满10万人个人信息’的豁免，来减轻数据出境的合规负担。但值得注意的是，针对能够适用豁免的企业，即使无需申报安全评估或者进行标准合同备案，仍然应当履行《中华人民共和国个人信息保护法》项下针对数据出境应该落实的义务；针对某些无法使用豁免且出境必要性不高的业务场景，企业需要尽早考虑本地化的选项。”

随着数据出海现象的增加，以及中国在数据跨境政策法规上的逐步完善，相关的技术提供商如技术支持、咨询服务、专业培训等，将迎来大量发展机会。例如国内某家做SaaS（软件运营服务）的公司原本服务的都是在中国本土做业务的中国公司，而这些企业后来陆续出海，并想将国内数据与海外数据拉通，此时就需要这家企业想办法一边保证数据跨境流动安全的同时，实现海内外的数据拉通，而这就是市场机会。

但与此同时，挑战也是显而易见的。汪嘉总结出当下数据跨境业务中的三大挑战：其一，对国内和国外有关数据跨境和数据保护政策了解不到位，以及由于政策法规规定不明晰导致企业理解不到位，实践中很多企业会感到困惑，究竟该怎样吃透相关政策法规；其二，市场上真正具备数据分类评估等专业知识技能和经验的人才稀缺，由于数字经济和数据要素等概念在近几年才开始火热，很多企业此前没有意识到要发掘储备相关人才，如今人才市场上也很难找到这类合适的人才，实践中提供相关服务的往往是像律所、咨询公司类的专业机构，它们的员工通过针对性地做项目，逐渐积累起相关经验和专业知识；其三，为了提高数据安全和隐私保护的水平，企业可能需要开发新技术或升级原有技术，比如购买新的硬件、软件或服务，而这需要一定的资金投入，同时，技术升级和数据管理策略的调整也可能是一个长期的投资过程。

北京师范大学法学院博士生导师吴沈括对企业在数据跨境活动中的困惑进行了概括：数据资产情况不明，跨境业务场景不清；内部部门沟通不足，业务合规协同不高；内外监管沟通有限，跨国合规认知有限；国际市场影响有限，合规谈判能力有限。

吴沈括指出，APEC（亚太经济合作组织）的数据显示，自2019年以来，全球跨境数据流产生的GDP总值已经超过跨境商品流。在此图景下，数据跨境流动的治理议题已经在全世界范围内引发了空前广泛的关注度，成为网络空间国际治理领域对话博弈的核心命题之一。对于数据跨境流动，需要综合考察多元复杂的技术、法律和监管问题，以确保数据的安全、合法和有序流动。