【編者按】

2018年9月18日下午，由國家發展和改革委員會及上海市人民政府等單位主辦的“2018世界人工智能大會?靜安國際大數據主題論壇”在上海舉行。

華東政法大學數據法律研究中心向本次論壇的“跨境數據流通”閉門會提交了有關我國數據出境管制政策的研究報告，近二十位與會專家對該報告提出的問題和觀點進行了深度研討。本文是在本次閉門會上形成的專家共識。

歡迎討論。

網絡產生了大量豐富的數據資源，趨動著科技創新、經濟發展和社會治理。人類已經進入數字經濟時代。

網絡的無疆域性、云服務的全球性、大數據跨境的流動性，不僅使數據控制權成為數字經濟參與者爭奪的焦點，而且成為網絡治理和國際秩序的焦點問題。一方面，在網絡開放、自由競爭、貿易自由等觀念驅動下，人們渴望數據自由流動。另一方面，為維護公民權利、經濟安全和政治穩定，需要對數據流動給予適當的控制。于是，數據出境管制（又稱數據跨境流通管制）成為推進數字經濟發展，參與國際經濟新秩序的關鍵基礎制度。

2017年6月1日起實施的我國《網絡安全法》第三十七條規定：“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。”

由此確立的數據境內存儲（又稱數據本地化）和數據出境安全評估制度只針對關鍵信息基礎設施運營者。之所以如此規定，背后的理由是，關鍵信息基礎設施關系到網絡安全，而網絡安全關系到國家安全。因此，這一規定具有正當性和合理性。

為具體落實《網絡安全法》第三十七條之規定，2017年4月，國家互聯網信息辦公室發布《個人信息和重要數據出境安全評估辦法（征求意見稿）》。該征求意見稿以及相關解讀賦予《網絡安全法》過多“使命”，導致我國被國際社會誤解為采取了數據保護主義政策。

為形成有利于我國數字經濟發展的數據出境管制政策，我們特提出以下六條建議。

一、基于《國家安全法》第二十五條構建我國的跨境數據監管制度

依《國家安全法》第二十五條之規定，我國有權維護“關鍵基礎設施和重要領域信息系統及數據的安全可控”。顯然，這里的數據特指關鍵基礎設施的數據和重要領域的數據。這些數據關系到國家安全，據此構筑我國數據出境管制的政策，具有法律正當性。

但如果將我國數據出境管制政策建立在《網絡安全法》基礎上，即存在關鍵信息基礎設施運營者是否能夠涵蓋所有關系到國家安全的重要數據控制者的問題。《個人信息和重要數據出境安全評估辦法（征求意見稿）》制訂的本意是擴大出境數據的管控范圍，將關鍵信息基礎設施運營者擴大為“網絡運營者”。但是，這樣的擴大不僅偏離《網絡安全法》本意，還存在是否能夠涵蓋一切重要數據的問題。其實，一旦超越《網絡安全法》，數據出境管控的主體就是重要數據控制者。

二、分離本地化存儲與出境數據管控之間的聯系

將《網絡安全法》作為數據出境管制的依據還帶來一個問題，即將本地化存儲與數據出境管制直接關聯或等同。

數據本地化與數據跨境監管是兩個不同的概念或制度。本地化存儲最初只是針對國家安全而設置的制度，早在《網絡安全法》頒行之前，對一些特殊行業就有重要數據境內存儲的要求，《網絡安全法》進一步規定“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲”也不為過。

但是，如果將個人信息也納入，就會引發個人信息是否都關系到國家安全的疑問。為消除人們的疑慮，除了限定《網絡安全法》的本地化存儲的適用范圍（即限定是“關鍵信息基礎設施運營者”在境內生產的數據）外，還要分離本地化存儲和出境管制的關系。

數據的本地化并不意味著數據不能出境。數據出境管制是由數據是否關系到國家安全，而不是數據的本地化存儲來決定的。《網絡安全法》之所以要求將關鍵信息基礎設施上產生的個人信息也納入本地化存儲，主要也考慮的是本國司法和執法便利，緩和目前國際司法協助程序繁雜帶來的本國法律實施困難。這與數據出境管控沒有直接聯系。

因此，《網絡安全法》所要求的“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲”，不宜理解為嚴苛型的本地化（禁止數據出境），而應理解為是可以出境甚至是允許境外訪問的本地化存儲。應將本地化存儲與數據出境管制分離。

三、區分重要數據和個人數據，建立不同出境管制政策

重要數據和個人數據（個人信息）出境規制政策不同。重要數據應當納入出境管制范圍，原則上不允許出境；而個人數據則不宜納入數據出境管制范圍，在同等保護前提下，遵循一定規則即可以出境。

這是因為，一般來講個人數據僅關系到數據上的公民個人權益保護問題，一般不涉及國家安全。因而國際社會通行的基本原則是，只要個人數據的目的國（進境國）對個人數據的保護達到出境國的個人數據保護水平，或者有其他機制使出境后的公民個人數據得到保護，那么應當允許公民個人數據流出境外。因此，個人數據出境問題并不是數據出境管制問題，而是國家基于保護公民權益的義務，對個人數據出境施加的限制。這種限制目前在國際社會被認為是合理的、可接受的。

但是，重要數據出境是國家基于維護經濟和政治安全或國家安全而實施的管控，一般不納入到貿易談判中進行協商，而是由國家建立統一的限制和禁止數據出境的基本原則和制度規則，然后由各行業主管部門監管和實施本行業的數據出境監管。

比如，我們可以結合《保守國家秘密法》、《地圖管理條例》等法律法規，發展出以維護國家安全目的的禁止和限制出境數據的目錄清單，建立動態調整機制，規定在目錄清單之內的數據納入數據出境監管，而目錄清單外的數據即可出境。這樣的數據出境管制才是真正的出境監管。顯然，在這樣的監管體制下，重要數據是否能夠出境，不是企業或單位自評估可以決定的事情。

我們認為，自評估不能適用于重要數據，并作為重要數據出境的一種管制措施。適用于數據控制者的數據管制政策應當是國家統一制度，不應是數據控制者自主評估決定的事情。

需要指出的是，區分個人數據與重要數據并實施不同的出境政策，并不意味著個人數據不能納入出境監管。特殊人群的數據、特定種類的個人數據（比如基因）因為其重要性，仍然可以納入到國家的數據出境監管體系。但是，相關評價標準仍然是是否關系到國家安全，而不是關于個人的信息是否產生于境內。

四、安全評估不宜作為個人數據出境的條件

依據《網絡安全法》的規定，數據安全評估被作為數據是否可以出境的管控方式，且被理解為替代事前監管的事中監管措施。

即使安全評估被理解為我國“放管服”政策下，減少事前監管，增強市場主體自我責任的重要措施，我們也認為自我評估不宜作為個人數據出境控制的手段。這是因為，數據出境是否安全，需要評估的是數據流入國的數據保護水平，而這樣的保護水平讓一個企業或單位自評，不僅困難，徒增成本，而且有主觀性，可能造成對同樣的國家有不同的評估結果。至少在他國保護水平方面，適用國家相互認定（協定）或者權威的中立機構加以認證決定，而不適用每個數據出境者自己評估。

數據出境者自己能夠評估的是在公認的保護水平下，所要出境的數據是否會有風險。因此，數據安全評估多被許多法律認可為是數據控制者利用合規和風控的手段，數據能否出境或出境的條件則是由法律規定的。比如歐盟條例就規定了國家協定、公司約束規則、示范合同等多種數據出境方式。因此，我們不反對安全評估在數據出境中的應用，但是，它不應作為個人數據出境的條件，不能承擔法律或者國家應當承擔的職責。

五、在數據經濟戰略下制定個人數據保護和利用規則

有了我國的個人數據保護規則，然后才能尋求國外的同等保護或充分保護，才有談判的基礎，因此，加快制定我國的個人信息保護法已成共識。

個人數據成為當今數字貿易秩序構建的要素，因而個人信息保護法必須同時考慮個人數據跨境流通問題。在經濟日益全球化、數字經濟日益跨境的背景下，我們的個人信息保護法還必須考慮我國對境外數據的獲取和開拓國際市場問題。畢竟，在個人數據領域奉行的是同等保護原則，在國際貿易和經濟合作中奉行的是互惠互利原則，我國對個人數據出境的過度限制勢將成為我國經濟全球化、開拓全球服務市場的障礙。因此，個人信息保護立法應當與跨境數據流動政策同步，或者為今后的跨境數據貿易談判貿下余地。

這樣，數據出境條件和出境通道的設置就具有經濟含義，而不再是單純的公民權利保護問題。因此，個人信息保護法應當平衡經濟發展和安全利益。形成有利于我國參與全球數字市場競爭的個人數據流通利用規則，應當成為正在制定的個人信息保護法的重要目的。

六、積極參與國際談判，為我國數字經濟發展爭取更多空間

數據流動是國家間投資貿易的必然要素。對傳統經濟而言，無數據流動，就沒有國際合作和貿易；對數據經濟而言，沒有數據跨境流動，就沒有境外市場開拓和跨境服務。

在這樣的背景下，數據跨境流動政策就成為未來國際新秩序的關鍵要素。這一點從美國貿易代表辦公室（USTR）已將“數字貿易”列入《北美自貿易協定》（NAFTA）重新談判目標中可以看出端倪，“數字貿易”也成為如今《跨太平洋伙伴關系全面進步協定》（CPTPP）和《服務貿易協定》（TiSA）的主要內容。

所有的國際貿易談判或協議都是基于本國經濟實力和利益訴求作出的妥協。我國雖然有發達的網絡應用和體量龐大的網絡經濟，但在基礎網絡和數據服務的關鍵技術方面與美歐仍有一定差距。這樣，數據（本質上是市場）就成為我國參與新的國際競爭秩序的重要談判砝碼。因此，我國應當形成和堅持統一的正確數據跨境流動政策，在開放和保護、管制與自由之間尋求平衡點，通過雙邊協定方式來推進國際數字經濟新秩序的形成。

歐盟推出的《統一數據保護條例》（GDPR）已給我國企業帶來合規壓力，在這樣的情形下，我國應當積極與歐盟談判，尋求已經在歐盟有業務的中國企業數據合規的過渡性解決方案，并最終促成歐盟認可我國企業對個人數據的保護水平。