作者：吳凡

　　數據在當今世界具有鮮明的時代特性，且具有天然的流動優(you) 勢，在全球化時代，數據隨著流動而不斷增值。近年來，隨著數字經濟的蓬勃發展，數據跨境活動日益頻繁，數據處理者的數據出境需求快速增長。但是，數據流動本身便意味著風險存在，在促進數據自由流動的同時，也應妥善應對和防範數據出境安全風險，實現數據流動與(yu) 數據保護的平衡。

　　2022年7月7日，國家互聯網信息辦公室公布《數據出境安全評估辦法》（以下簡稱《辦法》），自9月1日起施行。《辦法》旨在落實網絡安全法、數據安全法、個(ge) 人信息保護法的規定，規範數據出境活動，保護個(ge) 人信息權益，維護國家安全和社會(hui) 公共利益，促進數據跨境安全、自由流動，切實以安全保發展、以發展促安全。

　　數據跨境流動在形式上可以分為(wei) 數據入境與(yu) 數據出境。根據《辦法》，數據出境活動主要包括：一是數據處理者將在境內(nei) 運營中收集和產(chan) 生的數據傳(chuan) 輸、存儲(chu) 至境外。二是數據處理者收集和產(chan) 生的數據存儲(chu) 在境內(nei) ，境外的機構、組織或者個(ge) 人可以訪問或者調用。實際上，數據跨境流動不僅(jin) 會(hui) 涉及跨境貿易等經濟問題，也會(hui) 涉及私權保護、國家安全、主權管轄等問題。而與(yu) 數據入境相比，數據出境存在的風險可能更大。對於(yu) 個(ge) 人來說，數據出境後，易引發個(ge) 人數據泄露和數據濫用問題；對於(yu) 企業(ye) 而言，數據出境可能帶來技術、資產(chan) 和組織管理等方麵的弊端；在國家層麵，則可能涉及本國的數據利益和安全。因此，對數據出境進行法律規製，是許多國家的普遍做法。

　　我國關(guan) 於(yu) 數據出境的法律規製，主要規定於(yu) 網絡安全法、數據安全法、個(ge) 人信息保護法之中。在這三部法律出台之前，我國立法對於(yu) 數據跨境流動的問題有所涉及，但僅(jin) 針對特定對象，以業(ye) 務數據和行業(ye) 信息為(wei) 主。2013年，工信部實施了《信息安全技術公共及商用服務信息係統個(ge) 人信息保護指南》，其中規定，個(ge) 人信息管理者向境外轉移個(ge) 人信息，須合乎法律，經信息主體(ti) 明示同意或主管部門同意。這是對於(yu) 個(ge) 人信息的跨境流動的一般性規定，但是該文件的立法層級較低，所規範的範圍也僅(jin) 限於(yu) 個(ge) 人信息。此外，其他法律法規與(yu) 規章中也間接涉及數據跨境流動的問題，如國家安全法和保守國家秘密法分別從(cong) 檔案、國家秘密的角度對該問題進行了規製。但綜合而言，這一時期我國對於(yu) 數據跨境流動的規製並不充分，相應的規則也比較概括，且缺乏配套製度。

　　2016年起，隨著網絡安全法、數據安全法、個(ge) 人信息保護法等法律的陸續出台，我國基本構建了數據治理的法律製度。其中，根據網絡安全法第37條規定，關(guan) 鍵信息基礎設施運營者在我國境內(nei) 運營中收集和產(chan) 生的個(ge) 人信息和重要數據原則上應當遵循本地化儲(chu) 存原則，確需進行跨境傳(chuan) 輸時應當履行數據出境安全評估義(yi) 務。數據安全法第30條和第31條規定了重要數據處理者的風險評估義(yi) 務，以及關(guan) 鍵信息基礎設施運營者和其他數據處理者在我國境內(nei) 運營中收集和產(chan) 生的重要數據的數據出境安全評估義(yi) 務。個(ge) 人信息保護法第36條和第40條規定了國家機關(guan) 處理的個(ge) 人信息在向境外提供時，應當進行安全評估，以及關(guan) 鍵信息基礎設施運營者和處理個(ge) 人信息達到規定數量的個(ge) 人信息處理者，在向境外提供個(ge) 人信息時，應當進行安全評估。然而，上述法律並未對數據出境評估規範進行細化規定，導致實踐中對數據出境進行安全評估時缺乏具體(ti) 實施規則，不利於(yu) 依法規範開展數據出境安全評估，維護個(ge) 人信息權益、國家安全和社會(hui) 公共利益。

　　此次《辦法》在遵循上述法律基本要求的前提下，對數據出境安全評估規範進行了細致的規定。《辦法》第2條明確規定，數據處理者向境外提供在中華人民共和國境內(nei) 運營中收集和產(chan) 生的重要數據和依法應當進行安全評估的個(ge) 人信息，應當按照本辦法的規定進行安全評估。在適用對象上，《辦法》並未采用網絡安全法、數據安全法、個(ge) 人信息保護法中“關(guan) 鍵信息基礎設施運營者”“重要數據處理者”“其他數據處理者”的表述，而是統一使用“數據處理者”，在適用對象上更具廣泛性和包容性。

　　《辦法》確定了事前評估和持續監督相結合、風險自評估與(yu) 安全評估相結合的基本原則，明確了應當申報數據出境安全評估的具體(ti) 情形，內(nei) 容涵蓋關(guan) 鍵信息基礎設施運營者、重要數據處理者、處理個(ge) 人信息達到規定數量的個(ge) 人信息處理者以及其他數據處理者等；規定了數據處理者向境外提供數據滿足規定情形時的兩(liang) 類評估義(yi) 務，即數據出境安全自評估與(yu) 監管部門數據出境安全評估，同時，要求數據處理者與(yu) 境外接收方訂立合同時應當充分約定數據安全保護責任。上述規定，填補了過去法律規定的空白，有利於(yu) 我國數據出境企業(ye) 和權益受損的個(ge) 人依法進行維權，也對監管部門全方位審查數據出境活動的安全風險程度提供了更加全麵客觀的指南，有助於(yu) 靈活高效應對數據跨境流動中可能存在的治理難題，提升數據出境安全評估治理效能。

　　實踐中，數據出境安全保護環境複雜多變，《辦法》的有效落實需要相應機製的配合。在遵循網絡安全法等上位法的規範，維護法律法規間的統一性與(yu) 係統性的基礎上，一方麵，應加強數據跨境流動治理領域的國際合作，推動國際協定與(yu) 國內(nei) 治理的有效銜接；另一方麵，應切實發揮行業(ye) 協會(hui) 與(yu) 企業(ye) 的積極性與(yu) 能動性，減輕政府對數據跨境流動風險審查的壓力。（吳凡）