隨著國際數字貿易的飛速發展，數據跨境流動成為各國和地區數據信息交流和經貿往來的重要形式和通路。數據跨境流動的爆炸式增長在促進國際數字貿易繁榮的同時，也對個人信息安全、數據產業發展甚至國家數據安全帶來了挑戰，諸如個人信息泄露、商業數據違規披露、國家數據主權沖突等層見疊出，如何規范數據出境活動，促進數據跨境安全、自由流動，維護個人信息權益、國家安全和社會公共利益成為社會各界關注的熱點與難點。

數據出境合規體系更加完善

10月29日，國家互聯網信息辦公室(下稱“網信辦”)就《數據出境安全評估辦法(征求意見稿)》(下稱《征求意見稿》)向社會公開征求意見。《征求意見稿》共十八條，內容囊括了數據處理者應當申報數據出境安全評估的具體情形、申報數據出境安全評估應當提交的材料、數據處理者風險自評估與監管部門安全評估、數據處理者與境外接收方訂立合同要求、數據出境安全評估主管部門、重新申報評估情形以及相關法律責任等，對數據出境安全評估提供了明確的規則指引。

在《征求意見稿》)發布前，《中華人民共和國網絡安全法》(下稱《網絡安全法》)《中華人民共和國數據安全法》(下稱《數據安全法》)和《中華人民共和國個人信息保護法》(下稱《個人信息保護法》)從法律層面建立了數據出境合規機制，構建了科學系統的網絡空間數據出境合規法律體系。

具體而言，《網絡安全法》第37條規定了關鍵信息基礎設施運營者在我國境內運營中收集和產生的個人信息和重要數據原則上應當遵循本地化儲存原則，確需進行跨境傳輸時應當履行數據出境安全評估義務。

《數據安全法》第30條和第31條規定了重要數據處理者的風險評估義務，以及關鍵信息基礎設施運營者和其他數據處理者在我國境內運營中收集和產生的重要數據的數據出境安全評估義務。

《個人信息保護法》第36條和第40條規定了國家機關處理的個人信息在向境外提供時，應當進行安全評估，以及關鍵信息基礎設施運營者和處理個人信息達到規定數量的個人信息處理者，在向境外提供個人信息時，應當進行安全評估。然而，上述法律并未對數據出境評估規范進行細化規定，導致實踐中對數據出境進行安全評估時缺乏具體實施規則，不利于依法規范開展數據出境安全評估，維護個人信息權益、國家安全和社會公共利益。

本次《征求意見稿》在遵循上述法律基本要求的前提下，對數據出境安全評估規范進行了細致的規定。《征求意見稿》第2條明確規定：數據處理者向境外提供在中華人民共和國境內運營中收集和產生的重要數據和依法應當進行安全評估的個人信息，應當按照本辦法的規定進行安全評估。

在適用對象上，《征求意見稿》并未采用《網絡安全法》《數據安全法》《個人信息保護法》有關“關鍵信息基礎設施運營者”“重要數據處理者”“其他數據處理者”的表述，而是統一采用“數據處理者”，在適用對象上更具廣泛性和包容性。當然，也存在與現有法律如何銜接的問題，可能會引發對“數據處理者”這一概念的不同理解，不利于對數據出境活動中負有核心義務的數據處理者做規范化、系統化及法治化的認定。

《征求意見稿》重要內容解析

一是堅持事前評估和持續監督相結合、風險自評估與安全評估相結合。《征求意見稿》第3條明確指出“數據出境安全評估堅持事前評估和持續監督相結合、風險自評估與安全評估相結合”，對數據出境評估流程進行了清晰的制度構建。其中，事前評估具體體現為風險自評估與安全評估制度，通過數據處理者對風險自評估與監管部門所做的外部安全評估，可及時發現并預判數據出境可能存在的潛在風險或已知風險，及時采取措施化解風險，降低數據泄露對個人信息權益、社會公共利益和國家利益的影響。

持續監督具體體現為數據出境評估結果有效期制度，根據《征求意見稿》第12條，數據出境評估結果有效期兩年，如在有效期內出現本條規定的特定情形，數據處理者需要向監管部門重新申報數據出境安全評估。通過事前評估與持續監督“雙管齊下”，《征求意見稿》建立了全流程、全鏈條、全周期的數據出境風險防范與化解機制，有助于靈活高效應對數據跨境流動中可能存在的治理難題，提升數據出境安全評估治理效能。

二是明確應當申報數據出境安全評估的具體情形。《征求意見稿》第4條明晰了數據處理者應當申報數據出境安全評估的具體情形，內容涵蓋關鍵信息基礎設施運營者、重要數據處理者、處理個人信息達到規定數量的個人信息處理者以及其他數據處理者等，并將規定數量確定為“處理個人信息達到一百萬人”或“累計向境外提供超過十萬人以上或者一萬人以上敏感個人信息”。該規定立足個人信息跨境流動的客觀風險來源與我國個人信息保護制度的具體要求，契合實踐中對個人數據(信息)跨境流動風險防范的現實需求。當然，如該條得以施行，仍需遵循《網絡安全法》《數據安全法》《個人信息保護法》等上位法的規范，維護法律法規間的統一性與系統性。

三是明確規定數據出境安全自評估與數據出境安全評估。《征求意見稿》規定了數據處理者向境外提供數據滿足規定情形時的兩類評估義務，即數據出境安全自評估與監管部門數據出境安全評估。第5條明確規定了數據出境風險自評估的具體事項，有助于數據處理者全面分析和預測數據安全風險，形成系統的數據出境風險自評估報告，為監管部門進行數據安全評估提供參考，形成政府與企業數據出境安全評估交流的互動機制。第8條對監管部門數據出境安全評估的事項進行了細化規定，填補了《網絡安全法》《數據安全法》《個人信息保護法》對數據出境安全評估事項的規定空白。且第8條規定的數據出境安全評估事項在范圍上大于第5條數據出境風險自評估事項，這將對監管部門全方位審查數據出境活動的安全風險程度以及數據處理者相應安全保障措施的適當性，提供更加全面客觀的指南。

四是要求數據處理者與境外接收方訂立合同應當充分約定數據安全保護責任。境外數據接收方的技術安全能力，處理數據的用途、方式，以及出境數據是否會再轉移等因素，均會影響數據保護水平，對數據跨境流動安全產生挑戰。故在與境外接受方訂立合同時，充分約定數據安全保護責任，是強化境外接收方按照我國法律履行數據安全保護義務的重要保障，有助于提供具有約束力的行權條款和爭議解決條款，在境外接收方出現違約情形時，便于我國數據出境企業和權益受損的個人依法進行維權。

同時，數據安全保護責任也是監管部門數據出境安全評估以及重新申報數據出境安全評估的重要內容或影響因素，隨著《征求意見稿》對境外接收方數據安全保護責任的規定，數據出境安全將迎來更加系統的安全保障體系，在日趨激烈的國際數據爭奪戰中，為維護我國數據主權、安全和發展利益提供強有力的法治保障作用。

五是明確重新申報數據出境安全評估的情形。實踐中數據出境安全保護環境復雜多變，譬如，數據出境目的、方式、范圍變化，境外接受方改變數據用途、使用方式，境外接收方所在國家或地區法律環境變化，數據出境合同變更等因素，均會從實質上改變數據出境安全環境。根據《征求意見稿》第20條對重新申報數據出境安全評估的規定，數據出境評估結果有效期兩年，除非出現本條規定的特定情形，否則無需重新申報數據出境安全評估。作為數據出境評估結果有效期制度的重要組成部分，重新申報規定在保持數據出境安全穩定性的同時，有助于靈活應對數據出境安全保護環境變化，實現全場景、全鏈條、全周期防范數據出境安全風險。

保障數據出境安全需多措并舉

數據的價值在于流動，只有在持續高質量的流動中才能充分發揮和挖掘數據價值，最大效能釋放數據紅利。作為數據出境安全評估的重要價值目標之一，《征求意見稿》第3條明確指出“保障數據依法有序自由流動”，然而，數據流動本身便意味著風險存在，在促進數據自由流動的同時，也應妥善應對和防范數據出境安全風險，實現數據流動與數據保護的平衡。故立足于我國數據出境流動治理的現實情況，建議多措并舉保障數據出境安全，維護我國在全球數據經濟活動中的合法權益。

第一，在制度建構層面，根據《數據安全法》《信息安全技術數據出境安全評估指南(征求意見稿)》等法律、國家標準的規定，盡快建立數據分類分級制度。根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護。對不同安全層級的數據采取不同層次的保護水平，降低數據出境對國家安全、社會公共利益的影響，最大限度避免數據安全事件的發生。

第二，在國際合作層面，加強我國在數據跨境流動治理領域的國際合作。一方面，加緊推進國際合作渠道尤其是區域性合作渠道的建立，9月16日，中國正式申請加入《全面與進步跨太平洋伙伴關系協定》(CPTPP)，CPTPP針對互聯網規則和數字經濟設定了較高標準，其中涉及數據跨境流動與數據本地化存儲等問題，在正式加入后可能成為溝通我國與世界各國數據合作的紐帶;另一方面，可以嘗試將國際協定與國內治理進行銜接，率先與已經構建起良好協作關系的國家或地區進行數據跨境流通的先行先試，逐漸推動國內治理機制與國際規則的雙向交互發展。

第三，在監管層面，完善數據跨境流動行業監管體系，建立數據安全監管平臺。當前，數據安全風險更多地來源于數據運行周期的不可控性，數據安全風險存在于數據收集、存儲、分析、加工、共享到銷毀的每一環節。故有必要借助數據交易中心的建設，建立數據安全監管平臺，做到對數據跨境流動全周期監控和實時預警，維護市場交易穩定與安全，推動數據市場健康發展。

第四，在行業自律和企業合規層面，切實發揮行業協會與企業的積極性與能動性，減輕政府對數據跨境流動風險審查的壓力。在行業自律方面，應充分發揮行業協會自身優勢，積極參與到維護數據安全、促進數據競爭的治理中，推動建立行業內部懲戒機制、健全行業自律規則、完善數據跨境流動規范，形成公平有序、開放競爭、安全可靠的數據跨境流動治理行業標準。

在企業合規方面，除積極引導企業開展合規工作外，還應建設企業合規的新工具，譬如，構建企業資質認證制度，對企業的數據保護能力及專門從事數據跨境傳遞業務的水平等資質進行考核評定，做好事前資質審查，避免等待審查、重復審查的情況出現。同時，針對數據出境不可逆的特性，企業應充分重視境外合規工作，通過加強與高校、科研機構的深入合作，準確把握境外接收方所在國家或者地區的數據治理法律制度，靈活應對域外法律環境的變化，采取有效措施避免或降低域外相應制度對我國數據利益的不當影響。