隨著數字經濟快速發展，數據作為數字經濟的核心要素，已經成為國家之間爭奪的重要戰略資源，“數據主權”、“數據隱私”、“數據跨境流通規則”等越來越受到國際的關注。歐美已經形成較為體系化的數據跨境管理制度，完善我國數據出境管理規則勢在必行。2022年7月7日，國家互聯網信息辦公室正式公布《數據出境安全評估辦法》（以下簡稱《評估辦法》），就個人信息和重要數據的出境安全評估管理措施提供具體的法律解決方案，是我國破題數據跨境流動管理規則的重要實踐?！对u估辦法》不僅是對《網絡安全法》《數據安全法》《個人信息保護法》等法律法規中“出境數據安全評估”規定的細化落實，也是保護我國基礎性戰略資源和國家安全的關鍵措施。

一、加強數據跨境流動管理成為主要國家的共識

數字技術的蓬勃發展多層次地影響著世界經濟格局，數據逐漸成為各國新一輪國際政治博弈中爭奪的重要資源。當前，數據資源的全球競爭中，越來越多的國家或地區立足于發展利益，制定了相應的數據跨境管理規則。

（一）美國推動基于信任的數據跨境自由流動

美國積極推進有利于自身的跨境數據流動規則，在倡導數據自由流動的同時，也對關鍵領域數據出境施加限制措施，EO 13556號行政令嚴格限定了關鍵基礎設施、金融、稅收等近20個門類數據的傳播范圍，《外國投資風險審查現代化法》《出口管制條例》等法律通過外商投資安全審查、出口管制等手段對人工智能關鍵技術、敏感個人數據等采取相關跨境限制措施。

（二）歐盟建立高水平保護的數據跨境流動規則

歐盟的跨境數據流動政策主要體現在對個人數據的保護和限制，其《通用數據保護條例》（GDPR）構建了一套高標準的數據保護機制，并為涉及個人數據出境業務的企業或機構提供了數據保護充分性認定、約束性公司規則（BCR）和標準合同條款（SCC）等多種合規渠道和工具，而充分性認定是通過建立“白名單”對其數據流入國進行嚴格限定。同時，為滿足安全和執法訴求，歐盟也提出了數據的域外管轄要求。

（三）其他國家加緊完善數據跨境流動政策

除日本、韓國、澳大利亞等已經加入美國數據跨境規則陣營的國家外，其他國家普遍采納謹慎的數據跨境流動政策。印度、巴西等國家參照歐盟GDPR建立了要求較為嚴格的數據跨境傳輸規定。俄羅斯將數據本地化作為跨境傳輸的前提，奉行較為嚴格數據跨境傳輸管控措施。根據有關數據，從2017年到2021年，要求數字信息存儲在特定國家的法律、法規和政府政策的數量增加了一倍多，達到144個。

二、我國數據出境安全評估形成國家數據安全重要防線

伴隨數字經濟蓬勃發展，融入全球數據跨境流動的趨勢不可避免。我國作為世界數據資源大國之一，面臨的數據安全風險相較于其他國家也更為嚴峻，亟需建立健全數據跨境管理規則?！对u估辦法》立足維護國家安全和社會公共利益、保護個人信息權益，構建了我國數據出境安全評估的制度，將事前評估和持續監督相結合、風險自評估與安全評估相結合，防范數據出境安全風險，保障數據依法有序自由流動。

（一）《評估辦法》落實上位法的數據出境安全評估要求

《網絡安全法》第37條要求，關鍵信息基礎設施運營者向境外提供個人信息和重要數據應當進行安全評估，首次從法律層面提出了數據出境安全評估要求?！稊祿踩ā返?1條將重要數據出境管轄范圍由關鍵信息基礎設施運營者拓展至所有數據處理者，《個人信息保護法》第40條要求達到規定數量的個人信息處理者向境外提供個人信息需要進行安全評估，進一步完善了數據出境安全評估的范圍和合規機制。本次出臺的《評估辦法》落實這三部法律的數據出境管理規定和要求，明確了數據出境安全評估的適用條件、評估流程、管理機制等，使數據出境安全評估制度具體落地。

（二）《評估辦法》劃定可能影響國家安全的數據出境行為

由于數據出境安全評估重點評估數據出境活動可能對國家安全、公共利益、個人或者組織合法權益帶來的風險，因而《評估辦法》對需要進行安全評估的適用情形進行了限定，框定出真正可能影響國家安全和公共利益等的情形，盡量減輕安全評估流程對數據處理者和數據出境業務的影響。

從出境數據的類型看，若向境外提供重要數據，需要進行安全評估，這是由數據性質決定的安全評估情形。從數據處理者來看，關鍵信息基礎設施運營者和處理個人信息達到特定數量的個人信息的數據處理者（處理100萬人以上個人信息的數據處理者、自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者）向境外提供個人信息，也需要進行安全評估，這是由處理者本身的屬性、個人信息規模等因素決定的安全評估情形。除上述情形外，《評估辦法》設有兜底條款，不排除將來會根據工作需要提出其他的評估條件，亦可能根據評估實踐作出例外的制度安排。

（三）《評估辦法》強化數據處理者的數據出境風險自評估義務

《評估辦法》除了規定必須向網信部門申請安全評估的數據出境情形外，還要求所有數據處理者需要在向境外提供數據之前開展數據安全風險的自評估，其主要目的在于要求數據處理者開展事先評估，將合規監管前置，預防數據出境安全風險。其要點包括：數據出境的合法、正當、必要性，數據出境中和出境后可能存在的安全風險，境外數據接收方承擔數據保護義務的能力，所簽署法律效力文件約定責任義務的充分性等，為數據處理者開展數據出境業務提供了詳細參考。

三、我國數據跨境流動管理的展望

《評估辦法》的正式出臺和實施，將為國家數據安全工作筑牢堅實“防線”。未來，隨著標準合同條款、數據出境安全認證等其他數據跨境監管措施的落實，我國的數據跨境管理制度體系將更為完善，乃至形成全球數據跨境流動規則的中國方案。

（一）加快完善數據跨境流動管理制度

按照數據安全和個人信息保護的頂層立法，持續完善我國數據跨境管理的配套規范，設置標準合同、保護能力認證、例外事項等多元數據出境途徑，兼顧數據安全與數據跨境流動應用。同時，針對出境國家地區政治環境、國際關系、數據保護水平等因素，劃分數據出境風險等級，制定差異化的數據出境管理要求，保障我國數據出境安全。

（二）建立數據跨境流動技術保障體系

堅持管理制度與技術措施相結合，將制度要求轉化為技術要求進行落實。建立數據全生命周期安全保護管理措施，加強出境數據全生命周期的備案、防護、檢測評估和安全監管。針對企業數據跨境傳輸和應用需求，加強數據安全防護技術能力建設，保障數據跨境流動安全。

（三）加強數據跨境流動管理國際合作

依托G20、世界互聯網大會等多邊對話機制和國際性會議，宣傳我國數據跨境流動的主張，吸引更多國家支持和參與《全球數據安全倡議》，促進達成數據合法、安全有序跨境流動相關共識。積極參與全球數據規則制定，在當前雙邊、多邊貿易談判中增加關于數據跨境流動條款，為我國數字企業“走出去”奠定基礎。（作者：黃鵬 國家工業信息安全發展研究中心總工程師）