我國企業數據出境的安全監管問題研究*

焦小妹，沈本秋

(廣州大學 公共管理學院，廣東 廣州 510006)

0 引言

數據跨境流動，又稱信息跨境流動、信息跨境轉移，是指通過各種技術和方法，實現數據跨越國境(地理疆域)的流動[1]。數字貿易時代，數據流牽引和驅動著商品流、業務流、資金流及人才流等一系列全球貿易活動，數據跨境流動規模大幅增長，已成為促進全球經濟增長的主要引擎。數據跨越國家地理邊界時，地緣政治、產業競爭、數據主權博弈、數據泄露、非法傳輸等問題都可能出現，個人、企業和國家的數據權益亦會受到影響。出于數據安全性考慮，建立并完善數據安全監管機制已成為各國的主要著力點。數據跨境包括數據出境和數據入境。相對于數據入境，數據出境風險更大，本文的討論語境正是數據出境安全監管。我國“十四五”規劃明確提出要建立跨境數據流動安全監管制度。近年來，我國陸續出臺《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)、《中華人民共和國數據安全法》(以下簡稱《數據安全法》)、《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)等法律法規保障國家數據安全，但尚未出臺完備的數據出境安全監管制度。我國目前的數據跨境流動監管機制與位居世界第二的數字經濟規模仍不匹配。

國內學者主要從三大視角對數據跨境流動安全監管進行研究。一是從立法角度比較分析各國數據跨境流動的規制路徑，發現當前國際上存在四種典型的立法取向：美國經濟利益最大化原則下的寬松立法、歐盟人權保護原則下的嚴格立法、俄羅斯數據主權安全戰略下的本地存取型立法、澳大利亞數據安全與發展利益均衡原則下的折中型立法[2]。其中，美國與歐盟在數據跨境流動領域已建立了相對完善的監管體系[3]。美國憑借信息通信技術和互聯網企業實力優勢采取了最為寬松的監管模式和最低限度的隱私權保護制度；歐盟基于尊重和保護人權的立法傳統，采取了更高標準的個人信息保護和更嚴格的數據跨境流動監管規則[4]。第二種視角聚焦政策制定偏好，各國在數據跨境流動政策制定中會綜合考慮跨境雙方的數據處理技術能力、數字產業規模、數據安全保護立法、國際規則對接等因素，繼而在寬松立法、嚴格立法、低保護立法、本地化存取型立法和折中型立法中選取最適合本國國情的數據跨境監管政策[5]。也有少數學者聚焦第三種視野，探討數據跨境的安全風險與監管策略。有研究從金融數據跨境[6]、電商數據跨境[7]、粵港澳大灣區數據流動[8]等具體問題探討機制與對策，也有研究從個人數據權益受侵害、國內數據資源流失以及國家社會安全受威脅的角度分析了數據跨境流動面臨的風險[9]，還有研究從國家安全、商業利益、個人信息保護三個方面分析了海量數據的跨境流動給我國帶來的挑戰[10]。

總的來說，國內學者對數據跨境流動監管的研究重點聚焦于法學和政治學視野，從政府管理視野進行的研究相對薄弱；在研究對象的選擇上，主要集中于國家、區域、行業、個體的數據跨境流動監管，對企業數據出境合規監管的研究較少。目前，跨國企業在國際數字貿易中扮演著重要角色，深入剖析政府對企業在數據出境過程中的監管問題及原因，有利于更有針對性地加強對數據跨境流動的合規指導與安全監管。本文以企業數據跨境管理問題為導向，明確出境數據全生命周期安全，針對跨境數據采集、存儲、傳輸與交換、銷毀等環節出現的問題，從制度依據、分類分級標準、國際合作、機構協同方面分析深層原因，并為我國建立完善的數據跨境流動監管體系提供參考性建議。

1 我國企業數據出境的安全風險

在國內企業“走出去”和“一帶一路”倡議的大背景下，境內企業海外上市、設立海外分支機構、海外并購、與境外企業合作等商務活動日益頻繁，數據跨境流動需求顯著增強。跨境數據不可避免地涵蓋個人隱私信息、商業秘密和國家信息安全等敏感數據。隨著數據跨境流動和使用規模越來越大，所產生的安全威脅與隱私挑戰也隨之增加。一些企業違反我國“數據本地化存儲”的基本原則及相關行業數據出境管理規定，向境外提供大量敏感數據，給我國個人信息和國家數據安全帶來了沖擊和威脅。

1.1 外資企業數據出境帶來安全風險

首先，我國關于數據出境的安全管理規則還不完善，導致外資企業在數據出境管理中存在不確定性。目前在中國運行的外資企業有42.9萬家，外資企業為中國社會經濟做出貢獻的同時，企業數據跨境流動也給我國帶來了數據安全風險。《數據安全法》《個人信息保護法》要求關鍵信息基礎設施的運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者，在中國境內收集和產生的個人信息及重要數據應當實現存儲本地化和跨境傳輸的安全風險評估。這兩部法律明確了相關外資企業的數據安全管理責任與法律義務，但是對于外資企業的具體類型、數據出境安全管理的相關規則仍不明確，具體行業所涉及重要數據的定義、范圍及認定程序也未厘清，使得一些外資企業在數據存儲、跨境傳輸、數據銷毀中存在許多不確定的因素。例如，不少外資企業的信息技術團隊設立在境外，通過互聯網訪問并處理境內服務器上存儲的數據來提供遠程技術服務，而這種遠程訪問情形理論上也屬于“數據出境”，在一定程度上亦會對境內存儲的數據構成一定風險威脅。

其次，以美國為首的數字強國，通過“長臂管轄權”等舉措，延展國內數據安全法的域外適用范圍，獲取源自我國的數據。美國2018年頒布《澄清海外合法使用數據法》(CLOUD ACT)，秉承“誰擁有數據誰就擁有數據控制權”的理念，澄清了美國執法機構請求通信服務提供商所保管數據的地理范圍，為其監管部門請求訪問、程序調取美國公司存儲在境外的數據提供了一個有利的機制。此舉措將獲取美國境外數據的行為合法化，從而避開了數據實際存儲國的法律制度，該法案打破了以往跨國數據調取過程中遵循的數據屬地管轄模式，構建了以實際控制權限為依據的標準框架[11]。這種“長臂域外管轄”與我國“境內存儲+跨境評估”的管理規則存在矛盾，容易引發數據安全糾紛。例如，(中國)特斯拉(Tesla)汽車通過安裝攝像頭、激光雷達等傳感器采集車內外環境，獲得了人臉圖像、個人語音、車輛行駛信息、道路信息等個人信息和敏感數據，并將上述數據傳輸至境外總部，這一行為嚴重違反了我國數據保護原則。特斯拉車主維權事件發生后，特斯拉才公開表示“今后在中國采集的數據會嚴格遵守中國的數據安全監管規定”。

1.2 境內企業海外上市、海外并購中的數據安全風險

近年來越來越多的國內企業在美國證券交易所上市融資。據相關數據顯示，2021年上半年，在美國納斯達克或紐交所主板上市的中國企業就達38家。2020年底美國通過《外國公司問責法案》(Holding Foreign Companies Accountable Act)，要求赴美上市的外國公司披露額外的信息數據，如證明自身不被外國政府所有或控制，披露董事會里共產黨官員姓名、共產黨黨章是否寫入公司章程，從企業原始交易數據到形成審計結論的過程中使用的數據和材料等。因此，美國證監會可能根據自身的監督職責，要求我國赴美上市的公司提交我國數據安全管理所規定的限制跨境傳輸的敏感數據。由于不提供的企業可能需要承擔巨額罰款，以及連續三年內達不到美國證監會信息披露要求的企業還可能面臨強制退市的威脅，造成一些企業往往冒著違規風險提供企業相關數據。我國互聯網企業掌握海量數據資源，很多涉及我國關鍵信息基礎設施、地理測繪信息、人口健康、人類遺傳等重要數據資源，一旦泄露出去，將給我國個人信息和國家數據安全帶來重大隱患。

2021年6月，依托“大數據”運行的滴滴出行在美上市。根據我國相關規定，該企業屬于關鍵信息基礎設施運營商，掌握大量用戶隱私信息、國家道路概況信息等敏感數據。為保護個人數據權益、維護國家數據安全，中國網絡安全審查辦公室在審查中發現該公司有違法違規收集和使用個人信息的嚴重問題。更嚴重的是，這種大型數字平臺企業在境外上市易引發數據安全風險，因為根據美國的《外國公司問責法案》的規定，中國企業在美上市需提供可能侵犯個人隱私和威脅國家安全的數據材料。滴滴事件過后，國家網信辦發布《網絡安全審查辦法（修訂草案征求意見稿）》，專門明確了對境外上市企業進行更嚴格的安全審查，但是該辦法未明確已在境外上市的企業如無法通過網絡安全審查會導致何種后果，而《網絡安全法》僅規定了需停止使用數據并且進行罰款處罰，仍需完善相關配套制度并強化監管實踐。

1.3 境內機構通過合作等方式將數據傳輸至境外

近年來，互聯網企業非法收集使用用戶信息，濫用、售賣或者大規模泄露個人隱私數據等嚴重侵犯數據權利的事件層出不窮，有些企業甚至將我國重要數據資源傳輸至境外引發數據安全風險。2015年深圳華大基因科技服務有限公司被發現同華山醫院與英國牛津大學共同開展的人類基因國際合作研究中，在未經許可的情況下將14萬中國人基因大數據從網上傳遞出境。根據《2020年中國互聯網網絡安全報告》，2020年我國共發現國內基因數據通過網絡出境717萬余次，流向境外170個國家和地區，其中流向美國273萬余次，占出境總次數的38.1%[12]。為此，科技部依據《人類遺傳資源管理暫行辦法》等有關規定，對華大基因科技服務有限公司實施了行政處罰，其中要求銷毀該國際合作研究中所有未出境的中國人基因大數據。此外，科技部在其官方網站還公布了8份2015-2020年間未經授權將部分人類遺傳資源信息通過互聯網傳輸到境外的行政處罰決定書。從行政處罰書的內容上看，企業或科研機構私自將中國人基因大數據傳遞出境，處罰僅是停止國際合作及銷毀未出境的數據，對已出境數據造成的國家經濟和數據安全損失難以追回。基因數據是我國重要數據資源，企業違規跨境傳輸基因數據等國家重要數據資源會給我國帶來數據安全風險。

2 我國企業數據出境安全風險的成因

2.1 出境數據全生命周期下的監管制度供給不足

就出境數據全生命周期來看，從數據采集、存儲、傳輸與交換到銷毀，我國對于數據出境的監管主要集中于數據存儲本地化和跨境傳輸的安全風險評估方面，對出境數據的采集、銷毀過程中涉及的監管還不到位。我國早期關于數據跨境流動的管理規定散見于有關行業規范或指導性文件中，均要求保護個人信息數據和數據本地化存儲。2017年6月開始實施的《網絡安全法》第三十七條規定關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。如確需向境外提供數據，應當按照相關規定進行安全評估。由此我國正式確立了“數據存儲本地化+數據出境安全評估”的管理框架。

正因為我國目前的數據安全管理主要集中于本地化數據，對跨境數據監管覆蓋較少，尤其是在跨境數據類型和重要級別、數據跨境安全風險評估、跨境數據應用后的刪除與銷毀等方面尚未出臺完整的標準規范，使得企業普遍缺乏標準的數據規范指引，監管部門無法順利開展數據出境的科學監管。雖然我國金融、衛生健康、交通運輸等部門很早就結合行業需求對特定數據出境提出了要求，如《征信管理條例》《人口健康信息管理辦法(試行)》《網絡預約出租汽車經營服務管理暫行辦法》等，也形成了行業數據歸口管理的慣例，對其出境進行了限制性管理，但從具體的行業規范和管理條例來看，在數據本地化存儲以后，并未對數據出境的具體情形進行細化分類，缺乏相應的程序性規定，即數據本地化存儲以后是否允許出境或者出境的條件是什么并不清楚，對相關具有數據出境需求的企業和監管主體很難形成規范性指引。

目前，我國對于企業數據出境的安全審查是程序性審查，由企業先進行數據出境風險自評估，網信部門再基于制度辦法進行審查，其審查對象并非是出境數據本身，而是數據企業圍繞數據形成的文字材料，很少涉及功能性檢查等實質性措施。除了各方信用情況可以通過查閱相關材料進行判斷之外，其余評估項很難單純依靠企業的自評估材料進行審核，對于審核評價的具體標準、指標也未見明確規定說明。并且，當前具有監管效力的評估制度辦法主要是針對跨境的個人數據，還未正式頒布有效的其他類型數據的評估制度。近些年我國也相繼出臺了一系列有關數據出境安全風險評估的管理辦法，如《信息安全技術 數據出境安全評估指南(草案)》《數據出境安全評估辦法(征求意見稿)》等，逐漸完善了數據出境安全風險評估的管理框架，但這些管理辦法都處于征求意見階段，尚未真正有效落地實施。

2.2 數據出境安全評估的分類分級標準有待完善

目前我國在數據出境評估審查中，對數據跨境進行“一刀切”式的審查監管機制無法滿足跨國公司業務數據種類繁多的跨境合規需求。除了重要數據與個人信息數據絕對禁止出境外，國家網信辦發布的《數據出境安全評估辦法(征求意見稿)》對其他數據均規定了較為嚴格的出境安全審查程序，明確了數據出境安全評估的流程、要點、方法等內容，包括履行“通知—同意”程序，構建“企業數據出境自評估+主管部門評估”的兩級評估體系。這種將數據出境安全評估作為單一合規監管機制，無法與全球化的數字經濟發展趨勢相適應，難以支撐國際貿易中大規模的數據跨境流動。從以上監管規定來看，將大量原本基于開展市場經營活動的數據出境需求納入安全審查范圍，容易增加數據跨境傳輸的時長，降低數據的時效性，特別是在金融等對數據時效性要求很強的領域，15個工作日的審查評估時限難以滿足瞬息萬變的金融數據出境需求[13]。

究其原因，主要是我國還未完善數據分類分級方法和標準。早期關于數據出境的管理規定主要集中于個人數據的保護上，隨著全球數字貿易的進一步發展，數據跨境流動已從個人數據擴展至個人和組織數據層面，建立完善的數據分類分級標準非常必要。首先，關于“重要數據”的規定有待清晰和完善。《重要數據識別指南》只是規定了27個特定行業的重要數據，主要關注具體領域或行業內部數據，無法適用于全部數據類型。其次，對“敏感數據”的界定標準不完善。跨國企業的數據流動包括個人數據、產品數據、業務數據、物流數據等不同敏感程度數據的跨境流動。盡管《數據安全法》強調建立數據分類分級保護制度，但尚未直接明確具體的跨境數據分類分級標準，未能妥善區分除個人數據和重要行業數據外的其他商業數據，未明確個人數據的范圍以及安全評估的要求、程序及方式，使得數據安全監管主體無法開展統一的管理和監督工作。

2.3 我國數據跨境流動管理與國際社會需要對接

我國簽訂的數據跨境流動國際合作協定較少，使得我國企業數據跨境流動面臨雙向合規難的困境。數據流動是全球性的，而立法與監管卻是本地的，全球各地在數據安全監管方面出臺的不同法規政策客觀造成了數據跨境流動壁壘，增加了企業數據跨境業務的法律風險與合規成本。雖然我國數字經濟發展已處于全球領先地位，但在數據跨境流動治理方面起步較晚，與數字貿易發展規模相比，在數據跨境流動領域的國際合作方面仍相對滯后。我國參與締結的國際合作協議中有關數據跨境的條款較少,截至2021年8月，我國已與26個國家和地區簽署了19個自由貿易協定。從協定內容上看，基本都包括了個人信息保護條款，但幾乎都未涉及數據跨境領域的內容，僅在2020年簽署的區域全面經濟伙伴關系協定(Regional Comprehensive Economic Partnership，RCEP)中首次明確表示支持出于商業目的數據跨境自由流動，以及提出了數據本地化存儲措施。RCEP協定中關于電子商務的內容部分對計算機設施位置、采用電子方法跨境傳送信息等作出了相應規定，但只是原則上的承諾。

美國、歐盟均是數據跨境自由流動的積極倡導者，主張將數據跨境自由流動引入雙多邊貿易談判中。美國憑借已有的信息技術優勢及相對健全的數據市場規則，在國際貿易談判中把“數據跨境自由流動”列為協議條款,以降低主權國家利用數據安全保護立法設置的市場準入門檻,進一步實現對全球數據要素的跨境管轄。美國曾在“跨太平洋伙伴關系協定”(Trans-Pacific Partnership Agreement，TPP)中提出“在保護個人信息的前提下，實現全球數據自由流動。”歐盟制定《通用數據保護條例》(General Data Protection Regulation，GDPR)、《非個人數據在歐盟境內自由流動框架條例》(Regulation on the Free Flow of Non-personal Data)以減少歐盟內部數據自由流動阻礙，同時對歐盟外部實施高標準的數據保護要求，設置新的市場準入壁壘。我國數據管理體制難以與國際通行規則相對接。歐洲議會一項名為“中國個人數據保護管理體制”的調查結果表明，我國立法中缺少個人數據保護的國際通行原則，無法與歐盟數據保護規則進行緊密對接。

2.4 數據跨境流動監管主體之間缺乏協同

立法機關只能提供監管規則，但對于監管政策的選擇和執行則要交由具體的監管部門加以落實。目前，我國數據跨境流動監管主體眾多，國家網信辦負責出臺相關管理規章，審查企業申報的數據出境安全風險評估報告；工業和信息化部從工業和通信業行業管理視角出臺數據出境的管理標準；各行業監管部門承擔特定行業或領域的數據安全監管職責；公安機關、國家安全機關負責相應職責范圍內的數據安全監管工作；網絡運營者承擔數據安全保護義務，實現數據存儲本地化和跨境傳輸的安全風險自評估。

橫向上看，數據跨境流動監管主體重復，易出現“多龍治水”現象，導致企業數據出境手續繁多、流程復雜、管理混亂等問題。例如，《數據安全管理辦法(征求意見稿)》規定，網絡運營者向境外提供重要數據前，要對安全風險完成自評估并經行業主管部門同意，行業主管部門不明確的，應經省級網信部門批準。而《數據出境安全評估辦法(征求意見稿)》規定：“數據處理者向境外提供重要數據，應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估。”從以上兩個管理辦法的條款中可以看出企業需要跨境傳輸重要數據時，網信部門和行業主管部門存在交叉監管的問題，而從現有規定上看，企業數據出境到底應該先報經行業主管部門同意還是應該先通過網信部門申報數據出境安全評估仍不夠清晰。

縱向上看，目前我國尚未建立獨立的數據出境監管協調機構。一直以來我國對跨境數據采取行業歸口管理，這雖然強化了監管的針對性，但是一個企業產生的數據往往涉及不同的行業，各行業又分別適用于不同的監管辦法和標準，行業監管機構僅在特定職能范圍內發揮監管職責，因此容易產生溝通不暢、監管競爭的情況，存在協同不暢的問題。所以，在歸口監管模式之下，多行業審核監管機制的實施必須建立協調機制，設立一個擁有最高監督協調權力的統一機構，以統籌各行業主管部門的審核職責，避免政出多門或監管漏洞等問題的出現。其次，已有法律規范僅明確了國家網信部門具有審查企業數據出境安全風險評估的職責，并未規定省市兩級網信部門的審查許可責任。另外，中國目前缺乏專門機構對接國際數據跨境流動的有關事宜，代表國家參與數據流動的國際合作。

3 加強我國數據出境安全監管的建議

基于保障數據安全和促進數據開發利用并重的發展原則，我國針對企業數據出境中的違規行為和數據跨境流動監管存在的問題，亟需在數據存儲本地化原則下對數據跨境流動監管體系加以擴容。應理順數據出境監管流程，對企業出境數據全生命周期的各個環節實施過程控制，督促企業數據依法合規出境；進一步細化管理制度和標準規范，健全出境數據分類分級制度，為企業數據出境提供清晰的制度依據；合理對接相應的國際規則，加強數據跨境流動監管的國際合作，協調解決數據管轄沖突，保障跨國企業在全球貿易活動中的合法權益和我國數據安全訴求；設立獨立的數據跨境流動監管機構，強化專門機構的管理協調職能，同時構建多元主體聯動的監管機制。

3.1 實施出境數據全生命周期安全過程控制

《信息安全技術 數據安全能力成熟度模型》中將數據生命周期分為采集、傳輸、存儲、處理、交換和銷毀六個階段。從政府監管角度來看，對企業數據出境的監管主要集中于數據采集、存儲、傳輸與交換、銷毀這四個環節，數據處理環節是組織在內部對數據進行計算、分析、可視化等操作，很少涉及外部交流，因此無需過分監管。

數據采集應該與已經出臺的數據安全管理有關的上位法要求接軌，明確數據采集渠道、范圍及方法，規范數據采集流程，同時明確數據處理者的數據采集隱私保護責任與義務，在采集數據前應履行充分告知義務，遵循“告知—同意；撤回—同意；拒絕”的采集規則，并根據具體行業數據采集要求落實，實現數據分行業、分類、分級采集，為接下來的存儲、傳輸與交換、銷毀環節做準備。行業主管部門應重點立足知情同意、公開透明、分類分級、主體參與等原則進行監管審查。

數據存儲建議采用最小化方法，以避免將本身并不敏感，但與重要、敏感數據并存的數據包括在內。在個人數據存儲上，可以借鑒印度的做法，選擇中間路線本地化存儲的做法，對個人數據進行分類分級，對一般個人數據不做要求，對敏感數據、關鍵個人數據嚴格進行本地化存儲。行業主管部門應重點立足數據類型、數據存儲介質安全等進行監管審查。

數據出境安全評估應該繼續予以完善，借鑒國外數據分類經驗，合理確定重要數據、核心數據的內涵和范圍，對其可能影響國家安全、商業利益和個人權益的數據跨境采取審慎態度。根據數據出境的業務需求和監管需求制定數據出境評估框架，盡可能對接WTO規則，為國際數字貿易創造有利條件。加快修訂和出臺具有可操作性和明確性的數據出境安全評估實施細則，進一步明確數據處理者對數據出境風險自評估的法律義務，明確網信部門對數據出境安全風險評估的審查職責。

出境數據刪除與銷毀通常是指數據接收方的處理行為，是跨境數據生命周期的最后一環。數據與傳統貨物不同，出境后被濫用可能會導致對國內組織與個人的數據權益造成損害，甚至會危害公共利益和國家安全。應依照數據分類分級建立針對出境數據刪除與銷毀的處置規范和管理制度，明確數據銷毀的場景、對象、方式及要求，行業主管部門應明確有關數據銷毀的監管機構與職責，并出臺行業數據銷毀的具體操作標準與程序，實現對數據銷毀的有效監管。

3.2 完善數據跨境流動監管的制度依據

一是從法制途徑入手確立監管依據。順應全球數字經濟發展趨勢，針對數據跨境流動的現實需求，持續完善數據跨境流動監管的法制依據。通過出臺專門監管制度和規則明確數據跨境的定義及類型、“重要數據”等關鍵概念及范圍、數據權屬、數據跨境流動的處理規則、數據主體的權利、數據處理者的法律義務、監管部門的管理職責、國內與國際數據跨境安全規制的對接機制等。

二是確立出境數據全生命周期的監管制度。當前數據跨境流動監管制度主要是基于數據本地化存儲原則的靜態規則設計，對跨境數據的采集、存儲、傳輸與交換、銷毀這一系列動態過程監管不足，需要出臺出境數據全生命周期合規監管制度。針對出境數據全生命周期進行合規監管，形成配套的實施細則，明確數據出境各階段相關監管部門的管理職責。

三是試點探索中國特色數據跨境流動監管制度。借鑒國際經驗，結合特定地區數據跨境需求，建立數據自由貿易試驗區，以“個人數據”先行試驗，繼而引入企業“業務數據”。積極探索數據出境風險評估、數據安全保護能力認證、標準合同條款、“白名單”等機制，嘗試在數據自由貿易試驗區建立數據跨境流動便捷通道，實現數據跨境安全有序流動、循序漸進、以點帶面。鼓勵數據自貿試驗區開展數據海關監管創新，建立“數據海關”試點，構建權責清晰的數據跨境流動管理規則、組織體系、技術平臺及服務體系，建立針對數據出境的“自檢”“報關”“通關”等制度，并建立對“通關”后數據的持續保護機制。

3.3 健全出境數據分類分級制度

個人信息、重要數據、其他商業數據涉及的風險和所需保護的法益各有不同，應健全分類分級監管制度，確立寬嚴不同的數據跨境流動監管政策。

首先，對于個人數據出境，應當堅持市場導向，建議根據個人數據對公民隱私保護、商業利益和國家數據安全影響的差異，分為一般個人數據、敏感個人數據、關鍵個人數據三個等級，根據不同重要級別采取差異化的監管要求，同時通過合同約束、備案許可等方式，重點保障出境后個人數據主體的權益。

其次，對于重要數據出境，根據數據出境具體應用場景，綜合考察數據出境后產生的風險及影響，對其跨境傳輸實施差異化監管。根據數據跨境傳輸后對國家安全造成影響的程度，確定高、中、低風險下分別采取禁止跨境傳輸、評估后限制跨境傳輸或跨境傳輸后持續安全監測、跨境傳輸后備案等不同的監管方式[14]，并從組織層面和技術層面做好數據出境后的安全保障。

最后，對于其他商業數據，原則上允許自由流動，企業應該承擔主要風險責任。對低級別、非敏感的普通商業數據支持跨境自由流動，以促進企業合資、跨境經營、多廠商跨境合作等國際數字貿易的發展；而對高級別、敏感的核心商業數據需重點監管，綜合考量數據權屬、業務需求、應用場景、安全防護等關鍵因素，做好數據出境外部規則的排查、梳理及跟蹤，在保障數據跨境安全流動前提下促進數據的開發利用，最大限度地釋放數據價值。

3.4 尋求國際規則制定中的銜接與共贏

在“一帶一路”倡議下嘗試與沿線國家開展數據跨境合作。考慮到國際上暫時難以形成統一、全面的數據跨境流動規則體系，我國應當充分利用“一帶一路”建設的主動優勢，在完善國內數據跨境監管體系的基礎上，秉持開放合作態度，積極探索與沿線國家在數據跨境流動領域的合作機制，努力爭取數據跨境流動國際合作的主動權。我國與“一帶一路”沿線國家已經具備了相當程度的互信合作基礎，應該積極推動簽訂區域數據流動協議，將數據保護、數字貿易政策與標準、數據跨境流動規則等作為雙多邊貿易協定的談判內容。采取共同或相近立法原則及規范措施，推動形成共同認可的數據保護認證、標準合同條款等機制，建立由中國引領的區域數據流動互信合作平臺。

加強與歐美發達國家在數據跨境流動領域的對話與合作。歐美發達國家依靠信息技術優勢，堅持數據自由出境不受干擾。在此背景下，更需加強與歐美等經濟主體在數據跨境流動領域的對話與合作。例如，可考慮參與亞太經濟合作組織(Asia-Pacific Economic Cooperation，APEC)下的《跨境隱私規則體系》(CBPR)等國際協定，CBPR主要規范的對象仍是在亞太地區的貿易中牽涉到個人信息跨境傳輸的公司，既包括專門從事跨境電子商務的企業，還包括一些金融、交通、通信設備制造等關鍵信息基礎設施運營者[15]。參與有關數據跨境的國際協定，可以通過享受協定簽署各方所達成的平等待遇，減輕企業數據跨境流動的雙向合規負擔，支持出于商業目的數據跨境自由流動，提高數據跨境流動的便捷性和安全性。

此外，還應該以《全球數據安全倡議》為基礎，在數據存儲本地化、數據跨境流動、數據跨境執法協調等關鍵事項上加強與世界各國的對話與合作。在尊重他國數據保護原則情況下，應堅持立足于我國有關數據保護的法律法規、國際條約與協定，根據數據跨境具體應用場景和適用范圍，設計符合我國國家利益、保障數據安全、利于跨境貿易發展的執法數據調取方案。

3.5 建立多元主體聯動協調的監管機制

設立專門的監管協調機構，加強對跨境數據全生命周期管理的整體規劃和協同管理。基于數據跨境流動的特殊性明確專門監管協調機構的職能，包括但不限于：(1)進行數據出境業務登記。(2)對于企業出境數據涉及多行業、行業主管部門不明確或標準不統一的情況，進行統籌協調。(3)對于非法跨境傳輸國內數據的行為主體，依法進行行政調查與處罰；對非法跨境傳輸國外數據的行為主體，可作為傳入方代表或監管機構向具有管轄權的境外法院提出涉外訴訟。(4)與其他國家的主管部門簽訂跨境數據共享協議等合作機制，以降低數據跨境的法律風險并營造良好的營商環境。

實施多元主體聯動監管。延續目前行業歸口管理和網信部門負責安全評估的同時，在數據自由貿易試驗區增加海關作為監管部門，實現多元主體聯動、雙保險監管，塑造具有中國特色的數據跨境監管模式。行業主管部門在專門監管機構的統籌協調下承擔本行業、本領域出境數據全生命周期的安全監管職責。網信部門根據企業體量、數據內容、內部數據合規制度、數據重要程度、接收方保障能力等維度，探索適用于企業的安全評估路徑，包括但不限于定期認證、逐次評估、標準合同等，建立自評估、聯合評估、申報等準則規范。“數據海關”在轄區范圍內執行對數據跨境傳輸的審核、評估、監管等職責，對數據發送、接收等相關組織的數據保護能力制定相應的安全評估路徑，并對境內相關責任方開展定期審計等工作。根據相關組織能力與數據分類分級情況，對數據跨境的風險程度進行綜合評定。通過數據托管中心的方式，探索在數據自由貿易試驗區針對風險綜合評定級別較高的數據采取“托管存儲、規范使用、技術監管”的強監管模式。

4 結論

數字經濟時代，面對企業數據出境的安全風險，迫切需要實施出境數據全生命周期安全過程控制，對數據跨境流動監管機制進行擴容，健全出境數據分類分級制度，尋求國際規則制定中的銜接與共贏，建立多元主體聯動協調的監管機制。鑒于國際上短期內難以形成統一的數據跨境流動規則，我國應在完善國內數據跨境監管體系的基礎上，積極探索與“一帶一路”沿線等國家建立數據跨境流動合作機制，爭取數據跨境流動國際合作的主動權。同時，加強與歐美發達國家在數據跨境流動領域的對話與合作。