左曉棟：如何理解我國當前的數據出境安全管理制度

編者按

在由信息化百人會、電動汽車百人會聯合舉辦的、主題為“智能網聯汽車數據管理如何平衡安全與創新”的2022年度第19期高端研討會上，中國科學技術大學公共事務學院、網絡空間安全學院教授左曉棟發表演講，解析了我國當前的數據出境安全管理制度，指出對重要數據的定義存在不一致是目前階段的特定現象，我國相關政策仍處于動態調整階段。本文根據其演講整理。

理解我國當前的數據出境安全管理制度的要點

一是當前我國政策并未明確強調要實施數據本地化存儲。數據本地化存儲的概念最早來自于2017年6月1日起正式實施的《網絡安全法》第37條：“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。”這一條款同時提及兩個制度：一個是本地化存儲制度；一個是數據的出境評估制度。很多人認為，對數據出境設定規矩，那就是說最好不要出去，也就是說本地化存儲。其實，這是兩個概念。

對數據出境施加一些條件要求，甚至有時候是條件限制，并不等于不讓數據出境，也不等于數據必須存在境內。必須看到，除了《網絡安全法》外，后續出臺的法律法規的確沒有再強調數據本地化存儲的概念。在個別場合下，可能數據還是要堅持本地化存儲，但這一定是某種特定的數據，而非針對所有的數據。

二是對數據出境安全管理政策的認定，不是所有的數據出境都按現在的數據出境條件來實施的。《網絡安全法》和《數據安全法》明確了重要數據的出境條件，即必須經過網信部門組織的安全評估，《個人信息保護法》與《網絡安全法》也明確了個人信息出境的條件。

個人信息的出境有四條不同途徑：第一，經過網信部門組織的安全評估，主要是關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者，或者自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者。第二，如果不屬于以上情況的個人信息出境，可以通過安全認證，就是由國家網信部門牽頭組織的個人信息保護認證，進行數據出境。第三，通過標準合同，這個標準合同由國家網信部門確定，由數據發送方和數據接收方簽訂。第四，法律法規或者網信部門規定的其他條件。

不屬于上面的情況，按照目前法律法規要求，是可以自由出境的（涉密信息或行業有特殊要求的除外），包括既非重要數據也非個人信息的數據。

目前，我國法律沒有規定所有的數據出境都必須經過評估、標準合同或者認證。當企業進行數據出境時，可以對數據進行梳理，將重要數據、個人信息與其他出境數據分類處理。

重要數據定義目前存在沖突，未來會達成共識

重要數據是出境管理的一個重要管理對象。我國正在建立重要數據的安全監管制度，重要數據識別國家標準也已經進入送審稿階段，后續標準制定的進程也會加快。

除了國家標準外，2021年，我國出臺了首部針對汽車數據安全制定的法規——《汽車數據安全若干管理規定》。其中對汽車重要數據進行了定義，包括“涉及個人信息主體超過10萬人的個人信息”。這與其他法規中對于重要數據的定義不完全一致。從事物發展的客觀規律來看，《汽車數據安全若干管理規定》是在智能汽車發展迅速、數據安全風險隱患急劇增加的背景下出臺的試行規定，當時對重要數據的認識并沒有現在這么深刻。隨著時間的發展、政策的不斷調整，未來將逐步達成共識。

美國對TikTok的管理方式具有借鑒意義

近期美國對TikTok的管理方式，對我國加強數據安全工作具有借鑒意義。經常聽到有人說，我國的數據管理對象范圍太大、太細。一些人認為有些數據不應該作為重要數據和敏感信息；還有一些人認為，對一些數據的本地存儲要求沒有必要，且不應該對達到一定量的數據進行嚴格監管。比如，在國外收集100萬人的數據并不容易，但在我國，一家車企掌握的數據量就輕松達到100萬人。因此有人提出，100萬這個門檻是不是過高了，100萬人的數據有那么敏感嗎？要回答上述問題，可以看看美國是如何管理TikTok的。

TikTok作為短視頻類娛樂企業，按理說沒那么多敏感數據，但美國認定其有可能讓中國政府、情報機關獲取美國的“受保護數據”。這個“受保護數據”的范圍是由CFIUS（美國外國投資審查安全委員會）認定的，認定重點是哪些數據會影響美國國家安全。美國有人提出，前段時間CFIUS給的范圍太窄，大量應該受保護的數據都沒有被納入其中。

反觀國內，我國曾要求特斯拉數據在國內存儲。這一要求相比以前是個巨大進步，但跟美國相比還弱得多。美國提出，TikTok的數據僅存儲在美國境內還不行，必須要有一些限制條件，包括不能有中國背景的員工訪問、運營要由美國人負責、數據要存儲在甲骨文的德克薩斯州計算中心。這是要構建一種數據的管、用分離制度。目前，我國尚未建立該類制度，世界其他國家也少有涉及。

美國在數據安全管理上的舉措值得高度關注，也警示我們對數據安全的認識要有更多的國家安全考量。特別是在數據安全博弈日趨激烈的情況下，其背后的意圖以及將對全球數據安全管理制度產生什么樣的影響，需要持續跟蹤觀察。這對我國的數據安全管理政策有很大的借鑒意義。