本報記者 樊三彩

　　當前，數據跨境流動已經成為全球資金
、信息
、技術、人才
、貨物等資源要素交換、共享的基礎。在4月4rizhongmeishangmaogongzuozudiyicifubuchangjihuiyishang，meiguoguanyuanxiangzhongguotichuyingxiangmeiguogongsideshangyeheshichangzhunruwenti
，juyouguanmeitibaodao，kuajingshujuliudongweiqizhongyixiangzhongyaoneirong。

　　此前
，2023年中央經濟工作會議強調，要對標國際高標準經貿規則，認真解決數據跨境流動等問題；2024年政府工作報告再次明確 “推動解決數據跨境流動等問題”
，足見數據跨境流動已經上升為一項國家級戰略工程。3月22日，國家網信辦正式印發實施的《促進和規範數據跨境流動規定》(下稱《規定》），更是以法規形式表明了我國在保障國家數據安全的前提下，充分釋放數據要素價值、擴大高水平對外開放的鮮明立場，也讓數據跨境流動的“中國方案”再添新筆。

　　值得注意的是
，近年來，我國已相繼出台“三法一條例”（《網絡安全法》《數據安全法》《個人信息保護法》和《關鍵信息基礎設施安全保護條例》），還有自2022年9月1日起施行的《數據出境安全評估辦法》、自2023年6月1日起施行的《個人信息出境標準合同辦法》等，均對數據出境活動做出明確規定
，數據出境安全管理的製度體係已基本建立。

　　那麼
，此時《規定》出台的必要性、特殊性為何
，又有哪些新的亮點
？圍繞這些問題
，3月31日

，《中國冶金報》記者獨家專訪了南京郵電大學信息產業發展戰略研究院首席教授、浙(zhe)江(jiang)大(da)學(xue)網(wang)絡(luo)空(kong)間(jian)安(an)全(quan)學(xue)院(yuan)雙(shuang)聘(pin)教(jiao)授(shou)
，中(zhong)國(guo)科(ke)協(xie)決(jue)策(ce)谘(zi)詢(xun)首(shou)席(xi)專(zhuan)家(jia)，工(gong)信(xin)部(bu)信(xin)息(xi)通(tong)信(xin)經(jing)濟(ji)專(zhuan)家(jia)委(wei)員(yuan)會(hui)委(wei)員(yuan)，中(zhong)國(guo)行(xing)為(wei)法(fa)學(xue)會(hui)數(shu)據(ju)要(yao)素(su)決(jue)策(ce)谘(zi)詢(xun)委(wei)員(yuan)會(hui)主(zhu)任(ren)王(wang)春(chun)暉(hui)。

　　出台必要性：

　　“促進”還是“規範”？

　　數據跨境流動
，主要指在中國境內的數據處理者通過網絡及其他方式（如物理攜帶）
，將其在中國境內運營中收集和產生的數據
，通過直接提供或開展業務、提供服務和產品等方式提供給境外組織或個人的一次性活動或連續性活動。

　　“數據跨境流動對全球經濟增長有明顯的拉動效應。”王春暉介紹，據經濟合作與發展組織（OECD）測算，數據流動對各行業利潤增長的平均促進率為10％，在數字、金融等行業中可達到32％。

　　從國際上看

，歐美等發達國家非常重視企業
、行業協會、科ke研yan院yuan校xiao在zai數shu據ju要yao素su市shi場chang中zhong的de主zhu體ti作zuo用yong，並bing以yi開kai放fang政zheng府fu數shu據ju的de方fang式shi擴kuo大da數shu據ju市shi場chang的de體ti量liang規gui模mo
，還hai出chu台tai了le各ge種zhong隱yin私si保bao護hu法fa律lv和he政zheng策ce以yi引yin導dao非fei公gong共gong數shu據ju的de有you條tiao件jian共gong享xiang和he交jiao易yi。如ru美mei國guo主zhu要yao將jiang商shang業ye利li益yi導dao向xiang作zuo為wei數shu據ju要yao素su市shi場chang化hua的de基ji本ben準zhun則ze，提ti倡chang數shu據ju自zi由you流liu動dong

，形xing成cheng了le以yi數shu據ju經jing紀ji商shang為wei核he心xin的de交jiao易yi模mo式shi。歐ou盟meng擁yong有you嚴yan格ge的de數shu據ju產chan權quan保bao護hu製zhi度du和he數shu據ju隱yin私si保bao護hu法fa律lv法fa規gui體ti係xi，特te別bie是shiGDPR（《通用數據保護條例》）對(dui)歐(ou)盟(meng)境(jing)內(nei)個(ge)人(ren)數(shu)據(ju)向(xiang)歐(ou)盟(meng)境(jing)外(wai)傳(chuan)輸(shu)有(you)著(zhe)極(ji)其(qi)嚴(yan)格(ge)的(de)管(guan)控(kong)措(cuo)施(shi)，但(dan)也(ye)提(ti)供(gong)多(duo)種(zhong)途(tu)徑(jing)實(shi)現(xian)個(ge)人(ren)數(shu)據(ju)的(de)跨(kua)境(jing)傳(chuan)輸(shu)。歐(ou)盟(meng)最(zui)早(zao)推(tui)行(xing)全(quan)球(qiu)數(shu)據(ju)要(yao)素(su)市(shi)場(chang)化(hua)
，承(cheng)認(ren)政(zheng)府(fu)機(ji)構(gou)擁(yong)有(you)相(xiang)關(guan)公(gong)共(gong)數(shu)據(ju)的(de)權(quan)屬(shu)
，並(bing)允(yun)許(xu)政(zheng)府(fu)部(bu)門(men)通(tong)過(guo)提(ti)供(gong)有(you)償(chang)數(shu)據(ju)服(fu)務(wu)實(shi)現(xian)適(shi)當(dang)盈(ying)利(li)。同(tong)時(shi)，歐(ou)美(mei)國(guo)家(jia)的(de)行(xing)業(ye)協(xie)會(hui)
、科研院所和第三方服務機構等非“數商”主體也在積極參與數據要素市場的建設。

　　“我國正在申請加入的CPTPP（《全麵與進步跨太平洋夥伴關係協定》）和DEPA（《數字經濟夥伴關係協定》）均鼓勵數據跨境自由流動
，僅保留了‘合法政策目標’這一例外
，即成員方為實現合法政策目標，可以對數據流動實施限製，但應確保不會對貿易造成不必要的阻礙
、限製的程度應適度。”王春暉表示

，《規定》對標上述高標準國際貿易規則提出
，隻要不包含個人信息或者重要數據，國際貿易
、學術合作
、跨國生產製造和市場營銷，將不再需要進行安全評估，這項規定幾乎涉及數據出境的所有場景。

　　從國內看
，中共中央國務院“數據二十條”明確鼓勵探索數據跨境流動與合作的新途徑、新模式。王春暉認為，《規定》是我國探索新型跨境數字貿易活動的重要依托和安全保障，也為探索數據要素的國際合作提供了重要途徑。

　　王春暉告訴《中國冶金報》記者，正式實施的《規定》與2023年9月28日公布的“征求意見稿”在名稱上有重要調整。“征求意見稿”名稱是《規範和促進數據跨境流動規定》，《規定》名稱將“促進”調整在“規範”之前。“這個先後順序的調整表明
，我國在數據跨境流動領域的政策和立法趨勢是‘促進’數據跨境流動

，同時在流動中不斷加以‘規範’。”王春暉認為。

　　最突出亮點：

　　重要數據出境嚴了還是鬆了？

　　《規定》針對影響數據跨境流動中存在的一些主要問題進行了規範
，如明確重要數據出境安全評估申報標準，明確免予申報數據出境安全評估
、訂立個人信息出境標準合同
、通過個人信息保護認證的數據出境活動條件，設立自由貿易試驗區負麵清單製度，延長數據出境安全評估結果有效期等。

　　“在個人信息出境免予申報數據出境安全評估、訂立個人信息出境標準合同和通過個人信息保護認證方麵，與《數據出境安全評估辦法》《個人信息出境標準合同辦法》相較，《規定》不僅擴大了範圍，還明顯放寬了出境的條件。”王春暉認為。

　　《規定》明確提出
，符合以下4種情形下之一
，隻要不包括重要數據，均可以免予申報數據出境安全評估
、訂立個人信息出境標準合同或通過個人信息保護認證。一是為訂立、履行個人作為一方當事人的合同，如跨境購物
、跨境寄遞
、跨境彙款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考kao試shi服fu務wu等deng，確que需xu向xiang境jing外wai提ti供gong個ge人ren信xin息xi的de情qing形xing。二er是shi按an照zhao依yi法fa製zhi定ding的de勞lao動dong規gui章zhang製zhi度du和he依yi法fa簽qian訂ding的de集ji體ti合he同tong實shi施shi跨kua境jing人ren力li資zi源yuan管guan理li，確que需xu向xiang境jing外wai提ti供gong員yuan工gong個ge人ren信xin息xi的de情qing形xing。“這裏應當注意，‘依法製定的勞動規章製度和依法簽訂的集體合同’應當同時具備。”王春暉提醒道。三是在緊急情況下為保護自然人的生命健康和財產安全
，確需向境外提供個人信息的情形。“比如中國公民在境外旅遊遭到恐怖襲擊等。”王春暉舉例說明。四是關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供不滿10萬人個人信息（不含敏感個人信息）的情形。

　　“第四種情形與《數據出境安全評估辦法》的規定有明顯不同。”王春暉介紹。

　　一是，《數據出境安全評估辦法》的起算時間是“自上年1月1日起”，《規定》則調整為“自當年1月1日起”。

　　二是，《數據出境安全評估辦法》要求一般數據處理者向境外提供 “自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息”的
，需要通過所在地省級網信部門向國家網信部門申報數據出境安全評估，而《規定》則提出“累計向境外提供不滿10萬人個人信息”，隻要不含敏感個人信息，就可以免予申報數據出境安全評估、訂立個人信息出境標準合同或通過個人信息保護認證。

　　王春暉指出：“以上豁免的規定幾乎涉及數據出境的所有場景，如跨境電商
、跨境旅遊
、跨境勞務、境外留學、跨境數字貿易等，極大地提升了現行數據跨境傳輸製度的操作性，尤其是降低了中小企業數據出境的合規成本和難度。”

　　三是，《數據出境安全評估辦法》和《規定》對“重要數據”的定義不同。鑒於“重要數據”必須實施強製性安全評估，我國《數據出境安全評估辦法》對“重要數據”給出定義：“指一旦遭到篡改、破壞、泄露或者非法獲取
、非法利用等，可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據。” 以上的定義側重於危害結果，範圍邊界模糊且寬泛
，在安全評估時很難判斷。“《規定》最突出的亮點是解決了重要數據出境安全評估申報的困惑，明確提出‘未被相關部門、地區告知或者公開發布為重要數據的，數據處理者不需要作為重要數據申報數據出境安全評估’。”王春暉表示。

　　自貿試驗區設負麵清單：

　　追求自由還是安全？

　　《規定》明確了“設立自由貿易試驗區負麵清單製度”
，且(qie)突(tu)破(po)性(xing)地(di)提(ti)出(chu)自(zi)由(you)貿(mao)易(yi)試(shi)驗(yan)區(qu)在(zai)國(guo)家(jia)數(shu)據(ju)分(fen)類(lei)分(fen)級(ji)保(bao)護(hu)製(zhi)度(du)框(kuang)架(jia)下(xia)，可(ke)以(yi)自(zi)行(xing)製(zhi)定(ding)區(qu)內(nei)負(fu)麵(mian)清(qing)單(dan)，經(jing)省(sheng)級(ji)網(wang)絡(luo)安(an)全(quan)和(he)信(xin)息(xi)化(hua)委(wei)員(yuan)會(hui)批(pi)準(zhun)後(hou)，報(bao)國(guo)家(jia)網(wang)信(xin)部(bu)門(men)
、國家數據管理部門備案。自由貿易試驗區內數據處理者向境外提供負麵清單外的數據
，可以免予申報數據出境安全評估
、訂立個人信息出境標準合同
、通過個人信息保護認證。

　　目前，我國自貿試驗區建設過程中
，部分自貿試驗區已陸續在其總體方案中對數據跨境流動做了製度性安排。2020年8月，商務部提出在北京、上海、海南等條件相對較好的自貿試驗區（港）開展數據跨境傳輸安全管理試點。2023年8月
，國務院印發的《關於進一步優化外商投資環境 加大吸引外商投資力度的意見》指出，支持北京
、天津
、上海
、粵港澳大灣區等地在實施數據出境安全評估、個人信息保護認證、個人信息出境標準合同備案等製度過程中
，試點探索形成可自由流動的一般數據清單

，建設服務平台，提供數據跨境流動合規服務。

　　“上麵提到的‘試點探索形成可自由流動的一般數據清單’，就是探索製定數據跨境負麵清單。”王春暉表示，為數據出境設立負麵清單（Negative List）
，相當於設定了數據出境領域的“黑名單”
，即列明了在國家數據分類分級製度框架下禁止出境的數據，“《規定》fuyuziyoumaoyishiyanqushujuchujingxiangdangdadeziyoudu，zhiyaomeiyoulierufumianqingdandeshuju，junkeyiziyouchujing，jidaditishenglezaiziyoumaoyiqushujuchujingdebianlihexiaolv。”

　　此外，《規定》明確，數據出境安全評估的結果有效期3年(nian)
，有(you)效(xiao)期(qi)屆(jie)滿(man)，需(xu)要(yao)繼(ji)續(xu)開(kai)展(zhan)數(shu)據(ju)出(chu)境(jing)活(huo)動(dong)且(qie)未(wei)發(fa)生(sheng)需(xu)要(yao)重(zhong)新(xin)申(shen)報(bao)數(shu)據(ju)出(chu)境(jing)安(an)全(quan)評(ping)估(gu)情(qing)形(xing)的(de)

，經(jing)國(guo)家(jia)網(wang)信(xin)部(bu)門(men)批(pi)準(zhun)
，可(ke)以(yi)延(yan)長(chang)評(ping)估(gu)結(jie)果(guo)有(you)效(xiao)期(qi)3年。

　　王春暉分析稱，以上規定具有如下特點。一是自評估結果出具之日起，通過數據出境安全評估的結果有效期為3年，相比《數據出境安全評估辦法》中的2年，增加了1年的有效期；ershizengjialeshujuchulizhekeyishenqingyanchangpinggujieguoyouxiaoqideguiding，jizaiyouxiaoqijiemanshi，ruguoweifashengxuyaozhongxinshenbaoshujuchujinganquanpinggudeqingxing，shujuchulizhekeyizaiyouxiaoqijiemanqian60個工作日內通過所在地省級網信部門向國家網信部門提出延長評估結果有效期申請；三是申請延長評估結果有效期，需經國家網信部門批準，如果申請獲批

，可以延長評估結果有效期3年。“這樣的規定極大地節約了數據處理者評估的成本。”王春暉表示。