專家解讀｜新規定引領數據跨境流動“新動向”

　　在數字經濟時代，數據的有序流動和利用效率，對數據要素配置優化至關重要。特別是在跨境數字貿易活動中，高效且安全的跨境數據傳輸制度已成為推動數字貿易新秩序的基礎。從世界范圍看，美國、歐盟、東盟等都在推動各自國內法層面的數據跨境傳輸制度建設，意圖搶占全球數據跨境傳輸規則的制定權和話語權。為充分把握住數字時代的經濟脈絡，參與數字經濟格局新秩序的競爭與合作，我國先后制定了《數據出境安全評估辦法》《個人信息出境標準合同辦法》等高質量數據跨境傳輸規則，產生了良好的效果。

　　在上述規則的基礎上，圍繞數字貿易實踐中不斷涌現的新問題、新需求，我國堅持統籌高質量發展和高水平安全，立足產業實踐需求，國家網信辦制定了《促進和規范數據跨境流動規定》(以下簡稱《規定》)�！兑幎ā吩谖覈F行數據跨境傳輸立法框架內，進一步細化了企業數據出境的業務合規標準和操作規范，充分反映了我國在數據跨境傳輸監管領域的創新思路，那就是：既要通過保障數據跨境傳輸安全實現數字貿易活動穩定，也要通過暢通數據跨境傳輸制度渠道打造跨境數字貿易新格局�！兑幎ā返墓歼M一步優化了我國數據跨境流動的制度體系，為企業數據出境提供多樣化、靈活性的制度工具，同時也有力回擊美國等西方國家對我國“數據本地化主義”和阻礙全球數字貿易活動等無端指責。

　　《規定》對推動跨境數字貿易高質量發展的作用，主要體現在以下四個方面。

　　第一，立足數字貿易實踐特征，細化數據跨境傳輸制度的適用范圍。在監管實踐中，部分企業對自身數據跨境傳輸業務的法律性質認知不夠準確，難以準確地確認應當適用何種數據跨境傳輸流動機制。為了在法律實施層面解決數據跨境流動機制的適用標準模糊問題，《規定》將無需適用數據出境安全評估、個人信息出境標準合同、個人信息保護認證的情形予以列舉。例如，“訂立、履行個人作為一方當事人的合同”主要涉及跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等活動，這些活動的共同性表現為，個人跨境活動需要高頻次、無障礙地進行個人信息跨境傳輸。又如，“實施跨境人力資源管理”的必要性的判斷標準是依法制定的勞動規章制度和依法簽訂的集體合同，此種條款表述在保障跨境企業或跨境業務所必需的員工個人信息能夠正常出入境的基礎上，有效避免了部分企業不當擴大跨境人力資源管理之必要的實際范圍，導致非必要的個人信息以不安全的方式出境。還如，“緊急情況”是指為了保護自然人生命健康和財產安全等目的，數據出境具有迫切性。

　　第二，明確商業活動場景需求，推動數據跨境傳輸制度的有序實施。自我國確立以數據出境安全評估、個人信息出境標準合同以及個人信息保護認證為中心的數據跨境傳輸體系后，監管機構也在持續推動這些制度的具體實施。如全國首個數據合規出境案例，首都醫科大學附屬北京友誼醫院與荷蘭阿姆斯特丹大學醫學中心合作研究項目為醫療健康數據出境安全管理、國際醫療科研合作提供了實踐指引。再如，我國汽車領域首個全系統盤點、全業務申報、全場景獲批的數據出境安全評估案例，北京現代汽車有限公司數據出境安全評估項目為汽車領域數據出境活動展示了標準化的業務合規方式。在這種場景導向的數據跨境傳輸治理理念下，《規定》也側重針對特定場景的業務需求，在不包含個人信息或者重要數據的前提下，允許國際貿易、跨境運輸、學術合作、跨國生產制造和市場營銷等活動中產生的數據出境活動不適用數據出境安全評估、個人信息標準合同和個人信息保護認證機制。此種豁免情形無疑為中國企業出海開展跨境業務提供了極大便利，因為經濟全球化的發展趨勢下，客服、物流、云存儲、數據分析等常見跨境貿易活動會頻繁生成和傳輸相關業務數據。這些業務數據的出境不會直接導致國家安全等問題，《規定》將之豁免，有效消除了此類問題背后的監管不確定因素。

　　第三，預留監管制度解釋空間，促進數據跨境傳輸制度的多元創新。數據跨境傳輸制度是我國各類自貿港、自貿區乃至粵港澳大灣區等經濟改革地區探索新型跨境數字貿易活動的重要依托和安全保障�！吨袊�(上海)自由貿易試驗區臨港新片區國際數據產業專項規劃(2023—2025 年)》中明確提出，要優化數據跨境流動操作規則、推進數據跨境流動安全評估、完善數據跨境流動公共服務管理平臺功能等多項具體措施。為了充分保障“先試先行”治理模式的落地，《規定》專門就自貿區的數據跨境流動制度增設了“靈活變通的空間”，即通過數據清單的形式在現有數據跨境傳輸機制上予以“微調”。該數據清單機制可以被理解為“充分授權”“法定程序”“便捷流動”三類治理要素的有機整合�！俺浞质跈唷笔侵浮兑幎ā肥跈嘧再Q區自行制定適合本地區經濟貿易活動的數據出境監管機制；“法定程序”是指《規定》明確限定了從地方到中央的批準備案流程，真正實現“合法范圍內的充分創新”；“便捷流動”是指《規定》允許數據清單之外的其他數據跨境傳輸活動不必繼續適用數據出境安全評估、個人信息出境標準合同、個人信息保護認證等具體制度，而是以符合商事效率的方式直接與跨境數字貿易活動一并完成。自貿區屬于“境內關外”區域，在工商登記、外商投資、人才引進等領域均存在政策優惠，《規定》所設置的數據清單能夠讓自貿區在兼顧安全管理的基礎上，更多地偏向探索具有自貿區經濟特色的數據跨境流動體制機制。

　　第四，回應企業數據出境合規擔憂，降低數據跨境傳輸制度的合規難度�！兑幎ā返囊淮罅咙c是提升了現行數據跨境傳輸制度的操作性，降低了中小企業數據出境的業務合規難度�！兑幎ā凡]有對數據處理者所持有的數據總量作出監管門檻的設定，而是更加側重對數據環境風險水平的評估。因此，《規定》將風險關注的重心調整至數據出境的規模和類型。例如，在向境外提供非敏感個人信息的出境活動中，設置了“自當年1月1日起累計向境外提供不滿10萬人個人信息的”“自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息的”以及“自當年1月1日起累計向境外提供100萬人以上個人信息的”三類數據出境數量門檻，分別對應“完全豁免”“豁免適用數據出境安全評估”“強制申報數據出境安全評估”三類業務合規要求。對于明確不具備危害國家安全、個人信息權利等的數據出境活動，例如跨境傳輸的數據數量稀少，則無需專門申報數據出境安全評估等監管流程。

　　有理由相信，《規定》的公布和實施，對于進一步促進安全、有序、高效的數據跨境，對于進一步促進跨境數字貿易活動，對于提升我國參與國際數字治理新格局的競爭和合作能力，都將發揮重要作用。

　　作者：王錫鋅 北京大學憲法與行政法研究中心主任、教授，中國法學會網絡與信息法學研究會副會長

　　來源：“網信中國”微信公眾號