一曲《蝶恋花》，道不尽数据出境政策百折千回

数据安全君

｜小贝案语｜
■ 7月7日，众盼已久的《数据出境安全评估办法》终于正式在网信办官网发布。距离《网络安全法》提出数据出境安全评估制度，时间已经过去五年。在滚滚历史长河中，五年时光不过白驹过隙，但时移势迁，世界已经巨变。这些年间，主管部门为了建立健全这一制度，作了十分积极的努力；各界学者也从技术、法律、标准等层面开展了大量研究。而今阶段性重要文件终于怀胎十月，呱呱坠地，令人不由感概万千......。今天，小贝想要借用一曲欧阳修的《蝶恋花》，回顾这项制度的艰辛探索，并展望后续的政策走向。




面前落下的花瓣在微风中飞舞。重重翠柳笼罩在缕缕水雾之中，柳絮象漫天飞雪。

人立天地之间，面对漫天飞舞的柳絮，一片朦胧之下，既生豪情，亦有悲壮，虽说唯美，或又暗藏杀机。

这根本不是欣赏风景的时候，看不透迷雾，止步于当下，我们将毫无疑问被时代所抛弃。

彼时，以数据为核心的数字经济已经成为经济发展的新引擎，信息流引领技术流、资金流、人才流、物资流，没有数据流动就没有经济发展。跨境贸易的实质更是数据跨境流动，导致这个议题远远超过数据或技术本身，而成为一个基础性、全球性问题。

秦失其鹿，天下共逐之。数据跨境流动规则便是这头“秦鹿”。谁掌握了规则，谁就掌握了全球经济发展的主动权。

西方那个唯一的超级大国回忆起了其当年成为全球霸主的关键一役：“1944年7月，在诺曼底登陆仅几周后，第二次世界大战的结果仍然悬而未决，美国在新罕布什尔州的布雷顿森林接待了来自43个与美国意见一致的国家的代表。代表们举行会议，商定战后国际货币体系的新规则。这次会议产生了国际货币基金组织和世界银行，这两个机构旨在帮助各国在灾难性的世界大战后重建世界。”

利用世界被打烂的机会趁火打劫，美国提出美元结算的全球规则。最终，“美元霸权”助其成为了世界盟主。

但躺赢了半个世纪后，这份荣光还能持续吗？望着异军突起、一骑杀至的东方大国，老盟主自然希望故伎重演。“在另一场危机之后，美国再次有机会建立支持和平、繁荣和安全的新国际规则”，而这个新规则，便是数据跨境流动规则。这将是其在新的世纪维持霸主地位的不二法门。与上世纪唯一不同的是，美国多了中国这个“假想敌”。“现在应当直面中国带来的挑战，针对数字经济时代国际贸易的特点重新组织制定国际贸易规则新框架”，一种新形式的“战争”打响了，讨论是否愿意卷入其中已毫无意义，因为我们已经别无选择。逆水行舟，不进则退，慢进也退。

那么，我们的立场呢？当我们试图提升数据跨境流动规则的国际话语权、影响力时，我们拟议的规则蓝本在哪里呢？没有制定国内政策，我们拿什么到国际上亮相？又怎么能让别人信服？

国运啊！这是一场没有硝烟的战争，却很可能重塑今后的世界政治经济格局。

这是一场鹿死谁手的零和游戏吗？我们能赢吗？

但竞争对手却已经在行动了。“逆全球化”是我们大加挞伐的，但当我们自己提出这个词时，多少有点看热闹的心态。逆全球化必定没有好下场，我们多么希望那些国家真的在搞“逆全球化”。但闹不好，小丑竟是我自己。人家所谓的“逆全球化”实际上是没有中国的“全球化”，主要手段之一就是借“数据流通圈”之名，谋划国际贸易“朋友圈”，试图将中国隔离在全球经贸体系之外。

包藏祸心！



雨后仍感到微微的寒意，春天的愁绪加上微醉的酒意形成病中惆怅的情绪。

是的，面对激烈的国际竞争形势，说没有压力那是假话。甚至后来当我们走出国门时，只要参与国际协定、条约谈判，或签订双边、多边协议，数据跨境问题根本不可能绕开。毕竟，数字经济是提振全球经济的关键力量，全球规则为此进入重构期，数据跨境流动政策首当其冲。各方分歧明显，吵架已是家常便饭。有人戏称，采访这些会议的记者都是很有职业道德的。记者的照片里都是代表们西装革履的样子，但吵到激烈处，一些西方国家代表的胸毛都露出来了，而记者是不会拍的。

实际上，这个问题又是双刃剑，远不是靠嗓门大取胜。

当你强调因为国家安全原因而严格数据出境时，你自己的企业在其他国家和地区也有可能因为同样原因被要求在本地建数据中心。面对高昂的海外运营成本，你的企业来抱怨了，要不要管？西方国家以数据安全为议题炮制新版本的“中国威胁论”，污蔑中国企业在国际上窃取数据，美国为此搞了个“清洁网络计划”，你要不要出手？怎么出手？

一个字，难！

更让人emo的，还有来自于内部的因素。国内的数据出境安全政策不能再拖了。然而，这个问题太新了，新到了想摸着石头过河时，连个石头都找不到。

运筹帷幄，其实从来都是千钧重担。

再难也总要迈开第一步。2016年11月，全国人大通过《网络安全法》。法律的第37条提出了个人信息和重要数据出境安全评估制度，并授权国家网信部门制定出境评估办法，这可谓“石破天惊”。

但emo不减反增。37条规范的是关键信息基础设施运营者的数据出境，而事实上，有相当多可能危害国家安全的数据出境，发生在商业领域中的中小机构，他们不是关键信息基础设施运营者。这相当于，因为有了《网络安全法》，反而该管的管不住了。这当然是一种遗憾，但放在当时的历史条件下，也可以理解。

理解归理解，接下去怎么办？2017年4月11日，国家网信部门发布《个人信息和重要数据出境安全评估办法（征求意见稿）》。文件并没有局限于规范关键信息基础设施运营者，这是一种实事求是的态度，也是一种可贵的担当。起草者考虑到了与《网络安全法》的关系问题，所以把《国家安全法》也列为上位法依据，并且排在《网络安全法》之前。饶是这样，一些法学家或律师已经摩拳擦掌，准备一俟文件正式实施，便发难、开炮，指责其超出上位法范围，当批评者真是太容易了，零成本。

《个人信息和重要数据出境安全评估办法（征求意见稿）》遇到的另一个难题，是重要数据缺少定义，而解决后者问题也不是一件容易的事。为了推进制度实施，本着先易后难的原则，国家网信部门转变思路，准备将个人信息和重要数据的出境分开进行规范。于是乎，2019年6月13日，网信部门发布了《个人信息出境安全评估办法（征求意见稿）》。鉴于重要数据识别标准尚未制定完成，当时并没有在同期发布对重要数据出境安全评估办法的征求意见稿。

我们要感谢时间，因为时间终于会驱动共识。最后，前面提到的难题还是解套了。2021年，全国人大先后通过了《数据安全法》和《个人信息保护法》，正式将数据出境安全评估制度的实施范围作了扩展，不再局限于关键信息基础设施运营者。由此，历时四年，数据出境安全评估制度的上位法依据才告完善。

趁此东风，2021年10月29日，国家网信部门发布了《数据出境安全评估办法（征求意见稿）》。相比前两版，这次的稿子已经相对成熟。此后，根据反馈意见情况，网信部门对文件进行了修改，正式在7月7日公布了《数据出境安全评估办法》。前三版的征求意见稿遂成为历史。

谈何容易！



躺在床上从枕边看去，青山象屏风一样围绕着绿湖，周围点缀着点点灯光，每天晚上只能眼看这景象。

惆怅之后，毕竟有翠被华灯，人间值得。《数据出境安全评估办法》的正式发布令人欣喜。虽然数据跨境安全管理制度不止于此，更多的细则还有待出台，但“空相向”难道不也是一种意境、一种过程、一种期待？

要看到，通过《数据出境安全评估办法》，需要评估的对象已经明确了。哪些数据在出境时需要经过网信部门的评估？《网络安全法》《数据安全法》和《个人信息保护法》对此均有规定，但任何一部法律只是规定了部分场景，《数据出境安全评估办法》综合上述法律的要求，明确了需要进行出境安全评估的三类场景。第一类是重要数据出境；第二类是关键信息基础设施运营者收集和产生的个人信息出境；第三类是达到一定条件的非关键信息基础设施运营者收集和产生的个人信息出境，这个条件以处理的个人信息的量来确定，具体又分为一般性个人信息和敏感个人信息。

有句话适合描述一些法律解读者：聪明过头就是糊涂。虽然《数据安全法》对重要数据出境场景区分了关键信息基础设施运营者和非关键信息基础设施运营者，但这种描述完全出于要处理好与《网络安全法》的衔接。实践中，重要数据出境安全评估要求不会因是否为关键信息基础设施运营者而有不同。有的人的确很聪明，注意到了《数据安全法》的特殊表述，却因此“猜测”国家要对以上两类不同的重要数据分别制定不同的评估办法。这属于过度解读，简单问题复杂化了，没有必要。

工作制度初步建立了，这是《数据出境安全评估办法》最大的意义。前几年各地网信部门在制定地方网络安全“十四五”规划时，常常遇到一个难题：实施数据出境安全评估、网络安全审查等制度时，地方网信部门是否有工作职责？《数据出境安全评估办法》对这类问题作了明确，规定了数据出境安全评估的工作流程。此外，文件还规定了申报数据出境安全评估时应当提交的材料、网信部门开展评估时重点关注的风险要素等内容。文件也对数据处理者提出了具体要求，包括在数据出境前开展风险自评估，以及与境外接收方订立合同、充分约定数据安全保护责任义务等。

善莫大焉！



寂寞中起身来掀起窗纱，看见月亮正在花丛上缓缓移动。

为什么是“月明”照在梨花上呢？显然应该是“明月”的。但随着人生阅历的增长，我们渐渐理解了诗人的境界。我等平凡之辈只见明月，诗人则揽月而见明、明心而见性，眼里是希望，抬头望未来。

《数据出境安全评估办法》的发布只是一个阶段性事件。我们有理由相信，这个文件是一个加速器，开启了建设我国数据安全坚强屏障的重大工程。

后续，还有一系列工作料将陆续展开。

一是，数据出境安全评估制度只是解决了数据跨境安全管理制度的一部分问题。有两类概念常被混淆。一类是“出境”与“跨境”，后者涉及数据的双向流动，这里不再赘言；另一类是“安全评估”与“安全管理”。最初，《网络安全法》使用的是“安全评估”。但《数据安全法》则使用了“出境安全管理”。

十分有必要强调“评估”和“管理”的区别。首先，“管理”是目的，“评估”只是达到目的的其中一种手段，是数据出境的若干种途径中的一种。重要数据和满足特定条件的个人信息出境要经过网信部门评估，但其他数据呢？当然存在不必经过网信部门评估的其他途径，这在《个人信息保护法》中已经明确，如个人信息安全认证、标准合同等手段。而这些出境途径也还需要通过制定专门文件予以实现，这是本次的《数据出境安全评估办法》所不能涵盖的。事实上，相关文件最近已经发布，或正在征求意见。

其次，“管理”涉及数据出境的事前、事中、事后，而“评估”只是一个特定时刻的活动。无论采用何种出境形式，数据出境前都需要进行自评估，个人信息还需要进行个人信息安全影响评估；出境过程中要履行安全保护责任；出境后要监督数据接收方的义务履行，防范数据出境安全风险；出现纠纷后，还涉及到跨境追责问题。凡此种种，已经超出了数据出境安全评估制度的范畴，但确实需要作出规定。

我国最终需要建立的不仅仅是数据出境安全评估制度，而是完整的数据跨境安全管理制度。我们到国际上跟人家去谈，手里也不能仅有这一个东西。

二是，重要数据识别标准尤显迫切。一个制度得以成功实施的前提条件是，要有非常清晰的管理对象。既然要对重要数据的出境进行评估，那么首先应当对什么是重要数据给出明确的界定。《网络安全法》实施前后，相关部门便已经着手研究这一问题，此后全国信息安全标准化技术委员会下达了制定《重要数据识别指南》的任务。《数据安全法》提出数据分类分级制度后，重要数据识别标准被赋予了新的重要使命。此后，《网络数据安全管理条例（征求意见稿）》专设“重要数据安全”章，完整的重要数据安全监管制度呼之欲出。但无论如何，当时以“重要数据”概念为基础的很多工作部署尚未落地或尚未全面展开，故此前《重要数据识别指南》还来得及按部就班，不紧不慢往前走，刚刚投票进入送审稿阶段。今天则不同了，《数据出境安全评估办法》的正式发布使该标准的迫切性、重要性陡然上升，相关工作很有必要提速。

三是，基础概念和操作规范需加快明确。互联互通、远程访问等网络空间特有的行为特征使传统的概念面临挑战，什么叫做“境内运营”？如何界定“数据出境”？谁是“数据接收者”？这些本来并不新鲜的概念在面对复杂场景时可能有了新解，直接影响数据出境安全评估制度的实施范围。此外，在操作流程方面，国标《数据出境安全评估指南》自2017年公开征求意见后，内部作了多次修改，目前已到送审稿阶段，但还需加快速度。哪怕不拘泥于形势，至少也要有相应的技术规范。

四是，技术支撑手段建设提上议事日程。数据出境安全评估活动因数据处理者主动申报而触发，但存在多种绕过该制度的可能性。如，明知该申报而未申报，因错误识别重要数据或错误计算个人信息数量而未申报，本身没有境外业务但员工私自向境外传输数据，数据被远程窃取后传输到境外……。数据出境行为十分普遍，试图完全通过事前承诺、事后追责来威慑违规出境行为似不可行。问题的复杂性还在于，另外还有一些不需评估但应通过认证或标准合同手段出境的数据，以及大量完全不受限制而可出境的数据。多种数据混杂在一起，仅依靠人工核查已难以胜任。因此，我们的制度不能成为“防君子不防小人”的摆设，必须建立高效技术手段，提升技术保障能力。

五是，特殊场景需作专门考虑。《数据安全法》和《个人信息保护法》提到了两种数据出境的特殊场景。一种是，境外司法执法机构在境内调取数据，数据处理者必须经我国主管机关批准后才能向其提交数据。但该制度尚缺乏细则规定。如，我国企业在国外打官司，应国外法院要求提交对我有利的证据，这算不算“境外司法执法机构在境内调取数据”？第二种是，我国缔结或者参加的国际条约、协定对向境外提供个人信息的条件等有规定的，可以按照其规定执行。即，我国可以与其他国家和地区就个人信息出境作出特定安排，从而简化已有的数据出境管理措施。但我国可能与哪些国家签订双边或多边数据安全协议呢？这不是简单的技术问题，而是战略问题，更需要从长计议，但宜尽早进行筹划。

依然不容易，是个大的系统工程。但无论风荡漾、雪絮飞、柳重烟深，我们已无愁绪，不再惆怅。

雨后寒轻，风前香软，春在梨花。惟愿梨花之上，永见月明。
｜小贝结语｜
■ 一曲蝶恋花，诉说不尽数据出境政策百折千回。文末，小贝将一首英雄联盟的主题歌《孤勇者》送给大家，致敬数据安全征程中每一位平凡的从业人员，致敬污泥满身、负重前行的孤勇者，致敬那黑夜中的呜咽与怒吼，谁说站在光里的才是英雄。
  总编辑|小贝




微信公众号
微信号｜xiaobeisaq
长按二维码关注


官方微信
长按二维码关注
了解更多信息