上政学报 | 马 光：论我国数据出境安全评估制度构建

点击蓝字

关注我们

国家安全法治

论我国数据出境安全评估制度构建

摘  要

我国的数据出境安全评估制度已经确立，也将付诸实施。但因为该制度中对“关键基础设施”“重要数据”等概念的界定过于宽泛，将会导致数据出境安全评估过于频繁，从而影响数据流动乃至数字贸易的快速发展。且因为该制度尚处于探索初期，配套细则尚不完善。按照目前的设置，数据出境安全评估参与机构之间的关系划分也有待于在实践中进一步予以明确和协调。面对这些问题，有必要进一步限缩“关键基础设施”“重要数据”的范围，用好认证和标准合同等其他方式保障个人信息的自由流动和安全保障，可以尝试设立白名单制度，也要尝试着在适当时期与包括CPTPP和DEPA在内的国际条约规则相协调。

关键词

关键信息基础设施；重要数据；个人信息；数据出境；安全评估

作  者

马光，浙江大学光华法学院副教授。

引用格式

马光：《论我国数据出境安全评估制度构》，《上海政法学院学报》(法治论丛)2023年第3期。

目  次

一、我国数据出境安全评估的情形和相关概念

（一）我国数据出境需要安全评估的情形和除外规定

（二）特殊数据出境安全评估的特别要求

（三）几个关键概念的界定

二、我国数据出境安全评估制度存在的问题

（一）个人信息出境的其他情形

（二）数据出境安全评估与安全审查的关系

（三）数据出境前自评估和出境后持续监督的义务

（四）数据出境安全评估机构

（五）数据出境安全评估内容

三、我国数据出境安全评估制度构建方案

（一）《办法》有待进一步完善

（二）配套规则的出台与完善

（三）数据出境安全评估试点的逐步推进

（四）白名单机制的引入

（五）与国际规则的衔接

四、结 语

2016年通过的《网络安全法》第37条规定了数据出境的安全评估制度，但因为该条款对“关键信息基础设施”“重要数据”没有作出明确定义，且当时具体的评估办法也并未出台，所以，数据出境的安全评估制度未能实际付诸实施。

此后，2021年相继通过的《数据安全法》和《个人信息保护法》也对数据和个人信息的出境安全评估作出类似规定，但也因主要概念未明确界定以及具体安全评估办法的缺失等原因无法落实数据和个人信息的出境安全评估。对于这种现状，有学者指出，在某种意义上，我国笼统的数据出境管理要求可能构成限制数据跨境流动的因素。

随着《关键信息基础设施安全保护条例》对关键信息基础设施的定义予以明确，《网络数据安全管理条例（征求意见稿）》（以下简称为“《条例草案》”）也对重要数据作出界定。在此背景下，2022年7月7日《数据出境安全评估办法》（以下简称为“《办法》”）的出台意味着数据出境安全评估制度在我国正式确立，《办法》还对重要数据予以界定。这些立法又与《个人信息出境标准合同规定（征求意见稿）》《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》一道形成了我国数据和个人信息出境的相关机制。

本文结合上述法律规定，拟对我国数据出境安全评估制度的构建提出一些建议。结合网信办对《办法》的进一步说明，数据出境包括：数据处理者将在境内运营中收集和产生的数据传输、存储至境外；境外的机构、组织或者个人访问或调用数据处理者收集和产生并存储在境内的数据。

一、我国数据出境安全评估的情形和相关概念

（一）我国数据出境需要安全评估的情形和除外规定

结合相关法律、行政法规和部门规章的规定来看，如下数据和个人信息的出境需要进行安全评估。（1）重要数据；（2）关键信息基础设施的运营者收集和产生的个人信息；（3）国家机关处理的个人信息；（4）处理100万人以上个人信息的数据处理者向境外提供个人信息；（5）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；（6）国家网信部门规定的其他需要申报数据出境安全评估的情形。数据处理者虽然处理100万人以上个人信息，但是仅传输少量员工信息是否需要安全评估的问题，目前来看，并未将该特殊情形做特殊描述，可能还是需要安全评估。针对集团公司处理个人信息数量是统一计算还是单独计算，目前也没有明确的标准，但是一般关联公司的数据共享与第三方公司的数据共享要求是一样的，所以偏向于单独计算，具体操作仍然需要等网信办的落地细则。“自上年1月1日起”这样的限定为不同时期数据出境需求存在动态变化的中小企业设置了科学合理的条件。但从上述情形中可以推断要求对数据出境进行安全评估的限制情况实际上涵盖了实践中的很多场景。

进行数据出境安全评估的主要对象是重要数据和个人信息，其中除了关键信息基础设施的运营者收集和产生的个人信息外，其他需要数据出境安全评估的个人信息范围还是比较明确的。那么，重要数据和关键信息基础设施的范围就对数据出境安全评估具有举足轻重的地位，对于这一部分的内容，将在下面进行详细阐述。

针对上述6种需要进行数据出境安全评估的情形，《网络安全法》和《个人信息保护法》也规定了除外情形。这些除外规定可以理解为如果法律和行政法规有相反规定，则不进行重要数据出境安全评估；而对于个人信息，除外规定的范围扩张到了国家网信部门的规定。而且相比对重要数据的“依照其规定”之规定，对个人信息则更为明确地表示“可以不进行安全评估”，此外，“依照其规定”是否包含“可以不进行安全评估”以及如果另有规定，是“应当不进行安全评估”还是“可以不进行安全评估”也需要予以明确。

除此之外，《个人信息保护法》第38条第2款规定，可以按照我国缔结或者参加的国际条约、协定之规定执行向我国境外提供个人信息的条件。尽管此处用了“可以”而非“应当”，但基于我国对国际法的尊重，如相关条约有相反规定，相信将会予以遵守。即如果相关条约就数据出境安全评估有不同规定的可以执行。

（二）特殊数据出境安全评估的特别要求

有些特殊数据适用更为严格的出境规则。如依据《中国人民银行关于外商投资支付机构有关事宜公告》《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》《个人金融信息（数据）保护试行办法（初稿）》《个人金融信息保护技术规范》《保险公司开业验收指引》《征信业管理条例》等规定，个人金融信息的出境要求比其他数据出境更为严格。在数据本地化的前提下，除了要满足普遍适用的数据出境要求外，还要满足相关监管部门的规定，且对境外的数据接收主体也有一系列的严格要求。

除了个人金融信息外，我国还对如下部分数据的出境有专门规定。如有关工业和信息化的《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》，有关网约车收集的乘客信息和生成的业务数据的《网络预约出租汽车经营服务管理暂行办法》，健康信息方面的《人口健康信息管理办法（试行）》《人类遗传资源管理条例》，网络出版和地图相关信息方面的《网络出版服务管理规定》《地图管理条例》等都是很好的例子。

从这些规定来看，我国除了对个人金融信息严格保护外，对网约车收集的数据、人口健康信息等方面也通过特别规定进行更为严格的出境限制。《数据安全法》和《个人信息保护法》均对向外国司法或执法机关提供数据进行了限制，从适用范围来看，《个人信息保护法》将《数据安全法》中的境内的组织、个人拓展到个人信息处理者，表明境外的个人信息处理者也不得向外国司法或执法机构提供存储于我国境内的个人信息。这些条款也说明就司法或执法相关数据的跨境流动具有更高的要求，这些数据也并非属于通过出境安全评估可以出境的范围。如何使得这些有关特殊数据的规定与《办法》协调适用是有必要深入研究的问题。从目前的规定来看，特殊数据相关规定中并没有具体的规定就数据出境进行更加明确的高标准限制。这些规定基本上是在要求数据本地化的前提下对数据出境预留可能性。那么，这些数据与《办法》中所规定的需要数据出境安全评估的情形是何种关系要予以明确，且要理清相关法律之间的协调性。

（三）几个关键概念的界定

为了准确把握对数据出境进行安全评估的情形，要明确个人信息、敏感个人信息、重要数据、关键信息基础设施等重要概念。其中，《个人信息保护法》第4条第1款和第28条第1款分别定义了前两者，《关键信息基础设施安全保护条例》第2条和《办法》第19条分别对关键信息基础设施和重要数据下了定义。下面将对其中的重要数据、关键信息基础设施这两个概念进行评析。

1.重要数据和数据分类

（1）重要数据的定义

《条例草案》第5条第1款将数据从低到高分成一般数据、重要数据、核心数据共三个级别。与数据出境安全评估密切相关的概念即为重要数据，一般数据和核心数据对明确重要数据的范围也有重大意义。核心数据是重要数据中最为重要的那部分数据，但实务中现有规定对于分辨两者尚不能提供很明确的标准。

基于重要数据概念的重要性以及对数据出境安全评估的必要性，《办法》在“征求意见稿”的基础上最后阶段增加了关于重要数据的概念条款，即重要数据是一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。这是在《条例草案》第73条规定的基础上予以完善的，即将《条例草案》中的公共利益细分成《办法》中的经济运行、社会稳定、公共健康和安全等。尽管《办法》在立法的最后阶段对重要数据予以定义，但是目前的定义还是显得非常宽泛，缺乏操作性。

（2）重要数据的列举

因为《办法》只对重要数据作出较为模糊的定义，因此，为了明确其范围还得借助其他立法的规定，如《条例草案》第73条。

重要数据分布于：①政务部门；②关键信息基础设施运营者在内的重点行业企业；③公共服务机构；④权威专业机构；⑤科研机构：⑥互联网企业；⑦实体经济企业。

尽管有重要数据的具体定义和列举，但如何准确区分重要数据还是存在诸多难点和不确定性，即对数据的分类和识别重要数据在现实中存在诸多难点。重要数据管控的确定性与重要数据外延的模糊性形成了鲜明对比。就此，《网络安全标准实践指南——网络数据分类分级指引》（以下简称“《指引》”）规定：重要数据指称的国家安全是轻微危害，公共安全则是一般危害，轻微危害。该指引对各种危害还作出如下规定，国家安全的轻微危害指对本地区、本部门以及相关行业、领域生产、运行和经济利益等造成轻微影响；影响持续时间短，对行业发展、技术进步和产业生态等造成一般影响。公共安全一般危害指波及一个或多个地市的大部分地区引起社会恐慌，对经济建设有重大的负面影响；轻微危害则指波及一个地市或地市以下的部分地区，扰乱社会秩序，对经济建设有一定的负面影响。该《指引》为区分重要数据提供了进一步的判断标准，但这些标准还是较为原则，想必还需要进一步的细则来作出规定。

（3）各地区、各部门的重要数据目录

《数据安全法》要求各地区、各部门确定重要数据具体目录，从而可能会导致重要数据目录体系的复杂化，这在具体执行中会导致困难。比如说，目前已经有《证券期货业数据分类分级指引》《个人金融信息保护技术规范》《金融数据安全数据安全分级指南》《基础电信企业重要数据识别指南》《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》等都对数据分级进行了规定。因为这些不同部门的分类分级规则各不相同，在操作中会出现标准不一，甚至混乱的情形，因此，适用于所有行业的基本规则还是非常需要的。

（4）重要数据的识别

在此方面，《信息安全技术——重要数据识别规则（征求意见稿）》提供了部分指导，如其要求识别重要数据应当遵循以下原则：①聚焦安全影响；②突出保护重点；③衔接既有规定；④综合考虑风险；⑤定量定性结合；⑥动态识别复评。

《信息安全技术——重要数据识别规则（征求意见稿）》还对重要数据的要素作出规定，即识别重要数据时可考虑如下因素，而具备这些因素之一的即为重要数据：①反映国家战略储备、应急动员能力的数据；②支撑关键基础设施运行或重点领域工业生产，如直接支撑关键基础设施所在行业、领域核心业务运行或重点领域工业生产的数据属于重要数据；③反映关键信息基础设施网络安全保护情况，可被利用实施对关键信息基础设施的网络攻击的数据；④关系出口管制物项的信息以及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告；⑤可能被其他国家或组织利用发起对我国的军事打击的地理信息；⑥反映重点目标、重要场所物理安全保护情况或未公开地理目标的位置，可能被恐怖分子、犯罪分子利用实施破坏，如反映重点安保单位、重要生产企业、国家重要资产（如铁路、输油管道）的施工图、内部结构、安防等情况的数据，以及未公开的专用公路、未公开的机场等的信息；⑦可能被利用实施对关键设备、系统组件供应链的破坏，以发起高级持续性威胁等网络攻击的数据；⑧反映群体健康生理状况、族群特征、遗传信息等的基础数据；⑨国家自然资源、环境基础数据；⑩关系科技实力、影响国际竞争力的数据；⑪关系敏感物项生产交易以及重要装备配备、使用，可能被外国政府对我实施制裁的信息；⑫在向政府机关、军工企业及其他敏感重要机构提供服务过程中产生的不宜公开的信息；⑬未公开的政务数据、工作秘密、情报数据和执法司法数据；⑭其他可能影响国家政治等15个领域安全的数据。

尽管上述规定对重要数据的甄别有不同程度的帮助，但总体上来看，目前立法对重要数据的范围划定还是过于宽泛，且认定规则也在逐步完善，重要数据范围的过宽不仅会导致数据出境的困难，也会给数据出境安全评估带来过多负担。目前规定重要数据识别的文件数量较多，且这些文件的内容又不完全相同，因此，在实务中如何适用这些规范文件会产生混淆，这就增加了数据出境的诸多不确定因素。

2. 关键信息基础设施

关键信息基础设施运营者范围的宽广就意味着需要安全评估的事项之宽广。就目前的立法来看，尽管尚未制定认定的相关细则，但上述规定似乎显示范围非常宽广，这就对数据跨境流动产生过多限制。而且关键信息基础设施的认定细则也应尽早出台，以便增强确定性。

二、我国数据出境安全评估制度存在的问题

关于数据出境安全评估，我国曾提出三个征求意见稿，分别为：2017年《个人信息和重要数据出境安全评估办法（征求意见稿）》，2019年《个人信息出境安全评估办法（征求意见稿）》，2021年《数据出境安全评估办法（征求意见稿）》。从这些名称的演变来看，也能看出在此方面的变化，最终立法化的是第三个征求意见稿。2017年的办法是为实施《网络安全法》下的数据出境安全评估而起草，2019年的办法则仅针对个人信息出境安全评估予以规定，2021年的办法则尝试在《网络安全法》《数据安全法》《个人信息保护法》这三大法律的基础上形成整体的数据出境安全评估制度。从上述征求意见稿的名称来看，立法者对数据和个人信息的关系也是存在不确定性，或者至少是有些争议。这种安全评估的举措属于一事一议的事前审批方式。

（一）个人信息出境的其他情形

据《个人信息保护法》第38条第1款之规定，即使按法律规定不需要安全评估的情形，个人信息的出境也并非完全自由，其要符合如下条件之一：（1）进行个人信息保护认证；（2）与境外接收方订立标准合同；（3）其他条件。而这里的认证、合同的具体条件也需要由国家网信部门进一步明确，即认证的具体方法和要求、订立合同的相关要求等需要进一步明确。目前，《个人信息出境标准合同规定（征求意见稿）》《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》就此作出了详细的规定。另外，兜底条款所指的“法律、行政法规或者国家网信部门规定的其他条件”具体包括哪些情形并不明确，需要对其进一步澄清，以便提升法律的确定性。

（二）数据出境安全评估与安全审查的关系

数据出境的安全评估还要与安全审查进行区分。《网络安全审查办法》规定，掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。就当次数据出境而言，通过了网络安全审查后是否就不用再重复进行数据出境安全评估？现有立法对此并未明确规定。当然，该企业在上市以后的数据出境行为还是需要评估，但本次如果还需要进行安全评估的话是否就意味着进行重复评估？从2021年7月关于“滴滴出行”APP下架的情况来看，虽然其表面上是因网络安全审查导致，但究其根源还是与数据出境撇不清关系。

（三）数据出境前自评估和出境后持续监督的义务

《办法》首次明确事前评估和持续监督相结合原则、风险自评估与安全评估相结合原则。从《办法》第5条和第9条规定来看，无论哪一种数据出境情形，至少有两类要求是都要得到遵循的。一是出境前的自评估；二是数据发送方与数据接收方的安全保护义务。即要事前评估和持续监督相结合、风险自评估与安全评估相结合。《条例草案》第32条对上述自评估作了进一步规定，即处理重要数据或者赴境外上市的数据处理者应在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门。此处的报告义务是常态化的义务，且该条例第62条和第64条对于未履行此类义务所应承担的责任也已明确。其规定了责令改正，给予警告，暂停数据出境等相关处罚。

（四）数据出境安全评估机构

《办法》第4条规定，数据出境安全评估机构为国家网信部门。而《办法》第10条规定，国家网信部门受理申报后，根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估。因为评估机构仅为国家网信部门即中央网信办，结合重要数据和关键信息基础设施的范围来看，其评估业务压力会很大，这就使人质疑能否在规定的时间内完成如此繁重的安全评估业务。据《办法》第7条规定，省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验。申报材料齐全的，将申报材料报送国家网信部门；申报材料不齐全的，应当退回数据处理者并一次性告知需要补充的材料。由此可知，省级网信部门分担的部分业务并不能很好地减轻中央网信办的工作压力。因为根据《办法》，其应当自收到申报材料之日起7个工作日内，确定是否受理并书面通知数据处理者，自向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估。虽然特殊情况可以适当延长，但这毕竟不应成为常态。如果适当延长成为常态的话，会影响数据的及时出境，也会降低对数据出境安全评估机构的信赖。而且，从目前的规定来看，参与安全评估的部门数量还较多，如何在安全评估中整合各部门意见也是需要解决的课题，包括各个部门，特别是省级网信部门在评估中起到什么样的作用非常值得明确。除了评估之外，《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》还规定了数据出境备案制度，如果其他部门也需要进行此类备案制度，那么相关实施细则也有必要相继出台。且通信管理局、工业和信息化主管部门和网信部门在数据出境安全评估中的职责也需要予以明确。

（五）数据出境安全评估内容

《办法》对申报数据出境安全评估所要提交的材料、评估重点、数据处理者与境外接收方所订立合同应包含的内容作出了相应的要求。《办法》规定，数据出境安全评估申报应提交如下材料：（1）申报书；（2）数据出境风险自评估报告；（3）数据处理者与境外接收方拟订立的法律文件；（4）安全评估工作需要的其他材料。其中，安全评估工作需要的其他材料如果不予明确或给出相关列示，恐怕会给申报者诸多困扰。

《办法》规定，数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险，主要包括事项中最后一项为国家网信部门认为需要评估的其他事项。与申报者所需提交的材料相关，上述国家网信部门认为需要评估的其他事项因不够明确也会对数据出境安全评估带来不确定性。国家网信部门组织开展的数据出境安全评估的重点事项包括：“境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响”以及“出境后篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险”。

《办法》第9条规定，数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务，至少包括以下内容：（1）数据出境的目的、方式和数据范围，境外接收方处理数据的用途、方式等；（2）数据在境外保存地点、期限，以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施；（3）对于境外接收方将出境数据再转移给其他组织、个人的约束性要求；（4）境外接收方在实际控制权或者经营范围发生实质性变化，或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时，应当采取的安全措施；（5）违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式；（6）出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时，妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。

《办法》第13条规定，数据处理者对评估结果有异议的，可以在收到评估结果15个工作日内向国家网信部门申请复评，复评结果为最终结论。该条款是在最后阶段加上去的，值得肯定，接下来，与复评相关的细则也有待制定。

三、我国数据出境安全评估制度构建方案

（一）《办法》有待进一步完善

除法律和行政法规另有规定外，重要数据的出境都要进行安全评估，而法律、行政法规和网信办的规章可对本应进行安全评估的部分个人信息的出境予以豁免，且依据《办法》第4条，如有网信办的规定，一般数据和本不需要安全评估的个人信息出境也可纳入安全评估的范围。这一部分就未免有过大的裁量权，使得数据的出境面临过多不确定性。

此外，《办法》第6条中申报数据出境安全评估，应当提交的材料中所包含的“安全评估工作需要的其他材料”具体指称什么也应有指示性的列示，否则就显得具有过多不确定性。《办法》第15条规定，参与安全评估工作的相关机构和人员对在履行职责中知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密，不得泄露或者非法向他人提供、非法使用，但对于违反此类义务时会面临何种处罚尚不明确。《办法》第13条规定的复评相关程序规定也要相应出台，包括复评所需要的时间等内容都要予以明确。此外，关键信息基础设施、重要数据范围过宽的问题也有待解决。尽快厘清重要数据的范围，以明确我国数据出境的“负面清单”。应当尽量缩小对关键信息基础设施和重要数据界定的范围，减少商业性个人信息数据流通的阻碍，减轻企业的运营成本。《数据安全法》第21条第3款要求各地区、各部门确定重要数据具体目录。这对重要数据的确定有益，但也要防止由此导致各部门重要数据的重合现象和各地区重要数据存在较大差异，特别是相同数据在不同地方所属不一的现象。

《办法》应细节明确，标准客观、一致，并考虑国际规则的合规问题。因为我国陆续缔结包含数据跨境条款的国际条约，因此，《办法》的实施也应考虑与这些国际条约下我国承担义务的协调，也为加入《全面与进步跨太平洋伙伴关系协定》（CPTPP）和《数字经济伙伴关系协定》（DEPA）等国际条约进行相关前瞻性研究。

（二）配套规则的出台与完善

2016年通过的《网络安全法》引入数据出境安全评估制度之后，至今尚未具体实施的原因在于实施细则的缺失。其间尽管先后出台过三个征求意见稿，但直到今年才正式通过《办法》。除《办法》以外，《信息安全技术——数据出境安全评估指南》等配套的立法和标准也应尽早制定。

《网络安全法》经过几年的实施也出现了一些问题，应适时进行修订，如其规定；“国家网信部门会同国务院有关部门制定安全评估办法”，但实际上由网信部门单独制定，所以，可以修订为“国家网信部门制定”。

随着《办法》的出台，对此前出台施行的《地图管理条例》等行政法规和部门规章中对行业领域数据跨境流动规定不一致的条款也应进行修订。

除了安全评估之外，个人信息保护认证、标准合同以及其他条件等也需要在日后进一步予以明确，因为就个人信息的出境来看，这些允许未经安全评估向境外提供个人信息的规定如果不明确，就会导致数据安全评估范围扩大的结果。与此相关，个人信息保护认证相关规则已经制定，而标准合同相关制度的征求意见稿也应适时通过，并且这些规则应随着实施在实践中进一步予以完善。

上面已经谈到，我国目前对支付数据，网约车收集的乘客信息和生成的业务数据，个人金融信息等都有特别保护的规定，但这些规定所存在的细则不明确等问题要予以解决，即应适时出台具体操作方法，且在其中要充分考虑与普遍适用的《办法》等相关立法的协调问题。

在中央层面立法推进的同时，地方部门的相关试行制度也在逐步展开，如《广州市国资委监管企业数据安全合规管理指南》（试行2021年版）第28条规定，监管企业应梳理数据出境情况的业务，建立企业内部数据出境合规审查的流程及规范，针对境外并购、赴境外上市等情况应充分评估数据出境的相关风险，按相关规定进行内部审核审批，并根据法律法规要求履行监管机构数据出境的审查申报。

（三）数据出境安全评估试点的逐步推进

在数据出境安全评估制度初步建立的情况下，我国目前在特定地区和企业开展数据出境安全评估的试点，这也符合我国的一贯做法。

如《商务部关于印发全面深化服务贸易创新发展试点总体方案的通知》提出了4个试点地区，要求在北京、上海、海南、雄安新区等地区探索跨境数据流动分类监管模式，开展数据跨境传输安全管理试点。工信部的《关于组织开展工业领域数据安全管理试点工作的通知》也要求省级工业和信息化主管部门配合网信部门探索建立工业领域数据出境安全评估工作模式和方法，研究制定安全评估要点，指导试点企业开展数据出境安全评估和备案工作。

2020年6月1日印发的《海南自由贸易港建设总体方案》要求探索更加便利的个人信息安全出境评估办法，以及积极参与跨境数据流动国际规则制定。就此，海南省通过《智慧海南总体方案（2020-2025年）》要试点开展数据跨境流动安全评估。《上海市数据条例》第69条也规定上海市在临港新片区内探索制定低风险跨境流动数据目录。《关于深圳建设中国特色社会主义先行示范区放宽市场准入若干特别措施的意见》中也明确规定要开展数据跨境传输安全管理试点。在上述四个省市进行试点之后，随着《办法》的出台，应将数据出境安全评估制度拓展至全国，在正式实施该制度之前也要充分考虑上述实践中的得与失。

（四）白名单机制的引入

白名单机制是根据数据流入国的政治法律环境，将部分国家纳入可自由流动的地区，形成白名单国家。我国也可以推动白名单机制，同时也要求我国针对白名单中的国家建立定期评估机制。当然，在这方面也有必要仔细斟酌当下白名单机制是否可行的问题。特别是在选取白名单范围的国家和地区时要非常谨慎。不仅要选取与我国的数据保护力度相似的国家和地区，还要考虑国家安全的问题。

（五）与国际规则的衔接

因为《区域全面经济伙伴关系协定》（RCEP）等我国加入的自由贸易协定对数据跨境流动并未明确限制缔约国的规制权，所以，当下上述数据出境安全评估制度尚与我国所承担的国际义务相符。但因为我国已经正式申请加入CPTPP和DEPA等开放内容更多的自由贸易协定或数字经济协定，所以，伴随着我国加入这些条约的过程，有必要逐步使得国内法与这些条约相协调。我国的数据出境安全评估制度尚在建立中，因此，在制度设计中不能不提前考虑这些问题。为了顺利加入这些条约，我国的数据跨境流动规则逐步要向这些条约中的规则看齐，做好协调数据跨境流动和数据安全的关系。上述条约对数据跨境流动，特别是对数据出境采取了较为开放的态度，原则上不允许对其进行限制，这些有可能对我国树立数据出境安全评估产生较大阻力，因此要逐步使得我国的数据出境安全评估与这些规则靠拢。CPTPP和DEPA数据跨境流动中的国家规制采取了相对严格的标准。即这些条款在很大程度上会限制缔约方对数据出境进行规制，如我国推进的数据出境安全评估制度有可能因此面临挑战。而恰好CPTPP中一般例外和国家安全例外条款的存在和适当运用将会对我国具有很大启发，或许通过这些条款的援引，可达到数据跨境流动自由和国家安全利益的最佳协调。

如我国加入CPTPP和DEPA，《个人信息保护法》中的“可以按照其规定执行”条款是否对我国履行国际义务充分也值得探讨。既然我国对国际法是尊重的态度，是否可以将“可以”置换为“应当”？另一方面，加入CPTPP和DEPA意味着对这些缔约国开放数据出境，并且约束我国的管制权，那么继续维持严格的数据出境安全评估制度是否有实际意义？是否也可以适时转换思路，采取更为开放的数据出境制度？特别是将出境安全评估对象数据和个人信息的范围限定在必要限度内，即使日后加入CPTPP和DEPA等国际条约，也可以通过援引一般和安全例外条款继续维持必要限度的数据出境安全评估制度。

四、结 语

我国的数据出境安全评估制度处于制定初期，还不尽完善，且缺乏较为完整的实践支撑。在实施新立法的同时，我国还要关注美国、欧盟、俄罗斯等国家和地区的相关立法和实践，逐步完善我国的数据出境安全评估制度。我国也在申请加入CPTPP和DEPA等含有数据跨境流动条款的国际条约，而这些条约的数据跨境流动条款较之前我们已经加入的自由贸易协定更加推崇数据的自由流动，因此，在决定申请加入这些条约的前提下我国也有必要再度审视数据跨境流动条款的设计，即在保障安全的前提下适当地扩大数据跨境自由流动，这就要求对数据出境安全评估制度进行进一步的思考。

2022年8月24日，上海召开数据分类分级、制定重要数据目录试点工作会议，这些都是日后数据出境安全评估制度能够得以顺利实施的保障，而正如在上文中所提到，如果各地和各部门均对重要数据列出不同重要数据目录的话是否会导致标准不一，这样会影响法律在全国的统一实施，因为评估机构是网信办，而不同省份有不同的重要数据目录。这只是问题的一部分，包括细则不完备等也得尽早在立法实施前予以完成，不然就又会导致有法不能实施的情形。

往期目录

《上海政法学院学报》创刊于1986年，原名《法治论丛》（2003年改名为《上海政法学院学报》），至今已走过37年的发展历程。《上海政法学院学报》是我国最早以“法治”命名的法学专业学术期刊之一。

我们立足一流期刊建设目标，坚持 “高质量”“特色化”“专题化”办刊思路，在法学期刊建设上努力探索，逐步成长，影响因子稳步提升。据中国知网年报，《上海政法学院学报》（法治论丛）“复合影响因子”从2021年的2.428上升到2022年的3.192，“综合影响因子”从2021年的1.048上升到2022年的1.500，CI指数排名也从2021年的第41位提升到2022年的33位。此外，据中南财经政法大学2022年信息检索报告统计，《上海政法学院学报》2021年刊文共有31篇次（2020年14篇次）被《新华文摘》《中国社会科学文摘》《高等学校文科学术文摘》和“人大复印资料”等二次文献全文转载或论点摘编，在全国法律类院校学报排名第7位（2020年排第14位）。

我们以“问题意识”为导向，以做好选题策划为根本，在持续推进“党内法规”“上合组织法治”特色栏目建设的基础上，继续追踪法治前沿，实现“个人信息保护”“数字经济法治”“国家安全法治”等专栏的可持续发展；紧紧围绕法治中国建设中的重大战略问题，精心策划，开辟 “学习贯彻十九届六中全会精神专题”“新《刑事诉讼法解释》”“数字化时代的刑事诉讼改革”“产权保护专论”等新栏目新专题。此外，还开设“初创学者佳作”专栏，为有潜质起步的青年学者搭建平台。

我们以开放姿态拥抱新技术。全面升级网站建设，建立投审稿系统，实现全流程数字化出版；提升微信公众号运营策略，同步推出作者音频解读；积极开展网络首发，同步上传作者音频视频，增强学术出版。

我们虽然取得了一些进步，但同全国许多优质兄弟期刊相比还存在着很大差距和不足。我们诚挚地欢迎广大海内外科研工作者关注和支持上政学报并惠赐大作，也欢迎各界朋友积极建言献策、批评指正，以期共同办好《上海政法学院学报》（法治论丛）。来稿请通过《上海政法学院学报》编辑部网站(http://www.shupl.edu.cn/xbbjb/)投审稿系统进行投稿。本刊对来稿严格遵守三审（二审外审）定稿制度，以确保稿件选用公开公平公正。

编 辑：汤仙月

审 核：康敬奎

以法为基，寻社会治理之策

○

以文为器，求兴国安邦之道

投稿邮箱：xuebao@shupl.edu.cn

微信公众号：law-review1986

网址：http://www.shupl.edu.cn/html/xbbjb

电话：021-39227617  39227619

更多内容请点击下方“阅读原文”进入学报官网查看