我国数据出境规制检视与完善路径研究

我国数据出境规制检视与完善路径研究

杨霖

天津张盈（滨海）律师事务所  天津市滨海新区  300308

一、我国数据出境的立法规制框架

在全球化趋势的推动下，数据跨境流动规模不断扩大，数据作为数字贸易的核心资源，具有重要战略价值，各国都在根据自身利益需求，寻求在数据安全和自由流动之间取得平衡，并探索相应的规范途径。因此我国在发展新质生产力的背景下，也高度重视数据资源的价值，并且已经初步建立了数据出境的基本规制框架。

（一）我国数据出境主要立法

我国的数据出境立法主要包含《网络安全法》、《数据安全法》、《个人信息保护法》、《数据出境安全评估办法》、《网络数据安全管理条例（征求意见稿）》、《促进和规范数据跨境流动规定》、《个人信息出境标准合同办法》、《关于实施个人信息保护认证的公告》、《GB/T 43697-2024 数据安全技术 数据分类分级规则》等。

其中，《网络安全法》、《数据安全法》、《个人信息保护法》作为基础法律，对于我国的数据出境管理具有重要的法律依据和指导作用。这三部法律共同构成了我国数据出境管理的法律框架和基础，强调了对重要数据和个人信息的保护，明确了相关的法律责任和管理要求。

除了三部法律之外，《数据出境安全评估办法》具体规定了数据出境安全评估的适用范围、评估程序和标准，确保数据出境前经过严格的安全审查；《网络数据安全管理条例（征求意见稿）》虽然尚未正式实施，但该征求意见稿为未来的立法提供了思路和方向，进一步细化了网络信息安全管理的具体措施；《促进和规范数据跨境流动规定》发布于2024年3月22日，该规定旨在促进和规范数据跨境流动，在维护国家安全和个人信息权益的基础上，推动数据跨境自由流动。《个人信息出境标准合同办法》用于规范和管理个人信息跨境传输过程中的安全与合规。包含了标准合同条款、数据保护措施、监管和审查等内容；《关于实施个人信息保护认证的公告》是由中国国家认证认可监督管理委员会（CNCA）发布，旨在通过认证机制提升个人信息保护水平。包含了认证机构资质、认证标准、认证流程等内容。《GB/T 43697-2024 数据安全技术 数据分类分级规则》（以下简称“《数据分类分级规则》”）。《数据分类分级规则》涵盖了数据分类分级、重要数据和国家核心数据识别等重要内容。

（二）我国数据出境规制模式

经过相关立法的出台，我国数据出境规制模式已初步构建完成。对于数据分类分级，重要数据的界定方面有了较为清晰的界定，对于出境路径有了较为成熟的规范。

目前我国数据出境的路径包括三类，分别是数据出境安全评估、个人信息保护认证、个人信息出境标准合同签署。以上路径为企业数据出境提供了合规的框架，确保数据在跨境传输过程中的安全性和合法性，同时也促进了数字经济的发展。

二、天津自贸示范区数据出境有益探索

2024年3月22日，国家网信办公布《促进和规范数据跨境流动规定》，提出自贸试验区在国家数据分类分级保护制度框架下，可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（负面清单），按程序报批后实施。因此，天津自贸示范区作出了细化数据出境规范的有益探索，并且在一些方面走在了我国前列，具有借鉴参考价值。

（一）制定数据出境管理负面清单

2024年5月9日，天津自贸试验区管委会、天津市商务局联合印发《中国（天津）自由贸易试验区数据出境管理清单（负面清单）（2024年版）》（以下简称《负面清单》），成为全国第一个自贸试验区数据出境管理负面清单。天津自贸试验区在现有法律框架下制定实施《负面清单》，明确了包括重要数据在内的，需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单，填补了该领域制度空白，为有效解决企业数据出境难题、助力培育国际经济合作和竞争新优势提供了制度保障。

负面清单主要包含以下内容，一是落实了数据分类分级管理要求，将根据相关立法规范和行业规范认定的重要数据纳入清单管理范畴；二是加强了对个人信息的保护，将不同规模和类型的个人信息纳入负面清单；三是以服务企业高质量发展为目标，以企业经营活动中的数据出境需要为基础对出境数据的类别特征等进行准确界定，降低企业数据出境合规成本；四是加强区内数据出境安全风险的监测能力同时加强对区内企业的宣传解读，帮助企业提升合规意识。

从清单编制特征分析，负面清单分为需要通过数据出境安全评估的数据清单以及需要订立个人信息出境标准合同、通过个人信息保护认证的数据清单。并根据区内企业数据出境情况，划分数据类别，每类数据再划分数据子类，并对数据子类进行数据特征描述，特殊情况进行备注。通过此方式为企业数据出境提供更为清晰的指引。

（二）制定企业数据分类分级标准规范

2024年2月7日，天津市商务局、天津自贸试验区管委会联合印发《中国（天津）自由贸易试验区企业数据分类分级标准规范》（以下简称《标准规范》），成为全国首个自贸试验区数据分类分级标准规范。

《标准规范》首先对核心数据、重要数据、一般数据、数据分级、数据分类进行了概念界定，并根据数据分类分级机制对数据进行了分类分级，将企业数据分成13大类40子类，从高到低分为核心、重要、一般3个级别。

首先是数据分类机制。《标准规范》结合天津自贸试验区的企业实际经营过程中涉及的数据进行分类，分为三层，每一层又分为若干类目。第二是数据分级机制。通过定性与定量相结合，将数据从高到低分为核心数据、重要数据、一般数据3个级别。先识别是否是核心数据，不符合核心数据时优先识别为重要数据，如果都不符合即为一般数据。第三较为创新点是《标准规范》规定了数据分类分级的程序，首先企业自身进行数据分级分类，形成企业数据目录，对于重要数据向自贸试验区网络数据安全工作主管部门报送。随后由主管部门对重要数据目录进行汇总确认，并更具情况变更而进行相应的动态调整，涉及重要数据的要依据流程进行再次报送，并对目录加强审查评估，形成对企业数据分类分级的监管。

（三）细化数据出境路径实施要求

对于数据出境的三条路径，数据出境安全评估、个人信息出境标准合同、个人信息保护认证进行了细化规定。

对于数据出境安全评估，制定了申报指南，明确了数据出境行为，尤其规范了数据申报方式和流程，并允许根据不同情况线上和线下相结合方式进行申报，并明确了申报材料，极大简化了企业申报的流程。

对于个人信息出境标准合同，制定了备案指南，明确了个人信息出境行为的范围以及备案方式、备案流程、备案材料等。

对于个人信息保护认证，细化实施规则，明确了适用范围、认证依据、认证模式、认证实施程序以及认证后监督、认证证书、认证时限、认证责任等详细内容。

（四）有益经验借鉴

结合上述分析，天津自贸试验区的探索具有可供借鉴的价值。首先是根据区内企业的实际情况，汇总企业数据，并以此为基础针对性的制定相关政策。其次通过制定数据出境管理负面清单明确需要纳入监管的数据清单；制定企业数据分类分级标准规范明确企业数据的类别和级别，为企业数据出境的准确鉴别提供基础。最后是明确相关流程，对于申报流程、认证流程、相关材料进行明确，明确具体的监管部门，主管区域内的数据出境工作，方便企业进行数据申报。

三、结语

进入新时代，我国实现了第一个百年奋斗目标，在实现第二个百年奋斗目标的征途上，实现经济的该质量发展至关重要，在当下激烈的世界竞争中，以5G、人工智能、大数据、超级计算为代表的先进技术正在深刻地改变各行各业，并推动社会的全面数字化和智能化转型。因此数字资源已逐渐成为了核心资源。尤其我国在近些年的发展中，数据出境愈发频繁，如何平衡数据自由流动带来的经济价值与保护数据安全的价值就成为重要议题。