2018年9月18日下午，由国家发展和改革委员会及上海市公民政府等单位主理的“2018天下人工智能大会•静安国际大数据主题论坛”在上海举行。

华东政法大学数据法律研究中央向本次论坛的“跨境数据流利”闭门会提交了有关我国数据出境牵制政策的研究报告，近二十位与会专家对该报告提出的问题和不雅观点进行了深度研讨。
本文是在本次闭门会上形成的专家共识。

欢迎谈论。

2017年9月19日，河北省廊坊市安次区网信办事情职员和志愿者在街头发放网络安全宣扬折页。
王晓 图

网络产生了大量丰富的数据资源，趋动着科技创新、经济发展和社会管理。
人类已经进入数字经济时期。

网络的无边陲性、云做事的环球性、大数据跨境的流动性，不仅使数据掌握权成为数字经济参与者争夺的焦点，而且成为网络管理和国际秩序的焦点问题。
一方面，在网络开放、自由竞争、贸易自由等不雅观念驱动下，人们渴望数据自由流动。
另一方面，为掩护公民权利、经济安全和政治稳定，须要对数据流动给予适当的掌握。
于是，数据出境牵制（又称数据跨境流利牵制）成为推进数字经济发展，参与国际经济新秩序的关键根本制度。

2017年6月1日起履行的我国《网络安全法》第三十七条规定：“关键信息根本举动步伐的运营者在中华公民共和国境内运营中网络和产生的个人信息和主要数据应该在境内存储。
因业务须要，确需向境外供应的，应该按照国家网信部门会同***有关部门制订的办法进行安全评估；法律、行政法规另有规定的，依照其规定。
”

由此确立的数据境内存储（又称数据本地化）和数据出境安全评估制度只针对关键信息根本举动步伐运营者。
之以是如此规定，背后的情由是，关键信息根本举动步伐关系到网络安全，而网络安全关系到国家安全。
因此，这一规定具有正当性和合理性。

为详细落实《网络安全法》第三十七条之规定，2017年4月，国家互联网信息办公室发布《个人信息和主要数据出境安全评估办法（搜聚见地稿）》。
该搜聚见地稿以及干系解读授予《网络安全法》过多“义务”，导致我国被国际社会误解为采纳了数据保护主义政策。

为形成有利于我国数字经济发展的数据出境牵制政策，我们特提出以下六条建议。

一、基于《国家安全法》第二十五条构建我国的跨境数据监牵制度

依《国家安全法》第二十五条之规定，我国有权掩护“关键根本举动步伐和主要领域信息系统及数据的安全可控”。
显然，这里的数据特指关键根本举动步伐的数据和主要领域的数据。
这些数据关系到国家安全，据此构筑我国数据出境牵制的政策，具有法律正当性。

但如果将我国数据出境牵制政策建立在《网络安全法》根本上，即存在关键信息根本举动步伐运营者是否能够涵盖所有关系到国家安全的主要数据掌握者的问题。
《个人信息和主要数据出境安全评估办法（搜聚见地稿）》订定的本意是扩大出境数据的管控范围，将关键信息根本举动步伐运营者扩大为“网络运营者”。
但是，这样的扩大不仅偏离《网络安全法》本意，还存在是否能够涵盖统统主要数据的问题。
实在，一旦超越《网络安全法》，数据出境管控的主体便是主要数据掌握者。

二、分离本地化存储与出境数据管控之间的联系

将《网络安全法》作为数据出境牵制的依据还带来一个问题，即将本地化存储与数据出境牵制直接关联或等同。

数据本地化与数据跨境监管是两个不同的观点或制度。
本地化存储最初只是针对国家安全而设置的制度，早在《网络安全法》颁行之前，对一些分外行业就有主要数据境内存储的哀求，《网络安全法》进一步规定“关键信息根本举动步伐的运营者在中华公民共和国境内运营中网络和产生的个人信息和主要数据应该在境内存储”也不为过。

但是，如果将个人信息也纳入，就会引发个人信息是否都关系到国家安全的疑问。
为肃清人们的疑虑，除了限定《网络安全法》确当地化存储的适用范围（即限定是“关键信息根本举动步伐运营者”在境内生产的数据）外，还要分离本地化存储和出境牵制的关系。

数据确当地化并不虞味着数据不能出境。
数据出境牵制是由数据是否关系到国家安全，而不是数据确当地化存储来决定的。
《网络安全法》之以是哀求将关键信息根本举动步伐上产生的个人信息也纳入本地化存储，紧张也考虑的是本国法律和司法便利，缓和目前国际法律帮忙程序繁杂带来的本国法律履行困难。
这与数据出境管控没有直接联系。

因此，《网络安全法》所哀求的“关键信息根本举动步伐的运营者在中华公民共和国境内运营中网络和产生的个人信息和主要数据应该在境内存储”，不宜理解为严苛型确当地化（禁止数据出境），而应理解为是可以出境乃至是许可境外访问确当地化存储。
应将本地化存储与数据出境牵制分离。

三、区分主要数据和个人数据，建立不同出境牵制政策

主要数据和个人数据（个人信息）出境规制政策不同。
主要数据应该纳入出境牵制范围，原则上不许可出境；而个人数据则不宜纳入数据出境牵制范围，在同等保护条件下，遵照一定规则即可以出境。

这是由于，一样平常来讲个人数据仅关系到数据上的公民个人权柄保护问题，一样平常不涉及国家安全。
因而国际社会通畅的基本原则是，只要个人数据的目的国（进境国）对个人数据的保护达到出境国的个人数据保护水平，或者有其他机制使出境后的公民个人数据得到保护，那么应该许可公民个人数据流出境外。
因此，个人数据出境问题并不是数据出境牵制问题，而是国家基于保护公民权柄的责任，对个人数据出境施加的限定。
这种限定目前在国际社会被认为是合理的、可接管的。

但是，主要数据出境是国家基于掩护经济和政治安全或国家安全而履行的管控，一样平常不纳入到贸易会谈中进行协商，而是由国家建立统一的限定和禁止数据出境的基本原则和制度规则，然后由各行业主管部门监管和履行本行业的数据出境监管。

比如，我们可以结合《守旧国家秘密法》、《舆图管理条例》等法律法规，发展出以掩护国家安全目的的禁止和限定出境数据的目录清单，建立动态调度机制，规定在目录清单之内的数据纳入数据出境监管，而目录清单外的数据即可出境。
这样的数据出境牵制才是真正的出境监管。
显然，在这样的监管系统编制下，主要数据是否能够出境，不是企业或单位自评估可以决定的事情。

我们认为，自评估不能适用于主要数据，并作为主要数据出境的一种牵制方法。
适用于数据掌握者的数据牵制政策应当是国家统一制度，不应是数据掌握者自主评估决定的事情。

须要指出的是，区分个人数据与主要数据并履行不同的出境政策，并不虞味着个人数据不能纳入出境监管。
分外人群的数据、特定种类的个人数据（比如基因）由于其主要性，仍旧可以纳入到国家的数据出境监管体系。
但是，干系评价标准仍旧是是否关系到国家安全，而不是关于个人的信息是否产生于境内。

四、安全评估不宜作为个人数据出境的条件

依据《网络安全法》的规定，数据安全评估被作为数据是否可以出境的管控办法，且被理解为替代事前监管的事中监管方法。

纵然安全评估被理解为我国“放管服”政策下，减少事前监管，增强市场主体自我任务的主要方法，我们也认为自我评估不宜作为个人数据出境掌握的手段。
这是由于，数据出境是否安全，须要评估的是数据流入国的数据保护水平，而这样的保护水平让一个企业或单位自评，不仅困难，徒增本钱，而且有主不雅观性，可能造成对同样的国家有不同的评估结果。
至少在他国保护水平方面，适用国家相互认定（协定）或者威信的中立机构加以认证决定，而不适用每个数据出境者自己评估。

数据出境者自己能够评估的是在公认的保护水平下，所要出境的数据是否会有风险。
因此，数据安全评估多被许多法律认可为是数据掌握者利用合规和风控的手段，数据能否出境或出境的条件则是由法律规定的。
比如欧盟条例就规定了国家协定、公司约束规则、示范合同等多种数据出境办法。
因此，我们不反对安全评估在数据出境中的运用，但是，它不应作为个人数据出境的条件，不能承担法律或者国家应该承担的职责。

五、在数据经济计策下制订个人数据保护和利用规则

有了我国的个人数据保护规则，然后才能寻求国外的同等保护或充分保护，才有会谈的根本，因此，加快制订我国的个人信息保护法已成共识。

个人数据成为当今数字贸易秩序构建的要素，因而个人信息保护法必须同时考虑个人数据跨境流利问题。
在经济日益环球化、数字经济日益跨境的背景下，我们的个人信息保护法还必须考虑我国对境外数据的获取和开拓国际市场问题。
毕竟，在个人数据领域奉行的是同等保护原则，在国际贸易和经济互助中奉行的是互惠互利原则，我国对个人数据出境的过度限定势将成为我国经济环球化、开拓环球做事市场的障碍。
因此，个人信息保护立法应该与跨境数据流动政策同步，或者为今后的跨境数据贸易会谈贸下余地。

这样，数据出境条件和出境通道的设置就具有经济含义，而不再是纯挚的公民权利保护问题。
因此，个人信息保护法应该平衡经济发展和安全利益。
形成有利于我国参与环球数字市场竞争的个人数据流利利用规则，应该成为正在制订的个人信息保护法的主要目的。

六、积极参与国际会谈，为我国数字经济发展争取更多空间

数据流动是国家间投资贸易的一定要素。
对传统经济而言，无数据流动，就没有国际互助和贸易；对数据经济而言，没有数据跨境流动，就没有境外市场开拓和跨境做事。

在这样的背景下，数据跨境流动政策就成为未来国际新秩序的关键要素。
这一点从美国贸易代表办公室（USTR）已将“数字贸易”列入《北美自贸易协定》（NAFTA）重新会谈目标中可以看出端倪，“数字贸易”也成为如今《跨太平洋伙伴关系全面进步协定》（CPTPP）和《做事贸易协定》（TiSA）的紧张内容。

所有的国际贸易会谈或协议都是基于本国经济实力亲睦处诉求作出的妥协。
我国虽然有发达的网络运用和体量弘大的网络经济，但在根本网络和数据做事的关键技能方面与美欧仍有一定差距。
这样，数据（实质上是市场）就成为我国参与新的国际竞争秩序的主要会谈砝码。
因此，我国应该形成和坚持统一的精确数据跨境流动政策，在开放和保护、牵制与自由之间寻求平衡点，通过双边协定办法来推进国际数字经济新秩序的形成。

欧盟推出的《统一数据保护条例》（GDPR）已给我国企业带来合规压力，在这样的环境下，我国应该积极与欧盟会谈，寻求已经在欧盟有业务的中国企业数据合规的过渡性办理方案，并终极匆匆成欧盟认可我国企业对个人数据的保护水平。