李世冉

一、数据出境的法律界定

当前，国际上对于“跨境数据流动”尚未形成统一定义，但其概念的界定伴随着计算机通信系统的发展而逐步深入研究，最早在二十世纪七十年代由经济合作与发展组织(OECD)首次提出。1985年，OECD在《跨境数据流动宣言》中阐释了跨境数据流动的概念，将其定义为在成员国相互依存度不断提高的情况下，计算机化的数据和信息在国际层面的流动。澳大利亚1988年颁布的《隐私法》虽未对“数据跨境流动”进行明确的界定，但该国法律改革委员会认为数据在境外被访问的过程视为跨境流动。欧盟《通用数据保护条例》认为“跨境处理”有以下两种情况：一是在控制者或处理者在多个成员国之间进行数据流动；二是数据流动发生在单一控制者或处理者的活动范围内，但实质上可能影响多个成员国的数据主体。迄今为止，跨境数据流动的概念在国际层面上尚未明确，但各国以及国际组织对于跨境数据流动的内容界定具有一致性，即数据在国际间进行传输与处理的行为视为跨境数据流动。

数据出境的概念衍生于数据跨境流动，是跨境数据流动治理的主要内容。2017年4月11日，中央网信办发布《个人信息和重要数据出境安全评估办法(征求意见稿)》，首次对“数据出境”进行明确定义；同年，《信息安全技术数据出境安全评估指南(征求意见稿)》对评估办法中的概念进行细化，将其解读为网络经营者通过网络等方式，将境内的个人信息和重要数据传递给境外的机构、组织或个人的一次性活动或连续性活动。此处的重要数据是指相关组织、机构和个人在境内收集、产生的不涉及国家秘密，但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)。基于上述立法本意，对于境外数据经我国中转，未经任何变动或加工处理的情形以及虽在境内经过存储、加工处理，但不涉及境内运营中收集和产生的个人信息和重要数据的，均不属于数据出境的情形。

二、数据出境中的法律问题阐释

(一)数据出境的立法规制问题

目前，我国有关数据出境的法律规范散见于多项法律法规、部门规章以及规范性文件之中，但还没有专门的法律、行政法规来规制，尚未形成完善的数据出境法律体系。在法律方面，《网络安全法》对数据的收集、存储、传输、处理等作出了一系列的规定，但没有专门针对数据出境事宜的相关规定。《数据安全法》提出在数据分级分类保护制度基础上，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。但其相关条款多为概括性的规定，尚未对重要数据领域进行严格的监管和规制。在部门规章方面，2022年7月7日国家互联网信息办公室公布《数据出境安全评估办法》，对数据出境的安全评估进行了较为详尽的阐释，但是评估规则还有待细化。《个人信息出境安全评估办法(征求意见稿)》规定了个人信息出境安全评估的内容，以保障数据出境的个人信息安全，但是涉及的内容仅限于个人信息，对商业利益、国家安全尚未予以规制。在国家标准方面，《信息安全技术数据出境安全评估指南(征求意见稿)》详尽地阐释了数据出境的安全评估等相关内容，但是国家标准不具有法律上的强制执行力，仅对数据出境提供了可操作性的指引。由此可知，我国涉及数据出境的法律法规不多，相关条款多为概括性的规定，可操作性不足。

(二)数据出境的法律保障问题

1.数据出境的安全评估规则不健全

目前，我国对数据出境安全评估规则机制存在法律规定零散、规则不一等问题。一方面，数据出境安全审查评估规则尚未体系化，而是散见于各行业和领域的法律规范之中。《网络安全法》《数据安全法》对个人信息和重要数据的出境提出了安全评估要求，但未对数据出境的安全评估规则进行明确规定。故而，我国对数据出境国家安全审核主要以部门管理规范进行规制。但此种部门管理规范的监管机制可能会引发标准不一、监管不到位等问题，损害个人的数据权益，乃至于损害国家、社会的安全利益。另一方面，数据出境安全审查规则多为概括性规定，国务院部委在制定部门规章时，提及数据出境应当满足相关法律法规的具体要求，但是并未对数据出境安全评估的启动条件、程序等问题进行详尽的阐释。这可能引发行业部门在数据出境安全审查过程中出现审查或严或松的问题，造成数据出境审查的混乱，既不利于国际贸易的发展，更不利于维护国家安全。

2.数据出境的监管机制不完善

当前，数据出境监管规范不足以解决复杂的现实问题，对数据的保护不能起到有效的作用。其一，监管方式单一。《网络安全法》确立了数据本地化存储与数据出境安全评估相结合的监管方式。但是，数据出境的监管方式存在不足，未对数据出境的现实场景等进行具体化、差异化的监管，没有对数据出境的网络安全评估规则进行完善。其二，监管包容性不足。国家相关法律以及行政法规规定数据出境应当进行网络安全评估，但监管方法过于严苛而在一定程度上不能很好地助力经济的增长，难以满足数字经济的发展需要和市场经济发展的需要。其三，监管机构不明确。我国涉及数据出境的监管机构众多，各个机构发布的监管规范不尽一致，相应的监管标准并不明确具体，这就引发数据出境监管重叠、多头监管的问题。

(三)数据出境的配套法律制度问题

1.法律欠缺配套措施

我国目前对数据出境的现行规制体系进行了理论上的探索，但实践上缺乏可操作性。于是，我国在数据出境领域采取了类似欧盟的充分性认定方式，对数据出境和境外接收方处理数据的目的、范围、方式等相关内容进行评估，以规范数据出境活动，维护国家和社会的公共利益。但就目前而言，我国数据出境评估办法中的相关条款过于宽泛，在操作流程方面仍需细化。与评估方式相对应，数据出境的评估程序有待完善。上述《评估办法》规定了数据出境评估的启动条件，但对于数据出境评估启动后的程序规定得较为笼统，还没有对数据出境进行全面而深入的研究。

2.行业自律性不足

在数字经济时代，数据出境对全球数字化格局的塑造起着十分重要的作用，但是我国对于数据出境的市场规制并不完善，在数据出境的市场准入和退出机制方面进行没有进行严格的限制。就数据出境产业发展而言，我国在数据出境市场准入和退出的管控存在不容忽视的问题，缺乏相对应的法律规章制度对数据出境市场准入和退出机制进行监管和审核。鉴于此，我国应完善数据出境市场机制，促进市场既经济的发展。另外，我国数据出境产业规模相对较小，企业在行业的自主性和合规性方面还有所欠缺。

3.国际合作不充分

当今世界，和平发展、合作共赢成为时代潮流，以合作促发展，保和平是实现安全的保证。国际间的合作和交流极大地缓解了我国数据出境资源不足的局面，改善了国家资源状况，提高了合作项目管理的能力和质量，促进了我国人才的培养以及重点工作的顺利开展。在区域国际组织合作方面，欧美发达国家在双边、多变贸易协定中涉及对数据出境国家安全审查规则的规定，以保障数字经济贸易的发展乃至保障国家安全。但是在国际贸易中，我国主要依靠国内法以及部分单边贸易协定，尚未与他国或区域组织建立长期有效的数据出境的合作机制。

三、数据出境的法律规则体系的完善

(一)完善数据出境立法

1.构建统一立法模式

对数据出境采取统一立法的立法模式，即由全国人大制定全国性的数据出境方面的基本法——《数据出境法》，对数据出境的立法目的、基本原则、申报程序、适用范围、出境方式以及安全评估等方面进行框架性规定。仅仅一部法律还难以应对层出不穷的数据出境问题，应配套相应的行政法规或部门规章，细化上位法的规定，与其他法律、法规进行有效协同，建立结构完整、规范统一的数据出境法律体系。另外，在国家立法的框架之下，地方政府可因地制宜地出台具体的实施方法和补充性规定。在立法时需深入分析现有法律中涉及数据出境的相关规定，减少交叉重复，使现有法规与新法相互配合且有效衔接，并最终形成统一的数据出境法律体系。

2.提高法律保护级别

目前，我国的个人信息和重要数据出境安全评估办法尚在征求意见阶段，没有专门的法律、行政法规予以规制，法律保护级别较低。据此，我国应当由全国人民代表大会制定相关法律，提高数据出境法律保护级别，以此提升保护数据出境的法律效力等级，保障数据出境相关主体的合法权益。同时，我国应在借鉴域外立法经验的基础上，根据本国国情，在立法上明确数据出境安全审查评估规则的具体要求，并为数据出境的范围、方式以及安全评估等提供明确、全面的判断标准。总之，不仅仅要提升现有规范数据出境的法律位阶，还要提升与相关法律、法规之间的融洽性，从而降低各行业部门的法律法规因不同原则、规范导致冲突的可能性。

(二)优化数据出境评估规则

一是引入第三方评估机制。在数据出境评估方面，引入第三方评估机制，可以有效弥补数据出境安全自评估的缺陷，完善数据出境国家安全审查评估规则体系。但是由于第三方评估机构存在操作不规范、公信力低等问题，我国应从以下三个方面进行规范：(1)对评估机构进行能力评估、资质认定，确保其符合法律规定的资质；(2)对第三方评估进行评估前、中、后进行监督，保障数据出境评估的结果的有效性、科学性；(3)对第三方评估机构造成的损失以及其他不良后果，应当依法追究评估主体、决策机关的责任。数据出境评估引入第三方评估机制，有助于创新数据出境的评估方式，能有效缓解监管机构和企业自评估的压力，提高数据出境评估的质量和效率。

二是建立统一的评估机构。目前，针对数据出境评估标准不一致、评估结果出现分歧等问题，大多数国家对于数据出境安全审查评估设有专门的数据保护机构。评估机构统一进行数据出境安全评估，确保每次评估标准一致，评估结果不会出现较大分歧，而且有利于市场主体按照清晰的标准进行调整，不断提高自身数据保护水平。对此，我国应建立统一的数据出境安全审查评估机构，分工明确、相互协作，促进数据出境评估工作得以有效的完成。具体而言，监管机构和评估机构应当依照法律的规定承担起相应的责任，保护个人隐私以及个人的信息安全，保护公司企业的商业秘密，以维护国家安全、社会利益。如若监管机构和评估机构泄露、窃取、篡改、毁损、丢失以及非法使用数据信息，对国家安全、公共利益或者个人、组织合法权益造成危害的，应当负起相应的责任，并赔偿企业等相关数据主体的损失。

(三)完善数据出境的监管机制

首先，对监管主体而言，设立专门的管理机构，使监管适当分离。一是建立统一的数据出境监管机构，对数据出境监管主体、监管内容等方面进行合法、有效监管，避免相关部门形成不当的监管竞争，保障我国数据保护出境工作顺利运行。二是设立数据出境执法机构，严格确定行政执法责任，加强执法监督，对违法收集、使用、处理和传输数据、侵犯数据权利人的合法权益的行为进行全面调查，提出合理建议，要求纠正或者作出行政处罚。其次，从监管方式而言，可以探索综合管理模式，对数据出境监管制度实施集中管理。针对数据出境监管包容性不足等问题进行监管，加强各个行业和组织之间的交流，以实现在不同部门之间的高效分工合作，在经济建设和国家安全方面实现双赢。最后，在监管机制方面，应建立完善的监管机制，完善数据出境监管制度。鉴于我国国内实际情况，建立以市场机制为主，“政府+社会+企业”多元化的监管模式为补充，创新和完善数据出境的监管机制、实现科学集约高效监管。

(四)参与国际规则制定，加强国际合作

其一，参与国际规则制定。尽管欧盟、美国等国际组织、发达国家对跨境数据流动制定了相关规则，但目前在全球范围内还尚未形成统一的国际规则或条约。鉴于此，我国应积极参加区域合作组织，参与数据出境国家安全评估规则的制定，以保障我国的数据合法权益。具体而言，我国应把握历史机遇，积极参与跨境数据流动的研讨，提出自己的主张，推出中国的数据出境标准，保障我国的数据合法权益，并促进国际间相互交流以及国际经济贸易的繁荣。积极参与全球数据规则制定，在当前双边、多边贸易谈判中增加关于数据跨境流动条款，为我国数字企业“走出去”奠定基础。

其二，依托G20、世界互联网大会等多边对话机制和国际性会议，宣传我国数据跨境流动的主张，吸引更多国家支持和参与《全球数据安全倡议》，促进达成数据合法、安全有序跨境流动相关共识。加强与印度、巴西等新兴国家之间的科技合作，利用多边机制的召集力和广泛影响力，达成相关协议。着力推进“一带一路”合作框架下数据流动协议与标准的制定，构建数字空间命运共同体，推动全球跨境数据流动规制形成新局面。在具体实践中，应当积极履行国际义务和承担国际责任，在境外国家对我国数据贸易等方面有不公平待遇的或者采取歧视性的措施时，采取相关措施以有效应对，从而维护我国的国家安全，保障我国国际贸易的发展。

四、结语

随着国际经济贸易的繁荣，数据出境已经成为各国对外进行贸易的重要途径和方式。为此，各国都对数据出境表达高度关切。为了紧跟时代步伐，我国出台数据出境的相关法律法规，促进数据自由流动，推进国际经济贸易的发展。但是，我国现阶段有关数据出境的法律法规散见于行业规范中，尚未形成系统化的法律规制体系。未来，我国在数据出境规制的完善过程中，有必要引入动态化的价值判断，明确数据出境的相关内容，完善数据出境法律规则体系，以实现国家利益、产业利益、风险控制三者之间的动态平衡。

①G.RUSSELL PIPE.International Information Policy:Evolution of Transborder Data Flow Issues[J].Telematics and Informatics,1984(4).转引自黄宁,李杨.“三难选择”下跨境数据流动规制的演进与成因[J].清华大学学报(哲学社会科学版),2017(5).