左曉棟：如何理解我國(guó)當(dāng)前的數(shù)據(jù)出境安全管理制度

編者按

在由信息化百人會(huì)、電動(dòng)汽車百人會(huì)聯(lián)合舉辦的、主題為“智能網(wǎng)聯(lián)汽車數(shù)據(jù)管理如何平衡安全與創(chuàng)新”的2022年度第19期高端研討會(huì)上，中國(guó)科學(xué)技術(shù)大學(xué)公共事務(wù)學(xué)院、網(wǎng)絡(luò)空間安全學(xué)院教授左曉棟發(fā)表演講，解析了我國(guó)當(dāng)前的數(shù)據(jù)出境安全管理制度，指出對(duì)重要數(shù)據(jù)的定義存在不一致是目前階段的特定現(xiàn)象，我國(guó)相關(guān)政策仍處于動(dòng)態(tài)調(diào)整階段。本文根據(jù)其演講整理。

理解我國(guó)當(dāng)前的數(shù)據(jù)出境安全管理制度的要點(diǎn)

一是當(dāng)前我國(guó)政策并未明確強(qiáng)調(diào)要實(shí)施數(shù)據(jù)本地化存儲(chǔ)。數(shù)據(jù)本地化存儲(chǔ)的概念最早來(lái)自于2017年6月1日起正式實(shí)施的《網(wǎng)絡(luò)安全法》第37條：“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估。”這一條款同時(shí)提及兩個(gè)制度：一個(gè)是本地化存儲(chǔ)制度；一個(gè)是數(shù)據(jù)的出境評(píng)估制度。很多人認(rèn)為，對(duì)數(shù)據(jù)出境設(shè)定規(guī)矩，那就是說(shuō)最好不要出去，也就是說(shuō)本地化存儲(chǔ)。其實(shí)，這是兩個(gè)概念。

對(duì)數(shù)據(jù)出境施加一些條件要求，甚至有時(shí)候是條件限制，并不等于不讓數(shù)據(jù)出境，也不等于數(shù)據(jù)必須存在境內(nèi)。必須看到，除了《網(wǎng)絡(luò)安全法》外，后續(xù)出臺(tái)的法律法規(guī)的確沒有再?gòu)?qiáng)調(diào)數(shù)據(jù)本地化存儲(chǔ)的概念。在個(gè)別場(chǎng)合下，可能數(shù)據(jù)還是要堅(jiān)持本地化存儲(chǔ)，但這一定是某種特定的數(shù)據(jù)，而非針對(duì)所有的數(shù)據(jù)。

二是對(duì)數(shù)據(jù)出境安全管理政策的認(rèn)定，不是所有的數(shù)據(jù)出境都按現(xiàn)在的數(shù)據(jù)出境條件來(lái)實(shí)施的?！毒W(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》明確了重要數(shù)據(jù)的出境條件，即必須經(jīng)過(guò)網(wǎng)信部門組織的安全評(píng)估，《個(gè)人信息保護(hù)法》與《網(wǎng)絡(luò)安全法》也明確了個(gè)人信息出境的條件。

個(gè)人信息的出境有四條不同途徑：第一，經(jīng)過(guò)網(wǎng)信部門組織的安全評(píng)估，主要是關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理100萬(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者，或者自上年1月1日起累計(jì)向境外提供10萬(wàn)人個(gè)人信息或者1萬(wàn)人敏感個(gè)人信息的數(shù)據(jù)處理者。第二，如果不屬于以上情況的個(gè)人信息出境，可以通過(guò)安全認(rèn)證，就是由國(guó)家網(wǎng)信部門牽頭組織的個(gè)人信息保護(hù)認(rèn)證，進(jìn)行數(shù)據(jù)出境。第三，通過(guò)標(biāo)準(zhǔn)合同，這個(gè)標(biāo)準(zhǔn)合同由國(guó)家網(wǎng)信部門確定，由數(shù)據(jù)發(fā)送方和數(shù)據(jù)接收方簽訂。第四，法律法規(guī)或者網(wǎng)信部門規(guī)定的其他條件。

不屬于上面的情況，按照目前法律法規(guī)要求，是可以自由出境的（涉密信息或行業(yè)有特殊要求的除外），包括既非重要數(shù)據(jù)也非個(gè)人信息的數(shù)據(jù)。

目前，我國(guó)法律沒有規(guī)定所有的數(shù)據(jù)出境都必須經(jīng)過(guò)評(píng)估、標(biāo)準(zhǔn)合同或者認(rèn)證。當(dāng)企業(yè)進(jìn)行數(shù)據(jù)出境時(shí)，可以對(duì)數(shù)據(jù)進(jìn)行梳理，將重要數(shù)據(jù)、個(gè)人信息與其他出境數(shù)據(jù)分類處理。

重要數(shù)據(jù)定義目前存在沖突，未來(lái)會(huì)達(dá)成共識(shí)

重要數(shù)據(jù)是出境管理的一個(gè)重要管理對(duì)象。我國(guó)正在建立重要數(shù)據(jù)的安全監(jiān)管制度，重要數(shù)據(jù)識(shí)別國(guó)家標(biāo)準(zhǔn)也已經(jīng)進(jìn)入送審稿階段，后續(xù)標(biāo)準(zhǔn)制定的進(jìn)程也會(huì)加快。

除了國(guó)家標(biāo)準(zhǔn)外，2021年，我國(guó)出臺(tái)了首部針對(duì)汽車數(shù)據(jù)安全制定的法規(guī)——《汽車數(shù)據(jù)安全若干管理規(guī)定》。其中對(duì)汽車重要數(shù)據(jù)進(jìn)行了定義，包括“涉及個(gè)人信息主體超過(guò)10萬(wàn)人的個(gè)人信息”。這與其他法規(guī)中對(duì)于重要數(shù)據(jù)的定義不完全一致。從事物發(fā)展的客觀規(guī)律來(lái)看，《汽車數(shù)據(jù)安全若干管理規(guī)定》是在智能汽車發(fā)展迅速、數(shù)據(jù)安全風(fēng)險(xiǎn)隱患急劇增加的背景下出臺(tái)的試行規(guī)定，當(dāng)時(shí)對(duì)重要數(shù)據(jù)的認(rèn)識(shí)并沒有現(xiàn)在這么深刻。隨著時(shí)間的發(fā)展、政策的不斷調(diào)整，未來(lái)將逐步達(dá)成共識(shí)。

美國(guó)對(duì)TikTok的管理方式具有借鑒意義

近期美國(guó)對(duì)TikTok的管理方式，對(duì)我國(guó)加強(qiáng)數(shù)據(jù)安全工作具有借鑒意義。經(jīng)常聽到有人說(shuō)，我國(guó)的數(shù)據(jù)管理對(duì)象范圍太大、太細(xì)。一些人認(rèn)為有些數(shù)據(jù)不應(yīng)該作為重要數(shù)據(jù)和敏感信息；還有一些人認(rèn)為，對(duì)一些數(shù)據(jù)的本地存儲(chǔ)要求沒有必要，且不應(yīng)該對(duì)達(dá)到一定量的數(shù)據(jù)進(jìn)行嚴(yán)格監(jiān)管。比如，在國(guó)外收集100萬(wàn)人的數(shù)據(jù)并不容易，但在我國(guó)，一家車企掌握的數(shù)據(jù)量就輕松達(dá)到100萬(wàn)人。因此有人提出，100萬(wàn)這個(gè)門檻是不是過(guò)高了，100萬(wàn)人的數(shù)據(jù)有那么敏感嗎？要回答上述問(wèn)題，可以看看美國(guó)是如何管理TikTok的。

TikTok作為短視頻類娛樂企業(yè)，按理說(shuō)沒那么多敏感數(shù)據(jù)，但美國(guó)認(rèn)定其有可能讓中國(guó)政府、情報(bào)機(jī)關(guān)獲取美國(guó)的“受保護(hù)數(shù)據(jù)”。這個(gè)“受保護(hù)數(shù)據(jù)”的范圍是由CFIUS（美國(guó)外國(guó)投資審查安全委員會(huì)）認(rèn)定的，認(rèn)定重點(diǎn)是哪些數(shù)據(jù)會(huì)影響美國(guó)國(guó)家安全。美國(guó)有人提出，前段時(shí)間CFIUS給的范圍太窄，大量應(yīng)該受保護(hù)的數(shù)據(jù)都沒有被納入其中。

反觀國(guó)內(nèi)，我國(guó)曾要求特斯拉數(shù)據(jù)在國(guó)內(nèi)存儲(chǔ)。這一要求相比以前是個(gè)巨大進(jìn)步，但跟美國(guó)相比還弱得多。美國(guó)提出，TikTok的數(shù)據(jù)僅存儲(chǔ)在美國(guó)境內(nèi)還不行，必須要有一些限制條件，包括不能有中國(guó)背景的員工訪問(wèn)、運(yùn)營(yíng)要由美國(guó)人負(fù)責(zé)、數(shù)據(jù)要存儲(chǔ)在甲骨文的德克薩斯州計(jì)算中心。這是要構(gòu)建一種數(shù)據(jù)的管、用分離制度。目前，我國(guó)尚未建立該類制度，世界其他國(guó)家也少有涉及。

美國(guó)在數(shù)據(jù)安全管理上的舉措值得高度關(guān)注，也警示我們對(duì)數(shù)據(jù)安全的認(rèn)識(shí)要有更多的國(guó)家安全考量。特別是在數(shù)據(jù)安全博弈日趨激烈的情況下，其背后的意圖以及將對(duì)全球數(shù)據(jù)安全管理制度產(chǎn)生什么樣的影響，需要持續(xù)跟蹤觀察。這對(duì)我國(guó)的數(shù)據(jù)安全管理政策有很大的借鑒意義。