8月19日，在商务部专题新闻发布会上，商务部服贸司司长冼国义对近日发布的《全面深化服务贸易创新发展试点总体方案》（下称《方案》）进行解读。

冼国义介绍，本轮试点重点围绕推动服务贸易改革、开放、创新。在创新方面，顺应新形势下数字经济的发展趋势，特别是在数字贸易领域，要重点探索数据流动与监管的创新和开放。

近年来，数据跨境传输问题一直备受关注。南都记者注意到，此次《方案》首次明确，在条件较好的试点地区探索开展数据跨境传输安全管理试点。有专家提出，目前我国在数据跨境方面的政策还比较薄弱，比如要抓紧完善对重要数据的识别标准。

8月12日，国务院正式批复同意《方案》。14日，商务部正式发布《方案》全文和附表《全面深化服务贸易创新发展试点任务、具体举措及责任分工》（下称《附表》），将2018年确立的17个试点地区扩围至28个，试点期限为3年。

白色字体为2018年确立的17个试点地区，棕色字体为此次新增试点。制图：南都记者 李慧琪

在数字经济时代，数据跨境流动广泛存在。麦肯锡全球研究院发布的《数据全球化：新时代的全球性流动》报告指出，自2008年以来，数据流动对全球经济增长的贡献已经超过传统的跨国贸易和投资。

中国信息安全研究院副院长左晓栋指出，数据跨境流动是一个基础的贸易问题。特别是在电子商务高速发展的背景下，数据跨境流动对国际贸易的重要性进一步增强。

此次《方案》规定，试点任务之一是推动数字营商环境便利化，其中包括在条件相对较好的试点地区开展数据跨境传输安全管理试点，《附表》第76项进一步明确，在北京、上海、海南、雄安新区等试点地区推进探索跨境数据流动分类监管模式，由中央网信办指导并制定政策保障措施。

其中上海自由贸易试验区临港新片区于去年8月设立，海南也已被确立为自由贸易港，并于今年6月成为首个数据跨境传输安全管理试点。“海南自贸港和上海自贸区临港新片区面临的数据跨境问题十分迫切。”左晓栋表示。

他还解释道，北京是我国的政治经济中心，数据跨境传输的场景非常多。雄安新区的建设本来就是以高科技、智能化为特色，集成了众多最新的网络技术、数字技术，海量数据的流动也十分频繁。而且，党中央、国务院将雄安定位为我国对外合作新平台，本身就要坚持大胆探索、先行先试，所以选择雄安进行试点十分有意义。

南都记者注意到，除了设立试点，和数据跨境传输相关的举措还有《附表》第83、84和115项，这三项将在所有的28个试点推进。

上述三项举措提到，试点开展数据跨境流动安全评估，建立数据保护能力认证、数据流通备份审查、跨境数据流动和交易风险评估等数据安全管理机制；鼓励有关试点地区参与数字规则国际合作，加大对数据的保护力度；支持试点地区发展基于工业互联网的大数据采集、存储、处理、分析、挖掘和交易等跨境服务；以及组建国家数字贸易专家工作组等等。

中央财经大学法学院博士后时业伟告诉南都记者，“相比于之前框架性或者原则性的表述,《方案》进行了细化，而且具有可操作性。”他进一步解释，比如明确了数据跨境的几个关键步骤——数据采集、脱敏、应用、交易等，之后可能会针对每个步骤制定相应的规则，就会促进数据跨境更加落地。

近年来，中国数据跨境流动管理制度正在制定完善的过程之中。

网络安全法第37条对关键信息基础设施数据提出了出境安全评估要求，是我国对于规范数据跨境传输的主要依据之一。

此后，陆续出台的《个人信息和重要数据出境安全评估办法（征求意见稿）》、《个人信息出境安全评估办法》（征求意见稿）、《信息安全技术 数据出境安全评估指南（草案）》以及《数据安全法（草案）》等不断完善我国的数据跨境流动管理政策体系。

时业伟曾撰文表示，上述法律法规也体现出，我国注重国家网络空间主权的立法目标以及保护个人数据安全的根本出发点。

但除网络安全法以外，其他法律及标准、办法都在征求意见阶段，对企业缺乏有可操作性的指引。“数据跨境传输应该是一个‘老大难’问题了，从2017年开始每年都在推，但一直都没有落地。现在在基层，大家已经不怎么提了，因为觉得官方还没有完全定调。”一位长期在数据跨境领域深耕的律师告诉南都记者。

有专家也表示，数据跨境问题很复杂，目前我们的政策基础还比较薄弱。时业伟则进一步指出，在国内的相关规则仍存有大片空白的背景下，国际社会的认可度和接受度也不会令人满意。

那么，对于我国的数据跨境传输机制来说，还有哪些基础的制度需要完善？多位专家向南都记者表示，要抓紧明确重要数据的识别标准。左晓栋认为，不是所有的数据出境都要进行监管，个人信息和重要数据是监管重点，但目前我国还没有出台重要数据的识别标准。

今年7月，《数据安全法（草案）》出台，其中第19条规定，各地区、各部门应当按照国家有关规定，确定本地区、本部门、本行业重要数据保护目录，对列入目录的数据进行重点保护。

根据此前公布的《信息安全技术 数据出境安全评估指南(草案)》，重要数据是指相关组织、机构和个人在境内收集、产生的不涉及国家秘密，但与国家安全、经济发展以及公共利益密切相关的数据（包括原始数据和衍生数据）。不过，由于上述指南还未正式实施，重要数据的定义和范围还有待确定。

此外，时业伟还提到数据分类保护的制度和违反保护制度的惩罚措施也要进一步完善。左晓栋则指出，技术支撑也很重要，“只靠填表、主动申报等管理手段是不行的，要提高技术发现、应急处置等能力。例如，要能够检测非法的数据外流，要对数据出境后的使用进行有效监督。”

除了以上出于安全考虑的限制性规定，时业伟也向南都记者强调，立法的最终目的仍应该是促进数据依法有序的自由流动，而不是因为限制成为“一潭死水”。只有让数据在安全、稳定的环境中进行自由流动，数据运营者才能更好地对数据进行开发和利用。

数字经济兴起之后，网络空间博弈愈来愈与地缘政治、产业竞争、经贸关系、网络主权、权利保护等各种议题相结合，数据跨境流动也成为当前国家地区间政策博弈最为复杂的领域之一。

左晓栋提出，当前国际贸易规则正在经历重构，一些多边、双边贸易协定纷纷签署，而其中的重要内容，便是数据跨境流动问题。时业伟告诉南都记者，在这方面我国的参与程度仍有待加深。根据此次《方案》的规划，积极推进双边、多边的数据跨境流动协议是值得探索的方向之一。

双边或多边的协议主要起到简化安全评估流程的作用，比如前段时间刚刚被欧盟法院裁定无效的“隐私盾”，就是欧盟与美国之间跨境数据传输的协议，很多企业在该框架下获得认证。左晓栋表示，国际上很多国家或者地区会把签署协议看作衡量对方数据安全保护能力的一个重要的指标。

上海社会科学院互联网研究中心发布的《全球数据跨境流动政策与中国战略研究报告》（下称《报告》）中指出，基于不同的产业能力，各国政府在策略上可分为三种类型，包括以美国为代表的主张自由流动的进取型策略、以欧盟为代表的规制型策略和以俄罗斯为代表的出境限制策略。

其中，美国主张个人数据跨境自由流动，利用数字产业全球领导优势主导数据流向。在美国“云法案”通过后，通过“长臂管辖”扩大国内法域外适用的范围，其他国家要调取存储在美国的数据，必须通过美国“适格外国政府”的审查。

欧盟则是通过了《通用数据保护条例》（GDPR），实施欧盟数字化单一市场战略，消除欧盟境内数据自由流动障碍。

同时，出于对公民隐私和安全风险的考虑，欧盟提出“相同保护水平”要求，即个人数据接收国需要达到流出国相同的数据保护水平，通过“充分性认定”确定数据跨境自由流动白名单国家，推广欧盟数据保护立法的全球影响力。新加坡、日本等国也采取同样的策略。

俄罗斯则是通过数据本地化政策要求数据回流，以保护主义政策推动IT产业发展。2014年，俄罗斯通过了个人数据本地化规则，要求收集和处理俄罗斯公民个人数据的所有运营者使用位于俄罗斯境内的数据中心。法律并不限制个人数据出境，但是要求数据首次存储必须在俄罗斯境内的服务器上。

今年出台的《数据安全法（草案）》中明确，我国在域外管辖上采用保护性管辖的方式。对外经济贸易大学数字经济与法律创新研究中心执行主任许可曾向南都记者解释，可以简单理解为“对中国造成损害的才去管，没有的话就不管”。

他表示，与欧盟和美国相比，《数据安全法（草案）》提出的是一个比较折中的做法。“我非常赞同这项规定，因为它既体现了域外管辖权，也不会过分扩张，引起一些无谓的摩擦。”

采写：南都记者 李慧琪

编辑：蒋琳