近日，海关总署发布数据显示，2020年我国跨境电商进出口1.69万亿元，增长了31.1%，成为外贸的重要力量。随着全球数字经济的发展，数据跨境传输已经成为推动国际贸易中货物、服务、人、资金流动不可或缺的部分。

但与此同时，数据跨境传输也存在个人隐私、国家安全和经济竞争等方面的风险。相比欧美已经建立了相对完善的数据跨境传输规则，我国至今没有对其单独立法，相关内容散落于不同的法律法规、部门规章之中。

对此，有代表委员建议完善现有法律法规和技术规范，将分级分类管理作为数据出境管理制度设计核心思路，对不同类型的数据实施多样化出境规则，还应积极与国际数据跨境自由流动规则对接。

放任数据跨境流动威胁国家安全 建议加快出台相关法规

在数据贸易的背景下，数据跨境传输显得尤为重要。由于每个国家处于不同的发展阶段，政策和法律存在差异、冲突，极易产生数据安全防护水平不一，甚至数据被滥用等合规风险。

在全国人大代表、上海社科院副院长张兆安看来，数据是国家重要的战略资源。对于许多数字产业能力不强的国家来说，放任数据不受限制地流向境外，可能损害本国企业开发利用数据资源的发展机会，影响本国数字产业和数字经济竞争力的提升，损害本国产业利益。

他在建议中进一步指出，大数据时代，包括个人、企业和国家数据等在内的数据早已不仅是国家“软实力”体现。这些数据经分析处理，能反映国家相关行业和领域的情况。

例如根据跨国电商的订单等数据，推测用户群体的消费情况以及对应行业的宏观经济运行情况——这与国家主权和安全有密切联系，放任数据自由流动将会引发国家安全威胁，给国家主权的完整性带来严峻挑战。

因此，他建议完善相关法律法规和技术规范。包括对《网络安全法》的适用范围在后续法律法规中进行扩大和明确；尽快出台数据安全评估相关政策并加快落地实施；组织起草技术标准规范，建立指引性数据跨境流动协议范本等等。

全国政协委员、德勤中国副主席蒋颖也提出，要加快完善《网络安全法》《个人信息保护法（草案）》中现有规定，明确“关键信息基础设置”“重要数据”定义和边界等关键概念；加快重要数据、个人数据信息出境管理规范细则出台，尽快形成管理规范体系。

现有法规未区分数据性质，建议分级分类管理

南都记者注意到，此前已有多位专家建议对个人数据和重要数据进行分类监管，规定多元化个人数据跨境流动的合法事由及专业评估。但现有法规未区分行业、数据性质，蒋颖认为，这会影响行政监管效能。

因此，她建议将分级分类管理作为数据出境管理制度设计核心思路，实施多样化出境规则。根据数据出境后风险大小及所保护法益不同，确定每一类型、层级受控数据范畴，并最终确立精准、差异化跨境流动管理政策。对于个人数据及非重要数据，突破本地化存储及安全审查的限制，采取灵活的出境政策。

她还进一步提到，为满足这一需求，可以借鉴欧美等国做法，丰富数据出境管理方式，如发布指引性跨境流动协议范本、将部分国家和地区纳入可自由流动范围等。同时建立行业标准认证监管认可机制和第三方认证主体审批、准入、管理机制，赋予特定行业自律协会适当监管权利，扩大监管触及范围。

张兆安则从监管的角度提出了建议。他指出，首先需要国家各条线的监管部门和职能部门分别参与，领取各自管辖内的相关数据，如网信部门主要分管个人信息，卫计委分管医疗领域业务数据，人民银行分管金融邻域业务数据等。

其次国家各条线的监管部门和职能部门对本部门邻域的数据进行分级处理，依据重要性原则，从安全维度对数据进行区分。比如最高级别的数据不允许跨境流动，低一级别的数据需要满足一定条件，最低级的数据可不受限制。

另外他还认为应该组建数据跨境流动安全评估体系，包括自评估机制、联审联评机制、安全检查机制、违规举报机制和信用管理机制五大机制。这套机制将根据数据跨境流动的动态变化，实现事前事中事后的全流程监督。

“正如欧盟数据保护法令的演进历史，从数据保护指令到GDPR，欧盟不断扩充、改良数据出境合规方式，安全评估不应该被视为最终唯一出境机制。”蒋颖在提案中强调。

对国际规则关注度不足，建议积极参与数据跨境协定谈判

既然是数据跨境流动，自然避免不了与其他国家的规则碰撞。据了解，合作互认是国际通行做法。多个数字经济大国都向WTO提交了数据跨境流动条款提案，且已经展开了双边谈判和多边合作。

在蒋颖看来，各主要国家都在构建国内制度、政策模板，并试图影响国际规则制定，而我国才刚起步。她认为，通过对国内立法完善，将国内法推向国际多边层面，从而提升中国在数据跨境自由流动方面规则制定的话语权，将是我国的应然选择。

对此，她建议推动国际数据跨境自由流动规则的构建。包括夯实信息安全技术、治理体系，提升整体数据治理能力；关注国内规则与不同国际规则兼容性，开发与全球跨境流动规则对接的认证机制；充分利用“一带一路”建设等契机，积极参与多边和双边数据跨境协定谈判等。

张兆安则认为，应形成国际合作互认“白名单”。以国家地域为主要认定准则，对个人数据保护状况实施评估，梳理总结我国典型的出境商贸企业和跨国公司个人数据出境现实场景和主要目的地，形成“以数据保护水平为原则加若干例外情况”认定方法和“白名单”管理机制。

而对于近年来中国出海企业因数据安全问题频遭质疑和制裁的问题，张兆安建议，将去年9月中国在全球数字治理研讨会上提出的《全球数据安全倡议》中的一些具体措施适时转化为有关法律法规。

采写：实习生樊文扬 南都记者蒋琳 

编辑：蒋琳

更多报道请看专题：2021两会个人信息保护报道集
2021全国两会
聚焦2021全国两会

本文作者

樊文扬

3770W

南方都市报记者