近年来，随着我国“一带一路”、企业“走出去”等战略部署实施，电子商务、云数据中心等跨境服务日益频繁，由此带来的个人信息和行业数据出境显著激增，在促进国家信息技术创新和数字经济产业发展的同时，也带来国家安全、产业安全以及个人隐私权益等问题。2017年2月，美国法院要求谷歌提交存储在美国之外的服务器邮件，使数据出境管理博弈成为焦点。2017年4月11日，中央网信办向全社会发布《个人信息和重要数据出境安全评估办法》征求意见，加快推进落实《网络安全法》有关要求，建立健全数据出境安全评估管理制度体系。本文在国家管理视角下提出数据出境判定依据，总结国外数据出境管理实践经验，结合我国数据出境管理现状及问题，研究提出管理建议。

一、什么是“数据出境”？

（一）出境管理视角下的“数据”范畴

根据我国《网络安全法》第37条的明确要求，现阶段我国出境“数据”的管理范畴主要包括“个人信息”和“重要数据”。

在个人信息界定方面，美国、欧盟、新加坡、日本等国普遍采用“可识别性”和“关联性”两项标准识别判定个人信息。其中，“可识别性”是指数据与数据主体间具有唯一指向性，可通过数据信息直接识别数据主体，如身份证号码、电话号码、DNA信息等：“关联性”是指数据与数据主体间仅具有一定相关性，需通过其他关联数据综合判断、间接指向数据主体，如血型、职业、籍贯等。目前，我国结合上述国际主流判定标准，已在《个人信息安全规范》等国家标准中明确提出“个人信息”的范围及定义，并在个人信息保护管理工作中予以实践。

在重要数据界定方面，各国尚未明确出境“重要数据”概念范畴和分类列表。美国、澳大利亚、韩国等国虽未形成出境管理的“重要数据”定义和数据列表，但部分重要行业以是否影响国家政治、经济和社会安全为判定因素，将国家经济数据、政府管理数据、公共信息数据、敏感技术数据等视为“重要数据”进行严格出境管理。值得关注的是，美国根据2010年13556号行政令要求，在现有行政文件基础上梳理汇编形成受管控非秘数据列表（CUI），对于进一步确定数据出境管理领域的重要数据范畴有着十分重要的指导意义。我国相关政府部门参考美国CUI，研究提出了涵盖通信、金融、医疗卫生等重要行业、重要领域的重要数据外延范围。在此基础上，以保护国家安全和公共利益为基本原则，综合判定重要数据类型。

（二）出境判定

目前，对出境理解统一，存在逐渐拓宽的趋势。一是跨越地理国境是最广泛采用的判断标准。日本、新加坡、澳大利亚等国在有关法案中，均采取国家地理边域为标准，把“出境”定义为“数据转移至本国以外的地方”。二是数据接收主体的国籍逐渐成为判定标准之一。美国在其有关关键敏感技术出口管理的法案中，明确将位于美国境内但被外国主体所控制的情形界定为“出口”，这一判断标准同样适用于数据转移。

我国在数据出境管理制度中界定出境问题时，可在借鉴国际通行做法的基础上，结合我国数据出境的实际情况，以国家地域为主要认定准则，同时结合数据在本国境内被外国主体掌握、跨国公司在分支机构间分享数据等例外情况进行综合判定。

二、典型国家数据出境是如何进行管理的？

由于数据属性、出境影响和管理目的不同，国外对个人信息和重要数据出境管理施行差异立法、区分管理。

（一）个人信息出境管理做法

作为个人信息保护立法的重要内容。一是部分国家对数据出境单独规定。欧盟、新加坡、澳大利亚、俄罗斯、亚太经合组织等均在数据保护相关法律、规则中对个人信息出境流动做出明确规定，与个人信息境内流动区分管理。如欧盟《数据通用保护条例》对个人信息出境从建立数据保护机构、第三国数据保护水平评估、数据主体权益保障等方面提出具体要求。二是使用个人信息向第三方转移通用规则。美国、日本、加拿大等国在法律中没有出境管理专用规则，与个人信息向第三方转移同样管理。如日本《个人信息保护法》规定除非满足特殊情况，个人数据控制者事先未获得数据主体的同意的，不得将其个人数据向第三者提供。

主要采取两种管理模式。一是评估认证制，欧盟、新加坡、俄罗斯以及亚太经合组织等，以政府相关部门或经政府部门认定的第三方机构为认证主体，采取实质审查与形式审查相结合的方式进行评估认证，通过认证的企业可在规则框架及认证有效期内进行个人信息出境，如APEC数据隐私小组的CBPR体系：企业自愿申请，由APEC认证数据保护机构认证，认证通过后（需进行年度评估），可在CBPR规定范围内进行个人信息数据出境转移。等。二是合同干预制，欧盟、澳大利亚等政府部门制定并推行数据出境合同范本，在合同中明确相关主体义务，约束数据接收方行为。如欧盟标准合同制度：欧盟委员会以《数据保护指令》为法律依据，起草制定三款《标准合同》条款。企业之间签订数据出境流动合同如包含《标准合同》条款，则可进行个人数据出境转移。两种管理模式可并行采用，以企业自律为基础，政府审查为保障。

安全管理要求、惩处方式趋同。一是以四方面管理要求为抓手。欧盟、澳大利亚、新加坡、亚太经合组织等均对个人信息出境提出明确要求：数据主体同意、数据主体权益保障、境内数据输出方与境外数据接收方的合同、数据接收方所在国家、地区数据保护充分性审查，保护个人信息出境安全。二是以立法、管理文件为依托，行政与刑事处罚相结合。各国依据上位法律制定惩罚措施，政府部门通过行政处罚与刑事处罚相结合的方式对违法违规行为进行惩处，包括行政诉讼、货币罚款、行政执法、刑事诉讼、列入黑名单等。

（二）重要数据出境管理做法

管理要求分散于国家贸易出口和行业管理等文件中。欧盟、美国、澳大利亚、韩国等均无专门针对重要数据出境管理的文件，管理规则分散于国家产品、技术出口管理条例及国家行业立法中。如美国《出口管理条例》将重要数据管理与尖端产品、关键技术出口管理相结合，提出相应管理要求。采取分级出境和行政审查相结合的管理方式。一是采取禁止出境和限制出境分级管理。根据数据属性和影响程度等因素，各国普遍对银行、金融、征信等重要行业或领域数据实施禁止出境管理；结合本国国情和政治文化差异，对健康、税收、地图、政府等相对敏感数据，选择性地实施禁止或限制出境管理。二是采取一事一议的行政审查管理。在重要数据出境前，政府部门对相应出境活动进行许可审查，审查通过后方可出境。例如韩国建立地图数据出境申请协商机制，由国土地理信息院、未来创造科学部、外交部等部门联合评估风险，判断是否允许出境。对于具体审查内容及操作流程，各国均无公开资料详细说明。

三、我国数据出境管理现状如何？与国外存在哪些差异？

（一）国家数据出境管理现状

为推动《网络安全法》数据出境管理落地实施，中央网信办统筹开展研究和部署工作。一是研究出台数据出境安全评估制度。《个人信息和重要数据出境安全评估办法（征求意见稿）》明确规定，建立国家数据出境安全评估工作组、行业主管监管部门、网络运营者三级评估体系，实施企业自评估与政府审查评估相结合的管理模式，有效防范数据出境安全风险。二是研究编写重要数据判定指引及分类示例。参考美国CUI，以危害国家安全、公共利益为判定原则，以国家行业和信息主题为分类标准，制定重要数据判定指南，作为相关行业重要数据出境管理的参考。三是研究制定数据出境安全国家标准。组织立项研制《数据出境安全评估指南》，进一步细化数据出境安全评估管理办法，规范启动条件、评估内容、实施流程、结果判定等内容。

（二）通信行业数据出境管理现状

近年来，通信行业在个人信息保护和数据安全管理方面，已开展了政策标准制定、专项督导检查、突发事件处置等工作，但针对数据出境管理仍处于初步探索阶段。一是部分行业政策文件中明确了数据出境管理要求。正在研制或修订的《关于规范云服务市场经营行为的通知》等重点电信业务管理政策文件中，均提出相关电信业务运营产生的网络数据和用户个人信息出境管理要求。二是开展重点业务数据出境评估实践。对外资企业申请自贸区电信业务牌照、跨境电子商务企业申请国际专线业务等管理实践中涉及的数据出境风险进行评估。

总体而言，与世界典型国家相比，我国数据出境管理工作充分吸纳和借鉴国外先进实践经验，结合我国行政管理体制特点，在重要数据分类指引和出境评估审查管理等方面做出了大胆尝试，为相关行业落地实施数据出境管理奠定了制度基础。但同时，我国尚未明确数据出境管理的具体模式、审查机构和配套保障机制等关键问题，后续仍需加快推进相关工作部署。

四、加强数据出境安全管理还可以这样做

在《网络安全法》立法框架下，国家有关部门和行业主管部门应加快建立数据出境安全评估管理制度，进一步明确网络运营企业安全管理要求和配套保障措施，细化评估审查操作指引，督促指导企业落实安全责任，有效防范数据出境重大安全风险。

一是提明确数据出境判定标准。与国际通行做法接轨，以国家地域为主要认定准则，同时兼顾我国管理实际需要，针对数据在本国境内被外国主体所掌握、跨国公司在分支机构间分享数据等例外情况对出境情形进行梳理总结，兼具确定性和灵活性，形成“一个准则加若干例外情况”的认定方法。梳理总结我国典型跨境商贸企业和跨国公司数据出境现实场景，加强数据出境管理。

二是明确数据出境安全评估审查方式。积极构建国家、行业主管部门、网络运营者三级评估体系，国家主管部门统筹建立数据出境安全评估管理制度框架，指导行业主管部门明确重要数据分类指引，督促网络运营商落实数据出境安全管理措施。统筹考虑行政干预和企业自律管理特点，结合数据出境活动具体场景，区分采取政府评估、企业自评估等多种方式，有效防范数据出境重大安全风险。

三是明确数据出境安全评估启动条件。根据数据出境管理目的和效力的不同，网络运营商应对数据出境活动实施全周期评估管理，主要采取首次出境评估、动态定期评估和突发应急评估相结合的方式，分别明确评估启动条件。对于可能引发重大安全影响的数据出境活动或发生重大安全事件的突发情况，国家有关部门和行业主管部门应适时开展数据出境政府审查评估，研判重大安全风险和管理应对措施。

四是制定完善数据出境完全评估审查内容。明确数据出境分级分类管理思路，根据个人信息和重要数据不同属性，区别提出网络运营者责任要求，并采取禁止出境和限制出境两级管理手段实施监管。确立以数据属性特征、出境活动安全风险、运营者数据安全保障能力、接收方数据保护水平四个评估模块为基础的数据出境安全风险评估模型。在评估模型框架下细化完善评估指标及审查内容，从风险控制、主体权益保障、内部管控制度机制、安全技术防范手段、接收方管理能力等方面出发，开展数据出境安全分析按评估，有效防范数据出境安全风险。

五是积极融入数据出境国际治理体系。研究了解外国数据跨境流动管理政策及其发展趋势，充分考虑本国管理框架和基本制度与国际规则的衔接。积极寻求与重要贸易伙伴国家建立数据出境认证等信任机制，推动本国企业参与国际数据出境流动认证，推动建立区域统一的数据流动规则，增强在数据出境流动领域的国际话语权。