編者按

在由信息化百人會、電動汽車百人會聯(lián)合舉辦的、主題為“智能網(wǎng)聯(lián)汽車數(shù)據(jù)管理如何平衡安全與創(chuàng)新”的2022年度第19期高端研討會上，中國科學技術大學公共事務學院、網(wǎng)絡空間安全學院教授左曉棟發(fā)表演講，解析了我國當前的數(shù)據(jù)出境安全管理制度，指出對重要數(shù)據(jù)的定義存在不一致是目前階段的特定現(xiàn)象，我國相關政策仍處于動態(tài)調(diào)整階段。本文根據(jù)其演講整理。

理解我國當前的數(shù)據(jù)出境安全管理制度的要點

一是當前我國政策并未明確強調(diào)要實施數(shù)據(jù)本地化存儲。數(shù)據(jù)本地化存儲的概念最早來自于2017年6月1日起正式實施的《網(wǎng)絡安全法》第37條：“關鍵信息基礎設施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內(nèi)存儲。因業(yè)務需要，確需向境外提供的，應當按照國家網(wǎng)信部門會同國務院有關部門制定的辦法進行安全評估。”這一條款同時提及兩個制度：一個是本地化存儲制度；一個是數(shù)據(jù)的出境評估制度。很多人認為，對數(shù)據(jù)出境設定規(guī)矩，那就是說最好不要出去，也就是說本地化存儲。其實，這是兩個概念。

對數(shù)據(jù)出境施加一些條件要求，甚至有時候是條件限制，并不等于不讓數(shù)據(jù)出境，也不等于數(shù)據(jù)必須存在境內(nèi)。必須看到，除了《網(wǎng)絡安全法》外，后續(xù)出臺的法律法規(guī)的確沒有再強調(diào)數(shù)據(jù)本地化存儲的概念。在個別場合下，可能數(shù)據(jù)還是要堅持本地化存儲，但這一定是某種特定的數(shù)據(jù)，而非針對所有的數(shù)據(jù)。

二是對數(shù)據(jù)出境安全管理政策的認定，不是所有的數(shù)據(jù)出境都按現(xiàn)在的數(shù)據(jù)出境條件來實施的?！毒W(wǎng)絡安全法》和《數(shù)據(jù)安全法》明確了重要數(shù)據(jù)的出境條件，即必須經(jīng)過網(wǎng)信部門組織的安全評估，《個人信息保護法》與《網(wǎng)絡安全法》也明確了個人信息出境的條件。

個人信息的出境有四條不同途徑：第一，經(jīng)過網(wǎng)信部門組織的安全評估，主要是關鍵信息基礎設施運營者和處理100萬人以上個人信息的數(shù)據(jù)處理者，或者自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數(shù)據(jù)處理者。第二，如果不屬于以上情況的個人信息出境，可以通過安全認證，就是由國家網(wǎng)信部門牽頭組織的個人信息保護認證，進行數(shù)據(jù)出境。第三，通過標準合同，這個標準合同由國家網(wǎng)信部門確定，由數(shù)據(jù)發(fā)送方和數(shù)據(jù)接收方簽訂。第四，法律法規(guī)或者網(wǎng)信部門規(guī)定的其他條件。

不屬于上面的情況，按照目前法律法規(guī)要求，是可以自由出境的（涉密信息或行業(yè)有特殊要求的除外），包括既非重要數(shù)據(jù)也非個人信息的數(shù)據(jù)。

目前，我國法律沒有規(guī)定所有的數(shù)據(jù)出境都必須經(jīng)過評估、標準合同或者認證。當企業(yè)進行數(shù)據(jù)出境時，可以對數(shù)據(jù)進行梳理，將重要數(shù)據(jù)、個人信息與其他出境數(shù)據(jù)分類處理。

重要數(shù)據(jù)定義目前存在沖突，未來會達成共識

重要數(shù)據(jù)是出境管理的一個重要管理對象。我國正在建立重要數(shù)據(jù)的安全監(jiān)管制度，重要數(shù)據(jù)識別國家標準也已經(jīng)進入送審稿階段，后續(xù)標準制定的進程也會加快。

除了國家標準外，2021年，我國出臺了首部針對汽車數(shù)據(jù)安全制定的法規(guī)——《汽車數(shù)據(jù)安全若干管理規(guī)定》。其中對汽車重要數(shù)據(jù)進行了定義，包括“涉及個人信息主體超過10萬人的個人信息”。這與其他法規(guī)中對于重要數(shù)據(jù)的定義不完全一致。從事物發(fā)展的客觀規(guī)律來看，《汽車數(shù)據(jù)安全若干管理規(guī)定》是在智能汽車發(fā)展迅速、數(shù)據(jù)安全風險隱患急劇增加的背景下出臺的試行規(guī)定，當時對重要數(shù)據(jù)的認識并沒有現(xiàn)在這么深刻。隨著時間的發(fā)展、政策的不斷調(diào)整，未來將逐步達成共識。

美國對TikTok的管理方式具有借鑒意義

近期美國對TikTok的管理方式，對我國加強數(shù)據(jù)安全工作具有借鑒意義。經(jīng)常聽到有人說，我國的數(shù)據(jù)管理對象范圍太大、太細。一些人認為有些數(shù)據(jù)不應該作為重要數(shù)據(jù)和敏感信息；還有一些人認為，對一些數(shù)據(jù)的本地存儲要求沒有必要，且不應該對達到一定量的數(shù)據(jù)進行嚴格監(jiān)管。比如，在國外收集100萬人的數(shù)據(jù)并不容易，但在我國，一家車企掌握的數(shù)據(jù)量就輕松達到100萬人。因此有人提出，100萬這個門檻是不是過高了，100萬人的數(shù)據(jù)有那么敏感嗎？要回答上述問題，可以看看美國是如何管理TikTok的。

TikTok作為短視頻類娛樂企業(yè)，按理說沒那么多敏感數(shù)據(jù)，但美國認定其有可能讓中國政府、情報機關獲取美國的“受保護數(shù)據(jù)”。這個“受保護數(shù)據(jù)”的范圍是由CFIUS（美國外國投資審查安全委員會）認定的，認定重點是哪些數(shù)據(jù)會影響美國國家安全。美國有人提出，前段時間CFIUS給的范圍太窄，大量應該受保護的數(shù)據(jù)都沒有被納入其中。

反觀國內(nèi)，我國曾要求特斯拉數(shù)據(jù)在國內(nèi)存儲。這一要求相比以前是個巨大進步，但跟美國相比還弱得多。美國提出，TikTok的數(shù)據(jù)僅存儲在美國境內(nèi)還不行，必須要有一些限制條件，包括不能有中國背景的員工訪問、運營要由美國人負責、數(shù)據(jù)要存儲在甲骨文的德克薩斯州計算中心。這是要構(gòu)建一種數(shù)據(jù)的管、用分離制度。目前，我國尚未建立該類制度，世界其他國家也少有涉及。

美國在數(shù)據(jù)安全管理上的舉措值得高度關注，也警示我們對數(shù)據(jù)安全的認識要有更多的國家安全考量。特別是在數(shù)據(jù)安全博弈日趨激烈的情況下，其背后的意圖以及將對全球數(shù)據(jù)安全管理制度產(chǎn)生什么樣的影響，需要持續(xù)跟蹤觀察。這對我國的數(shù)據(jù)安全管理政策有很大的借鑒意義。