■ 杨小凤
当前,数据跨境流动已经成为驱动世界经济增长的新动能,在数字经济全球化及国家数据安全的背景下,数据跨境流动治理已成为重要议题。我国数据跨境流动规制历经多年实践,已构建起以《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》为核心,配套行政法规、部门规章与行业规范协同发力的多层级监管体系,形成分类分级保护制度和安全评估、个人信息保护认证与标准合同三大的数据出境合规路径,在坚守国家数据安全底线的同时,为数据有序跨境流动提供制度保障。
一、多层级协同的法律规制体系
(一)顶层核心法律与配套行政法规
《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》三大法作为基础性法律统领,在筑牢数据安全底线的同时,保障数据依法有序流动。《中华人民共和国网络安全法》以维护网络空间主权、国家安全与公共利益为宗旨,确立关键信息基础设施运营者境内收集、产生的个人信息与重要数据境内存储原则,明确安全优先的监管立场,为数据跨境划定刚性法律边界。《中华人民共和国数据安全法》以数据安全为核心,确立数据分类分级保护制度,对关系国家安全、国民经济命脉的核心数据实施严格管控。《中华人民共和国个人信息保护法》聚焦个人信息权益保护,明确个人信息出境三大法定路径,形成覆盖全主体的全链条管控,实现权益保护与有序跨境的动态平衡。三部法律共同构建起分类分级监管与出境安全审查相结合的基础规制框架。
在此顶层框架下,配套法规规章等衔接有序、细化落地,形成完备的专项执行体系。《网络数据安全管理条例》构建分类监管、权责明晰的全流程合规体系;《数据出境安全评估办法》明确安全审查的实操标准与监管要求;《促进和规范数据跨境流动规定》秉持统筹发展与安全原则,以分层豁免、差异化路径衔接安全管控与流通便利;《个人信息出境标准合同办法》《个人信息出境认证办法》依托《中华人民共和国个人信息保护法》授权,分别提供轻量化合规方案与中立专业评定机制,进一步健全个人信息跨境流动的合规路径体系。
(二)分类分级系统保护制度
2021年施行的《中华人民共和国数据安全法》正式确立国家数据分类分级保护制度,要求依据数据重要程度与泄露危害后果实施分级分类保护;《中华人民共和国网络安全法》明确网络运营者需落实数据分类、重要数据备份加密等义务,保障数据安全。2024年3月发布的《数据安全技术 数据分类分级规则》,在三大法律框架下,统一界定了核心数据、重要数据、一般数据、个人信息、敏感个人信息等关键概念的法律内涵,为数据属性认定提供统一标准。其中,核心数据关乎国家安全、国民经济命脉等核心利益;重要数据泄露将直接危害国家安全、社会稳定与公共安全;规则同时明确了个人信息与敏感个人信息的法律边界。此外,规则遵循“先行业、再业务”的分类思路,结合数据重要程度与危害后果,将数据划分为核心数据、重要数据、一般数据三个层级,为数据跨境不同场景下的属性判定、合规监管提供了统一的技术规范。
(三)数据出境合规路径
1.安全评估
数据出境安全评估是我国数据跨境监管的核心制度。依据《数据出境安全评估办法》,向境外提供重要数据、关键信息基础设施运营者出境个人信息、处理100万人以上个人信息主体出境信息,以及年度累计出境10万人个人信息或1万人敏感个人信息的,均须申报安全评估。2024年《促进和规范数据跨境流动规定》进一步明确豁免规则,未经法定认定为重要数据的,无需开展安全评估。
2.个人信息保护认证
该法定合规路径依据《中华人民共和国个人信息保护法》与《个人信息保护认证实施规则》规定,由第三方专业机构验证企业数据保护能力,为合规出境提供便利。认证时全面核查申请企业的组织架构、安全措施、应急处置及境外接收方保障能力,审核通过后颁发有效期三年的认证证书,并在有效期内常态化持续监督。个人信息保护认证为中小企业提供轻量化、可预期的合规出境通道,与安全评估形成互补,构建多元高效的合规体系,助力企业在保障数据安全前提下有序开展跨境业务。
3.标准合同
该路径依据《个人信息出境标准合同办法》设立,面向中小规模数据处理者,提供轻量化合规方案。强调数据处理者不得通过数量拆分等手段规避安全评估,订立合同前企业应开展个人信息保护影响评估,符合法定条件后按照官方范本签约并备案,合同中需明确数据出境目的、范围、方式、安全保障及责任划分等关键条款,严格界定境内数据处理者与境外接收方的权利义务,合同生效后方能出境。有效期内双方应全面履行数据保护等法定义务,如发生法定变化,则重新评估或重新订立合同并备案。标准合同流程简易轻便、成本低、实操性强,拓宽了个人信息跨境合规渠道,与安全评估、认证并行构成三大法定合规路径。
二、优化路径
(一)坚持安全与发展并重,实现差异化精准规制
跨境数据有序流动是数字经济发展的必然趋势。我国立足总体国家安全观,坚守数据安全底线,在强化风险防控的同时秉持开放治理理念,统筹安全与发展,适配全球数字发展需求,对数据跨境实施分类治理。对不涉及敏感内容的一般数据,以简化规则保障自由流动,充分释放数据要素价值;对涉及国家安全、公共利益的重要数据与核心数据,实行严格管控,坚守安全底线。针对金融、医疗、关键信息基础设施等重点领域,细化行业数据出境规则,以差异化治理替代“一刀切”监管,在维护主权安全的同时,为跨境贸易与产业创新提供稳定制度预期,实现安全与发展的动态平衡。
(二)完善分类分级,规范数据合规出境
一是依据《中华人民共和国数据安全法》数据分类分级保护制度,加快制定不同行业的重要数据认定标准与目录清单,清晰界定核心数据、重要数据、一般数据的法律边界,消除合规模糊空间。推行“白名单+负面清单”运行机制:以白名单划定非敏感数据边界,使其有序流动,以负面清单严格管控高风险数据跨境出境,并充分发挥自贸区制度优势,实现数据安全与有序流动。二是结合数据重要程度与危害后果,配置不同的出境路径。核心数据原则上禁止出境;重要数据依法开展安全评估;一般数据通过标准合同、备案等轻量化渠道出境,构建层级清晰、权责明确的全链条监管体系。
(三)优化监管流程,提升规制效能
依据《数据出境安全评估办法》《促进和规范数据跨境流动规定》等规定,不断完善安全评估全流程机制。一是明确办理时限与审查标准,压缩自由裁量空间,落实法定豁免情形,降低企业合规成本。二是构建事前自评估、事中审查、事后持续监管的闭环模式,强化动态管理。同时,依托《中华人民共和国个人信息保护法》授权,健全标准合同与保护认证制度,统一合同范本,强化境外接收方安全义务、再转移限制与责任追究,发挥第三方认证机构专业监督作用,形成“安全评估+认证+标准合同”协同高效的合规体系,压实数据处理者主体责任,提升数据跨境治理规范化水平。
三、结语
当前,在全球的数据跨境治理中,主权安全与数字开放的平衡成为各国竞争与合作的焦点。我国应在坚守数据主权与安全底线的前提下,统筹发展与安全,持续完善制度规则、优化监管流程、健全多元合规路径。同时以开放姿态参与国际数据治理,加强国际规则对接与双边多边合作,推动形成安全可控、包容互信的跨境数据流动秩序,在维护国家利益的同时,为全球数字治理贡献中国智慧与中国方案。
基金项目:本文系贵州民族大学法学院2025年度法学类学生科研项目《数字经济时代数据安全风险及其法律规制研究》阶段性研究成果,项目编号:2025FXYHJKY05
(作者单位:贵州民族大学)
