我国的数据跨境流动规则和机制

（一）重要数据：原则上境内存储，确有必要跨境提供 

需进行安全评估 我国《网络安全法》和《数据安全法》确立了重要数 据出境的基本框架，即重要数据原则上应当在境内存储， 确需向境外提供时应当进行安全评估。可见，目前我国重 要数据跨境流动制度的核心是数据出境安全评估。 

1.数据出境安全评估旨在把控数据出境的安全风险 

2017年国家互联网信息办公室发布了《个人信息和重 要数据出境安全评估办法（征求意见稿）》，2019 年又发 布了《个人信息出境安全评估办法（征求意见稿）》，着力构建可操作性的数据出境安全评估制度。根据上述办法，我国数据出境安全评估重点评估以下内容：

（1）数据出境的必要性；

（2）涉及重要数据情况，包括重要数据的 数量、范围、类型及其敏感程度等；

（3）数据接收方的安 全保护措施、能力和水平，以及所在国家和地区的网络安全环境等；

（4）数据出境及再转移后被泄露、毁损、篡 改、滥用等风险；

（5）数据出境及出境数据汇聚可能对国 家安全、社会公共利益、个人合法利益带来的风险等。

2.金融等行业完善数据跨境流动规则和制度 

我国金融、卫生健康、交通运输等部门很早就结合行 业需求对特定数据出境提出了要求，建立健全数据跨境流 动规则和机制。相关要求主要集中在两个方面： 

（1）明确要求数据本地化存储。例如，2006 年银监会 发布的《电子银行业务管理办法》第十条规定，中资银行 业金瓯让机构的电子银行业务运营系统和业务处理服务器 设置在中华人民共和国境内；2016 年由交通运输部、工信 部等 7 部委发布的《网络预约出租汽车经营服务管理暂行 办法》第二十七条规定，网约车平台公司应当遵守国家网 络和信息安全有关规定，所采集的个人信息和生成的业务 数据，应当在中国内地存储和使用，保存期限不少于 2 年，除法律法规另有规定外，上述信息和数据不得外流；2016 年国家新闻出版广电总局、工业和信息化部发布的《网络出版服务管理规定》第十二条要求，申请从事网络 出版服务应当提交网站域名注册证明、相关服务器存放在 中华人民共和国境内的承诺。 

（2）明确数据出境相关要求。这方面多数是笼统性的规定，缺乏操作性。例如，2013 年发布的《征信业管理条 例》第二十四条规定，征信机构向境外组织或者个人提供 信息，应当遵守法律、行政法规和国务院征信业监督管理 部门的有关规定；2019 年中国人民银行等四部委发布的 《信用评级业管理暂行办法》第三十条规定，信用评级机 构向境外组织或者个人提供信息，应当遵守法律法规以及 信用评级行业主管部门和业务管理部门的有关规定；2021 年 5 月国家互联网信息办公室发布的《汽车数据安全管理 若干规定》第十二条规定，个人信息或者重要数据应当依 法在境内存储，确需向境外提供的，应当通过国家网信部 门组织的数据出境安全评估。 

3.地方加快探索数据跨境安全监管模式 

2020 年 8 月，商务部发布《关于印发全面深化服务贸 易创新发展试点总体方案的通知》，提出北京、上海、海南 等条件相对较好的试点地区开展数据跨境传输安全管理试 点，明确要求支持试点开展数据跨境流动安全评估，建立数据保护能力认证、数据流通备份审查、跨境数据流动和 交易风险评估等数据安全管理机制。

根据北京、上海、浙江、海南等地的自贸试验区方 案，各地都在加快数据跨境流动机制探索，并采取了一些 创新性的举措。例如，北京明确要加强跨境数据保护规制 合作，促进数字证书和电子签名的国际互认，探索制定跨 境数据流动等重点领域规则，提出数据产品跨境交易模 式，并设立了北京国际大数据交易所；上海明确要建立数 据保护能力认证、数据流通备份审查、跨境数据流动和交 易风险评估等数据安全管理机制，并提出依托国际光缆登 录口构建跨境数据中心、新型互联网交换中心，建设新型 数据监管关口，设立新片区跨境数据公司。 

（二）个人信息：在数据主体同意的前提下，提供安全评估、认证等三种机制 

借鉴欧盟 GDPR 等规定，我国《个人信息保护法》确 立了三种个人信息跨境流动机制：

（1）安全评估，由国家网信部门组织实施；

（2）个人信息保护认证，国家网信部 门出台相关规定，专业机构按照规定开展认证活动；

（3） 标准合同文本，由国家网信部门制定标准合同文本，数据 输出方和接收方订立合同，明确双方的权利和义务，并监督接收方的个人信息活动达到法律规定的个人信息保护标准。 

目前上述三种机制都还在制度设计阶段。2019 年国家 互联网信息办公室发布《个人信息出境安全评估办法（征求意见稿）》，安全评估工作由省级网信部门组织进行，重点评估一下内容：

（1）是否符合国家有关法律法规和政策规定；

（2）合同条款是否能够充分保障个人信息主体合法权益；

（3）合同能否得到有效执行；

（4）网络运营者或接 收者是否有损害个人信息主体合法权益的历史、是否发生 过重大网络安全事件；

（5）网络运营者获得个人信息是否合法、正当；

（6）其他应当评估的内容。 

（三）数据跨境调取：奉行对等原则，并需经有关主管部门批准 

在一国涉外司法或执法过程中，可能会需要调取他国 境内数据或公民个人信息，这种数据跨境调取通常通过国 际司法或执法协助进行。但 2018 年美国 CLOUD 法案规 定，美国政府有权力调取存储于他国境内数据，而其他国 家若要调取存储在美国的数据，则必须通过美国的“符合 资格的外国政府”审查。这实质上采取了双重标准，并打 破了国际司法或执法协助制度。与美国不同，在数据跨境调取方面，我国《数据安全法》《个人信息保护法》都奉行对等原则，明确我国根据有关法律和中华人民共和国缔结 或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求；非经中华 人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

同时，对于从事损害我国公民个人信息权益等活动的境外组织、个人，以及在个人信息保护方面对我国采取不 合理措施的国家和地区，法律还规定我国可以采取相应的 对等措施。

互联互通社区

互联互通社区专注于IT互联网交流与学习，旨在打造最具价值的IT互联网智库中心，关注公众号：互联互通社区，每日获取最新报告并附带专题内容辅助学习。

方案咨询、架构设计、数字化转型、中台建设、前沿技术培训与交流，合作请+微信：hulianhutongshequ