建立重要数据出境管制制度

对于数据跨境流动管制方式，经济合作与发展组织（OECD）概括为4种基本类型：不设管制、事后问责、以安全保护为条件的流动、以专门授权为条件的流动。从重要数据事关国家安全、公共安全来看，此种数据一旦出境可能会大大增加国家安全风险，应当以上述第4种方式严格加以管控，原则上应该禁止重要数据出境，例外流出需要“专门授权”。建立重要数据出境管制制度，目前有两种思路：一是将重要数据纳入出口管制制度，例如《草案》第23条规定“国家对与履行国际义务和维护国家安全相关的属于管制物项的数据依法实施出口管制”；二是建立重要数据出境安全评估批准制度，例如我国《网络安全法》第37条规定，关键信息基础设施在境内收集和产生的重要数据应当在境内存储，确需向境外提供的应当进行安全评估。

试图建立“数据出口管制制度”不可行。理由在于：首先，出口管制制度依赖于管制物项出口许可证以及海关对出境货物的监管，而数据的出境通过互联网传输至境外即可实现，并不存在所谓的数据“海关”和许可制度。其次，出口管制侧重对物项本身安全风险的评估，并不能防范大量数据出境后聚合分析引发的安全风险。我国《出口管制法》目前也只是将管制物项“相关的技术资料等数据”纳入管制范围，规定“向境外提供出口管制相关信息，应当依法进行；可能危害国家安全和利益的，不得提供”。

上述思路二较为稳妥，但应该明确规定重要数据出境评估的启动方式、评估主体、评估范围、评估标准和结果处理等。鉴于重要数据事关国家安全，重要数据认定及其出境评估应由行业主管部门负责。国家网信办2019年5月发布的《数据安全管理办法（征求意见稿）》规定，网络运营者向境外提供重要数据，应当评估安全风险并报主管部门批准，从文义上看这种评估是运营者自评估，但这种自评估不能代替主管部门的评估。而且，为了维护国家安全的重要数据出境管制制度并不同于域外一般探讨的旨在维护个人尊严的“个人数据跨境流动规制”制度，后者的目的是为了维护个人的人格尊严，应该规定在我国未来的《个人信息保护法》之中。当然，如果大量个人数据集合构成了影响国家安全的重要数据，那么这些数据集合也应该适用重要数据出境管制制度。

文章摘自网络，如有侵权，请联系删除