信息化觀察網(wǎng)

自2月28日起，蘋果公司中國內(nèi)地iCloud服務轉(zhuǎn)由云上貴州大數(shù)據(jù)產(chǎn)業(yè)發(fā)展有限公司負責運營，不再跨境存儲。為符合中國網(wǎng)安法規(guī)體系，蘋果公司首次將iCloud密鑰（用以訪問賬戶的大部分內(nèi)容）等數(shù)據(jù)轉(zhuǎn)存至美國境外，這在世界范圍內(nèi)引發(fā)關(guān)注。

基于《網(wǎng)絡安全法》的中國數(shù)據(jù)出境配套法規(guī)立法正在進行當中。提供云服務等關(guān)鍵基礎服務的科技公司們早已采取行動。配套法規(guī)和標準的制定和實施，將建立起嚴密的中國數(shù)據(jù)出境執(zhí)法體系，適用所有數(shù)據(jù)控制者。

由于將對數(shù)據(jù)合規(guī)和業(yè)務產(chǎn)生影響，跨國公司們多反應強烈。“一直在關(guān)注，已開始準備各項行動和計劃。”一家跨國公司法務總監(jiān)告訴《財經(jīng)》記者。

對數(shù)據(jù)出境監(jiān)管的嚴格程度，很大程度上影響跨國企業(yè)在中國本土的合規(guī)和業(yè)務調(diào)整，特別是2C跨國公司和互聯(lián)網(wǎng)公司等。

2013年美國“棱鏡門”事件敲響了數(shù)據(jù)出境可能帶來風險的警鐘，此后各國關(guān)于數(shù)據(jù)跨境流動的監(jiān)管和立法動作頻繁。中國關(guān)于數(shù)據(jù)出境制度框架的落地，將影響幾何？

新規(guī)醞釀

《網(wǎng)絡安全法》第37條規(guī)定，關(guān)鍵信息基礎設施運營者在境內(nèi)收集和產(chǎn)生的個人信息和重要數(shù)據(jù)，應在境內(nèi)存儲，如需向境外提供，則需進行安全評估。

作為網(wǎng)絡空間保護基本法《網(wǎng)絡安全法》的這一規(guī)定明確了中國對數(shù)據(jù)出境問題的基本立法態(tài)度。由于條文較為模糊，2017年6月1日生效以來，這一條文的實施正等待相應的多個配套細則出臺。

正是這些配套法規(guī)，將決定《網(wǎng)絡安全法》對于數(shù)據(jù)出境的“這一刀”，切在哪里。

《關(guān)鍵信息基礎設施安全保護條例》、《個人信息和重要數(shù)據(jù)跨境安全評估辦法》（下稱《評估辦法》）、《信息安全技術(shù)數(shù)據(jù)出境安全評估指南》（下稱《評估指南》）分別于2017年4月11日、7月11日和8月底公開征求意見，對相應的概念、管轄范圍和出境流程等作出明確解釋。

何為數(shù)據(jù)出境？按照《評估辦法》，指網(wǎng)絡運營者將在中國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)，提供給位于境外的機構(gòu)、組織、個人。按目前解釋，即便數(shù)據(jù)中心設在中國但可以從境外訪問，或者數(shù)據(jù)在一個集團內(nèi)部的不同跨國公司分部間流動，仍屬于“提供”。

從跨境電商、全球數(shù)據(jù)資產(chǎn)管理系統(tǒng)到大數(shù)據(jù)服務，數(shù)據(jù)在全球范圍內(nèi)的跨境流動增長迅速。

2016年2月，麥肯錫全球研究院發(fā)布《數(shù)字全球化：新時代的全球性流動》報告統(tǒng)計，在2005年-2014年間，全球數(shù)據(jù)流量從4.8Tbps增加到211Tbps，增長45倍。數(shù)據(jù)流動對全球經(jīng)濟增長的貢獻已經(jīng)超過傳統(tǒng)的跨國貿(mào)易和投資，不僅支撐起包括商品、服務、資本、人才等其他幾乎所有類型的全球化活動，同時也在發(fā)揮著越來越獨立的作用。

與這一背景相對的，則是各國政府出于國家和社會安全等多元訴求，對于數(shù)據(jù)出境所進行規(guī)制。

關(guān)鍵信息基礎設施，指對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的設施，相應保護條例已結(jié)束公開征求意見，尚未出爐。

然而，關(guān)鍵信息基礎設施是靜態(tài)的，數(shù)據(jù)卻是流動的。

北京大學互聯(lián)網(wǎng)發(fā)展研究中心高級顧問洪延青介紹，立法部門亟須解決的問題是，當互聯(lián)網(wǎng)公司等民營公司取代既往的政府部門，掌握越來越多的數(shù)據(jù)，又無法被列入關(guān)鍵信息基礎設施范圍，應如何規(guī)制其數(shù)據(jù)的出境安全風險。因此，不同于對關(guān)鍵信息基礎設施的靜態(tài)界定，數(shù)據(jù)出境的安全規(guī)范分為兩個層面，即個人信息和重要數(shù)據(jù)。

在個人信息保護層面，中國與國際基本訴求一致；而在重要數(shù)據(jù)的跨境流動方面，安全規(guī)范對于本地化的需求程度較高。

個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

據(jù)《評估辦法》，個人信息出境，需要經(jīng)過個人信息主體的明確授權(quán)，出境有必要、正當?shù)哪康牡?。對于敏感?shù)據(jù)和達到一定量級的數(shù)據(jù)，經(jīng)過安全風險評估通過后，才可以出境。

對個人信息出境進行規(guī)制，在全球大規(guī)模個人信息泄露事件頻發(fā)的當下，已成為國際主流立法共識。例如，2017年9月，美國信用機構(gòu)Equifax遭黑客入侵之后，數(shù)以百萬計的個人社保號碼、生日、地址等敏感信息以及超過20萬的信用卡信息被盜。據(jù)估，有1.43億人受到Equifax 被入侵事件的影響，相當于美國人口數(shù)的一半。

按照《評估辦法》，對于含有或累計含有50萬人以上個人信息，或數(shù)據(jù)量超過1000GB，以及包含各類敏感和與關(guān)鍵信息基礎設施相關(guān)的數(shù)據(jù)，需要行業(yè)主管或監(jiān)管部門組織評估，進行報批后出境。

《評估指南》則對電力、金融、交通、軍事、電子商務等27個領(lǐng)域的重要數(shù)據(jù)進行了列舉式的規(guī)定。

例如，電子商務領(lǐng)域，重要數(shù)據(jù)包括但不限于，“個人在電子商務平臺的注冊信息，包括姓名、性別、年齡、住址、婚姻、學歷、職業(yè)、收入、賬戶、聯(lián)系方式”：“電子商務交易記錄以及相關(guān)的個人消費習慣及偏好和企業(yè)經(jīng)營數(shù)據(jù)”；等等。

對于所掌握的重要數(shù)據(jù)，網(wǎng)絡運營者需依據(jù)情況進行自評估或由主管部門評估等，才能出境。

由于《評估指南》附錄A中對于27個行業(yè)的重要數(shù)據(jù)范圍過于廣泛，征求意見稿公布后，許多跨國公司、外企等擔憂，或?qū)φ＝?jīng)營業(yè)務造成重大影響。

就此，《財經(jīng)》記者了解到，此前《評估指南》的征求意見版本或?qū)⒂休^大調(diào)整，重要數(shù)據(jù)的范圍會受到較大收縮，調(diào)整至更為合理的范圍，保證出于安全角度對數(shù)據(jù)出境進行規(guī)制的理念能得到貫徹，同時避免影響相關(guān)公司業(yè)務的正常進行和發(fā)展。

中國電子技術(shù)標準化研究院信息安全研究中心審查部技術(shù)總監(jiān)何延哲則指出，即便被列為重要數(shù)據(jù)，并不是說這些數(shù)據(jù)就無法出境，而是需要進行安全評估。例如，數(shù)據(jù)出境是否日常經(jīng)營的必然需求，數(shù)據(jù)發(fā)送方和數(shù)據(jù)接收方是否具有技術(shù)保護和管理制度保障能力，以及接收方所在國家或區(qū)域整體法律環(huán)境評估等。

“這一流程的設立不是為了以不切實際的流程阻礙企業(yè)的日常經(jīng)營。評估流程是企業(yè)對自身數(shù)據(jù)出境制度的一次檢查，通過可操作的評估流程和檢查，合法合規(guī)的數(shù)據(jù)仍然能以安全方式出境。”

哪些公司和行業(yè)受影響

數(shù)據(jù)出境規(guī)制細則的出臺，受影響最大的莫過于跨國公司。跨國公司大多進行全球化管理，集團內(nèi)部日常業(yè)務數(shù)據(jù)跨境流動十分頻繁。特別是互聯(lián)網(wǎng)公司，服務器不會在每個國家設立，子公司往往習慣將客戶信息、日常業(yè)務數(shù)據(jù)等集中進行處理。

對許多本土化程度不高的公司而言，其在中國的團隊主要為營銷團隊，具體業(yè)務處理和產(chǎn)品研發(fā)等均在境外總部進行。

北京安理律師事務所合伙人王新銳指出，新規(guī)將對這些公司提出高要求，如果涉及大量敏感個人信息或重要數(shù)據(jù)出境受限制，未來將需在華組建本土團隊專門處理數(shù)據(jù)。

此外，重營銷的2C跨國公司也將在業(yè)務方面受到影響，需要進行合規(guī)調(diào)整。

王新銳表示，許多公司在中國進行的客戶調(diào)查，收集了較多個人信息，按照《評估辦法》，如果未進行去標識化，需先征得客戶的同意，并經(jīng)過目的評估、安全機制評估等自我評估流程，達到一定量級還需經(jīng)過主管部門許可等。

“問題在于，為了進行客戶分析、服務等而收集的營銷信息和數(shù)據(jù)等，特別是線下收集的數(shù)據(jù)，公司并沒有征得客戶同意的意愿。”王新銳說，業(yè)務中是否觸碰到大量個人信息，以及本土化程度的高低，將決定是否受到這些法規(guī)的較大影響。不過，總體來說，跨國公司都會受到合規(guī)壓力。

依賴大數(shù)據(jù)、人工智能的公司將會受到什么影響？

以自動駕駛為例，安理律師事務所高級法律顧問何姍姍告訴《財經(jīng)》記者，新規(guī)將對這些企業(yè)合規(guī)和業(yè)務發(fā)展影響較大。例如，自動駕駛的汽車，在行駛時會自動收集周邊情況，如拍攝、記錄位置和軌跡等，而這些均需要數(shù)據(jù)被收集到中央系統(tǒng)，統(tǒng)一進行分析、解讀和模擬場景。

但事實上，與道路和交通安全有關(guān)的數(shù)據(jù)，在世界范圍內(nèi)都屬于較為敏感的數(shù)據(jù)。新規(guī)中對于地圖、位置和道路交通相關(guān)的數(shù)據(jù)也自然列為重要數(shù)據(jù)，如果無法出境，或?qū)⒖赡軐е缕渥罱K產(chǎn)品只適合中國市場，與國際市場接軌困難。

對于自動駕駛行業(yè)而言，數(shù)據(jù)出境難僅是其所面臨的諸多法律和合規(guī)障礙中并不緊迫的一環(huán)。而對于近年來在中國發(fā)展勢頭迅猛的跨境電商來說，由于業(yè)務必然依賴數(shù)據(jù)的跨境傳輸，可能受到的合規(guī)壓力則更為緊迫。

對于跨境電商、跨境支付等公司來說，《評估指南》附錄A中包含了幾乎所有類型的電商、郵政數(shù)據(jù)等，如果安全評估程序繁瑣或流程復雜，這些分散而出境頻率高的業(yè)務將受到很大影響。

目前，數(shù)據(jù)出境的具體流程和方式細則尚未出臺。不過，何延哲強調(diào)，安全評估在絕大多數(shù)情況下由企業(yè)自主進行，不影響正常的業(yè)務進行，而且將囊括合理合法的出境場景。

例如，跨境電商的場景下的個人購買行為和信息等，在《評估指南》中就被明確，屬于合理的使用場景，通過安全自評估的程序便可順利出境。

合理的數(shù)據(jù)出境場景是否將被納入嚴格而不合理的程序評估，是目前立法進行當中業(yè)界最為關(guān)注的要點，也是未來數(shù)據(jù)出境條例能否得到貫徹實施和順利落地的關(guān)鍵。

何延哲直言，出境安全評估不是為阻礙合規(guī)和正常業(yè)務的進行，諸如跨國企業(yè)員工信息能否傳送至母公司、中國公民在海外進行支付或跨境網(wǎng)購的數(shù)據(jù)傳送等，并不會因安全評估要求，業(yè)務就會停滯。

公安部第三研究所網(wǎng)絡安全法律研究中心主任黃道麗也表示，應當注意到不同企業(yè)規(guī)模、類型合規(guī)的不同特點。比如中小企業(yè)，可能無法按照標準化嚴格執(zhí)行，一是成本受限，二是實無必要。因此強制性標準和指引性規(guī)范應都有體現(xiàn)，滿足不同企業(yè)的合規(guī)需求，不是所有的網(wǎng)絡運營者都是關(guān)鍵信息基礎設施。

此外，還需考慮一個適當?shù)倪^渡，比如：現(xiàn)在的規(guī)定中，既沒有啟動年度網(wǎng)絡安全風險和出境安全評估報告（《網(wǎng)絡安全法》第38條、《評估辦法》第12條）的強制性年度規(guī)定，也沒有多長時間需要達到的規(guī)定。如果嚴格適用法律，2017年度就該出具報告，是否都做好了準備，這是監(jiān)管者、關(guān)鍵信息基礎設施和一般網(wǎng)絡運營者都需要回答的問題。

流動博弈

“制定和實施《網(wǎng)絡安全法》，其目的是要維護國家網(wǎng)絡空間主權(quán)和國家安全、社會公共利益，保護公民、法人和其他組織的權(quán)益，而不是要限制國外企業(yè)、技術(shù)、產(chǎn)品進入中國市場，不是要限制數(shù)據(jù)依法有序自由流動。”2017年5月31日，國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡安全協(xié)調(diào)局負責人就《網(wǎng)絡安全法》實施的有關(guān)問題答記者時強調(diào)，對于該條文規(guī)制中的“重要數(shù)據(jù)”，指對國家而言，而不是針對企業(yè)和個人。

美國使用的個人信息數(shù)據(jù)出境保護框架為APEC的跨境隱私規(guī)范框架（CPBR），其基本邏輯為，只要雙方遵循同一套原則保護個人信息，即可進行自由數(shù)據(jù)傳輸不受阻礙。此前美國向WTO提交的一份報告稱，建議中國也使用同一框架。

洪延青認為，由于美國沒有界定重要數(shù)據(jù)概念，因此也不希望中國界定。但事實上，盡管沒有用一部統(tǒng)一的法規(guī)進行明確，對于與關(guān)鍵信息基礎設施等相對應的重要數(shù)據(jù)，美國做法是通過事前約定、監(jiān)管部門要求和合同的形式等將數(shù)據(jù)留在國內(nèi)。而中國的解決機制則是通過明確而統(tǒng)一的法規(guī)，將立法擺在前面，造成雙方焦點的不同。

國際范圍內(nèi)，對個人信息和重要數(shù)據(jù)出境所可能對國家安全造成的風險，亦引發(fā)立法潮。

2010年以來，韓國、越南、俄羅斯、澳大利亞等國家紛紛要求對個人信息和重要數(shù)據(jù)本地存儲、數(shù)據(jù)離境強監(jiān)管等。

2013年斯諾登泄密導致的“棱鏡門”事件，被認為是重視數(shù)據(jù)出境監(jiān)管的起點。斯諾登事件之后，歐盟法院出于對美國政府的不信任，于2015年宣布美歐“安全港協(xié)議”無效，數(shù)千家公司在美國和歐盟之間的數(shù)據(jù)流動落入法律真空。直到2016年7月，雙方才談判形成保護規(guī)格更高、對歐盟公民個人信息安全更為負責的數(shù)據(jù)流動“隱私盾協(xié)議”。

歐盟數(shù)據(jù)保護專員喬瓦尼。布特拉里（Giovanni Buttarelli）是美歐達成新“隱私盾協(xié)議”的第29條數(shù)據(jù)保護工作組的成員，他于2018年1月接受《財經(jīng)》記者采訪時表示，與安全港相比，隱私盾已有許多進步，但仍存許多需被解決的重大問題。

他表示，隱私盾僅解決一部分數(shù)據(jù)流動問題。數(shù)據(jù)跨境流動正不可避免地發(fā)生，歐盟希望能夠與包括中國在內(nèi)的國家在需求端展開更多合作，如國家層面對話、雙方互認，以及執(zhí)法層面互動等。

事實上，跨境數(shù)據(jù)流動的經(jīng)濟價值，與從個人信息保護和國家安全角度出發(fā)的數(shù)據(jù)離境規(guī)制體系，是否一定是天然的沖突關(guān)系，并無完善證據(jù)支撐。

黃道麗表示，其實各主要國家的數(shù)據(jù)政策都包含了這兩部分，只是不同時期各有側(cè)重，或者說視角不同。很多國家都是一方面對數(shù)據(jù)本地化進行立法（本地化的形式有所不同），另一方面呼吁數(shù)據(jù)跨境流動。同時，某國如果加強數(shù)據(jù)本地化立法，別國的應激反應自然是要求數(shù)據(jù)跨境。各國都明白，數(shù)據(jù)的價值在于流動和交換，而流動和交換需要在所經(jīng)國家進行安全保護——特別是其中的個人信息和重要數(shù)據(jù)。整體上看，協(xié)調(diào)大于沖突，各取所需大于分立對抗。

2015年美國推動并主導建立了“跨太平洋伙伴關(guān)系協(xié)定”（TPP），原則之一是支持跨境數(shù)據(jù)自由流動，反對他國設限及他國的數(shù)據(jù)本地存儲要求。而美國總統(tǒng)特朗普剛剛上臺便宣布退出TPP，則引發(fā)數(shù)據(jù)本地化存儲趨勢抬頭的猜測。

全球移動通信系統(tǒng)協(xié)會（GSMA）發(fā)布的《數(shù)字經(jīng)濟2017》指出，建立健全隱私保護規(guī)則對跨境數(shù)據(jù)流動具有重要意義，包括跨境數(shù)據(jù)流動在內(nèi)的各類數(shù)據(jù)行為必須建立在可信的數(shù)字環(huán)境基礎之上，這一點恰恰需要一個充分問責的機制予以保障。

中國不是數(shù)據(jù)流入大國，自然與美國在坐擁多數(shù)互聯(lián)網(wǎng)巨頭的前提下成為數(shù)據(jù)天然流入國的情況不同，首先要成為數(shù)據(jù)安全保護強國。

此外，如果中國對于數(shù)據(jù)出境的限制過于嚴格，可能導致對方國家給予報復性的對等待遇，進而導致中國大型企業(yè)出海過程中面臨數(shù)據(jù)合規(guī)問題。

事實上，諸如阿里、騰訊、小米等互聯(lián)網(wǎng)企業(yè)出海過程中，除早期諸如華為等企業(yè)遭遇專利、商標等知識產(chǎn)權(quán)戰(zhàn)之外，或也將在數(shù)據(jù)本土留存和安全保護的問題上遭遇沖突，這將成為未來國家之間產(chǎn)業(yè)博弈的重點之一。

不論如何，數(shù)據(jù)本地化存儲要求，和正在制定中的數(shù)據(jù)離境監(jiān)管框架，未來還需先填補目前法律缺乏操作性和監(jiān)督的空缺，實現(xiàn)全面落地。

整體而言，黃道麗強調(diào)，配套制度需要和立法本意銜接到位，不能有大的偏差或過度解讀，否則穩(wěn)定性會遭到質(zhì)疑；二是現(xiàn)有立法層面的規(guī)定較為原則，很多具體規(guī)定推給配套制度、規(guī)范性文件，規(guī)范性文件又推給指南、指引和標準。這些現(xiàn)象有其原因，比如技術(shù)發(fā)展和中立性、法律穩(wěn)健性要求和滯后性等等，但認識到這些問題，是相關(guān)部門加強配套執(zhí)行和監(jiān)管的前提。