西南科技大学 闫钰菲

一、构建我国数据出境监管制度的必要性

面临数字经济蓬勃发展的新的时代背景，数据势必是其核心特征。数据通过互联网而随时进行着互联互通的流动，而流动的领域不仅仅包括个人信息，还包含众多渗透在政治、经济、文化、生活等多领域的数据。从国家层面而言，数据已是极为重要的战略资源；从经济社会的发展而言，数据则是多领域产业中的新型生产要素；对于个人层面，数据既是个人的产生物也是个人生活中的必需品。如此重要的地位自然使其能够对于数字经济全球化的发展产生深刻影响。

通过流动，数据带来了可观的经济收益，但同时数据也属于如今的重要战略资源之一，加强数据安全的保护自然成为如今发展数据的必要条件。2021年7月，国内某款App由于存在严重违法违规收集使用个人信息问题而被下架，这也成为我国第一次以“维护国家安全”为由，依法审查并整治的数字平台。对于朝气十足的数字经济时代来说，此类违规收集数据影响国家安全的事件绝不可能是首例，也不会是个例。国内互联网平台仍然存在众多问题，如数据安全漏洞、滥用数据等，这些数据安全问题俨然是数字经济时代最必要的安全问题。针对数据安全，习近平总书记曾经做出重要指示，明确提出要加快数据安全方位的制度建设。我国需要在数据安全制度的构建当面积极回应数据安全维护以及经济发展的一系列需求，数据出境安全监管治理制度的构建迫在眉睫。

二、我国数据出境监管制度所存在的问题与困境

（一）现有制度不尽完善，存在空白区域，难以真正落地实施

自《数据安全法》发布以来，在实践与落地的情况上依然不尽理想。两部法律在现实情况中，对于普罗大众更多是属于束之高阁的立法，这并非立法者的初衷与立法的目的和意义。不仅如此，由于配套实施的细则、实施办法的空白，极易造成监管者束手无策的局面。在对数据出境的法律监管上，现行立法的宏观主要体现在审查机制和审查程序未作细则规定，给予了监管者较为宽松的监管权力，但在国家安全问题上，宽松的权限反而容易造成监管者束手无策的局面。换句话说是由于立法者对于数据出境法律监管的法律网构建不够全面，缺乏一定的相关配套法规。导致实际操作中数据出境中的法律监管难以真正落地实施。

（二）数据出境方式单一，难以兼顾发展的需求

目前我国对于数据出境安全审查的规则建立更多停留在宏观层面，故而在《网络安全法》与《数据安全法》中的“国家安全审查”成为数据合法出境的前置程序。只有通过了数据安全审查，监管机构才会发放允许出境的行政许可。尽管我们支持国家安全为重的理念，但对于如我国一般的数据大国，“先审查再出境”的模式势必会造成至少两方面的问题。首先是审查机构的工作成本。目前数据的跨界流通自然呈增长态势。而在数字经济全球化的时代背景下，出境的数据势必将呈现持续上升的趋势。这对于监管机构来说无疑将增加审查的时间成本和人力资源成本。对于需要进行数据出境的被审查者来说，数据跨境流动原本是便捷、快速的方式，当必须通过先审查才能出境时，则意味着在数据出境的时间控制上，存在一定的延迟和误差。

（三）企业对数据合规的自查较被动，加剧监管难度

伴随着我国数字经济的繁荣发展，也伴随国内国际双循环格局的建立，想要“走出去”分一碗数字时代的羮的企业已屡见不鲜。如今的国际贸易离不开对数据的依赖，企业的发展需求也造就了大量的数据流动。我们不难想象，雨后春笋般的数据时代新机会所带来的数据流动的规模相比这个数字是有增无减。

其中有相当一部分企业除了拥有经济领域的数据外，还掌握着众多用户的个人信息。无论从何角度出发，企业都应该提高数据安全的自律意识，切勿让数据安全的自查成为空话，让企业数据合规被动化。否则对于企业来说，这在无形中便消耗了更多成本。

（四）数据治理国际层面的规则缺失，冲突化解消耗过多成本

我国的数据出境法律监管绝不会仅仅依靠我国的立法，与国际规则相匹配的制度才能更好地为我国数据出境法律监管提供国际化的基础条件。

在不同的国家体系与价值观中，产生着对数据出境监管不同的政策与立法。再根据优先事项的差异，这些政策和立法别说不尽相同了，有的甚至都难以避免矛盾和冲突。伴随如今数据的跨境流动的数量和规模大幅度增长，国家和地区之间以影响数据主权的名义构建起了一定的壁垒。这些壁垒的解决主要是回归至国家或者地区进行治理。而在数据出境的监管中，如果要化解风险和挑战，势必需要以各国数据安全为底线，达成一致的治理规则加以运用，才能尽可能地平衡出境方及入境方共同利益。

三、欧盟地区出境监管制度

欧盟地区的数据出境制度主要是依据《一般数据保护条例》（GDPR），GDPR被誉为是目前跨境数据治理领域中最为严苛的保护条例。其目的主要是以维护欧盟数据主权，促进欧盟境内数据的自由流动以及数字经济的发展。其核心内容是数据主体的权益。它对数据主体的信息、信息获取、纠正权和参与权有一定的限制。在内容上GDPR对于数据控制者和处理者使用数据的原则以及独立监管机构的设立原则有一定的规定。其规定监管机构由独立的政府机构组成，实施欧盟境内的一站式监管，这一点为跨境数据的监管提供了便利。

总结来说，欧盟对于数据跨境流动的态度属于寻求个人信息保护与数据自由流动的平衡。其数据跨境的方式包括数据输入者所在国家被欧盟地区列入了“充分性认定白名单”、判断是否提供了适当协议、行为准则为跨境传输提供保障，如果不满足上述情况，则判断在该企业集团内部是否建立起已被监管机构批准的有约束力的内部规则，另外是必须通过“必要性测试”和“偶然性判定”下，在满足特定条件时能够为第三国或国际组织传输个人数据。

四、我国数据出境监管制度构建的思考与建议

（一）尽快出台相关法律的配套法规，为审查双方提供“用户手册”

配套相关法律法规的出台不仅意味数据安全法律的构建更具网格化，同时也是对数据出境过程中监管者以及相关主题的管理责任进一步分配和明确的表现。

目前，对于数据出境的监管职责是由专门机构在进行，这些机构将对数据跨境流动的安全性进行审核。而这些专门机构并非是挂牌成立的机构，其包括且不限于有国安部门、公安部门、网信办、中国人民银行等机构。在多头均具有审核权的情况下，我们期待着相关法律法规的诞生。以解决为多重审核机构划定职责权限的问题，为其实际操作提供良好的协调机制。

从现实的实际操作而言，多部门的共同审核实际上更容易造成权责不明的情况，且对于数据直接或衍生内容多而复杂的情况，审核其是否与国家安全相关，更需要专业的人才与技术进行保障。鉴于此种情况，具有一个可以保证相对较高的审核准确性的审查部门至关重要。这既是审查权利专业性的体现，同时又为审查尺度以及审查范围提供了较为统一的标准。大大减少了多部门审查之间的交流协调环节的用时。尽管这种模式前期需要对专业人才进行选拔和培养，增加了一定成本，但从数字时代长远的发展来看，这种成本远比多部门共商共建所产生的人力、物力成本低，也更便于从整体上综合判断数据是否有可能带来的国家安全风险。

（二）丰富合法流动渠道

根据我国的数据出境监管实践情况，目前我国拥有较为严格的事前“许可”机制。该机制主要是在涉及国家利益、公共利益的特定行业数据、个人数据绝对禁止出境外的范围外，对个人数据和商业数据进行监管，包括履行“通知-同意”程序、安全自评估、行业主管部门评估等。这样的模式自然大大降低了我国数据安全风险的挑战，但是面对数据跨境流动的发展必然要求，其作用便显得捉襟见肘。

我们必须认可数据跨境流动方式的多元化，也必须了解数据日常化、规模化的跨境需求，所以在不涉及国家安全和公共利益的数据跨境流动上，在安全与效率的抉择中，我们应努力为效率打造一条安全通道，以达到合理有序的数据流动。在欧盟的模式中，“充分性认定”是一种可以借鉴的途径，达成特定场景或特定用户可采用的协议值得借鉴。我国可通过设置数据出境白名单等方式来优化数据出境方式。

（三）引导企业、行业进行自律评估，加强对企业安全自查的引导与支持

依据《数据安全法》第二十三条第二款，国家建立数据安全审查制度，对影响或者可能影响国家安全的数据活动进行国家安全审查。依法作出的安全审查决定为最终决定。这对于企业意味着一旦审查不通过，则无法通过诉讼或复议的途径作出救济。对此行业、企业的自行安全评估是实现减少成本、引导发展的重要实现方式。作为监管部门，可以通过出台相关政策引导行业内起草、探索数据出境安全评估细则，以使细则更符合该行业的现实需求与行业特点。同时引导企业进行数据合规自查，在企业对数据出境自评估方面，首先应明确的是数据跨境传输能否获得监管机构的批准的参考因素，这不仅在于数据本身，还包括数据跨境传输的目的以及数据收发双方的安全性。企业应从自身数据的合法性、正当性、风险可控性出发进行自我评估。

在政府层面，加强对行业、企业的数据安全意识的培养是非常必要的，同时直接加强企业对数据安全的自查技术与人才培养成本的支持，也是实现监管的方式之一。

（四）激流勇进，推动国际间数据跨境流动规则的制度建立

数据流动是国家间投资贸易的必然要素。国际合作和贸易通过数据流动对传统经济起了重大作用；在如今的数据经济，也为境外市场开拓和跨境服务作出贡献。

国际组织对于全球数据治理规则的制定具有强有力的推动作用，但是世界贸易组织、联合国等在全球范围内具有重要影响力的国际组织的规则更侧重于实体贸易与全球数字贸易的发展不相适应，促使很多国家通过双边或多边合作的方式暂时解决数据跨境流动问题。然而由于各国在跨境数据流动问题上的立场与模式各不相同，且受到新冠疫情的影响，短期内或许难以缔结全球性数据跨境规则。但是我国应积极发挥大国担当，积极参与国际平台对数据跨境流动规则的磋商会议，支持有影响力的全球性国际组织开展多边数据治理合作，积极融入全球数据治理规则，制定努力共谋国际社会合作的最大公约数不断缩减全球数据治理成本提高全球数据治理效率实际上欧美等国也多次表示，要在世界贸易组织框架下开展全球数据治理谈判。这些为我国推进世界贸易组织规则改革、维护我国数据安全及争夺数据治理话语权创造了有利条件。