我国跨境数据流动管理制度概论：兼析《网络安全法》第37条的制度构建及意义

文 | 刘耀华 信通院互联网法律研究中心高级研究员

本文原载于《“一带一路”法律研究（第4卷）》。因篇幅较长，已略去原文部分注释，如需了解更多，请查阅原文。

摘要

《网络安全法》第37条首次设立了我国跨境数据流动管理的顶层制度，明确了关键信息基础设施的个人信息和重要数据应当遵守的四个基本条件，即原则上本地存储、因业务需要、确需向境外提供、安全评估。我国跨境数据流动管理具有三个阶段的制度构建过程，一、二阶段已经完成，第三阶段即将完成。《网络安全法》第37条作为第二阶段的立法，在我国跨境数据流动管理的建设历程中起到了承上启下的作用，统一了该领域之前的法律规范，为后续《个人信息保护法》《数据安全法》全面规范跨境数据流动夯实了制度基础。

关键词：跨境数据流动；关键信息基础设施；安全评估

纵观我国跨境数据流动管理制度，共形成了三个阶段的立法：第一阶段为分散立法，即通过行政法规、部门规章、规范性文件等形式明确了特定行业特定领域的跨境数据流动管理要求，主要包括《征信业管理条例》《地图管理条例》《金融消费者权益保护实施办法》《人口健康信息管理办法》《人类遗传资源管理条例》等；第二阶段为重点立法，即《网络安全法》第37条针对关键信息基础设施运营者在我国境内运营产生的个人信息和重要数据作出规定；第三阶段为全局立法，即《个人信息保护法》和《数据安全法》作出了更为全面的跨境数据流动管理规定。其中，《网络安全法》第37条是我国跨境数据流动管理制度形成中的重要根基，地位重要、作用突出。

一、《网络安全法》第37条背景介绍

《网络安全法》第37条对跨境数据流动管理作出规定是适应国际形势和互联网技术发展的举措。从技术层面讲，个人信息跨境流动，是互联网技术发展与全球信息交流的必然结果。跨境数据流动并非新事物，严格来说，通过优盘、光盘等形式将数据带出境外，以及跨国邮件等等均可被视为跨境数据流动的表现形式。[1]但跨境数据流动成为一项重要的国际议题逐渐引起各方关注应当是在进入21世纪之后走向高潮的。21世纪初，互联网发展进入2.0阶段，网站和内容流型社交网络并存，通过互联网传输、访问数据逐渐开始大规模发展起来。2009年之后，互联网发展开始进入移动互联网阶段，信息流开始具有通过互联网提供内容和服务的重要特征。[2]大量信息在网络中流动，在推动互联网创新、产业发展方面作出重大贡献，也开始引起更多国家和地区的重视。例如，在数据流动性极强的网络空间内，个人信息往往不可避免主动或被动地流入域外。[3]根据美国著名智库布鲁金斯学会（Brookings Institution）的相关研究，2009—2018年十年间，全球数据跨境流动对全球经济增长贡献度高达10.1%。[4]据美国国际贸易委员会(ITC)估计，数据流动使得美国的GDP增加了3.4～4.8个百分点，创造了240万个就业。[5]在这一阶段，全球多个国家和地区的政策、举措也成为跨境数据流动管理发展过程中的里程碑事件。例如2015年微软诉美国境外数据索取案直接导致了后来《澄清境外数据的合法使用法》（简称《云法案》）的出台，2013年奥地利律师施雷姆斯诉脸书事件（Schrems vs Facebook ）导致了后续一系列的欧美《安全港协议》破裂及《隐私盾协议》的达成和无效，[6]这均凸显了跨境数据流动在这一阶段引起的争议和关注极其聚焦。我国的《网络安全法》即是在这种背景下出台，并通过第37条首次在法律层面确立了我国重点领域的跨境数据流动顶层制度设计。

《网络安全法》第37条开创了我国跨境数据流动管理制度的新阶段。《网络安全法》出台之前，我国跨境数据流动管理规则主要存在于特定行业领域的行政法规、部门规章和规范性文件中，相关行业主管部门对征信数据、互联网地图数据、个人金融信息、人口健康信息等的跨境流动明确了各自的要求。《网络安全法》出台之前，这些立法和文件是相关部门管理数据跨境流动的主要依据，如2015年9月，华大基因与上海华山医院因未经许可与英国牛津大学开展中国人类遗传资源国际合作研究，华大科技未经许可将部分人类遗传资源信息从网上传递出境。科技部要求华大基因立即停止该研究工作的执行，停止国际合作，整改验收合格后再展开。[7]但在这一阶段，各种类型信息之间的管理较为分散，不具有一致性，甚至在实践中还可能因为数据类型的交叉和监管部门职权的差异而产生冲突，如《金融消费者权益保护实施办法》第33条规定：“在中国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外，金融机构不得向境外提供境内个人金融信息。”[8]而《人口健康信息管理办法》第10条第2款规定：“不得将人口健康信息在境外的服务器中存储，不得托管、租赁在境外的服务器。”前者规定了除外条款，但后者是绝对禁止跨境传输。那么，对于金融行业和人口健康行业存在的重叠个人数据，应当按照哪个规定进行管理和执行，从理论上来说是存在冲突的。

《网络安全法》第37条确立了关键信息基础设施的跨境数据流动管理制度。该条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”从字面的意思来看，第37条主要包括以下含义：监管对象是关键信息基础设施的运营者在我国境内运营中收集和产生的个人信息和重要数据；关键信息基础设施运营者在我国境内运营中收集和产生的个人信息和重要数据原则上应当在我国境内存储，而向境外提供数据是特殊的例外情况；从出境的条件来看，关键信息基础设施运营者在我国境内运营中收集和产生的个人信息和重要数据的出境，应当满足三个要件，即“因业务需要”“确需向境外提供”“进行安全评估”。因此，本地化存储原则、因业务需要、确需向境外提供、安全评估构成了《网络安全法》第37条规定的跨境数据流动管理制度的核心要件。

二、对本地化存储原则的理解

数据本地化存储是第37条针对关键信息基础设施运营者的个人信息和重要数据规定的基本原则，很多国家和地区的立法中均有所涉及。

第37条规定的本地化原则，属于相对意义上的本地化。从宽严程度上来说，数据本地化可以分为两类形式：一种是绝对意义上的本地化，即数据是不允许流到境外的，只能在本国境内存储，如我国对互联网地图数据、人口健康信息、人类遗传资源的规定，还有印度在《2019年个人数据保护法案（草案）》中对关键个人信息的规定，都要求只能存储在境内，[9]属于绝对意义上的本地化；另一种是相对意义上的本地化，即所有的数据必须要在本国境内进行备份，然后可以在满足相关条件之后流到境外，如俄罗斯在“棱镜门”事件之后，基于维护国家安全的历史传统和现实中的网络数据安全威胁，通过修订《俄罗斯联邦关于信息、信息技术和信息保护法》《俄罗斯联邦个人数据法》加强数据本地化和数据跨境流动的监管，明确提出公民数据的存储和处理必须在俄罗斯境内的数据库进行，[10]但同时提出并非禁止数据流动，在满足其他条件之后仍然可以按照要求进行跨境流动，成为相对意义上数据本地化的典型代表。从《网络安全法》第37条的整体规定来看，确立的是相对意义上的本地化，并没有绝对禁止关键信息基础设施运营者的个人信息和重要数据跨境流动，而是允许在满足“业务需要+确需向境外提供+通过安全评估”的条件后，可以向境外提供。

从当前跨境数据流动管理的发展趋势来看，数据本地化逐渐成为很多国家倾向采取的主要管理方式，如2019年4月，OECD针对数据本地化问题在成员国间进行调研，在收到的29件回复中，11国称有数据本地化相关规定。[11]近期，欧盟作为全球数字规则的引领者，在2020年7月确认《隐私盾协议》无效后，同时也进一步强化了对于“标准合同”（SCC）的管理要求。2021年5月，美国的大型科技企业微软官方表态称，将在2022年年底实现欧盟数据本地化存储。[12]在数字经济全球化和全球数权博弈的态势下，数据跨境流动是发挥数据价值、开展全球业务的必然需要，但同时数据也成为各国和地区竞相争夺的资源，多个国家认为数据本地化是数据跨境流动面临的很大挑战。

数据本地化原则的设计主要是出于保护个人数据、维护网络安全、保障社会公共利益和国家安全、产业发展的考虑。但数据本地化是否能够真正实现这些目标，则有待于进一步研究。

第一，数据本地化是否能保护个人数据以及保障个人的合法权益。理论上来说，数据本地化能够避免被他国公司滥用和被他国政府监视，但总体而言个人数据的保护水平取决于一国的个人数据保护制度设计，如果一国的个人数据保护制度并没有达到其他国家的数据保护水平，那么将个人数据强制留在国内并不一定能充分保护个人的合法权益。另外，正如OECD在《数据本地化趋势和挑战》研究报告中所说，数据本地化无法排除，甚至是强化了存储国政府对个人数据进行控制和监视的力度。[13]因此，数据本地化对个人数据是否能达到理想中的保护，还有待综合多个角度进行论证。

第二，数据本地化是否能实现对网络安全、社会公共利益、国家安全的保护。网络安全旨在确保机密性、完整性和可用性，防止重要数据出境在很大程度上是出于对网络攻击、网络犯罪的防范。当一个国家与全球互联网的联系切断时，数据本地化举措确实可以确保该国快速恢复网络能力。例如，2019年12月，俄罗斯经过一系列测试之后，成功切断了与全球互联网的连接，同时确保俄罗斯网络保持无间断正常运行。不得不说，这在很大程度上得益于俄罗斯数据本地化备份的制度。但这一制度同时也让数据或网络出现其他风险的程度加深。正如“鸡蛋不能放在同一个篮子里”，将重要数据存放在同一个地区的服务器中，当出现不可预知的自然风险或意外事件时，服务器或数据的损失可能会给整个国家网络运行带来阻碍，这应当成为各国设置数据本地化举措时着重考虑的一个因素。另外，在当前技术飞速发展的情况下，通过存储位置限制网络攻击的可能性也不是很高，并不能绝对排除远程访问的可能性。

第三，数据本地化是否能够使一国获得经济竞争优势。许多国家的政府设置数据本地化举措是出于维护本国产业发展的考虑，如印度、印度尼西亚等。数据确实是数字经济时代的重要驱动因素，将数据流入境外相当于间接提升了其他国家发展数字经济的优势，但数据本地化的举措也需要同时考虑以下问题：一方面，企业将数据存储在不同的地方就需要在不同的地方付出较高成本建设或租用当地的服务器，对于企业来说，它们可能同时会将成本转嫁到当地国家消费者头上，或转嫁到当地下游企业身上，导致当地整体经济成本的普遍上升；另一方面，一般来说，在国际上数据的跨境流动均是双（多）向互惠的，一国限制本国数据流到其他国家，其他国家可能也会采取相应的限制举措，那么一国在限制本国数据利益流出的同时也切断了其他国家数据利益的流入。

从第37条限制的个人信息和重要数据的范围来看，《网络安全法》设置原则上数据本地化存储的制度时也是综合考虑了个人数据保护、网络安全维护、社会利益保障等多方因素。但第37条并非绝对限制数据的流动，而是设置三个条件限制数据的跨境流出，应当说在一定程度上兼顾了安全和发展的双重目标。

三、对“因业务需要”的理解

“因业务需要”是第37条规定的向境外提供数据应当满足的前提条件之一。《网络安全法》生效实施之后，相关部门针对第37条又出台了多个配套规定的征求意见稿，但均没有对“因业务需要”进行具体的细化解释。例如，2017年公布的《个人信息和重要数据出境安全评估办法（征求意见稿）》只是重申了“因业务需要”这一条件，但没有进一步的要求；2019年的《个人信息出境安全评估办法（征求意见稿）》没有提及“因业务需要”，规避了对这一条件的具体解释。因此，明确什么是“因业务需要”这一条件就是促进跨境数据流动制度具体落地实施的关键。

第一，什么是“因业务需要”。在维基百科中，“业务”是一个内涵较为广泛的概念，指的是“某种有目的的工作或工作项目”。从这个意思上来说，只要是为了开展某项工作或完成某个工作项目都应当属于“因业务需要”：一方面，业务的范围存在多种情况，直接为了某个具体事项或业务跨境提供数据的情况判断起来相对较为简单，如PayPal为了向中国用户提供支付服务，需要实时将用户的个人信息和金融数据传输到位于新加坡的数据中心，显而易见，是属于为了业务的需要而开展跨境数据传输。但在其他一些情况下进行的跨境数据流动则没有这么容易判断，如某境内设备公司为了获取境外公司的专利A，需要以其专利技术B进行交换，这种并非需要直接在业务中使用跨境提供的数据活动是否属于“因业务需要”存在很大的不确定性，毕竟专利技术B中的数据并不是为了直接开展专利技术交易的条件。跨境电商企业为了向境外售卖商品或服务属于因业务需要，那么将自身的资金存储在境外是否属于因业务需要则有待进一步判断。另一方面，主体范围也有待探讨。在实践中，除了企业因业务需要向境外提供数据外，个人也会因各种各样的原因开展数据跨境流动活动，如个人通过被划定为关键信息基础设施运营者的邮件系统与境外的个人进行联系，并在联系过程中提供了少量属于自己本人或亲友的个人数据，那么这种情况下跨境数据流动的产生也存在关键信息基础设施运营者为了提供邮件服务的需要，关键信息基础设施运营者是否还应履行安全评估的义务？第37条及其他立法规范均未对上述情况进行具体分析和明确，但其他国家的立法将这种情况作为个人事务且不作监管考虑，如欧盟《通用数据保护条例》（GDPR）第2条明确规定“自然人纯粹个人或家庭活动中所进行的个人数据处理”不适用GDPR。从个人发送邮件的性质来看，主要目的还是以达成个人的家庭生活目标为主，并没有涉及关键信息基础设施运营者的具体业务运行，潜在影响并不会很大；从个人发送邮件提供的个人数据数量来看，数量较小，并不具有很大的安全评估监管必要。鉴于此，本文认为可不将此种情况作为“因业务需要”而开展的活动。但是，如果个人通过此种方式大量对外传输数据，从关键信息基础设施运营者的角度来说，极有可能落入“因业务需要”的范围。

第二，谁来判断是否因业务需要？当前，监管机构并没有给出明确的标准以供判断什么是“因业务需要”，企业自身也没有在具体的案例中阐明“业务”的范围。在实践中，主要存在三种方式：一是由监管机构进行判断。如果采用此种方式，那么监管机构应通过出台相应的立法、指南、标准等文件为网络运营者提前提供可以参考的依据，在事前即可通过明确的标准判断自身的跨境数据流动是否符合要求，从而提高监管的效率，同时也相应减少企业的合规成本。以这种方式进行判断，权威性较高，但监管机构则有可能需要考虑实践中的多种情况，出台操作性较强的指导文件，同时还要在安全评估时对于传输的数据类型与业务之间的关系进行实质性审核。二是由企业自身判断，企业对自身业务最为了解，可以清晰判断数据活动与业务运行之间的联系，通过此种方式进行监管，则主要由企业提供证明，并经监管机构进行形式审查。这种方式效率较高，同时也节约了行政监管成本，但其弊端也显而易见。企业在跨境数据流动活动中，运动员和裁判者的角色集于一身，结果的公允性可能存在一定的偏差。三是由第三方机构进行判断。第三方机构相对来说比较中立，相较于上述两种形式来说，既可以维持最大限度的公允性，也极大节约了监管成本，提高了监管机构的效率。综合来看，安全评估本就是属于“一事一议”的跨境数据流动管理制度，效率相对较低，第三方评估机构进行判断的方式可以相应抵消这种障碍，也是符合我国现阶段需要的最佳选择。但为了实现最优判断，并非所有第三方机构都能成为有权评判的机构，应当由监管机构设置一定的条件，被批准之后的第三方机构才能行使该项判断权。

四、关于“确需向境外提供”的理解

相较于前两个要件，应该说“确需向境外提供”在实践中是一个更难确立标准和符合要求的概念。如果没有“确”字，“需向境外提供”的判断和合规成本会低很多，只要能够提供相应的证据，证明向境外提供数据的需求即可，并无必要对需要的程度再进行说明。但“确”字使得企业必须更进一步地证明“向境外提供数据”的需求程度到底是不是很深。这是一个非常主观的判断标准，一方面，立法并没有对证明的程度进行限制，证明的义务可能会陷入“无底洞”的深渊；另一方面，对于能够替代“向境外提供”的其他措施，立法也并没有从经济成本上进行限制，也就是说，如果“向境外提供数据”的成本为1，即使存在成本为100的能够不向境外提供数据的其他替代措施，那么从理论上来说，企业也可能并不符合“确需向境外提供”的标准，而应当采取成本为100的替代措施。

如果不考虑经济成本，数据本地化存储可以在很大程度上替代向境外传输数据。实践中，其实很多案例都存在这种情况，如之前苹果宣称为了向中国用户提供更好的服务，需要将中国用户的个人数据传输到境外进行分析和维护，但并没有成功，最终在谈判两年之后，于2017年决定将中国内地的iCloud服务迁移到贵州。苹果公司在贵州设立数据中心，运营方则是云上贵州大数据产业发展有限公司（以下简称“云上贵州”），苹果公司提供技术支持，双方合作建设“iCloud 贵安新区主数据中心”。[14]为了建设该数据中心，苹果的投入为10亿美金，远远超出了直接将数据传输到已有的国外数据中心的成本。另外，亚马逊在宁夏中卫建立全球第10个数据中心，把国内的数据存储在中国境内；近期特斯拉的数据安全和数据跨境传输事件也甚嚣尘上，引起社会广泛关注，据相关媒体报道，特斯拉也承诺将仿效苹果在中国大陆境内建立多个数据中心。[15]除我国外，其他国家似乎也在作类似的判断。例如，我国三一重工企业曾经想将在日本的机器设备数据回传中国，但遭到日本政府和相关部门的禁止，只能作罢；微软近日表态，宣布了一项名为“微软云的欧盟数据边界”的新举措，称将使得欧盟客户在2022年前能够将其所有数据存储在该地区。[16]

“确需向境外提供”的规定具有一定的合理性，也在一定程度上与国际大趋势相契合：一方面，关键信息基础设施指的是“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”，涉及人数众多、地位重要，关系到我国社会的整体正常运行，对其进行严格监管具有合理性和必要性。从第37条的限制范围来说，管理的是关键信息基础设施运营者的个人信息和重要数据，要么数量众多，要么数据较为敏感，通过“确需向境外提供”的程度判断标准，能够在实践中赋予监管机构较大的自由裁量权，监管机构能够灵活判断是否应当允许相关数据向境外传输，以维护我国公民的个人权益、社会公共利益和国家安全。另一方面，从全球监管的角度来看，对于重要和敏感的个人数据，很多国家是通过直接限制出境的方式来进行管理的，如在美国的外资安全审查制度中，2018年美国外资安全审查改革首次明确关注涉及关键技术、关键基础设施和敏感个人数据的商业活动，在实践中也经常会让外资企业签署承诺书，承诺不会将敏感个人数据传输到境外。印度在《2019年个人数据保护法草案》第33条规定关键个人数据绝对禁止传输到境外，只能在印度境内存储；法国近日表示在数据本地化的前提下，微软云、亚马逊云等外国云服务公司可以处理敏感数据。[17]

五、关于安全评估的理解

安全评估是关键信息基础设施运营者在我国境内产生的个人信息和重要数据向境外提供最重要的条件。第37条明确“应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。

安全评估的适用范围在配套规定出台过程中难以拓展。第37条将需要进行安全评估的范围仅限缩在关键信息基础设施的范围之内，但由于关键信息基础设施的范围有限，并非所有设施都能纳入其中。在实践中，有些数据虽然可能不属于关键信息基础设施的数据，但重要性也不容忽视，如上文提到的PayPal向境外传输的我国公民的个人金融信息，也是我国金融领域对跨境流动有严格限制的数据。然而，由于《网络安全法》第37条规定只有“法律、行政法规另有规定的，依照其规定”，目前对金融数据跨境流动作出限制和规范的大都属于部门规章或行业标准，如果PayPal没有被归类为关键信息基础设施，则无法直接适用第37条的安全评估。《网络安全法》生效之后，相关部门试图对安全评估的适用范围进行拓展，如《个人信息出境安全评估办法（征求意见稿）》规定“网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息，应当按照本办法进行安全评估”。《个人信息和重要数据出境安全评估办法（征求意见稿）》中规定“网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据，应当在境内存储。因业务需要，确需向境外提供的，应当按照本办法进行安全评估”。上述两个征求意见稿均将评估的适用对象拓展到了所有的网络运营者。但由于与《网络安全法》的规定不一致，在没有上位法依据的情况下加重了其他网络运营者的义务，引发了诸多争议，同时也成为这些配套规定迟迟没有出台的原因之一。

安全评估的适用范围在我国法律制定过程中得到扩展。《个人信息保护法》《数据安全法》两部重要立法的制定巧妙地解决了安全评估适用范围的难题，也使得《网络安全法》第37条确立的跨境数据流动管理的思路得到补充。《个人信息保护法》主要补充了个人信息的跨境流动管理，在第37条关键信息基础设施的个人信息基础之上，《个人信息保护法（草案二审稿）》规定“处理个人信息达到国家网信部门规定数量的”也需要进行安全评估；《数据安全法》则补充了重要数据的跨境流动管理，《数据安全法》规定关键信息基础设施的重要数据适用《网络安全法》第37条规定，其他重要数据的出境应遵守国家网信部门会同国务院有关部门制定的管理办法，为适用安全评估程序预留了适用空间。

安全评估适用范围的拓展有利有弊：一方面，存在合理性。处理的个人信息数量较多说明涉及的用户数量可能比较多，影响范围较广。关键信息基础设施重要数据以外的其他重要数据，既然被纳入重要数据的范畴，则说明存在一定的敏感度，也应加以重视。将这两类数据纳入跨境数据流动的管理范畴其实无可厚非且理所应当。但另一方面，范围的拓展可能带来监管成本和合规成本的攀升：首先，符合数量的个人信息处理者较多，《个人信息和重要数据出境安全评估办法（征求意见稿）》规定，符合“含有或累计含有50万人以上的个人信息”条件的应当进行安全评估。据统计，2018年9月，企业用户数量TOP100中，排到第100名的企业用户数量也为1800万以上，由此可见，用户数量超过50万人的企业数量应该很庞大。如果对这些企业的数据跨境流动都要通过安全评估进行管理的话，监管机构可能会花费大量的人力物力和时间成本。当前，50万人的数量还未确定，未来的配套制度中应当通过更深入的研究确定相关的数据。其次，重要数据的类型也很难判断。《数据安全法》规定各地区、各部门应当按照分类分级保护制度确定重要数据目录，但实践中，即使是同行业，由于核心业务的不同，各个企业的重要数据类型可能也是不一样的，重要数据要通过目录的形式进行确定的话存在一定困难。由关键信息基础设施的重要数据扩展到所有网络运营者的重要数据，更是进一步加大了重要数据的判断难度，增加了重要数据的类型。另外，安全评估本身就属于“一事一议”性质的事前审核手段，扩展适用对象，无疑将增加评估的难度，并延长评估时间。

安全评估制度仍有很多问题有待进一步明确。除上述个人信息的数量、重要数据的类型之外，其他很多具体问题也应进一步明确，以加快促进安全评估制度的实施：一是评估的实施主体。评估到底由监管机构直接进行，还是由第三方机构进行？中央和地方的职权应当如何划分？二是评估的具体针对对象。是针对出境企业的个人数据保护水平进行评估，还是针对出境行为进行评估？三是评估的时限。评估结果是一次性有效，还是长期有效，还是一定期限内有效？如何确定都将影响监管成本和出境后果。

结 语

《网络安全法》第37条在我国跨境数据流动管理制度不断完善的过程中，初步构建了我国跨境数据传输模式的基本规则，[18]起到了承上启下的作用：一方面，将之前的分散型立法进行了统筹规划，首次引入了“出境安全评估”制度，开创了跨境数据流动的新阶段；另一方面，也成为《个人信息保护法》和《数据安全法》进一步补充相关制度的前提和基础。《个人信息保护法》和《数据安全法》均是在第37条的基础之上进行了制度的叠加规定。《个人信息保护法》在关键信息基础设施个人信息出境评估的基础上，叠加了处理个人信息达到网信部门规定数量的则需要评估，以及其他个人信息出境采取认证和标准合同的方式；《数据安全法》则在关键信息基础设施重要数据出境评估的基础上，叠加了其他重要数据出境需要遵守网信部门等制定的安全管理办法。

《网络安全法》第37条的相关内容需要在未来进一步细化和完善。第37条虽然明确了出境安全评估的主要形式，但其中的具体内容，如评估的要求、程序、条件等并没有清晰界定。出境的路径也没有详细规划，就相当于一座房子的大门外是汪洋大海，虽然允许过海，但旁边没有任何过海的工具，那么只要不想被淹死，就只能留在房子里。这里，进一步细化的配套规定便是过海的工具。虽然当前我国正在努力提供过海的工具，但总体来说进度很慢，效果并不明显，主要原因如下：首先，《网络安全法》第37条之前的相关配套规定均停留在征求意见稿的阶段，如《关键信息基础设施安全保护条例（征求意见稿）》《个人信息和重要数据出境安全评估办法（征求意见稿）》《个人信息出境安全评估办法（征求意见稿）》等。2021年5月12日，国家互联网信息办公室发布的《汽车数据安全管理若干规定（征求意见稿）》也要求根据《网络安全法》第37条规定明确汽车数据中涉及个人信息和重要数据的跨境传输问题。其次，《个人信息保护法》《数据安全法》虽然进一步补充完善了第37条的规则，但也产生了更多需要解释的规则，如《个人信息保护法》中的“认证”“标准合同”有待细化，《数据安全法》中除关键信息基础设施的重要数据之外的其他重要数据出境管理办法有待制定等。另外，第二阶段和第三阶段的原则性规定导致实践中并没有案例是成功通过“安全评估”的路径出境的，而且由于具体要求不明确，多个自贸港、自贸区的跨境实践也很难实现。鉴于此，相关部门的下一步工作应当是尽快细化和解释具体的要求，为数据跨境流动提供具体可行的法律依据。

[1] 贾开：《数据跨境流动全球治理机制创新》，载《中国社会科学报》2019年3月27日，第2版。

[2] 李颖：《中国IT产业发展呈现六大趋势》，载《中国工业报》2021年3月24日，第2版。

[3] 许多奇：《论跨境数据流动规制企业双向合规的法治保障》，载《东方法学》2020年第2期。

[4] 刘典：《全球数字贸易的格局演进、发展趋势与中国应对——基于跨境数据流动规制的视角》，载《学术论坛》2021年第2期

[5] 许多奇：《个人数据跨境流动规制的国际格局及中国应对》，载《法学论坛》2018年第3期。

[6] 曹博：《跨境数据传输的立法模式与完善路径———从〈网络安全法〉第37条切入》，载《西南民族大学学报（人文社会科学版）》2018年第9期。

[7] 唐唯珂：《人类遗传信息违规出境处罚公开 基因大数据安全拷问》，载https://new.qq.com/cmsn/20181029/20181029002061.html，最后访问日期：2021年11月16日

[8] 需注意的是，2020年9月15日公布的《金融消费者权益保护实施办法》取代了旧办法，正式文本中删去了个人金融信息出境以及服务外包的条款。

[9] 嵇绍国、王宏：《印度<个人数据保护法案>浅析》，载《保密科学技术》2020年第2期。

[10] 何波：《俄罗斯跨境数据流动立法规则与执法实践》，载《大数据》2016年第6期。

[11] OECD：Data Localization Trends and Challenges: Considerations for the Review of the Privacy Guidelines, available at https://www.oecd-ilibrary.org/science-and-technology/data-localisation-trends-and-challenges_7fbaed62-en.

[12]《明年开始欧盟的微软客户将能够在当地存储他们的所有数据》，载https://www.sohu.com/a/464947486_100191015，最后访问日期：2021年11月16日。

[13] OECD：Data Localization Trends and Challenges: Considerations for the Review of the Privacy Guidelines, available at https://www.oecd-ilibrary.org/science-and-technology/data-localisation-trends-and-challenges_7fbaed62-en,

[14] 《苹果在贵州建了一个数据中心，它是怎么回事？》，载https://www.sohu.com/a/156725340_114837，最后访问日期：2021年11月16日

[15] 《特斯拉或效仿苹果“云上贵州”模式 建立数据中心》，载https://auto.163.com/21/0415/08/G7K2B78I000884MM.html，最后访问日期：2021年11月16日

[16]《微软云的欧盟数据边界 微软：欧盟客户2022年将在当地存储所有数据》，载http://datacenter.ctocio.com.cn/datacenter/2021/0510/80892.html，最后访问日期：2021年11月16日

[17] 《法国表示，谷歌，微软云服务可以处理敏感数据》，载https://cloud.51cto.com/art/202105/662999.htm，最后访问日期：2021年11月16日

[18] 曹博：《跨境数据传输的立法模式与完善路径——从〈网络安全法〉第37条切入》，载《西南民族大学学报（人文社会科学版）》2018年第9期。

声明：本文来自CAICT互联网法律研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。