总法嘉谈｜数据内循环？解读新出台的《数据安全法》对数据跨境流动的影响

来源：律商视点

2021年6月10日，全国人大常委会表决通过《数据安全法》（以下简称“《数安法》”），将于2021年9月1日生效施行。《数安法》立法过程很快，称得上是如火如荼。2018年，《数安法》和《个人信息保护法》一起纳入全国人大常委会立法规划。2020年6月人大常委会对《数安法》（草案）做初次审议，2021年4月草案的二审稿发布，于6月完成终审并正式出台，至此《数安法》三审前后总共历时仅一年；并且，其生效日期距出台日期不到四个月。《数安法》的立法推进速度甚至赶超了《网络安全法》（以下简称“《网安法》”）：《网安法》以18个月完成了草案的三审全过程，于2016年11月7日出台，半年多后即2017年6月1日生效实施。与《数安法》同时列入人大立法规划的《个人信息保护法》目前还在继续审议的过程中。

如此相比之下，《数安法》立法之急迫很明显，当然也是事出有因。

一、《数安法》立法迫在眉睫的大背景

网络和数据安全事件在国内外频发是《数安法》出台的重要背景之一。虽然美国政府实行海外监听的被曝光的棱镜门事件已是好几年前的事了，但其引发的全球震动却余波犹在。欧盟法院于去年二度推翻欧盟与美国之间的双边数据传输协议安排，仍乃基于美国政府以国家安全为声称的目的而获取欧盟公民信息时超必要限度，损害个人信息权利为裁决的理由。

除了来自政府监控的威胁，黑客对网络的攻击及窃取数据以倒卖牟利，甚至讹诈钱财的事件，也屡屡发生。例如，近日美国最大成品油管道运营企业Colonial Pipeline遭黑客勒索攻击，被迫暂停运营多日，甚至造成了市场供应短缺；英航（British Airway）约50万名客户的数据被黑客窃取；日前河南商丘法院的一份公开的刑事判决书显示，淘宝受到长达八个月的数据爬取，超过11亿8千多万条用户信息被泄露。凡此种种，皆表明被称为数字时代的石油、生产资料和要素的数据易被居心不良之人所觊觎，网络和数据安全是数字时代的大挑战。

网络攻击和数据窃取的警钟在敲响。与此同时，全球主要经济体相互间在数字技术和数字经济领域的竞争和摩擦也日甚一日，特别是美国接二连三地打压中国的通讯和数字化应用企业，如禁止在5G领域领先的华为购买美国技术，特朗普在任时以行政令试图封禁社交应用程序抖音TikTok和微信在美国的使用，等等。2020年美国的外国投资委员会（CFIUS）的权力扩大到对涉及收集和处理美国公民敏感个人信息相关业务的外国投资予以审查，以“防范个人信息的利用威胁到美国国家安全”。虽然拜登政府撤销了特朗普封禁TikTok和微信的行政令，但与此同时宣布将对由外国控制的互联网应用程序开展涉及国家安全威胁的广泛审查。面对美国一波接着一波的施压动作，中国显然有必要提出与之抗衡的立场和主张。

理解《数安法》的由起，更需洞察《数安法》出台后将会产生怎样的影响，包括立法意图实现的效果，及其未必预判到却很可能发生的结果或后果。以下笔者将通过分析《数安法》的核心条款，试图解读《数安法》对企业带来的影响和企业可能的行为反应，并对数据安全治理的具体规范下一步落地的尺度把握提出一些建议。

二、《数安法》是数据安全治理体系的基本法

《数安法》共七个章节55条，是数据安全治理体系的基本法，每个条款都只有寥寥数句，行文宏观。先有立场和框架，再逐步用细则、标准和指南加以填充来指导实际合规操作，是我国一贯的立法风格。相类似的，《网安法》为中心的网络安全立法体系也是这般先宏大再具体、先抽象再具象的风格。我国这样的立法风格与欧美法条洋洋洒洒、巨细靡遗，一部法律动辄几百页的做法差别甚大。其原因大概和中西方逻辑思维方式的差异有关。而在跨国企业担任中国法务向总部解释像《网安法》、《数安法》这样体系宏大的法律，实属不易，非常考验其拨开云雾见核心的洞察和领悟水平，以及准确归纳和表达的能力。

笔者反复读了几遍《数安法》，在云山雾罩的印象之余，扑面而来的感受和想法是：国家透过《数安法》强调总体国家安全观并充实其中的数据安全板块，其所驰之方向将是数据的内循环，或者以数据内循环为主吗？“以国内大循环为主体，国内国际双循环互相促进” （以下简称“内循环、双循环”）是我国2020年十四五规划和二〇三五年远景目标的核心思想。内循环成为经济发展的新战略，是为了应对错综复杂的国际环境变化。数据内循环一词虽然未在《数安法》中出现过，但《数安法》构建的数据安全治理的基本体系，似乎会直接和间接地产生数据内循环的结果。

在笔者看来，《数安法》的法律核心内容有二，其一是属于“以牙还牙”性质的反制措施，其二是有关重要数据的安全管理。

（一）反制措施触发将带来的数据内循环

《数安法》第26条和36条提出了数据反制措施。第26条规定，“任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区对等采取措施”。第36条规定，“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据”。

联系美国等经济体近期的举动，能分明地感受到《数安法》以上两个条款的牙齿。前文提到，美国对华为、抖音Tiktok、微信等通讯和数字应用企业在美业务开展施加重重限制，且近年来屡次以国家安全为由否决中资企业在美项目收购的CFIUS的审批权限进一步被扩大。倘若这样有针对性的限制情形和效果继续发生，《数安法》生效后中国将可以援引第26条采取反制的“对等措施”，同样对相关国家的企业限制其在华开展涉及数据的相关投资、贸易和业务活动。

第36条虽然字面上没有“反制”和“对等”这样的用词，却剑指美国等近年来出台的关于证据调取的长臂管辖法律，如2018年美国的《澄清境外合法使用数据法》(CLOUD Act)。该法规定美国司法机关审案时有权要求美资通信企业提供所掌握的全球范围内的证据材料，确立了美国可全球取证的长臂管辖权力，此后欧盟和英国等纷纷效仿出台了相应的法律。如今，《数安法》第36条确立了跨境提供数据的前置审批条件，即中国企业或个人面对境外司法机关要求需要提交数据的，必须以取得了中国政府机关的审批为前提。可见，第36条钳制了其他法域的长臂管辖权在中国的适用。当然，其他相关法域会怎样对待涉案企业因为没有得到中国政府批准，数据提交不能而引发的法律责任问题，有待具体个案对其中的冲突来做诠释。

从数据流动的角度看，以数据反制为核心基调的第26条和36条一旦启动，将形成相关数据不能流动输出中国境外的局面。当然，因数据反制而导致的数据内循环毕竟将是个别案例。以第26条和36条来明确立场，树立威慑的政治意义，大于以此来规范企业的日常数据处理活动的效果。相比之下，《数安法》另一项核心内容即重要数据的安全管理则与广大企业的运营和数据处理活动息息相关。

（二）重要数据管理和跨境流动限制将产生的内循环

《数安法》以大篇幅阐述重要数据的管理体系。重要数据是《数安法》及数据安全治理框架调节的中心标的。其实此前出台的《网安法》已经提出重要数据这个概念。两相比较，《数安法》对重要数据的控制来得更宽泛且深入，由此也将更多产生数据内循环的结果，包括直接形成和间接形成这两个方面。笔者以“直接”方面指称数据内循环作为立法希望达到的效果；以“间接”方面指称虽然立法可能并没有特意希望达到、但事实上会产生数据内循环的结果。“直接”落入立法初衷，“间接”则似乎属于初衷之外。以下做具体分析。

1

关键信息基础设施的运营者

所涉的重要数据的流动管理

《数安法》在关键信息基础设施的运营者所涉的重要数据问题上，与《网安法》做了承接。《数安法》第31条前款规定，“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定”。那么《网安法》的规定是什么呢？其指向的是《网安法》第37条，即“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定”。

概括而言，关键信息基础设施的运营者所涉的个人信息和重要数据以境内存储为原则，以跨境流动为例外。这个限制在《网安法》已提及，《数安法》相呼应。所以，关键信息基础设施的运营者所涉的个人信息和重要数据的内循环，属于立法明确要求的结果，称得上是直接产生的内循环效果。

2

一般网络运营者所涉的重要数据的管理

《数安法》第31条在呼应《网安法》对关键信息基础设施的数据本地化要求后，其后款紧接着规定，“其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定”。其传达出的信号是，一般网络运营者所涉的重要数据有可以跨境流动的可能性与空间，但会有控制措施，待法规进一步出台以明确。

3

重要数据之概念仍然未有明确定义

2017年出台的《网安法》提出了重要数据这个概念，却未给出定义。这次《数安法》出台以较大篇幅规范重要数据的安全管理，可是对该核心概念的定义仍然空白。而在定义未明确的同时，《数安法》呈现出国家较此前更宽广和更深刻的希望对重要数据严加管理的决心，表现为：

首先，如前文所述，《数安法》明确了对重要数据的所有运营者的全覆盖式管理，将将有进一步的法规出台对一般网络运营者接触到的重要数据加以管理。

其次，《数安法》提出了建立数据分类分级制度和重要数据的目录制度，并在终审定稿阶段加入了国家核心数据这个重磅新概念。《数安法》将“国家核心数据”描述为“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据＂…＂实行更加严格的管理制度”。横空出世的国家核心数据这个新概念大体可以被理解为是最重要的重要数据。

第三，《数安法》下沉了重要数据目录的订立权。即“各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护”。

将突出“国家核心数据”与下沉重要数据目录的订立权相对照加以理解，从逻辑上讲这样的安排显得合理，突出对“国家核心数据”这类高风险标的的安全管理应该令关注度和资源投入靶向性更强，重要数据目录的订立权下放似乎也更能贴近地方与行业，更接地气。然而，下沉重要数据目录的订立权是否会出现新的“九龙治水”的情况？这里，新的“九龙治水”是相对于《网安法》成立时设立国家网信办行使综合协调的功能，其目的是为了改变此前网络安全管理“九龙治水”的状况。下沉订立权是否如何解决各地和各部门衡量重要数据的理解容易有出入，界定的尺度会严宽不一的情况？

对“重要数据“这个概念迟迟不见明确的定义，也意味着如何定义以及列举重要数据是立法的难点，属于啃硬骨头般的课题。环顾世界，重要数据这个概念乃中国开风气之先河，在国际上并没有什么先例可参考。建立一个高屋建瓴的法律概念需要有具体而扎实的规范条款来做逻辑支撑。2017年发布的《信息安全技术 数据出境安全评估指南》（征求意见稿）罗列了对27个行业领域的重要数据的分类识别，但这样的尝试也受到不少批评，该指南至今尚未正式发布。我们仍需拭目以待《数安法》之后，重要数据规范体系的完善与落地实践。

第四，企业数据与重要数据相互间的关系不明确。2019年网信办曾发布《数据安全管理办法》（征求意见稿，以下简称 “《办法》”），其中发出的一个受欢迎的积极信号是《办法》草案提出，重要数据一般不包括企业生产经营和内部管理信息、个人信息等。但是，本次《数安法》出台，其体例和结构很大程度上并没有沿用《办法》的结构，而是另起炉灶，另建框架；通篇也没有提到企业数据的性质及其可流动性。

第五，对重要数据管理的措施和手段更趋严格，包括重要数据的处理者应当任命数据安全负责人，并对数据处理活动定期评估。

第六，  国家对可能影响国家安全的数据处理活动建立数据安全审查制度。

三、企业为降低风险可能选择自行设限，作数据内循环

企业运营对法律规范的基本期待在于确定性。法律要求，包括实体内容要求和程序步骤要求，以明确清晰为宜；明确清晰的法律要求才可以被转化为企业的合规成本估算。而模糊不确定的法律要求不易被估算合规成本，会让企业头疼。面对前方路线不清楚的状况，希望降低风险的企业往往会采取改道行驶的做法。

数据跨境流动是跨国企业全球运营的需要。当存在数据分类尤其是流动受限的相关类别宽泛、识别标准不清晰或者评估、审查程序冗长情形时，偏好确定性的企业会在外部环境不确定的情况下自行最大化确定性，例如选择数据不流动或者将数据流动性大大降低，这样做也是为了降低法律风险。

微软不久前宣布在欧洲推行数据本地化就是企业追求确定性的一个例子。2021年5月，微软宣布其欧洲计划，承诺到2022年时，微软会将所有位于欧盟境内的企业客户和政府部门客户的数据只在欧洲本地作处理和存储、这些数据不会传输到欧盟境外。微软在官方声明中特别提到了推翻欧美间数据传输协议的欧盟法院判决，希望欧盟和美国能够达成新的数据传输协议。显然，在看到欧美新协议明确的曙光之前，微软选择了将欧盟数据做本地化存储的决定以控制风险。尽管从法律要求上来看，目前欧盟仍然允许在满足一系列评估和协议条件的情况下，从欧盟向美国等外国传输欧盟公民数据的，但似乎微软在权衡几种方案和成本之后，并不看好为了数据得以流动而费力地满足这些严格的法律要求，倒不如索性本地化了欧盟数据。

试问，如果在中国运营的跨国企业大量选择在中国本地存储数据，不与全球其它数据集聚已综合利用，会影响降低了对中国的投资兴趣吗？这样的结果是立法的初衷或者预期吗？随着中国本土企业的发展壮大，跨国企业已经不再是外国公司的专有名词，而是包括了大量有能力和实力走出去投资的中资企业。国家下一步具体的数据立法须评估其将法律规范对企业将产生的实际影响，令措施与目的相称，避免用力过猛。

四、结语

数据的价值源自对数据的挖掘和利用。与传统的资源和要素如土地或能源相比，数据有其特殊属性，如数据量在源源不断地产生；数据可以快速在网络空间流动；数据的综合利用价值高于其分散后价值，故而应避免数据孤岛效应等。另一方面，数据安全的确是数字时代的重要命题，尤其在当前国际局势扑朔迷离的状况下，确需被审慎对待。如何平衡好数据的安全和发展利用，是对眼界和智慧的考验。数据安全可能难以实现绝对安全。在怎样的程度上接受相对安全，避免用力过猛，误伤无辜，甚至反伤自身，是数据安全立法出台进一步的细则措施前应有的考量。换言之，数据安全治理的立意要高，立场需硬，落地却有必要相对温柔，做到刚柔并济；允许企业数据的普遍可流动，维护数据立法的正当性，有的放矢地治理数据安全，平衡地实现数据安全和发展的整体利益。

-作者介绍-

王音

3M公司助理总法律顾问

作者王音，现为3M公司助理总法律顾问。法务和管理经验丰富练达，善于“大局着眼，细节入手，掌握平衡”。曾任3M大中华区总法律顾问五年，之前在跨国制药企业担任中国区副总裁及总法律顾问八年，并曾在英美律师行工作多年。持有中美法学硕士学位及执业资格，曾作为哈佛大学法学院访问学者。

法嘉·总法嘉谈

作为一名法律人来说，“总法律顾问”意味着时光与经验的沉淀，意味着资历同智慧的兼具！

他们就像是大海中的灯塔，天空中的明星，指引着法律人努力的方向。

其实——他们还实力与文采并存，有一颗笔耕不辍的心！

“总法嘉谈”专栏由此而生。

我们将收集总法律顾问们的笔墨佳作，感受他们字里行间流露出的专业素养和人生智慧。

站在他们的肩膀上，读法律、看人生、观世界。

专栏往期文章：

• 总法嘉谈｜写在六一：《未成年人保护法》新修订案施行，数字时代我们能为孩子做些什么？

• 总法嘉谈｜平衡的艺术

• 总法嘉谈｜外包服务 ≠ 外包责任：谈个人信息委托处理风险控制的流程建设

• 总法嘉谈｜好好说话——公司法律合规部的话术（下）

近期热点活动

近期热点文章

“嘉”人集结——卓越法务与合规精英班开班啦！

郭老师，不！许！下！课！