当今社会，数据已成为一种新型生产要素，数字经济也在国民经济总量中发挥着重要作用。数据安全已被很多国家纳入国家安全范畴，数据主权以及相关的“长臂管辖”规则在国际社会博弈中扮演着重要角色。我国目前已搭建起数据安全领域的法律体系，数据跨境传输（或数据出境）是其中一个重要组成部分。随着疫情的结束，数据跨境传输必然会随着国际经贸活动的恢复而更加活跃、频繁。鉴于此，本文尝试梳理目前我国在法律法规、规范性文件等层面对于数据跨境传输的合规要求，并在此基础上对企业的合规治理提出一些建议。

       一、数据跨境传输及其合规的含义

  在梳理相关规定前，有必要先厘清“数据”、“数据跨境传输”、“数据跨境传输合规”的含义，以便准确理解合规要求，正确履行合规义务。

（一）数据

根据我国《数据安全法》规定，法律规制的“数据”为：“任何以电子或者其他方式对信息的记录”。目前我国数据安全领域的法律并未进一步定义“信息”，我们认为，为最大限度达到合规要求，“信息”宜作广义理解，即一切可传播的内容。

（二）数据跨境传输

根据国家互联网信息办公室《数据出境安全评估申报指南（第一版）》，数据出境行为包括：“数据处理者将在境内运营中收集和产生的数据传输、存储至境外；数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；国家网信办规定的其他数据出境行为。” 

此外，根据《数据安全法》的规定，“数据处理”指“包括数据的收集、存储、使用、加工、传输、提供、公开等” 数据生命周期全流程。由此可见，“数据跨境传输或出境”，应理解为在数据生命周期全流程中的任何主体向境外主体直接提供，或使其获取到在境内产生、存储的数据。而随着技术和社会的迅速进步与发展，立法机构、行业主管部门可能对“数据出境行为”提出新的释义，因此数据处理者应对立法动态保持关注。

（三）数据跨境传输合规

我国数据安全领域的法律尚未对“合规”进行定义，但合规领域中目前最重要的部门文件《中央企业合规管理办法》则明确阐述了“合规”的含义，“本办法所称合规是指企业经营管理行为和员工履职行为符合国家法律法规、监管规定、行业准则和国际条约、规则，以及公司章程、相关规章制度等要求。”如前所述，数据跨境传输中的主体包括数据生命周期全流程中的任何主体，因此，参考《中央企业合规管理办法》中“合规”的定义，我们认为“数据跨境传输合规”应理解为参与数据跨境传输的一切主体在数据出境过程中的行为符合有管辖权的法律法规、监管规定、行业准则和国际条约、规则等要求。需要注意的是，数据跨境传输在很多场景下涉及不止一个国家的合规要求，例如一个A国的公司可能获取到在B国的关联公司的财务、员工资料等，而B国关联公司的员工则可能有权限访问到A国公司的部分资料，因此，A国公司可能需要遵守A、B两国关于数据出境的合规要求。因篇幅所限，本文仅探讨中国对于数据跨境传输的合规要求。

二、我国对数据跨境传输的合规要求

《网络安全法》、《数据安全法》、《个人信息保护法》构成了我国数据安全领域的基本部门法，数据跨境传输的合规要求也以这三部法律为基础，并在陆续颁布的法规、部门规章、配套规范性文件等中得到进一步明确、细化。经过梳理，以下规定为目前我国对数据跨境传输的主要合规要求： 

三、合规建议

根据目前我国对数据跨境传输的合规要求，我们对参与数据出境的企业提出以下建议：

第一，正确“对号入座”。根据上述合规要求，数据处理者首先应根据本行业监管机构制定的认定办法，以及《关键信息基础设施安全保护条例》第三条判断自己是否属于“关键信息基础设施的运营者”。如属于，则应根据《网络安全法》的要求，将在境内运营中收集和产生的个人信息和重要数据存储在境内，如需向境外提供的，应根据《数据出境安全评估办法》、《数据出境安全评估申报指南（第一版）》的规定进行安全评估，在安全评估通过后，方可实施数据出境行为。同时，如数据属于“个人信息”，则还应同时履行《个人信息保护法》中向境外提供个人信息的合规义务。如不属于“关键信息基础设施的运营者”，则应判断在境内运营中收集和产生的数据是否为“重要数据”、“个人信息”。如属于重要数据，则应履行国家网信部门、本行业监管部门等对本行业重要数据出境提出的合规义务。如属于个人信息，则应达到《个人信息保护法》中向境外提供个人信息的合规要求。最后，无论自行判断是否属于“关键信息基础设施的运营者”，数据是否为“重要数据”、“个人信息”，建议数据处理者均关注本行业监管部门对于本行业数据出境的特殊合规要求，尽量按照该要求进行合规治理。

第二，谨慎对待外国司法、执法机构的调查。《数据安全法》、《个人信息保护法》均要求在取得主管部门的批准前，禁止将存储于中国境内的数据提供给外国司法、执法机构。这一规定是国家数据主权的体现，数据处理者应谨慎对待，严格遵守相关程序。需注意的是，此处的数据并未进行分类，泛指一切数据（无论是否为重要数据、个人信息，或其他任何类别）。因此，当企业收到外国机构来函涉及调查、询问企业内部或合作伙伴、客户的任何信息时，首先应判断该机构是否为该国的司法、执法机构，如属于，则应立即联系所在行业主管部门、网信部门汇报相关情况，并根据要求申请批准，仅在获得书面同意后方可按照批准同意的范围提供相关信息。同时在对外提供信息时，应注意符合《个人信息保护法》的相关规定，以及不违反与合作伙伴、客户之间的保密协议。

第三，注意“长臂管辖”。我国数据安全领域的基本法律均具有“长臂管辖”的特点，因此数据处理者应注意其在境外的关联主体、合作对象，是否能符合我国关于数据安全、数据出境的相关合规要求。建议企业根据自身处理数据的情况，以及境外关联主体接触、使用境内数据的情况，在境外关联主体建立数据合规体系时纳入我国的相关要求。另一方面，建议企业关注网信部门将境外组织、个人列入限制或者禁止向其提供个人信息的“黑名单”，以及对外国、地区采取的对等措施，避免向黑名单上的主体，及被采取对等措施的国家和地区提供数据。

第四，持续关注合规要求的发展和变化，参考指导性文件。我国数据合规领域的法律法规仍在继续发展、变化中，在修订现行法律的同时，部门规章、规范性文件、不同层级的标准等也会陆续出台。因此建议企业对数据跨境传输的合规要求保持持续关注，以便及时调整自己的合规体系。同时，建议企业在建立合规体系、自我评估相关风险时务必参考主管部门、其他行政机关、司法机构、行业协会颁布的指导性文件，指南等，以主动、高效、准确地达到合规要求。

参考资料：

[1]《中华人民共和国数据安全法》（2021年）第三条。

[2] 国家互联网信息办公室《数据出境安全评估申报指南（第一版）》（2022年）第一条。

[3] 同前引。

[4] 国务院国有资产监督管理委员会《中央企业合规管理办法》（国务院国有资产监督管理委员会令第42号，2022年）第三条。

[5] 中华人民共和国个人信息保护法》（2021年）第四条第一款规定，“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”

[6] 应注意相关行业是否对“重要数据”识别有相关规定或参考性文件。例如：中国通信标准化协会颁布的行业标准《基础电信企业重要数据识别指南》（标准号YD/T 3867-2021）；通常的定义可参考《数据出境安全评估办法》对“重要数据”的定义：国家互联网信息办公室《数据出境安全评估办法》（国家互联网信息办公室令第11号）第十九条“本办法所称重要数据，是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”。

[7]《网络安全法》第七十五条、《数据安全法》第二条、《个人信息保护法》第三条均涉及对境外主体的法律规制。

[8] 国家互联网信息办公室，关于公开征求《关于修改〈中华人民共和国网络安全法〉的决定（征求意见稿）》意见的通知（2022年9月12日），http://www.cac.gov.cn/2022-09/14/c_1664781649609823.htm，最后访问时间2023年5月9日。国家互联网信息办公室，关于《网络数据安全管理条例（征求意见稿）》公开征求意见的通知（2021年11月14日），http://www.cac.gov.cn/202111/14/c_1638501991577898.htm，最后访问时间2023年5月9日；

[9]中国互联网协会，关于发布《跨境数据流通和交易风险评估技术通则》等6项团体标准立项的公告（2023年2月28日），https://www.isc.org.cn/article/15738698533957632.html，最后访问时间2023年5月9日；全国信息安全标准化技术委员会，关于国家标准《信息安全技术 个人信息跨境传输认证要求》征求意见稿征求意见的通知（2023年3月16日）,https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20230316143506&norm_id=20221102152946&recode_id=50381，最后访问时间2023年5月9日；国家标准计划《信息安全技术 重要数据识别指南》（计划号：20210995-T-469，征求意见中），https://std.samr.gov.cn/gb/search/gbDetailed?id=E116673EC2A3A3B7E05397BE0A0AC6BF， 最后访问日期2023年5月12日。

[10] 如：国家互联网信息办公室《数据出境安全评估申报指南（第一版）》（2022年）及《个人信息出境标准合同办法》（国家互联网信息办公室令第13号）；上海市杨浦区检察院，《企业数据合规指引》（2022年2月7日），https://www.sh.jcy.gov.cn/ypjc/jcdt/79471.jhtml，最后访问时间2023年5月9日；广州市人民政府国有资产监督管理委员会《广州市国资委监管企业数据安全合规管理指南（试行2021年版）》（穗国资法〔2021〕13号）。

特别声明：