（中國信息通訊研究院）

大數(shù)據(jù)時代，數(shù)據(jù)被譽為“21世紀的石油和金礦”。隨著數(shù)據(jù)的基礎(chǔ)性戰(zhàn)略資源地位日益凸顯，數(shù)據(jù)安全對國家安全的影響日益深刻，數(shù)據(jù)逐漸成為各國新一輪國際政治博弈中爭奪的重要資源，數(shù)據(jù)跨境流動和出境安全管理也成為各方關(guān)注的敏感議題。本文選取了歐盟、美國、澳大利亞三個在數(shù)據(jù)出境安全管理方面有著突出特點的國家，分析各自的基本情況和主要特點，結(jié)合國內(nèi)實際，思考我國如何構(gòu)建數(shù)據(jù)出境安全管理體系。

1 典型國家或地區(qū)數(shù)據(jù)出境安全管理基本情況

1.1 歐盟

歐盟長期以來注重個人數(shù)據(jù)的跨境流動管理。從1995年的《數(shù)據(jù)保護指令》（Directive95/46/EC）到今年生效的《一般數(shù)據(jù)保護條例》（GDPR），在第29條工作組持續(xù)努力下，歐盟已經(jīng)逐步建立起一套較為完善的個人信息出境管理體系，為業(yè)務(wù)涉及個人數(shù)據(jù)出境的企業(yè)或機構(gòu)提供了多種合規(guī)渠道和工具。其中包括：

1.1.1 數(shù)據(jù)保護“充分性”認定

歐盟委員會預先對數(shù)據(jù)出境接收國或地區(qū)的數(shù)據(jù)保護水平進行評估，數(shù)據(jù)可不受限制地傳輸至被認定為具有充分數(shù)據(jù)保護水平的國家或地區(qū)。在GDPR中，歐盟可評估的對象類型得到了進一步擴展，一個國家的特定地區(qū)、行業(yè)領(lǐng)域或國際組織也可以成為“充分性”認定的對象。

1.1.2 約束性公司規(guī)則（BCR）

約束性公司規(guī)則適用于跨國公司不同地區(qū)分支機構(gòu)之間的數(shù)據(jù)傳輸，需要規(guī)定數(shù)據(jù)保護原則、數(shù)據(jù)主體的權(quán)利、跨國企業(yè)的責任及爭議解決方式和救濟措施等事項，并獲得企業(yè)分支機構(gòu)所在國數(shù)據(jù)監(jiān)管部門批準方能生效，成為企業(yè)向不具備“充分性”保護水平的國家或地區(qū)傳輸數(shù)據(jù)的法律依據(jù)。

1.1.3 標準合同條款

迄今，歐盟第29條工作組已經(jīng)發(fā)布三個標準合同范文，其中明確數(shù)據(jù)發(fā)送方、接收方的職責和義務(wù)。采納標準合同條款的企業(yè)可將數(shù)據(jù)出境至不具有充分數(shù)據(jù)保護水平的國家或地區(qū)。GDPR增加了成員國數(shù)據(jù)監(jiān)管機構(gòu)制定其他標準合同條款的渠道，以期為企業(yè)提供更多的符合實際需求的合同文本選擇。

此外，基于貿(mào)易發(fā)展的訴求，歐盟也通過簽訂雙邊協(xié)議的方式，為歐盟與特定國家之間的個人數(shù)據(jù)跨境流動開通便利的合法渠道，最著名的即是歐盟與美國之間簽訂的《隱私盾協(xié)議》。

1.2 美國

美國的數(shù)據(jù)管理和數(shù)據(jù)出境安全管理項目的制度主要包括受控非密信息清單（CUI）和商業(yè)出口管制制度。

1.2.1 受控非密信息清單（CUI）

美國按照不同保護程度將政府數(shù)據(jù)資源劃分為保密數(shù)據(jù)、敏感數(shù)據(jù)與公開數(shù)據(jù)三類，并對其分別采取相應(yīng)的管理措施。其中，敏感數(shù)據(jù)介于保密數(shù)據(jù)與公開數(shù)據(jù)之間，不屬于國家秘密，但一旦公開卻有可能造成某種損害或潛在損害，需要限制公開或控制其傳播。美國將該類數(shù)據(jù)定義為“受控非密信息”，即“根據(jù)法律、法規(guī)和政府范圍內(nèi)的政策，需要進行保護和控制傳播的信息”。

為改善美國政府文件規(guī)定的受控非密信息過于分散、行業(yè)自治且無統(tǒng)一要求的現(xiàn)狀，2010年11月4日，奧巴馬總統(tǒng)發(fā)布《受控非密信息》13556號總統(tǒng)令，要求由美國檔案局牽頭，各相關(guān)政府部門協(xié)同參與梳理，統(tǒng)一美國法律、規(guī)定、政府政策規(guī)定的受控非密信息分類及依據(jù)，形成受控非密信息清單（CUI）。同時，13556號總統(tǒng)令設(shè)計了一套統(tǒng)一登記、統(tǒng)一標識等嚴密制度規(guī)范對受控非密信息進行管理。

美國對受控非密信息推行登記備案及標識管理制度，由美國文件和檔案管理局牽頭負責，由實際掌握受控非密信息的政府部門具體執(zhí)行。文件和檔案管理局負責制定發(fā)布受控非密信息識別指南、標識指南、保護方法等文件，建設(shè)受控非密信息登記系統(tǒng)。目前，檔案和文件管理局已發(fā)布7個指南及公告,其中有6個是公開的,1個非公開——受控非密信息標識辦法。實際掌握受控非密信息的政府部門根據(jù)上述文件，識別確定本部門掌握的受控非密信息類型，提交檔案與文件管理局批準，然后在受控非密信息登記系統(tǒng)進行注冊登記。

1.2.2 商業(yè)出口管制制度

美國商業(yè)出口管制主要針對軍民兩用產(chǎn)品和技術(shù)，如核、生化、電子設(shè)備等敏感物項和技術(shù)。在實踐中，美國以《出口管理法》作為基礎(chǔ)立法，在原有商業(yè)出口管制的基本制度基礎(chǔ)上，制定了《出口管理條例》（EAR, Export Administration Regulation），并由商務(wù)部工業(yè)與安全局(BIS)負責執(zhí)行。美國的商業(yè)出口管制主要通過對特定產(chǎn)品和特定對象（包括特定的國家、社團組織、公司、個人）的禁運來進行監(jiān)管，被禁運的產(chǎn)品或?qū)ο笮枰谌〉贸隹谠S可證的情況下才能進行交易，從而控制相關(guān)產(chǎn)品和技術(shù)及其數(shù)據(jù)的出口和出境傳播。

美國商業(yè)出口管制制度已經(jīng)成為美國控制高新技術(shù)數(shù)據(jù)出境的重要手段。在2017年12月美國發(fā)布的《國家安全戰(zhàn)略報告》中，將“美國優(yōu)先”作為美國國家安全的首要出發(fā)點，強調(diào)要保持美國在網(wǎng)絡(luò)空間和數(shù)據(jù)資源上的優(yōu)勢，特別將專利技術(shù)、知識網(wǎng)絡(luò)等數(shù)據(jù)資源列為美國在網(wǎng)絡(luò)信息領(lǐng)域創(chuàng)新基礎(chǔ)的核心保護內(nèi)容。不到一年，在2018年11月19日，美國商務(wù)部工業(yè)和安全局（BIS）公布擬議規(guī)則制定的預先通知，征求對擬議的14項新興技術(shù)出口管制意見，其中包括人工智能和機器學習、生物技術(shù)、機器人技術(shù)、先進計算技術(shù)、量子信息和傳感技術(shù)、數(shù)據(jù)分析技術(shù)等。由此可見，美國未來對高新技術(shù)數(shù)據(jù)出口管制（出境管理）將更為嚴格。

1.3 澳大利亞

澳大利亞的數(shù)據(jù)出境管理涉及政府數(shù)據(jù)及個人健康數(shù)據(jù)。對于政府數(shù)據(jù)，澳大利亞實施數(shù)據(jù)分類和標識化管理。在管理過程中，政府數(shù)據(jù)被分為機密數(shù)據(jù)和非機密數(shù)據(jù)，通過對數(shù)據(jù)添加保護性標識，實現(xiàn)對各類數(shù)據(jù)的恰當保護。

澳大利亞對政府數(shù)據(jù)出境安全管理體現(xiàn)在它的政府采購外包服務(wù)風險評估制度中?！栋拇罄麃啍?shù)據(jù)安全管理指南—ICT 安排（包括云服務(wù)）外包風險管理》制定了一套風險評估流程，為澳大利亞政府非機密數(shù)據(jù)外包服務(wù)中的保密性、完整性和適用性提供了安全風險管理方法；并且對離岸存儲或因采購ICT外包服務(wù)導致的其他數(shù)據(jù)出境情形，特別指出了可能存在的額外風險，以及風險評估過程應(yīng)當著重考慮的因素。①《澳大利亞跨境數(shù)據(jù)流動實踐及啟示》，《信息安全與通信保密》2017年第五期。

2 典型國家數(shù)據(jù)出境安全管理的特點分析

2.1 數(shù)據(jù)出境管理服務(wù)于國家戰(zhàn)略和國家核心利益

綜合分析世界主要國家行為體的數(shù)據(jù)出境管理的思路，像美國、歐盟等制度較為成熟的行為主體，其管理思路和具體措施緊密圍繞本國核心利益，與國家整體戰(zhàn)略高度匹配。美國一直以來采取輸出“信息自由流動”等普世價值的外交策略，憑借信息科技優(yōu)勢和互聯(lián)網(wǎng)巨頭，匯聚全球數(shù)據(jù)資源。同時，利用出口管制手段限制高科技、軍民兩用技術(shù)數(shù)據(jù)出境。歐盟數(shù)據(jù)跨境流動管理“內(nèi)松外緊”,一方面，出臺“數(shù)字單一市場”戰(zhàn)略，促進歐盟內(nèi)部數(shù)據(jù)自由流動；另一方面，通過GDPR逐步完善個人數(shù)據(jù)跨境流動管理體系。

2.2 數(shù)據(jù)出境管理以數(shù)據(jù)分類分級管理為基礎(chǔ)

分析上述典型國家數(shù)據(jù)的出境管理制度可以看出，各國的關(guān)注和管理重點基本聚焦于個人數(shù)據(jù)、政府數(shù)據(jù)以及可能對國家利益和國家安全產(chǎn)生影響的敏感數(shù)據(jù)。同時，在實施數(shù)據(jù)出境管理之前，美國、澳大利亞都選擇首先完成數(shù)據(jù)分類分級這項基本工作。美國建立了受控非密信息清單（CUI），然后再對每個類型的受控非密信息添加標識，確定傳播和共享范圍。澳大利亞對政府數(shù)據(jù)也采取了類似措施，并在數(shù)據(jù)分類基礎(chǔ)上，規(guī)定了機密數(shù)據(jù)禁止出境，非機密數(shù)據(jù)經(jīng)風險評估后出境的基本管理制度。

2.3 體系化構(gòu)建數(shù)據(jù)出境管理模式和監(jiān)管手段

從上述典型國家及其他國家的數(shù)據(jù)出境管理實踐工作來看，單一的數(shù)據(jù)本地化或限制性出境管理模式已經(jīng)不能滿足當下數(shù)字經(jīng)濟全球化對數(shù)字跨境貿(mào)易和數(shù)據(jù)跨境流動的需求，構(gòu)建數(shù)據(jù)禁止出境（數(shù)據(jù)本地化）、限制性出境、自由流動等多種管理模式和監(jiān)管機制相結(jié)合的數(shù)據(jù)出境管理體系成為各國的共同選擇。例如，澳大利亞對政府數(shù)據(jù)出境實施風險評估制度，對個人健康數(shù)據(jù)①《澳大利亞跨境數(shù)據(jù)流動實踐及啟示》，《信息安全與通信保密》2017年第五期《個人控制的電子健康記錄法》（PCEHR）第77 章禁止可識別個人身份的健康數(shù)據(jù)向澳大利亞以外地區(qū)傳輸，但規(guī)定了部分例外事項。則禁止出境。此外，美國綜合運用外商投資審查、商業(yè)出口管制等政府監(jiān)管手段，實現(xiàn)對數(shù)據(jù)線上線下出境管控的舉措，也為數(shù)據(jù)出境安全管理開辟了新思路。

3 對我國數(shù)據(jù)出境管理工作的啟示

3.1 加強數(shù)據(jù)分類分級管理

無論是數(shù)據(jù)安全管理，還是數(shù)據(jù)出境安全管理，數(shù)據(jù)分級分類已經(jīng)成為一項必備的基礎(chǔ)性工作。目前，我國政府數(shù)據(jù)、行業(yè)數(shù)據(jù)、企業(yè)數(shù)據(jù)缺少分類分級管理制度，可能是造成目前重要數(shù)據(jù)識別難、管理難的一個原因。未來，在完成數(shù)據(jù)分類分級工作基礎(chǔ)上，根據(jù)掌握數(shù)據(jù)的主體類型和數(shù)據(jù)使用場景類型，確定重要數(shù)據(jù)判定條件和識別方法，同時加強重要數(shù)據(jù)識別和管理的組織、人員、資金等配套條件，是開展重要數(shù)據(jù)安全管理和出境管理的重要前提之一。

3.2 建立完善數(shù)據(jù)出境安全管理體系

當前，我國數(shù)據(jù)出境安全管理工作需要在國家層面完成頂層設(shè)計，統(tǒng)籌好金融、氣象、地理、醫(yī)療健康等行業(yè)早期開展的數(shù)據(jù)出境管理實踐，以及《網(wǎng)絡(luò)安全法》第三十七條關(guān)于數(shù)據(jù)出境安全評估的制度設(shè)計，首先形成能夠覆蓋線上線下數(shù)據(jù)出境行為、多種管理模式相結(jié)合、對各行業(yè)各領(lǐng)域均有約束力的國家層面的數(shù)據(jù)出境安全管理制度，再由相關(guān)行業(yè)主管部門制定適應(yīng)于本行業(yè)本領(lǐng)域特點的數(shù)據(jù)出境具體規(guī)則和要求。

3.3 充分考慮中國企業(yè)發(fā)展需求

在現(xiàn)行法律框架下，適度增加數(shù)據(jù)出境安全評估的豁免情形和事項。例如，對于個人信息出境的具體場景，特別是在跨境電商和移動支付領(lǐng)域，對用戶主動使用服務(wù)引發(fā)的個人信息出境情形，若出境數(shù)據(jù)是提供服務(wù)所必需的數(shù)據(jù)，且已取得用戶同意，可視為數(shù)據(jù)出境活動符合合法、正當、必要原則，可被列為出境評估豁免情形，以此減輕企業(yè)合規(guī)負擔，助力企業(yè)走出國門。