王春晖

2024年3月22日,国家互联网信息办公室公布《促进和规范数据跨境流动规定》(以下简称《数据跨境规定》),该规定自公布之日起生效施行。从该规定的名称看,“促进”列在“规范”之前,这意味着我国数据跨境流动机制将对标高标准国际贸易规则,以“促进”数据跨境流动为前提,在“促进”中不断“规范”数据跨境流动。

在重要数据出境方面,《数据跨境规定》与2022年9月1日起施行的《数据出境安全评估办法》(以下简称《评估办法》)相比,前者最大的亮点在于明确了重要数据出境安全评估的申报标准,并提出了未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。同时,明确了免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件、设立自由贸易试验区负面清单等制度。

关于“重要数据”的概念,《评估办法》第十九条定义为“指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”。2024年9月24日,国务院公布《网络数据安全管理条例》(以下简称《管理条例》),进一步完善了“重要数据”的内涵,“指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据”。

从对“重要数据”定义的机理分析,《管理条例》对重要数据的形成要素和形成要素之间的关系进行了更加严谨的表述。首先,从两个层面明确了“重要数据”认定的范围、规模和精度:一是只有在特定领域、特定群体、特定区域的数据才有可能成为“重要数据”;二是应要达到准确性和精确性程度,同时必须具备一定的规模。其次,在危害结果上,《评估办法》采用的是“可能危害”的表述,《管理条例》则强调“可能直接危害”,“直接危害”的影响程度通常会导致立即的、显而易见的危害结果,且“直接危害”通常与某种危害行为或事件相关联。

《数据跨境规定》第二条规定:“数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。”上述规定有两层含义,一是数据处理者应当按照相关规定识别、申报重要数据;二是如果未被相关部门、地区告知或者公开发布为重要数据,不需要作为重要数据申报数据出境安全评估。

《中华人民共和国数据安全法》明确规定,国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。国务院行业主管部门和省级人民政府应依照数据安全法的上述要求,制定并动态公布重要数据目录。

目前,一些地方政府和行业主管部门在公布的数据条例或数据安全管理规定中,均明确要求建立和公布重要数据目录,如《上海市数据条例》就做了相关规定。工信部发布的《工业和信息化领域数据安全管理办法(试行)》明确要求,工业和信息化领域数据处理者应当定期梳理数据,按照相关标准规范识别重要数据和核心数据并形成本单位的具体目录。根据危害程度,该办法明确了下列数据将被认定为本领域的重要数据:一是对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成威胁,影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域;二是对工业和信息化领域发展、生产、运行和经济利益等造成严重影响;三是造成重大数据安全事件或生产安全事故,对公共利益或者个人、组织合法权益造成严重影响,社会负面影响大;四是引发的级联效应明显,影响范围涉及多个行业、区域或者行业内多个企业,或者影响持续时间长,对行业发展、技术进步和产业生态等造成严重影响等。值得借鉴。

笔者建议,各行业主管部门和省级人民政府,应当根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,定期梳理本领域或本区域的数据,按照相关标准规范识别重要数据,并定期或动态公布本领域或本区域的重要数据目录,加快促进和规范重要数据跨境流动机制的构建。

(作者系浙江大学教授、工业和信息化部ICT经济专家委员会委员、中国科协决策咨询首席专家)