《网络安全法教程》 8+第八章 数据本地化与数据跨境流动

Focus|聚焦中国电信业CHINA TELECOMMUNICATIONS TRADE32趋势展望我国数据跨境流动管理实践概况近年来，我国高度重视数据跨境安全有序流动，持续建立健全数据跨境流动监管法律制度，基本形成了“3+3”的管理体系。

与此同时，国家有关部门稳步推进数据出境安全评估等监管工作，部分地区积极探索数据出境试点。

但整体来看，我国数据跨境流动管理制度仍面临预期性不强、稳定性不够、衔接性不畅等挑战，需要进一步完善。

顶层设计基本建成我国已基本形成“3+3”的数据跨境流动管理法律制度体系。

《网络安全法》《数据安全法》《个人信息保护法》三部顶层立法确立了我国数据跨境流动的基本原则和主要路径。

《 数据出境安全评估办法》《个人信息出境标准合同办法》《个人信息保护认证实施规则》三部配套规定则进一步明确了不同数据出境路径的适用情况与具体要求。

我国确立了数据出境的三种主要管理方式。

一是安全评估。

三部顶层立法及配套规我国数据跨境流动管理的现状、挑战及建议为促进数据跨境安全、有序流动，我国基本形成了以《网络安全法》《数据安全法》《个人信息保护法》为顶层设计，以《数据出境安全评估办法》《个人信息出境标准合同办法》《个人信息保护认证实施规则》为具体配套的数据跨境流动管理法律制度体系。

据此，我国已经通过了部分企业的数据出境安全评估，明确了具体的备案流程。

然而，管理实践中仍然存在预期性不强、稳定性不够、衔接性不畅等问题。

下一步，建议我国坚持安全和发展并重的基本原则，落实法律相关要求，释放数据要素价值，实现数据跨境安全、自由流动，助力数字经济发展。

■刘耀华 安婧 ︱ 文December ｜ 12 2023 27633中国电信业CHINA TELECOMMUNICATIONS TRADE 则共同确立了“重要数据/一定数量个人信息”的数据出境应当满足安全评估的基本要求。

同时，《数据出境安全评估办法》进一步细化了安全评估的具体适用范围和相关程序，需要进行安全评估的共涉及四种情形：1.数据处理者向境外提供重要数据；2.关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；3.自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；4.国家网信部门规定的其他需要申报数据出境安全评估的情形。

第一部分 ;判断题1. 《中华人民共和国网络安全法》明确提出了数据主权的问 错误 题。

A. 正确 B. 错误 您的答案:A 答案分析: 无 正确答案:B×2. “棱镜门”事件之后，网络数据开放逐年深化，针对跨境 正确 流动等的国际合作不断推进。

A. 正确 B. 错误 您的答案:B 答案分析: 无 正确答案:B√3. 在微软诉美国政府案中，美国联邦第二巡回上诉法院的裁 正确 决认为，FBI 的搜查令不具域外效力。

A. 正确 B. 错误 您的答案:A 答案分析: 无 正确答案:A√4. 随着网络数据价值的不断增加，针对网络数据的安全威胁 也与日俱增，给数据安全保障带来了严峻的挑战，使很多国家 正确 逐渐从“应用安全”转向“数据安全”，对网络数据的使用也 从“注重开放”转向“强调保护”。

A. 正确 B. 错误 您的答案:A 答案分析: 无 正确答案:A√5. 《欧盟网络与信息系统安全指令》是欧盟层面的首部网络 正确 与信息安全法。

A. 正确 B. 错误 您的答案:A 答案分析:第二部分 ;单选题√正确答案:A 无1. 2015 年 7 月 22 日，第七十届联合国大会（ ）提出， 国家主权和源自主权的国际规范和原则适用于一国进行的信息 通信技术活动，以及国家在其领土内对信息通信技术基础设施 的管辖权。

A. 《关于各国依联合国宪章建立友好关系及合作 的国际法原则宣言》 B. 《关于建立新的国际经济秩序宣言》 C. 《关于从国际安全的角度看信息和电信领域的 发展政府专家组的报告》 D. 《关于加强联合国同各区域和次区域组织合作 的政治宣言》 您的答案:C 答案分析: 无 正确答案:C正确 √2. 《征信业管理条例》规定，征信机构在中国境内采集的信 正确 息的整理、保存和加工，（ ）。

A. 应当在中国境内进行 B. 可以在中国境内或境外进行 C. 无论在中国境内或境外，都必须由中国的技术 人员来进行 D. 应当在中国境外进行 您的答案:A 答案分析: 无 正确答案:A√3. 《中华人民共和国网络安全法》规定，关键信息基础设施 的运营者在中华人民共和国境内运营中收集和产生的（ ） 正确 应当在境内存储。

网络安全法对网络数据跨境流动的法律规制在当今数字化时代，网络数据的跨境流动日益频繁，其规模和速度不断增长。

网络数据跨境流动在促进经济全球化、推动科技创新、便利国际贸易等方面发挥着重要作用，但同时也带来了一系列严峻的安全挑战。

在此背景下，我国的《网络安全法》应运而生，为网络数据跨境流动提供了重要的法律规制。

网络数据跨境流动的重要性不言而喻。

随着信息技术的飞速发展，全球经济一体化进程加速，跨国企业的业务遍布世界各地。

企业在运营过程中产生的大量用户数据、商业机密等需要在不同国家和地区之间传输和共享，以实现资源优化配置和协同工作。

此外，科研机构的国际合作、跨境电子商务的兴起等也都依赖于网络数据的跨境流动。

然而，网络数据跨境流动并非毫无风险。

网络数据跨境流动可能导致个人隐私泄露。

个人的身份信息、消费习惯、健康状况等敏感数据在跨境传输过程中，如果缺乏有效的保护措施，很容易被不法分子获取和滥用，从而给个人带来财产损失、名誉损害甚至人身安全威胁。

网络数据跨境流动还可能威胁国家安全。

涉及国家重要基础设施、关键技术、国防军事等方面的网络数据，如果被他国非法获取和利用，将严重损害国家的主权、安全和发展利益。

此外，网络数据跨境流动也可能对产业竞争造成不利影响。

一些国家可能通过不正当手段获取他国企业的核心数据，从而在国际市场上获得竞争优势，破坏公平竞争的市场环境。

为了应对网络数据跨境流动带来的风险和挑战，我国《网络安全法》确立了一系列重要的法律规制原则和制度。

《网络安全法》明确了网络数据跨境流动的基本原则，即必须以保障国家安全、公共利益和个人合法权益为前提。

这一原则为网络数据跨境流动的法律规制奠定了基础，确保了数据流动在合法、安全的轨道上进行。

法律规定了关键信息基础设施运营者在网络数据跨境流动中的特殊义务。

关键信息基础设施运营者收集和产生的个人信息和重要数据应当在境内存储。

因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。

网络安全法中的跨境数据流动问题在当今数字化的时代，数据已成为一种极其重要的资产，跨境数据流动也变得日益频繁。

然而，这一现象也带来了诸多网络安全方面的挑战，我国的《网络安全法》对此进行了相应的规范和约束。

跨境数据流动，简单来说，就是数据跨越国界的传输和处理。

随着全球化的推进和信息技术的飞速发展，企业的业务拓展、国际合作等活动都离不开跨境数据的流动。

例如，跨国公司可能需要将在不同国家收集的客户数据汇总到总部进行分析，以制定全球营销策略；科研机构可能需要与国际同行共享研究数据，推动学术进步。

但与此同时，跨境数据流动也可能引发一系列问题。

数据主权和国家安全是其中最为关键的问题之一。

某些重要的数据，如涉及国家机密、国防安全、关键基础设施等的信息，如果不加限制地跨境流动，可能会被其他国家获取，从而对本国的安全造成威胁。

个人隐私保护也是跨境数据流动中不可忽视的一点。

当个人数据被传输到其他国家时，由于不同国家的法律和监管环境存在差异，个人隐私可能无法得到同等程度的保护。

比如，一些国家对个人数据的收集、使用和存储规定较为宽松，可能导致个人数据被滥用。

此外，跨境数据流动还可能对国内产业造成冲击。

如果大量有价值的数据流向国外，可能会削弱本国企业的竞争力，影响国内数字经济的发展。

我国的《网络安全法》对跨境数据流动提出了明确的要求和规范。

其中，强调了关键信息基础设施运营者在境内收集和产生的个人信息和重要数据应当在境内存储。

因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。

这一规定的背后有着深刻的考量。

首先，境内存储可以在很大程度上保障数据的可控性和安全性。

一旦数据存储在境内，我国的执法机关和监管部门能够更有效地进行监管和执法，及时应对可能出现的安全威胁。

其次，进行安全评估有助于确保跨境数据流动的合法性、正当性和必要性，防止数据的无序和过度流动。

然而，在实际操作中，《网络安全法》关于跨境数据流动的规定也面临着一些挑战。

【经管新视野】社会科学家SOCIAL SCIENTIST 20２３年１２月（第１２期，总第３２０期）Ｄｅｃ.,20２３（No.１２,Ｇeneral No.３２０）收稿日期：２０２３－０９－２８基金项目：广西重点研发计划“大数据环境下ＮＬＰ语义分析技术在公安接处警工作中的研究与应用”（项目编号：桂科ＡＢ２２０３５０３４）；广西教育科学“十四五”规划学术期刊建设研究专项重点课题“期刊论文作品信息网络传播权权益平衡机制之研究”（项目编号：２０２２ＱＫＡ０１１）作者简介：梁燕妮（１９８０－），女，广西玉林人，法学博士，广西警察学院副教授，研究方向为法学理论、网络法学。

企业数据合规治理：从个人数据保护到跨境数据流动梁燕妮（广西警察学院，广西南宁５３００２８）摘要：数字经济时代，数据逐渐成为世界社会经济发展的一种核心资源，各国对数据治理规则的博弈日益激烈，我国企业面临着个人数据保护、重要数据安全以及跨境数据流动的安全与利用等诸多挑战。

这些挑战不仅会影响企业的运营，还可能涉及法律责任和声誉风险。

我国企业应承担起相应的社会责任，积极开展数据合规工作。

企业数据合规的主要风险点包括数据来源合法性、数据安全管理以及跨境流动中多规则框架下的运行风险。

企业的应对方案应着眼于改善数据治理，构建一整套完善的现代化数据合规体系。

通过加强内部管理、规范合规组织架构；合理划分合规区域，及时调整数据布局；扩展外部交流机制，建立合规信息联盟等措施，以实现数据合规的目标，防范法律风险，确保企业稳定运营，促进数字经济的发展和国家治理现代化。

关键词：数据保护；数据安全；跨境数据流动；数据合规风险；数据合规体系中图分类号：Ｄ９２２．１；Ｆ４９文献标识码：Ａ文章编号：１００２－３２４０（２０２３）１２－００８１－0５ 中共中央、国务院于２０２２年１２月发布了《关于构建数据基础制度更好发挥数据要素作用的意见》（简称《数据二十条》）。

该意见指出，数据基础制度建设事关国家发展和安全大局，我们必须深入贯彻党的二十大精神，促进数据合规高效流通使用，加强企业数据合规体系建设和监管等。

网络安全政策对跨境数据流的监管随着全球化和信息化的加速发展，跨境数据流成为了经济和社会活动中不可或缺的一部分。

然而，跨境数据流中的信息安全问题日益严峻，为了保护个人隐私和国家安全，各国普遍制定了网络安全政策，并对跨境数据流进行监管。

本文将从不同国家的角度出发，探讨网络安全政策对跨境数据流的监管。

一、中国的网络安全政策与跨境数据流监管中国是世界上最大的网络市场之一，拥有众多互联网用户和海量的网络数据。

为了维护国家的信息安全，中国制定了一系列网络安全政策。

其中，对于跨境数据流的监管主要体现在《中华人民共和国网络安全法》以及相关政策法规中。

根据《网络安全法》，个人信息和重要数据必须在中国境内存储和处理。

同时，外国企业在中国境内提供网络产品或者服务，需要接受安全评估。

此外，中国政府还加强了对网络运营商和互联网企业的监管，要求其遵守相关法律法规，并配合相关部门的安全检查和调查。

二、美国的网络安全政策与跨境数据流监管美国在网络安全领域具有领先地位，其监管措施主要体现在《美国网络安全法》和相关行政法规中。

根据美国的政策，对于跨境数据流的监管主要包括网络安全审查、信息共享和合作、网络威胁情报共享等方面。

美国政府通过制定法律和监管机构的设立，加强对网络运营商和互联网企业的监管和管理，确保数据流安全和保护个人隐私。

此外，美国政府积极推动各国间的合作，签署相关国际协定，共同应对全球网络安全威胁。

三、欧盟的网络安全政策与跨境数据流监管欧盟成员国制定了一系列网络安全政策和条例，旨在保护网络安全和个人数据隐私。

其中，对跨境数据流的监管主要体现在《通用数据保护条例》（GDPR）中。

根据GDPR，个人数据的转移必须遵守欧洲经济区国家的数据保护法规。

欧盟还设立了网络安全机构，负责监督和指导成员国的网络安全工作，并提供网络安全的指导和培训。

四、全球网络安全政策合作与挑战各国之间的网络安全政策存在一定的合作与互动。

例如，中国和美国在网络安全领域进行了多轮的对话和合作，共同应对网络安全威胁。