我国“十四五规划”对数据跨境进行了提纲挈领的指示，即要“加快建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范”“加强数据安全评估，推动数据跨境安全有序流动”。2021年6月与8月，《数据安全法》与《个人信息保护法》先后颁布，其中针对总体数据及个人信息跨境都有专门规定。《数据安全法》尤其强调了“促进数据跨境安全、自由流动”。

从相关实践看，2020年8月，美国政府以TikTok和Wechat软件涉嫌将美国用户个人信息传输给中国政府并可能损害美国国家安全为由对其在美国的经营采取禁止性措施。而更早之前美国自身的“棱镜门”事件其实更清晰表明美国侵入他国网络系统，非法调取他国境内数据，真实提出了数据跨境对国家安全造成的威胁问题。而在国内，“滴滴出行”（以下简称“滴滴”）数据安全事件则进一步引发高度关注。2021年7月，网络安全审查办公室发布公告称，为防范国家数据安全风险，对滴滴实施网络安全审查，审查期间滴滴停止新用户注册。[1]其后，在涉及滴滴赴美上市的国家安全审查事件后不久，中央办公厅、国务院办公厅联合印发《关于依法从严打击证券违法活动的意见》，其中明确提出“完善数据安全、跨境数据流动”相关法规，加强跨境信息提供机制与流程规范管理。

无论个人信息还是其他数据，都与国家安全、公共利益乃至个体权益息息相关，其中“人格维度和安全维度的数据权利是‘绝对排除式’的”。[2]无论从国家安全还是个人权利来看，数据跨境安全的重要性都不容忽视。

在《数据安全法》第三章“数据安全制度”中，开宗明义地强调“国家建立数据分类分级保护制度”，可见“分类分级”是各种数据安全的重要基础，数据跨境安全也不例外。事实上，2016年通过的《网络安全法》就初步提出了数据治理的分类要求，该法在规范数据时将其划分为个人信息、重要数据和其他数据。但《网络安全法》所调整的场景主要聚焦互联网领域，数据仅是网络安全的一部分，该法对数据分级分类制度的具体落实更是语焉不详。此后通过的《数据安全法》聚焦“数据”问题，故其对分类分级制度的确立具有重要意义。然而，对重要数据与个人信息保护及处理活动监管的关系仍存在模糊之处。

在该背景下，考虑《数据安全法》与《个人信息保护法》的最新通过与重大影响，关于数据跨境的规制问题仍未完全明晰，而个人信息、重要数据及其他数据彼此关系如何，其跨境监管体系如何协调，如何实现数据跨境自由与安全保障间的平衡，一系列新问题仍有待明确。

我国2015年颁布的《国家安全法》已明确提及“数据的安全可控”。直至2021年《数据安全法》，我国为数据安全专门立法，并在第三章开篇便明确建立数据分类分级保护制度。可以说，我国的数据法律制度始终与国家安全密切关联，而“分级分类制度”已正式确立为数据安全监管的基础性制度。

（一）分类分级制度的立法框架与基本特性

1.数据分类分级制度的基础性立法框架

《数据安全法》可说在我国首次于法律层面正式确立了数据的分类分级制度。该法第三章为“数据安全制度”，其中第21条明确规定：国家建立“数据分类分级保护制度”，根据数据“在经济社会发展中的重要程度”，以及若遭“篡改、破坏、泄露或非法获取、利用”时对国家安全、公共利益或个人、组织合法权益的危害程度，实行“分类分级保护”。

该规定的一大进展在于从国家立法层面建立了数据分类分级保护的制度基础，在源头上不再将规制权限完全交由地方、部门或行业去完全自主、分散地制定规则。在该统一制度框架下，再由各地区、各部门基于重要数据目录等基础，分别制定具体管理制度。

有学者将《数据安全法》之前的数据管理实践总结为“自下而上”的路径，并认为这种路径对面对众多组织的监管部门来说不具备互操作性，从而不足以支撑国家监管。[3]而《数据安全法》建立的基础性立法框架，正可谓重塑了“自上而下”的路径，通过建立统一制度性基础，避免了将分类分级权限直接下放到职能、级别不一的各部门，从而使得未来在规制方式上有可能去对分类分级依据、基本实施方式等方面提供权威、统一的规范框架，进而约束进一步的下位规章制定。

2.数据分类分级制度的性质与划分标准

尽管《数据安全法》第21条使用了“保护”一词，但结合该条所处第三章（数据安全制度）的性质尤其是该法主要聚焦数据安全监管这一点可见，该条所指的“保护”实质上并非私法意义上的权利保护，即赋予个体对数据客体使用或处分、收益的权能及被侵害时获得侵权救济的保护方式，而应是指国家对重要数据在避免对国家安全、相关利益被危害的意义上的综合保护，带有明显主动干预的公法色彩，从而更多仍属监管、管理的公权力规制性质。事实上，第21条第2款针对“国家核心数据”也明确规定了“更严格的管理制度”，表明整套制度仍以监管规制为本质。

从分类分级的标准看，第21条乃至整部《数据安全法》主要是建立了分类分级制度的框架与基础，但对进一步的分类分级具体标准仍未明确，而留给相关配套法规。

进一步看，整个数据分类分级制度的前提或者说顶层标准应结合以《网络安全法》及《数据安全法》为基础的法律体系综合分析，首先应体现为两大根本类型，即个人信息数据与其他（重要）数据。

根据《网络安全法》第66条及第37条的规定，“网络数据”包含“个人信息”与“重要数据”，《数据安全法》第38条与第53条也明确将个人信息列为数据的一部分。可见，个人信息属于数据的一类，而重要数据主要应是个人信息以外的非个人数据。其中，个人信息的界定在《网络安全法》中早有规定，且独立于《民法典》中的相关概念，属于前述对数据的公法规制性质下的概念；而重要数据的界定则仍处于初步阶段。国家互联网信息办公室（以下简称“网信办”）在最新颁布的《数据出境安全评估办法》对“重要数据”首次做出了权威界定，即“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。”无论如何，重要数据本身作为与个人信息并列的另一大类数据已可确认。

在上述顶层标准的前提下考察具体标准，则个人信息与重要数据两大类数据[4]之下各自都应有进一步细分，且对应不同特征的具体划分标准及其相应制度。例如，根据《个人信息保护法》，个人信息可进一步区分出敏感个人信息、未成年人个人信息等对应特殊规则的子类型。而对重要数据等非个人数据，《数据安全法》第21条则规定建立重点保护的“重要数据”目录，并特别界定了更严格保护的“国家核心数据”，从而初步形成核心数据、重要数据与一般非个人数据的子类型。

从数据处理者的角度，相关立法都对个人信息与重要数据进行了另一维度上的区分，以是否由关键信息基础设施运营为标准区分对待。例如《数据安全法》第31条对“关键信息基础设施运营者”收集和产生的重要数据规定了特殊措施，从而与“其他数据处理者”收集和产生的重要数据有所区别。而《个人信息保护法》则在第40条也作了类似规定。

在逐层分类的基础上，重要数据还需进一步分级管理。《数据安全法》第21条将“分类分级”制度作为一个整体进行规定，却并未明确分类分级的具体标准或方式，但可以较为明确的是，分级应是在分类的基础上针对相关具体数据类型而进一步进行的。有学者对此指出：“从顺序上看，数据先分类再分级。”[5]其中，由于个人信息的特殊性，其虽属《数据安全法》涵盖范围，但更多需适用针对该类数据的专门立法，而《个人信息保护法》对分级采取了特殊态度：该法从草案二审稿开始直至正式通过版都删除了一审稿中“分级分类管理”中的“分级”一词，从而体现出对个人信息仅基于分类而不再逐层分级管理的动向。

另一方面，无论是分类还是分级，即使在最新的《数据安全法》《个人信息保护法》中都还仅有框架性规定，前述顶层划分标准都尚需根据法条间关系推理得出，而更具体的统一性标准则尚未清晰成型。

（二）实施方式：统一框架下各行业、领域的分地区、分部门监管

如前所述，分类分级制度目前仅为原则性框架，其具体标准、制定程序尚未完全成型。当然，《数据安全法》对进一步具体标准的形成与实施机制也提供了总体制度基础。根据该法第一章“总则”第6条，各地区、各部门对其工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。国家网信部门则负责统筹协调相关监管工作。该法第三章“数据安全制度”则在前述第21条明确分类分级制度的基础上，一方面规定由“国家数据安全工作协调机制”统筹协调有关部门制定重要数据目录，另一方面要求各地区、各部门确定其地区、部门及相关行业、领域的重要数据具体目录。在此基础上，第三章规定了一系列配套机制，包括数据安全风险评估、报告、信息共享、监测预警机制、数据安全应急处置机制、数据国家安全审查制度、出口管制、对等措施等监管机制。

在该背景下，目前可初步明确的是：分类分级制度将在前述国家工作协调机制划定的统一框架下，由各地区、各部门基于其涉及的行业、领域而具体实施（个人信息作为特殊领域，根据其专门立法可能不涉及分级管理），其中涉及重要数据的具体实施方式主要是基于各地区、各部门制订的重要数据目录，并相应配以进一步颁布的安全风险评估、报告、国家安全审查等规则进行。

这种分地区、分部门对行业、领域进行分类分级监管的实施方式有以下特点：其一，体现地域、行业差异化。该监管方式意味着其认同数据产生及其价值依赖于所在地域与领域，同样性质的数据，可能因地域或行业的差异而面临监管方式、强度差异化的不同措施。其二，公安、国安部门并非数据的常态监管部门，但起到重要兜底性保障作用，保障关系到重大国家安全问题的数据处理事件，因此《数据安全法》第6条在规定各地区、部门的监管职责之外，另用专款规定公安、国安“依照本法和有关法律、行政法规的规定”的监管方式。

尤需强调，对于前述基于重要数据目录的分类分级监管，各地区、各部门各自的目录及相应措施制定程序、彼此间关系如何、怎样协调，仍尚不明朗。目前，已有一些部门针对其所涉行业、领域制订了分类分级标准或针对特定分类数据的监管规范。例如，在金融领域，中国人民银行于2020年发布《金融数据安全——数据安全分级指南》，2020年9月，中国银保监会发布《中国银保监会监管数据安全管理办法（试行）》，中国证券监督管理委员会于2018年发布《证券期货业数据分类分级指引》；在工业领域，工业和信息化部（以下简称“工信部”）于2020年发布《工业数据分类分级指南（试行）》，网信办、工信部等五部门于2021年发布《汽车数据安全管理若干规定（试行）》；在医疗领域，国家卫生健康委员会于2018年发布《国家健康医疗大数据标准、安全和服务管理办法（试行）》，国家市场监督管理总局与国家标准化管理委员会于2020年发布《信息安全技术——健康医疗数据安全指南》；在科研管理领域，国务院办公厅于2018年发布《科学数据管理办法》。此外，一些地方政府也在地方立法层面颁布了相关分类分级标准或规范，如深圳市人大常委会于2021年颁布的《深圳经济特区数据条例》，浙江省市场监督管理局于2021年发布的《数字化改革——公共数据分类分级指南》，浙江省人大于2021年审议中的《浙江省公共数据条例（草案）》，山东省人大常委会于2021年通过的《山东省大数据发展促进条例》。

从上述已有标准或规范看，其通过各部门颁布并针对各行业领域而各自适用的特征本身体现了“分类”的实施方式，而“分级”作为更进一步划分的具体标准与方式仍较为模糊。结合数据安全监管的基本原理，“分级”应是根据数据本身对于安全而言的敏感性、重要性而进行。《数据安全法》并未给出数据分级的参考标准，而上述已有标准规范中，仅有部分已对分级依据与方式作出规定。例如《金融数据安全——数据安全分级指南》将金融数据分级的定级要素分为影响对象与影响程度两种（见表1），基于此将安全等级从低到高分为5级。《证券期货业数据分类分级指引》将定级要素分为影响对象、影响范围与影响程度三种，基于此将安全等级从低到高分为5级。而《工业数据分类分级指南（试行）》则基于对工业生产、经济效益等带来的潜在影响，将工业数据按安全风险从低到高分为3个级别。

表1 金融数据安全定级规则参考表（部分）[6]

（一）数据基础立法及其保障制度中的数据跨境监管规范

1.总体数据与个人信息立法中的各自规范

在《数据安全法》中，数据跨境具有全局性地位。该法第11条作为“总则”条款即对数据跨境进行了原则性规定，强调“国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作”，“促进数据跨境安全、自由流动”。

进一步看，《数据安全法》基本的分类分级条款中并未特别提及数据跨境，尤其是该法在界定其规范的“数据处理”行为时，规定了“传输、提供、公开”行为，却并未专门提及跨境、出境等限定。结合该法对“跨境”总体规定的条款上下文，显然其规范的数据行为也覆盖到跨境提供，其建立的基于分类分级的数据安全监管制度也涵盖数据跨境。只是该法对数据跨境的监管措施尚无完整详尽的体系，目前仅体现为建立框架和对特定特殊数据的少量专门规定。根据该法第31条，对具有特殊意义的数据，即关键信息基础设施运营者在我国境内收集和产生的重要数据，其出境安全管理适用《网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。由此，关键信息基础设施数据纳入了《网络安全法》第37条关于本地化存储的特殊规定，即原则上应在境内存储，如确需向境外提供则应按相关办法进行安全评估。《数据安全法》第46条对违反上述特殊数据出境规定的法律责任进行了规定，即由有关主管部门责令改正、给予警告、罚款、责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等处罚。另外，该法第25条还规定了国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据实施出口管制，从而将该类数据对接到《出口管制法》。

另一方面，对另一大类高度特殊数据即个人信息的跨境问题，也已形成了明确法律制度。《个人信息保护法》第三章对个人信息跨境提供的一般规则进行了专章规定。其中，第38条明确了个人信息处理者向境外提供时必须满足几种条件之一：一是按程序通过安全评估；二是经专业机构进行个人信息保护认证；三是按主管部门制定的标准合同与境外接收方订立合同；四是法律法规或国家网信部门规定的其他条件。该条还明确要求，个人信息处理者应当采取必要措施，保障境外接收方的处理活动达到本法规定的保护标准。第39条进一步规定，个人信息处理者向境外提供个人信息时，应当对个人信息主体履行告知义务并取得其单独同意。第40条则针对关键信息基础设施运营者和具有同等重要地位的信息处理者这两类特殊主体规定了特殊规则，比照《网络安全法》与《数据安全法》对关键信息基础设施运营者所处理数据的规范方式，即此类特殊主体收集和产生的数据原则上应境内存储，如确需向境外提供则应经过安全评估。

此外，《个人信息保护法》还对个人信息跨境的一些特殊情形作了规定。第36条针对国家机关处理的个人信息特别规定，此类信息应在我国境内存储；确需向境外提供的，应进行安全评估。第55条要求，在涉及个人信息跨境提供时，信息处理者应事前进行影响评估，并对处理情况进行记录。

2.配套保障制度中的相关规范

与前述基础立法相配套，以网信办为代表的相关主管部门已制定或正制定一系列围绕其保障机制的法规、规范，主要涉及国家安全审查、出境安全评估等方面。

首先，数据出境需受国家安全审查制度的兜底性监管。《数据安全法》第24条规定了数据安全审查机制，从而将《网络安全法》中针对网络产品和服务的国家安全审查机制专门性地适用到数据安全场景。与此相关，原制定于2020年的《网络安全审查办法》在仅仅一年后即公布了“修订草案征求意见稿”，而修订关键正是与数据有关的安全审查，且聚焦点之一正是数据跨境。2021年《网络安全审查办法》（修订稿）的两处重要修订均与数据跨境密切关联：其一，在《网络安全审查办法》第10条规定的依申报之网络安全审查评估对象中，以及第16条规定的主管部门依职权启动之审查对象中，都特地新增了“数据处理活动以及国外上市”的相关风险。其二，在第10条规定的网络安全审查评估考虑因素中特别新增“核心数据、重要数据或大量个人信息”被“非法利用或出境”的风险，以及“国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险”。与此配套，第6条还规定掌握超过100万用户个人信息的运营者赴国外上市，必须主动申报安全审查。

其次，数据出境的管理与安全评估制度。网信办于2017年发布的《个人信息和重要数据出境安全评估办法（征求意见稿）》中对最基础的两大类数据出境的安全评估作了细化规定：其一，明确规定了数据出境、个人信息与重要数据各自的概念，尤其是根据《网络安全法》的规定，将重要数据与个人信息进行了区分界定；其二，规定网络运营者在我国境内收集和产生的所有数据原则上都应境内存储，若确需向境外提供则应进行自主的或由主管部门进行的安全评估；其三，规定了个人信息与重要数据出境安全评估中共同考量的因素、强制报请主管部门评估的情形、不得出境的情形以及涉及个人信息时对信息主体知情同意等利益的保护规则。

网信办于2019年又发布了《个人信息出境安全评估办法（征求意见稿）》，其规范事项与前述《个人信息和重要数据出境安全评估办法（征求意见稿）》存在实质性重合，并对个人信息出境安全评估的考量因素作了全新规定，尤其是对以下方面作了重大修改：其一，将所有个人信息出境均纳入强制申报评估，取消了《个人信息和重要数据出境安全评估办法（征求意见稿）》中自行组织评估的可能性（即便仅作为监管部门评估前置程序的可能性），构建了从省级到国家网信部门的评估机制；其二，强化了运营者与境外接收者签订的合同在评估中的作用，并对此类合同应有的基本内容作出强制要求，由此，合同是否能充分保护信息主体权益成为评估的重要考量因素；其三，增加了运营者保存个人信息出境记录、制订安全风险及安全保障措施分析报告等方面的义务。

而2019年5月国家网信办发布的《数据安全管理办法（征求意见稿）》一方面没有放松个人信息出境的审批，另一方面在第28条又增加了审批流程的规定，即向境外提供重要数据前，应报经行业主管监管部门同意，行业主管监管部门不明确的，应经省级网信部门批准。

然而，其后2021年11月颁布的《网络数据安全管理条例（征求意见稿）》不仅对出境申报的个人信息重新进行了分类规定，不要求任何个人信息出境都必须申报，同时在审批部门上又取消了上述行业主管部门同意的要求，但仍然维持监管机关评估审批的模式。

就在最近，网信办于2022年7月7日正式颁布《数据出境安全评估办法》，这部将于2022年9月1日生效的新规定，再次将出境评估制度统一适用于广义数据，即同时囊括特定个人信息与重要数据，并对强制评估的要求做了适度放松，将其限定于“重要数据”、“关键信息基础设施运营者”、“达到一百万人的个人信息处理者”和“自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者”等特定情形，并且明确出境评估，采取先自评估、后网信等多部门评估的审批流程。

（二）特定行业领域与地区的相关规范

前文已述，在一些特定行业或领域，相关主管部门已发布一些数据分类分级管理的相关规范，主要体现为部门规章、行业标准或其他形式的相关指导文件。这些规范中不少在《数据安全法》乃至《网络安全法》颁布前即已出台，有些则与《数据安全法》制定的配套同步或正在征求意见阶段，但即使是较早出台的前一种情形，通常已有针对数据跨境的监管规则，且根据每个领域中具体行业的细分，存在不同的跨境规则。

在金融领域，2013年即颁布的《征信业管理条例》第24条针对征信机构在我国境内采集的信息规定，要求在境内保存和加工。而根据《中国银保监会监管数据安全管理办法(试行)》第30条，与境外监管机构或国际组织共享监管数据时，应由国际事务部门依照银保监会签署的监管合作谅解备忘录、合作协议等约定或其他有关工作安排进行管理。可见银保监会的监管数据并非绝对不可出境，但需遵循相关合作协议等约定与安排。中国人民银行于2020年发布的《个人金融信息保护技术规范》第7.1.3条规定，在中国境内提供金融产品或服务收集和产生的个人金融信息应在境内存储，确需向境外提供的，应符合一系列条件，包括获得信息主体明示同意，开展出境安全评估，通过协议、核查等方式确保并监督境外机构履行保密等义务。

在健康医疗领域，国家卫生计生委于2014年制定的《人口健康信息管理办法（试行）》第10条第2款规定：“不得将人口健康信息在境外的服务器中存储，不得托管、租赁在境外的服务器。”而根据《国家健康医疗大数据标准、安全和服务管理办法（试行）》第30条的规定，健康医疗大数据原则上应当存储于境内安全可信的服务器上，因业务需要确需向境外提供的，应当按照相关法律法规及有关要求进行安全评估审核。可见，广义医疗数据在安全评估基础上可以出境，但其中一旦涉及人口健康信息，则必须境内存储而不得跨境。对于一类特殊的健康医疗数据即人类遗传资源信息，国务院于2019年颁布的《人类遗传资源管理条例》第28条专门规定了其出境规则：将人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构提供或者开放使用，不得危害我国公众健康、国家安全和社会公共利益；可能影响我国公众健康、国家安全和社会公共利益的，应当通过国务院科学技术行政部门组织的安全审查。利用我国人类遗传资源开展国际合作科学研究产生的人类遗传资源信息，合作双方可以使用。由该条可见，遗传资源信息的出境在安全审查的前提下并未绝对禁止，且若涉及国际科研合作，则向境外合作方提供此类数据可能限制更低，甚至可避开安全审查程序。

在汽车工业领域，2021年8月公布的《汽车数据安全管理若干规定（试行）》延续了个人信息和重要数据两大分类，并针对其出境问题作了专门安排。根据该规定第11条与第3条，汽车领域的重要数据原则上应境内存储，确需向境外提供的，应通过国家网信部门会同国务院有关部门组织的安全评估。其中，重要数据包含涉及主体超过10万人的个人信息。而一般性个人信息的出境则适用法律法规有关规定，也即未达到巨大数量的个人信息出境仍可按《个人信息保护法》相关规则进行。在此基础上，第12条要求数据处理者向境外提供重要数据时不得超出出境安全评估时明确的目的、范围、方式和数据种类、规模。监管部门以抽查等方式核验是否遵循该义务。第14条还要求数据处理者跨境提供时报告数据安全管理情况，不仅包括汽车数据种类、规模等本身的基本信息，还包含出境目的和必要性、境外保存地点、期限、范围和方式、境外用户投诉和处理情况等全方位信息。与前述《个人信息出境安全评估办法（征求意见稿）》相比，汽车数据出境的安全评估程序必须由国家网信部门组织，而不包括前者设置的省级网信部门相关程序。

另一方面，一些专门针对数据的地方性立法中也开始出现数据跨境规范。例如，《深圳经济特区数据条例》第8条特别提及跨境数据流通，并规定由市网信部门负责其监督管理工作；第82条则重申了《数据安全法》等相关法规关于安全评估、国家安全审查的规定。特别的是，该条例采用了“个人数据”这一有别于多数法规中“个人信息”提法的术语。然而，也有相关地方性立法并不对数据跨境作特别规定，如《山东省大数据发展促进条例》《浙江省公共数据条例（草案）》都尚未有任何对数据出境的规定。

总之，从较早的《国家安全法》、《网络安全法》到新近的《数据安全法》《个人信息保护法》，一套关于数据安全监管的基本法律制度逐渐成型，而分类分级的监管制度是其运作的基本特征与方式。《网络安全法》确立的个人信息与重要数据（主要应为非个人数据）两大基本类型在《数据安全法》中并无改变，相应地，在其各自之下则有进一步的分类分级，并涉及根据行业领域、地区的细分管理。在这一基本立法框架下，数据跨境的规制也是基于数据的不同类型、所属的不同主管部门而对应不同措施。前述各领域主管部门分别发布或征求意见的各种规章、规范性文件及其中的数据出境规则即体现了这一体系的发展过程与方向。从内容看，多数涉及数据跨境的部门管理规范都有境内存储这样的“本地化处理”要求，但通常也为其留有“出口”，即经安全评估后出境的例外情形。并且，基于前述分行业部门、分地区的实施方式，相关规范还会体现相应的不同，例如从《个人信息和重要数据出境安全评估办法（征求意见稿）》到《个人信息出境安全评估办法（征求意见稿）》再到《数据出境安全评估办法》的立法模式与规则变化，从《数据安全管理办法（征求意见稿）》到《网络数据安全管理条例（征求意见稿）》中进一步出现的不同标准，以及金融、健康医疗、汽车工业领域相关具体规则的差异化。

值得注意的是，在互联网时代，数据跨境在技术上无时无刻不在发生，其跨境流动具有高度普遍性，但各国对其规制的理念、方式又各不相同。各国主权与法律管辖权的独立性决定了数据跨境的规制监管将面临法域间的高度差异，乃至给安全且自由的数据跨境流动带来障碍。要避免此类问题，需要各法域间数据跨境规则的协调与尽可能的一致，因此，有必要考察代表性法域对数据跨境及其“分类分级”规制的态度和方式，在对其了解的基础上，总结其对我国相关制度的启示，并推进彼此间的协调统一。

由于数据的价值及功能与一国的经济规模、科技发展尤其是互联网发展水平密切相关，数据立法的前沿实践也主要体现在上述方面具有高实力与影响力的国家或地区。除我国高速发展的数据立法外，在国际上，则以欧盟与美国为最具代表性与影响力的法域。

（一） 欧盟

1.欧洲数据立法的历史发展

欧洲是较早开始探索数据跨境立法的区域，瑞典早在1973年即出台了《瑞典数据法》，这是世界第一部个人数据保护的国家立法，联邦德国也在1977年就出台了《联邦数据保护法》。[7]此后其他欧洲国家陆续跟进，但这些早期立法仅侧重私权保护而非规制、监管，且不同国家间法律的差异无法满足频繁经济交往中数据跨境的安全保障需要，因此数据跨境规制的国际协调就变得日渐迫切。

最早提出数据跨境流动概念的是经济合作与发展组织（OECD）于1980年通过的《关于保护隐私与个人数据跨境流动的准则》（以下简称“准则”），OECD的初创成员多数为欧洲国家，故“准则”所确定的数据跨境流通机制基本沿袭欧洲创始国所订立的原则和规则。“准则”是“当时国际社会达成的第一份有关信息化背景下隐私保护和数据跨境流动的法律文件，对经合组织成员国以及其他国家的相关立法和产业政策都产生了深远影响”。[8]上述影响至少包含以下两方面：其一，“准则”为弥合各主权国家法律对数据保护的差异，允许缔约国作出保留或例外规定，包括国家主权、国家安全、公共政策、公序良俗等领域的例外；其二，“准则”还就缔约国成员国内法对数据保护的底线设定了一些基本原则，也体现在此后欧盟乃至其他地区和国家的数据立法中，包括数据搜集必须限定目的和用途、个人参与（同意）、安全保障等。

在《准则》之后，1981年欧洲理事会通过了《个人数据自动化处理中的个人保护公约》(以下简称“108号公约”)，其中已有欧盟个人数据跨境规范的雏形。在成立后不到两年，欧盟就在1995年颁布了《关于个人信息处理保护及个人信息自由传输的指令》。2016年，为应对大数据时代对个人数据保护带来的挑战，欧盟通过了在全球产生重大影响的《通用数据保护条例》（GDPR）。GDPR在2018年5月生效后，欧盟又通过了《非个人数据自由流动框架条例》等相关法规。

2.个人数据的跨境规制

由于GDPR的影响力及规则体系相对更高的完备性，欧盟对个人数据的保护达到了国际上较高的水平，其涉及个人数据跨境的规则也相应更为突出且更成体系。

GDPR以第五章一整章专门针对个人数据跨境转移进行规定。作为基本前提，首先，从“108号公约”到GDPR，欧盟一直对个人数据存在基于不同标准的分类，例如一般个人数据、个人敏感数据、儿童个人数据等。GDPR各章节在涉及上述具有特殊性的宗教信仰、遗传和生物特征、儿童等方面的数据时设有特殊规则，例如16周岁以下儿童监护人的特别同意要求等。而第五章对跨境规制的一般条款中特别明确，适用本章时GDPR其他章节中的相关规定应得到遵守，也即在涉及特殊类型个人信息跨境时，除跨境章节条款外，关于此类数据使用的其他一般性规定仍应得到遵守。其次，对于规则的调整对象，其可适用于三种情况：其一，在欧盟境内有实体的控制者或处理者，无论该处理行为是否在欧盟境内进行；其二，处理欧盟境内数据主体的个人数据的行为，即使控制者和处理者未在欧盟境内设立，只要其处理行为发生在向欧盟境内的数据主体提供商品或服务的过程中，或是对数据主体发生在欧盟境内的行为进行监控的；其三，虽在欧盟境外设立，但基于国际公法仍适用成员国法律的控制者的个人数据处理行为。

具体而言，GDPR对个人数据的跨境设置了两大类监管模式：首先，基于充分保护认定的跨境转移。作为默认的首要规则，向欧盟境外的数据转移通常应遵循一个前提，即欧盟委员会认定目的国或其特定区域、行业部门能确保对数据的充分保护。向得到此类认定的国家转移数据无需特别许可。GDPR还规定了充分性认定考虑的因素，包括法律制度、权利保护水平、数据保护措施以及进一步向另一国跨境转移时的规则、独立的监管机构等。基于以上程序，欧盟委员会应公布符合其认定的名单，俗称为“白名单”。目前，列入白名单的国家仅有安道尔、阿根廷、加拿大（仅限商业组织）、以色列、日本、新西兰、瑞士、乌拉圭等少数国家。美国原本基于与欧盟的《隐私盾协议安排》（EU-U.S. Privacy Shield）享有充分保护认定，但该协议已于2020年7月被欧盟法院判定无效。

其次，基于自主保障措施的跨境转移。作为以上第一种方式的例外，若数据控制者或处理者采取足够保障措施，且存在数据主体权益的有效执行与救济机制时，则仍可向未经上述充分性认定的外国转移数据。但此类保障措施要求严格，具体又分两种情形：其一，在不经监管机构特别许可的情况下，须符合以下条件才构成保障：例如，两国公共机构间达成的有约束力的特别协议、采用经监管机构特别许可的公司规章、采用由欧盟委员会专门通过的数据保护标准合同条款（SCC），或经GDPR规定程序下形成的特别认证机制认可等。其二，若经监管机构特别许可，还可采取以下形式提供保障：例如，欧盟数据控制者或处理者与目的国数据控制者或处理者、接收者之间达成协议，或在相关公共机构的行政安排中加入数据权益有效保护与执行的条款。

3.非个人数据的跨境规制

除了备受瞩目的GDPR对个人数据跨境设立的规范外，其实对非个人数据跨境的规制在欧盟国家早已有之。尤其是，欧盟在GDPR后针对非个人数据专门出台了《非个人数据自由流动框架条例》，为此类数据的跨境流通奠定了区域内外区别对待的基调。《非个人数据自由流动框架条例》区分欧盟境内外不同情况，在欧盟境内鼓励数据自由流通，不允许成员国设置强制性的数据本地化存储要求，除非以公共安全为理由且符合比例原则。尽管《非个人数据自由流动框架条例》本身对欧盟成员国和非成员国之间的数据交流没有设置同样的禁止条件，但考虑到欧盟内部经济流动自由化程度远高于其与非成员国的自由化措施这一重要现实基础，可以比较明确的是欧盟对非个人数据向欧盟以外的转移一定会进一步设置更明确且可类比于个人数据跨境的规制制度。

事实上，欧盟委员会在2020年就提出了《欧洲数据治理法（提案）》，其中明确指出针对非个人数据向欧盟外第三国的转移也将考虑该第三国相关保护的“充分性”，且授权欧盟委员会针对敏感非个人数据向第三国的转移制定配套规则，设定限制性条件。[9]不仅如此，在欧盟成员国国内法中，早已存在广泛而零散的对特定非个人数据的本地化存储限制，例如，《德国电信法》要求通话时间、地点等信息必须在特定期限内存储在境内，其《商法典》《税法典》要求公司会计数据、税务数据必须存于境内服务器或以实体形式存于境内；法国则以行政命令形式要求公共机构数据必须存于境内；比利时、丹麦、芬兰、荷兰等国也都在特定领域有类似的出境限制要求。[10]

（二）美国

美国在数字技术和互联网行业的强势地位，使得美国及其企业天然地成为数据汇总的中心，因此其相关立法在形式上欢迎数据最大限度的自由流通。但另一方面，美国也高度重视自己在数据获取方面的强势地位以及技术与数据相关的安全问题。美国的数据立法在表象上重视数据自由流动而轻政府监管，但实际则隐藏着对相关非个人数据出境的严格管控。实质上，其采取一种允许境外数据自由流入却仍限制国内数据流出的跨境数据流动政策，后者尤其隐藏于美国的出口管理法规与执法中。由于美国在数据方面尚无联邦层面的专门统一立法，其相关规则散见于联邦其他立法或涉及数据的州立立法中，以下结合美国相关立法体系的总体特点进行阐述。

1.个人信息与其他数据的差异化、分散式规制

与欧盟通过GDPR、《非个人数据自由流动框架条例》等法律进行范围统一、框架清晰的个人数据和非个人数据立法不同，美国数据立法较为分散，呈现“一事一议”乃至隐蔽、分散的特点。尤其是，美国对个人信息与其他类型的非个人数据的规范存在于完全不同性质的两种法律体系中，且立法导向差异巨大。

美国涉及个人信息的法律主要包括《金融服务现代化法》《电子通信隐私法》《开放政府数据法》《家庭教育权利和隐私法》《儿童在线隐私保护法》《联邦贸易委员会法》等，以及一些重要的相关州立法，如《加州消费者隐私法》及科罗拉多州、弗吉尼亚州的消费者隐私保护立法。可以看出，美国关于个人信息的立法主要从隐私保护的角度出发，在联邦立法层面主要通过分行业领域的法律中所涉及的隐私保护的条款，在州立法层面则以专门的隐私立法实践为更明显的趋势。

另一方面，美国对非个人的其他数据的管理与规制则体现为相对更隐蔽、间接的法律制度中，主要通过其对技术出口与投资管理的相关制度，如《出口管理条例》及其相关的一整套出口管理制度。

进一步考察其跨境规制则可发现，美国对以上两大类数据出境的管理具有高度差异化的导向，对个人信息跨境奉行维护市场自由、促进自由流动的政策，而对其他数据，尤其是技术相关数据的出境则通过较隐蔽的各类立法与执法措施采取极为严格的限制政策，且具有高度多变性与不透明性。

2.个人信息的跨境规制

如上所述，美国涉及个人信息的保护在价值导向上追求促进数据自由流动，以市场及行业习惯为主导，相应地，在跨境等法律规制手段上以行业自律为中心。

例如，《金融服务现代化法》强调对金融个人信息的保护，在明确金融机构可广泛共享客户个人信息的同时，为了保护客户隐私，该法要求相关机构制定“受其管辖的金融机构的适当标准”，以“确保客户记录和信息的安全和保密性”，并“防止未经授权访问”记录。同时对非公开个人信息进行界定，明确该法的隐私条款仅适用于由“个人可识别财务信息”组成的“非公开个人信息”；《电子通信隐私法》《儿童在线隐私保护法》则基于受保护主体或应用场景的不同而在具体保护措施上各有侧重。

而美国部分较早关注个人信息保护的各州立法，也同样体现了以上立法导向。其中最具代表性的当属《加州消费者隐私法》，该法以成文法赋予加州公民一些新的隐私权利，使加州公民在消费时拥有更多的个人信息控制权。但该法在一些方面和GDPR呈现相反态度，比如个人数据处理以允许为原则，对被遗忘权设置很高的行使条件，对数据出境采取“留白”处理。

从表象上看，无论是以上哪类个人信息相关立法，都并无对个人信息出境的专门限制性或管理性规定，而是与个人信息向境内第三方转移遵循同类规则。但另一方面，美国仍有一些隐性制度可间接管制个人信息的出境或相关行为。

例如，《国际紧急经济权力法》（The International Emergency Economic Powers Act，IEEPA）赋予总统基于国家安全与经济受到威胁的考虑，采取与外国实体禁止交易等限制性措施，而这种国家安全或经济威胁的考量中，包括各类数据安全因素，且对数据的解释灵活宽泛，可涵盖个人信息。2020年，美国前总统特朗普签署的两项针对我国社交应用程序Wechat和TikTok的禁止性行政命令，正是依据该法将个人信息安全问题受到的威胁作为重要理由。而著名的美国外国投资委员会（CFIUS）也可基于对国家安全的考量而限制投资并购等交易，其考量范围也包括个人信息出境。前述TikTok事件中，其中国母公司字节跳动就另行受到CFIUS的国家安全审查程序，并相应被要求剥离其在美国境内与TikTok有关的任何资产，包括相关数据。

可见，在个人信息跨境问题上，美国在专门涉及个人信息的立法条款上推崇数据自由流动的立法政策，但在更为隐蔽的国家安全相关法律制度中，仍包含模糊灵活的个人信息出境限制性措施。

3.其他数据的跨境规制

对于非个人的重要数据，美国通过一系列多元、零散乃至具有隐蔽性的法律制度规制其出境环节。

首先，《出口管理条例》（EAR）及其配套规章针对尖端产品、关键技术及其相关数据的出口采取许可证管理制度。在该套体系中，向境外转移“技术数据”也属出口，从而受制于行政审查。EAR规定的技术数据出口方式包括以电子方式（如传真、国际电话、邮件等）转移到非美国的服务器，无论这一数据是否实际出境，都可认定为出口并需取得许可证。作为许可证制度的执行规则，美国商务部工业与安全局（BIS）特地颁布“商业控制清单”，清单列举的数据出口都需遵循许可证制度申请并经过审批。不仅如此，BIS还有极为灵活广泛的权限，即使是未列入上述清单的数据类型，也可根据出口目的国、终端使用方的情形而要求该类数据提交审批许可，这就使其可根据数据输出国的不同，来实施有区别的出境管制，权限上具有极大模糊性与灵活性。

其次，IEEPA对涉及数据安全的出境规制提供了兜底性干预制度。前文提及，IEEPA禁止性措施的考量可涵盖个人信息，而根据其立法文本，其涉及数据的范围定性为“技术数据”，即更多体现为非个人的其他数据。根据该法，在美国国家安全、经济受到特殊威胁时，总统有权宣布紧急事态并相应禁止或限制美国个人或企业与任何外国个人或企业进行交易。在涉及数据安全问题而采取措施时，这种禁止或限制措施的效果体现在数据领域，自然就禁止或限制了美国相关数据向外国实体以任何形式转移。

第三，美国的外资国家安全审查制度也可间接施加对数据出境的限制。2007年，美国即已颁布《外国投资与国家安全法》（FINSA），前述美国外国投资委员会（CFIUS）正是依据该法被赋予基于国家安全理由而对跨境投资交易进行审查的权力。该套程序可事前或事后启动，其审查范围包含个人信息及其他各类数据风险。该委员会有权基于国家安全考虑对任何涉及美国资产的投资并购事项进行审查并采取限制措施。在其可采取的限制性措施中，包括禁止相关并购等各类投资行为，并达到阻止获得美国境内数据的效果。

尤需注意，2020年3月，美国通过了《外国投资风险审查现代化法》（FIRRMA），加强了上述国家安全审查制度对涉数据行为的监管。该法扩大了CFIUS的审查权限，将其明确扩大到任何涉及关键基础设施、关键技术及敏感个人数据的外国投资交易，对此该委员会都可以主动启动调查。其中，“关键技术”被解释为包括前述《出口管理条例》制度中“商业控制清单”所列明的事项，从而包含了受出口管制的各类技术数据。对于可能以威胁美国国家安全的方式利用相关敏感个人数据或管制技术数据的投资交易，CFIUS可予以禁止。前述TikTok受到的CFIUS审查中，其措施就包括要求字节跳动公司剥离本已收购的Musical.ly等由其在美国持有的包括数据在内的各类资产。

第四，从调取境外数据入境的角度看，美国还针对司法领域的此类权限进行特别立法，主要体现在2018年颁布的《澄清域外合法使用数据法》（CLOUD）。根据CLOUD，在涉及国家安全而调取证据等信息时，美国政府有权要求注册于美国或总部在美国的公司向美国提交这些公司拥有、保管或控制的数据，无论该数据是否存储在美国境内。由此，该法赋予了对境外主权范围内的数据进行强制调取转移的权限。作为缓冲，CLOUD也对上述强势权限设置了一些可申请取消的例外情形，包括违反“合格外国政府”法律、调取对象不是“美国居民或公司”等。同时考虑形式上的对等，该法也允许外国政府调取美国数据出境，但也限于“合格外国政府”。从这种主观性较强的前置条件看，该法强势赋予美国调取境外数据的权限，而对其限制则较为模糊。

总体来看，美国针对数据跨境规制的制度较为分散、隐蔽，但也呈现明显的分类管理色彩。并且，对于重要技术（非个人）数据的出境，其管理方式基于“一事一议”而进行灵活度极高的行政审查。

（三）相关境外立法的启示

从代表性的境外相关立法可看出，国际上对数据跨境的规制方式并未形成完全统一的模式或政策，在立法部门和具体规范上都呈现较大差异性，然而，其中仍有一些规律可循并可资借鉴：

第一，监管模式在总体上差异性与共性并存。首先，尽管所用术语不尽相同，但个人数据（信息）与非个人的技术或重要数据这一基本区分在欧盟与美国事实上都存在。其次，广受关注的欧盟与美国在数据跨境监管上的巨大差异，实际主要体现在个人数据相关规范与政策上，而对非个人数据的出境，两大法域（欧盟体现于成员国国内法）实际都将其与技术或公共利益密切结合，并采取严格限制措施。尽管采取的具体立法模式不同，相关法域的规制措施大都基于特定行业、领域的区分而采取分类监管。可见，在国际上对个人数据跨境监管方式存在重大差异的同时，对于非个人数据跨境则存在分类管理、严格限制的共性特征。其三，在分类监管这一共性基础上，欧盟对个人数据的进一步区分，以及美国出口管理制度下的清单目录体系，实际也体现了分级管理的色彩，不过其分级机制与对应的跨境规制方面的措施差异并不明显。

第二，在个人数据跨境方面，欧盟与美国都设有“合格”名单或“威胁”实体之类的较强主观性乃至“歧视性”标准及其相应措施。欧盟主要采取充分性认定机制以确保数据跨境安全。第三国一旦被确定为充分保护国家，数据就被默认为可以从欧盟境内自由传输到第三国，从而促进数据的跨境流动。[11]当然，除此之外还可通过特殊协议等保障措施实现数据跨境。美国则缺乏针对个人数据跨境的统一规则，而是在聚焦数据安全的国家安全审查制度改革中赋予CFIUS极强的主观判断权限，且在CLOUD中设置模糊的“合格外国政府”概念。相较而言，欧盟的“充分性”认定规则尽管仍有很强主观性，但总体仍维持一定透明度与可预见性，通过GDPR统一了此类认定考虑的标准及实行程序。尤其是，在该机制之外，还可通过其他提供标准协议等保障性方法实现数据跨境。而美国的相关程序则缺乏透明度，并呈现更高主观性与不可预见性。

第三，对非个人重要数据，实质上欧盟与美国都基于数据的重要性、所处部门等分类进行严格规制，其普遍对银行、金融、征信等重要行业或领域数据实施本地化存储或禁止出境的措施。结合国情和政治文化差异，对健康、税收、地图、政府数据等相对敏感数据，也往往存在禁止或限制出境措施。在立法上，欧盟在这方面仍未形成区域统一立法，而隐藏于各成员的国内法中，各自实施机制与程序差异巨大。美国则主要通过出口管理中“一事一议”的许可证模式进行监管，其基于清单目录的方式实质也是典型的重要数据分类监管。并且，美国逐渐加强的国家安全审查制度同样将非个人数据纳入考量范畴，提供了更灵活、主观判断权限巨大的兜底性规制方式。

第四，在对数据的“长臂管辖”方面，欧盟与美国都侧重基于数据控制主体而施加管辖的基本原则，但具体标准有细微区别。例如GDPR可调整欧盟境内的数据控制者和处理者，而无论相关数据是否在欧盟境内，其管辖权范围均可突破边境而管辖物理上处于境外的数据，当然这限于个人数据领域。美国的国家安全审查制度及CLOUD则是侧重将国籍上的美国实体作为施加管辖的连结点，不论其是否处于美国境内。在相关机构认为必要时可要求其提供由该主体控制或处理的世界范围内的任何数据，从而可达到更强势的“长臂管辖”效果。

总体来看，两大代表性法域都在宣扬促进数据自由流动的同时进行严格规制。其中，欧盟对个人数据跨境呈现严格保护的价值取向，[12]并明确体现于成文法中，对非个人数据的跨境监管则在成员国国内法中更为隐蔽，但从未缺失。美国尽管一直标榜数据自由流动，但实际对个人与非个人数据跨境都通过多元、灵活的制度严格监管，尤其对个人数据出境，在近年呈现明显的严格化、主观化干预趋势。

（一） 我国数据跨境规制体系的遗留问题

一方面，我国数据法律制度已通过最新的两大核心立法取得重大突破，且从内容到技术都较为先进；另一方面，从全套法规体系看，仍有“法出多门”之象，体现于多领域、多层级的各级法律与规范中，且规制事项存在重合，体系较为零乱。

1.个人信息与其他数据的关系仍不够清晰顺畅

《数据安全法》仅有第38条与第53条两个条款零星而间接地在相关程序中提及个人信息，作为关于数据的核心立法，并未将个人信息与重要数据的并存、并列关系予以明确。且该法中的分类分级制度显然主要针对非个人的重要数据建立，而该法规范中哪些部分可适用于个人信息处理监管，则规定不清。例如，构成管制物项的数据是否包括个人信息，以及分地区、分部门实施的分类管理制度是否涵盖个人信息，都难以确定。更有甚者，2021年7月公布的《关键信息基础设施安全保护条例》第15条将“个人信息”与“数据”这一本应属上位概念的术语并列。再考虑到《个人信息保护法》中完全未提及《数据安全法》或“数据”，更使得个人信息监管制度与总体的数据监管制度间关系不明。值得注意的是，新近颁布的《数据出境安全评估办法》又将重要数据与个人信息明确并列并置于“数据”范畴之下。

2.重要数据分类分级监管的实施权限协调等方面仍有模糊之处

《数据安全法》在建立“分类分级”制度的同时，对分类分级的划分标准、制定程序与具体实施方式都语焉不详。根据《数据安全法》第21条，国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，各地区、各部门应确定本地区、本部门以及相关行业、领域的重要数据具体目录。这体现了立法者强调以统筹协调的重要目录为管理基础的意图，在此前提下再由各地区、各部门制定相关目录与规范。然而，上述工作协调机制如何运行尚不清晰，由哪个部门如何统一协调各地区、各部门数据安全配套制度尚无答案。而各地区、各部门的具体目录与该协调机制下有关部门的统一目录之间如何衔接、具体协调程序如何也都尚无规则。但目前已出现的各部门各自制定的规章、文件、草案却已汗牛充栋。进一步看，《数据安全法》尽管建立了统筹协调工作机制下各地区、各部门的分类分级监管机制，但仅针对“重要数据目录”，而对此范围之外的数据管理问题，各地区、各部门根据该法第6条仍有自己的立法权限，却又不存在统筹协调机制，涉及行业领域和地区范围的数据管理与规制措施是否可由各地区、各部门完全自主立法，众多重要内容仍不明确。

尤需注意，《数据安全法》的分类分级制度实施机制将“各地区”与“各部门”并列，这可能导致地方政府从地方性立法的角度针对其地域范围的数据进行立法，而职能部门从其职能范围角度针对数据立法，而两者规范的数据极有可能重合，却处于不同的监管体系，这更容易加剧立法体系上的混乱与不协调。例如，最新颁布的《深圳经济特区数据条例》也对数据出境作了规定，其标准与《数据安全法》的立法精神并不完全统一。可以想象，在更多部门各自颁布相关数据规范之后，地区间、地区与部门的规范间彼此的冲突很可能难以避免。

3.数据管理规范零散缺乏稳定规划

已有的配套数据管理规范或其立法规划散见于网信部门、其他主管部门及各地区各自制定的法规与规范性文件中，效力层级繁杂，规范事项重合。《数据安全法》的分类分级制度确立了分行业领域、分地区的监管方式，这意味着数据监管体系的具体实施将由各主管部门、各地区分别制定法规或规章进行，而这极易导致立法权限的混乱失调。从已有立法进程来看，这种趋势已经显现，不同职能、层级的部门，在其制定规范时往往都对数据跨境等问题进行自己的规定，呈现极为杂乱的趋势。

首先，规范的酝酿和制定过程缺乏“预期性”和“稳定性”，在数据出境安全评估方面，先有网信办于2017年发布的《个人信息和重要数据出境安全评估办法（征求意见稿）》，针对数据的两大类型进行共同规范。但其后网信办又于2019年发布《个人信息出境安全评估办法（征求意见稿）》，一方面针对个人信息出境安全评估的规则大幅修改并取代了前述《个人信息和重要数据出境安全评估办法（征求意见稿）》，另一方面却并未对该旧办法发布任何撤回或修订公告。《个人信息出境安全评估办法（征求意见稿）》范围缩减为仅针对个人信息的情况下，《个人信息和重要数据出境安全评估办法（征求意见稿）》作为覆盖面更广的规章是否仍存在抑或是已自然撤回，个人信息外的其他数据出境安全评估是继续依据《个人信息和重要数据出境安全评估办法（征求意见稿）》的框架还是另行制定专门的新规范，都在长时间里模糊不清。

更有甚者，网信办还于2019年发布《数据安全管理办法（征求意见稿）》，又于2021年先后发布《数据出境安全评估办法（征求意见稿）》（2022年7月7日已颁布正式办法）、《网络数据安全管理条例（征求意见稿）》。一方面，2021年以后颁布的两个新规规范范围再次回到个人信息和重要数据的整体，另一方面，它们在短时间内又进一步取代《个人信息出境安全评估办法（征求意见稿）》、《数据安全管理办法（征求意见稿）》，且针对数据出境又设置了标准不同的新规则。

当然，随着《数据出境安全评估办法》最终颁行，在数据出境方面“眼花缭乱”的规章制定过程似乎暂告一段落，但分级分类问题仍然没有解决，管中窥豹，无论相关数据保护规范属于授权立法还是部门规章，相应过程均应当体现严谨、衔接、统一、协调。

其次，在各行业部门已颁布的数据相关规章中，其制定主体的职能、层级也各有不同，而规范对象却存在交叉。如前所述，在金融领域，国务院、银保监会、中国人民银行分别针对征信业、银行保险监管数据、个人金融信息各自从不同角度与范围发布涵盖数据管理的相关规则；在健康医疗领域，国家卫生健康委员会（前身为国家卫生计生委员会）又先后发布《人口健康信息管理办法（试行）》《国家健康医疗大数据标准、安全和服务管理办法（试行）》，这些“政出多门”的规章的制定背景、目标各有不同，却都从不同角度针对数据管理、数据跨境作出规定，且其规范对象存在重合。

4.行业标准事实上起规范作用

在前述各部门颁布的规章之外，在行业标准层面，还存在数量繁多的行业标准，且其规范效力存在模糊性。例如，国家质检总局与国家标准化管理委员会于2017年联合发布的《信息安全技术——数据出境安全评估指南（征求意见稿）》。从时间节点及规范标准和内容来看，该标准是为了配合2017年“旧办法”作出的分业务领域的、以实务为导向的评估指引。而“旧办法”已被“新办法”替代。此后又改由市场监管总局与国家标准化管理委员会出台一系列含有出境规则的指南，如2020年《信息安全技术——个人信息安全规范》、2020年《信息安全技术——网络数据处理安全规范（征求意见稿）》、2021年《信息安全技术——网上购物服务数据安全指南（征求意见稿）》、2021年《信息安全技术——即时通信服务数据安全指南（征求意见稿）》。尤其是此类国家标准中通常都含有除特定场景外“不应出境”的禁止性规范，但其作为行业标准，在作此类强制性色彩的规定时在立法权限与效力上都难免存疑。

总之，《数据安全法》与《个人信息保护法》颁布前，已有的行业部门数据管理规范及其立法规划已存在明显的缺乏统筹协调之象。《数据安全法》虽建立了全新的、高层级的分类分级管理法律框架，但其带有立法权“分权”性质的分类分级管理安排，尤其是各地区、各部门立法规范权限之间的双重“并行”，可能不仅难以解决前述缺乏统一协调的问题，反有加剧进一步规则冲突的隐患。作为一种印证，相当一部分规范从发布征求意见稿后常年没有进展，甚至出现部分被替代的趋势，也可反映其背后深层次的立法框架与体系协调性的缺失。

（二） 我国分类分级制度下数据跨境规制制度的完善路径

1.明确总体数据制度框架、理顺数据分类规制体系

首先，在《数据安全法》与《个人信息保护法》两大核心立法的基础上，应通过配套法规进一步明确：数据是广义的、总体的范畴，包括个人信息与其他数据，其中个人信息具有较高独立性与独特的保护利益，而其他数据侧重于与技术有关的国家安全，是重要数据目录等相关分类分级制度监管的重要对象。在特殊情况下，当个人信息达到巨量标准后，也可类比于重要数据从而受到相对更严格的跨境监管。与此有关，前述《关键信息基础设施安全保护条例》将“个人信息”与“数据”直接并列的做法就应逐步消除并予以避免，而《网络数据安全管理条例（征求意见稿）》及《数据出境安全评估办法》的规范方式则具有一定进步性：其将重要数据与个人信息并列置于广义“数据”范畴之下，并在数据跨境规则中将出境安全评估适用于重要数据与特定情况下的个人信息（如涉及关键信息基础设施经营者或处理大量个人信息的处理者的情形）。这既明确了个人信息也属于广义数据的性质，也体现了大量个人信息相对于一般数据与一般个人信息而言的特殊性，将其类比于重要数据。

其次，应统一并协调数据监管立法体系、明确分类分级规制的权限。从数据安全管理是公权力介入规制的属性来看，考虑到数据本身的无地域差别乃至无国界差别性质，以及分类分级具有的高度技术性、复杂性，对分类分级的实施也理应尽量统一，尽量避免完全由各地区、部门“各行其是”。如前所述，即使是新颁布的《数据安全法》，也只提供了对数据分类分级管理的统一立法框架，而缺乏具体实施机制与内容。因此，我国应抓紧通过足够高层级的国务院条例或网信办专门规章，明确该法中具有“统筹”职能的国家数据安全工作协调机制，并将相关立法权限尽量收归该协调机制，避免各地区、各部门竞争性地、轻易地针对数据跨境等数据安全问题进行地区、部门立法。在此基础上，基于以上统筹的统一立法机制，应进一步协调好相关部门抓紧实现重要数据目录、配套措施的规范制定，并协调好部门立法与地方立法在管辖事项与运作方式等方面的关系。

2.在分类基础下明晰不同数据监管的价值导向、相应明确跨境规则

参考国际上数据立法的总体价值取向，以及我国《数据安全法》《个人信息保护法》中明确的立法目标，我国数据跨境规制的价值导向应是明确的，即在确保数据安全的前提下促进数据自由流动。唯此才可确保数据跨境规制措施不会影响“无国界”的互联网经济乃至整个国际经济交流合作的正常运行。在确保这种总体利益平衡的同时，具体数据跨境规则应准确对应不同层面的数据分类，针对不同类型数据的各自特征与相关利益，对应相应的跨境规则。

从个人信息与其他数据这一顶层基本分类来看，个人信息的跨境相对更多涉及个人隐私权益、公共利益，并仅在特殊情况下（如巨量个人信息转移）涉及国家安全，因此个人信息跨境规则应以市场化与自由流动为基础原则，在确保数据主体知情同意权益的前提下，以特定情形的本地化存储与限制出境为例外。目前我国的《个人信息保护法》相关规则已较明确体现了这一原则，只需在配套规范上对程序予以细化。但对于非个人的其他数据，《数据安全法》体系仍需通过配套规章进一步明确能体现该类数据特性的跨境制度框架与具体规则。其他数据往往涉及关键技术与高经济价值信息，从而与国家安全密切相关，并具有强烈的行业、技术特性。要做好对这类数据的跨境规制，就必须建立统一、详尽的重要数据分类分级目录，如前所述，该目录不应由各部门简单的各自制定，而应在统一协调机制下，由各部门协商沟通后，通过统一机制颁布。结合分类分级目录，基于对国家安全及公共利益而言的敏感性、重要性与机密性，不同类别、层级的数据应对应不同严厉程度的出境限制措施，基于安全评估而决定，而不应一概采取单一简化的本地化存储要求。在这方面，美国出口管理制度中的“商业控制清单”可资借鉴。

作为重要数据跨境规制的核心基础配套制度，数据出境的安全评估应形成统一、程序明晰的规则，除个人信息出境安全评估具有特殊性外，其他（重要）数据的安全评估应基于统一的规则，由统一的评估部门安排进行，尤需避免由各行业、部门或各地区各自对其立法并执行。

3.明确适度长臂管辖，积极参与数据规制的国际规则制定

前文提及，欧盟与美国在数据监管法律的适用上都设置了较强势的长臂管辖原则。事实上，我国《数据安全法》与《个人信息保护法》也规定了初步的长臂管辖，如《数据安全法》第2条第2款规定“在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。”《个人信息保护法》第3条第2款也规定在特定情形下在境外处理我国个人信息的活动也适用该法，如“向境内自然人提供产品或者服务”等。然而，我国的此类规定与欧美相比仍属被动式、非常态化的，尤其是，仍仅基于相关行为作为连接点。而事实上，欧美都重视“国籍管辖”，对此我国也应合理借鉴，对在境外经营的我国国籍企业境外分支实体，也应适用相关法律。

在国际层面，尽管基于我国一贯的各国主权平等外交政策，欧盟的“白名单”制度可能不适合借鉴，但从另一个角度，我国仍应积极参与数据规制国际规则的制定。数据跨境规制的雏形正来自于OECD这一区域性的国际制度，而数据技术上的无国界性恰恰使得其跨境问题具有高度的国际协调必要性。美国就一直在WTO与自贸协定（FTA）中全方位推动相关议题，[13]并尤其通过双边FTA及“美墨加协定”（USMCA）大力推广其主张的数据跨境规则。国际上多个国家也都在贸易谈判平台考虑自己的数据跨境政策，且方案各不相同。[14]

因此，我国可考虑先在区域层面，借用我国倡导并参与的“一带一路”、“上合组织”及谈判中的FTA等区域国际安排，探索形成代表我国立场并符合我国利益的数据跨境合作与协调的区域国际制度。在此基础上，更可在国际上试图推动多边层面数据跨境监管协定或相关规则的形成，成为该领域国际上的积极协调者与先行者。

[1] 参见《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》，载

http://www.cac.gov.cn/2021-07/02/c_1626811521011934.htm，最后访问日期：2021年7月10日。

[2] 许多奇、王沛然：《平台经济反垄断绕不开数据确权》，载

https://mp.weixin.qq.com/s/9VXBteuAY99lFLYExUbHJg，最后访问日期：2021年7月 8日。

[3] 洪延青：《数据安全管理视角下的数据分类研究》，载《网络安全国家标准研究项目研究报告》，2020年5月。

[4] 个人信息之外的数据均应为其他数据或曰非个人数据，重要数据仅应是其他数据中的一部分，但因其在监管上的重要性与代表性，实际上构成其他应受管理的数据的主体部分，故本文原则上将“其他数据”与“重要数据”交替使用。

[5] 张继红：《〈数据安全法〉获通过，其中这些“首次”意义重大》，载《上观新闻》2021年6月12日。

[6] 《金融数据安全——数据安全分级指南》（JR/T 0179-2020），第5.3.2节，中国人民银行2020年9月23日发布。

[7] 张新宝：《从隐私到个人信息：利益再衡量的理论与制度安排》，载《中国法学》2015年第3期。

[8] 宋建宝：《<隐私保护与个人数据跨境流动准则>精要》，载《人民法院报》2019年6月21日，第8版。

[9] Proposal for a Regulation of the European Parliament and of the Council on European data governance (Data Governance Act), COM/2020/767 final, Nov.25, 2020.

[10] Nigel Cory &Luke Dascoli,‘How Barriers to Cross-Border Data Flows Are Spreading Globally, What They Cost, and How to Address Them’, available at

https://itif.org/publications/2021/07/19/how-barriers-cross-border-data-flows-are-spreading-globally-what-they-cost, last visited on Aug. 29, 2021.

[11] 袁慧：《欧盟数据跨境转移中的充分决定机制研究》，载《电子知识产权》2020年第11期。

[12] 许多奇：《个人数据跨境流动规制的国际格局及中国应对》，载《法学论坛》2018年第3期。

[13] 张生：《美国跨境数据流动的国际法规制路径与中国的因应》，载《经贸法律评论》2019年第4期。

[14] Shin-Yi Peng &Han-Wei Liu, “The Legality of Data Residency Requirements: How Can the Trans-Pacific Partnership Help?”, Journal of World Trade, Vol. 51p.183(2017). 

作者简介