文｜杨德斌

为了保护国家信息安全和个人隐私，中国陆续在2016年和2021年出台《网络安全法》《数据安全法》和《个人信息保护法》。

《网络安全法》第三十七条中提出了数据出境评估制度，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。 

2022年5月19日，国家互联网信息办公室签发《国家互联网信息办公室令第11号》，通过《数据出境安全评估办法》，自2022年9月1日起施行。其中列明数据处理者在下面四个情形向境外提供数据，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估： 

1. 数据处理者向境外提供重要数据； 

2. 关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息； 

3. 自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息； 

4. 国家网信部门规定的其他需要申报数据出境安全评估的情形。 

随著全球化与数字经济的发展，数据作为具有极大经济价值的生产要素，在国际间的流动越来越频繁，而且数量呈逐年增长趋势。如何符合数据出境成为许多企业（特别是跨国企业）的共同问题。许多企业的业务范围广泛，要满足数据出境安全评估不是非常简单的事情；同时，什么是重要数据还没有很清晰的界定。以香港为例，香港几所大学都在大湾区开立分校，学校的研发数据、学生及老师等个人信息如何汇集管理？香港很多银行都在内地开设分行，许多往来两地的客户信息如何汇集管理？随著电子商贸逐渐流行，跨境电商也必须转递许多信息，这些又如何合规？有些企业利用内地的资源设立研发、客户服务中心和生产基地，这些内地的机构所有的数据如何与海外总部汇集？如果所有数据都需要首先通过出境安全评估，合规的成本将是一个问题。 

针对这个情况，国家互联网信息办公室于2023年9月28日发出关于《规范和促进数据跨境流动规定（征求意见稿）》公开征求意见的通知，列出一些负面清单。主要内容如下： 

1. 国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据（但不包含个人信息或者重要数据）； 

2. 不是在境内收集产生的个人信息； 

3. 为订立、履行个人作为一方当事人的合同所必需，如跨境购物、跨境汇款、机票酒店预订、签证办理等，必须向境外提供的个人信息； 

4. 按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理，必须向境外提供内部员工的个人信息； 

5. 紧急情况下为保护自然人的生命健康和财产安全等，必须向境外提供个人的信 息； 

6. 预计一年内向境外提供不满1万人的个人信息（但需取得主体本人同意）； 

7. 预计一年内向境外提供1万人以上、不满100万人的个人信息，与境外接收方订立个人信息出境标准合同幷向省级网信部门备案或者通过个人信息保护认证（但需取得主体本人同意）。 

这个规定还列明未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。 

有了这个负面清单，企业可省去许多报批的工作、待定减低合规成本！ 

粤港澳大湾区是国家的重要战略区域。为促进数据在大湾区内安全有序地流动，香港特区政府创科及工业局局长孙东教授与国家网信办副主任赵泽良于今年六月二十九日签署《促进粤港澳大湾区数据跨境流动的合作备忘录》。《合作备忘录》将提供更便利的数据出境管理措施，促进数据在大湾区内安全流动。我们热烈期待这些管理措施早日出台！随著大湾区跨境数据流动取得良好进展，这些有利措施将可以借鉴幷复制到全国其他地方。 

展望未来，香港是中国联通世界的城市，未来也承接与世界各地数据互联互通的重要任务。

（作者系全国人大代表、大数据治理公会主席、大湾区国际信息科技协会会长，文章观点仅代表作者本人）