文｜楊德斌

爲了保護國家信息安全和個人隱私，中國陸續在2016年和2021年出台《網絡安全法》《數據安全法》和《個人信息保護法》。

《網絡安全法》第三十七條中提出了數據出境評估制度，關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和産生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。 

2022年5月19日，國家互聯網信息辦公室簽發《國家互聯網信息辦公室令第11號》，通過《數據出境安全評估辦法》，自2022年9月1日起施行。其中列明數據處理者在下面四個情形向境外提供數據，應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估： 

1. 數據處理者向境外提供重要數據； 

2. 關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息； 

3. 自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息； 

4. 國家網信部門規定的其他需要申報數據出境安全評估的情形。 

隨著全球化與數字經濟的發展，數據作爲具有極大經濟價值的生産要素，在國際間的流動越來越頻繁，而且數量呈逐年增長趨勢。如何符合數據出境成爲許多企業（特別是跨國企業）的共同問題。許多企業的業務範圍廣泛，要滿足數據出境安全評估不是非常簡單的事情；同時，什麽是重要數據還沒有很清晰的界定。以香港爲例，香港幾所大學都在大灣區開立分校，學校的研發數據、學生及老師等個人信息如何匯集管理？香港很多銀行都在內地開設分行，許多往來兩地的客戶信息如何匯集管理？隨著電子商貿逐漸流行，跨境電商也必須轉遞許多信息，這些又如何合規？有些企業利用內地的資源設立研發、客戶服務中心和生産基地，這些內地的機構所有的數據如何與海外總部匯集？如果所有數據都需要首先通過出境安全評估，合規的成本將是一個問題。 

針對這個情况，國家互聯網信息辦公室于2023年9月28日發出關於《規範和促進數據跨境流動規定（徵求意見稿）》公開徵求意見的通知，列出一些負面清單。主要內容如下： 

1. 國際貿易、學術合作、跨國生産製造和市場營銷等活動中産生的數據（但不包含個人信息或者重要數據）； 

2. 不是在境內收集産生的個人信息； 

3. 爲訂立、履行個人作爲一方當事人的合同所必需，如跨境購物、跨境匯款、機票酒店預訂、簽證辦理等，必須向境外提供的個人信息； 

4. 按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理，必須向境外提供內部員工的個人信息； 

5. 緊急情况下爲保護自然人的生命健康和財産安全等，必須向境外提供個人的信 息； 

6. 預計一年內向境外提供不滿1萬人的個人信息（但需取得主體本人同意）； 

7. 預計一年內向境外提供1萬人以上、不滿100萬人的個人信息，與境外接收方訂立個人信息出境標準合同幷向省級網信部門備案或者通過個人信息保護認證（但需取得主體本人同意）。 

這個規定還列明未被相關部門、地區告知或者公開發布爲重要數據的，數據處理者不需要作爲重要數據申報數據出境安全評估。 

有了這個負面清單，企業可省去許多報批的工作、待定减低合規成本！ 

粵港澳大灣區是國家的重要戰略區域。爲促進數據在大灣區內安全有序地流動，香港特區政府創科及工業局局長孫東教授與國家網信辦副主任趙澤良于今年六月二十九日簽署《促進粵港澳大灣區數據跨境流動的合作備忘錄》。《合作備忘錄》將提供更便利的數據出境管理措施，促進數據在大灣區內安全流動。我們熱烈期待這些管理措施早日出台！隨著大灣區跨境數據流動取得良好進展，這些有利措施將可以借鑒幷複製到全國其他地方。 

展望未來，香港是中國聯通世界的城市，未來也承接與世界各地數據互聯互通的重要任務。

（作者係全國人大代表、大數據治理公會主席、大灣區國際信息科技協會會長，文章觀點僅代表作者本人）