数据的特殊性决定了数据跨境流动是监管的重点

理解相关法律法规对数据监管、数据跨境流动的规定，需以认识和理解数据所具有的特殊性为前提。与传统商品和服务相比，数据具有特殊性，不能以所有权和主权等概念去理解数据的价值和权属，重要的不只是确定谁“采集”和“拥有”数据，而是谁有权访问、控制和使用数据。跨境数据流动本身既不是电子商务，也不是贸易，不应简单地被作为电子商务或贸易来监管，与“数字贸易”也不是一个概念。

数据的价值更在于共享而非占有，也天然超越了主权、地缘政治等概念，因此，数据跨境流动是数据的监管重点。

我国对数据跨境流动的规范性文件

当前，我国颁布了《网络安全法》《数据安全法》《个人信息保护法》作为数据保护的上位法，围绕上位法，颁布了多个法律法规的征求意见稿。虽然诸多法律法规尚未颁布正式文件，但从相关征求意见稿来看，对数据安全、监管和管辖执法等方面的法律规范体系正在建立，形成对数据跨境流动治理的规则。

相关法律法规及征求意见稿概述如下表所示：

我国对数据跨境流动的规范体系

从我国颁布的法律法规来看，对数据跨境流动采用分层分类管理的治理规则，对个人信息、重要数据、其他数据的合规管控进行了分层分类的规定。虽然，相关的配套规范性文件和指引尚在制定中，但是我国对数据跨境流动的规范体系已建立。

在个人信息跨境流动方面，我国确定了数据出境安全评估、个人信息保护认证、以标准合同为基础订立合同、达到个人信息保护标准、取得单独同意等制度。对于特定行业和特定类型的数据，明确了本地化的要求。

在重要数据跨境流动方面，确立了数据本地化、数据出境安全评估、网络安全审查等重要制度。

值得一提的是，在2017年，国家互联网信息办公室发布《个人信息和重要数据出境安全评估办法（征求意见稿）》，在文件中对个人信息和重要数据的出境安全评估办法进行规定。在2021年，网信办又分别发布了《数据出境安全评估办法（征求意见稿）》和《个人信息出境安全评估办法（征求意见稿）》。这一过程，证明我国在数据跨境流动的治理更进一步，可以预见，未来对个人信息、重要数据、特定类型的数据、其他数据的合规管控会继续按照分层分类管理的原则和方式进行细化的规定。

律师介绍

梁幸，北京市京师（武汉）律师事务所企业合规中心副主任，京师武汉律所监事委员会委员，股权与纠纷法律事务部主任。

业务领域：企业合规；股权激励、架构设计；民商事诉讼。