专家学者谈数据跨境流动管控建议细化“重要数据”认定制度-学界要闻-中国法学创新网

　　最近一段时间，特斯拉在国内接连发生交通事故。人们对特斯拉车辆安全性质疑的同时，也对特斯拉掌握的国内用户数据的安全及保护问题产生担忧，甚至有学者提出智能汽车企业对敏感地理位置等涉及国家安全数据的采集和处理涉及国家安全利益，需严格规范，进行数据本地化处理。

　　5月12日，国家互联网信息办公室发布的《汽车数据安全管理若干规定（征求意见稿）》第十二条明确规定，个人信息或者重要数据应当依法在境内存储，确需向境外提供的，应当通过国家网信部门组织的数据出境安全评估。此前特斯拉曾表示，在中国采集的数据会严格遵守中国对于数据管理的法律法规，实现本地存储。

　　事实上，在数据全球化时代，汽车数据安全只是数据安全的一部分。出于对个人信息保护、国家安全等因素的考量，已经有不少国家立法对数据的跨境流动加以限制。目前，我国网络安全法和正在制定中的数据安全法、个人信息保护法等都有对数据跨境流动的相关规范。如何构建我国数据跨境管控制度成为当下人们关注的重要议题。近日，专家学者接受民主与法制社采访时表示，对“重要数据”的认定制度还需进一步再细化。

　　积极促进数据跨境安全、自由流动

　　针对特斯拉等智能电动汽车数据安全问题，中国法学会法学期刊研究会会长、中国人民大学法学院教授张新宝近日撰文称，智能电动汽车有能力全时段、全方位、全媒体收集司机以及其他乘员的个人信息：谁开车和谁在车上，司机、乘员在车上说了什么、做了什么，驾驶人的位置数据和驾驶习惯，以及车外的数据，比如汽车充电网的运行数据、道路上车辆类型、车辆流量、车外音视频数据等，可以毫无遗漏地被车内监控装置收集并传输给数据处理中心，甚至迅速到达位于境外的特斯拉数据处理基地。

　　张新宝谈到，值得注意的是，特斯拉等智能电动洗车除了通过大量收集和处理司机等的个人信息获得数据财产外，还通过其他方式获取车外数据。最典型的是智能汽车运行和停泊状态下对周围环境进行“街拍”，获得的不针对特定个人的数据，比如可能高于国家公开发布地图精度的测绘数据、汽车充电网的运行数据、道路上车辆类型、车辆流量等数据。智能电动汽车以上两种数据采集和处理，存在极大安全隐患，既包括对个人信息安全的隐患，更包括对社会乃至国家安全的隐患。比如，通过对“街拍”数据的稍加处理，定位国家安全场所等敏感地理位置、重要人物活动轨迹等。

　　对外经济贸易大学数字经济与法律创新研究中心执行主任许可表示，国家安全、公共安全、经济贸易发展以及个人信息保护是当前各国对数据跨境流动实行管控的主要因素。但对数据跨境流动要如何进行限制、是否要坚持数据自由流动原则等问题上，目前在世界范围内远未达成共识。

　　许可认为，在考虑数据跨境流动限制问题上，应当先清楚地认知到数字经济发展的特殊性，“数字经济和传统经济有本质区别，在其发展中运用的云计算、云存储等基础设施，具有‘无国界性’特征，数字经济发展伊始就是全球竞争的格局，因此对数据跨境流动的管控应当同时兼容安全和流动原则。”

　　《中华人民共和国数据安全法（草案）（二次审议稿）》第十一条明确规定：“国家积极开展数据领域国际交流与合作，参与数据安全相关国际规则和标准的制定，促进数据跨境安全、自由流动。”

　　许可认为，我国是经济全球化和自由贸易的参与者、受益者和倡导者，从自由贸易区到“一带一路”倡议，我国始终坚定支持开放、包容、共赢的全球化，促进全球贸易和投资自由化和便利化。同时，我国还是数字经济的引领者。数据安全法草案二审稿提出的数据跨境安全、自由流动的原则彰显了我国坚持对外开放与国际合作的基本立场，以及对国家安全问题的高度重视。

　　对重要数据出境重点管控

　　张新宝认为，基于数据安全的个人信息保护利益和国家安全利益考虑，限制特定个人的个人信息收集处理和出境、限制“街拍”获取周围环境数据的能力，要求数据的本地化处理和严格规范相关数据的跨境流动，是数据安全法和个人信息保护法的重要任务。

　　数据安全法草案二审稿第二十条明确，我国建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者公民、组织合法权益造成的危害程度，对数据实行分类分级保护，并确定重要数据目录，加强对重要数据的保护。

　　许可表示，按照我国数据安全法草案二审稿第三十条的规定，实际上目前我国把重要数据分为两类：一类是我国网络安全法规定的关乎信息基础设施的重要数据。网络安全法要求建立本地化存储和出境评估两种制度。另外一类是关键信息基础设施以外的其他重要数据，由国家网信部门会同国务院有关部门制定相关的出境安全管理办法。

　　许可表示，重要数据一直是我国出境管控的重点，具体如何认定重要数据是实行出境管控的基础。他认为，在对重要数据认定问题上，应当限制重要数据认定权授予、设置严格认定程序，同时还要强化认定结果监督。他建议由国家划定重要数据的类型，各地区在上述划定范围内有权确定本地区重要数据目录，在不同地区出现冲突的情况下，可上报国家网信部门决定。

　　中国法学会法治研究所研究员刘金瑞表示，我国立法应当明确重要数据的识别认定制度，可以规定重要数据识别认定的所涉领域、标准依据、负责部门和相应程序，构建统一的重要数据管控制度架构。具体来讲，可以“抽象概括+具体列举”方式规定重要数据所涉及的重要行业领域；考虑到不同领域数据存在的特殊性，将重要数据认定的负责部门设定为各领域各行业的主管部门较为妥当，例如规定“医疗健康领域的重要数据保护目录由国家卫生健康委员会认定”。

　　对数据跨境流动的管控，除涉及对数据出境问题外，还涉及对境外数据的调取。许可介绍，随着我国企业全球化布局的展开，我国数据领域立法适当扩展域外管辖权已是当务之急。在此问题上，数据安全法草案二审稿第二条延续并革新了网络安全法第七十五条关于域外保护性管辖权的规定，明确了在我国境外开展数据处理活动，损害我国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。

　　许可认为，为实现这一域外管辖权，与欧盟《一般数据保护条例》第五十八条类似，我国执法机关应当享有获取境外电子证据的权力，在境外数据调取的场合，当他国威胁我国的国家安全时，我国可以通过强化国家对跨境数据的控制力。