棋局已改，迷雾未散：太平洋两岸对中国跨境新规的共同探索

棋局已改，迷雾未散：太平洋两岸对中国跨境新规的共同探索

作者：谭珊珊（Samm Sacks）、曾晨（Krystal Chen Zeng）、魏光明（Graham Webster）

原标题为：Moving Data, Moving Target: Uncertainties remain in China’s overhauled cross-border data transfer regime，发表于DIGICHINA

原文发表日期：2024年10月25日

注：经作者同意已对文章内容进行了部分修改

2024年3月22日，国家互联网信息办公室（网信办）发布了最新版本的中国数据出境管理规定。新的《促进和规范数据跨境流动规定》（简称“2024新规”）即刻生效，该规定放宽了诸多限制条件，同时也再次凸显了网信办在数据领域的监管权威。对于那些适用放宽条件的企业来说，这些规定在经历了多年令人生畏的不确定性之后，终于带来了解脱。此前冗长的报告周期、繁琐的材料准备以及漫长的审计等待时间，为依赖数据流动的企业制造了较为难以逾越的障碍，导致市场对中国营商环境产生了悲观的情绪。

虽然这些新规为部分企业减负，为其他企业指明了可能的解决方案，但这只是漫长监管不确定性故事中的一个插曲，并且远非终章。早在2016年《网络安全法》定稿时，人大就点明了某些数据出境转移需要通过严格意义上的行政审批。2021年的《个人信息保护法》扩大了这些要求，但具体规定被留给了监管机构，而监管机构当时尚未提供细节。2022年，网信办终于制定了填补这一空白的规定（《数据出境安全评估办法》，简称“2022办法”），但随着评估工作的缓慢推进，各方产生了不满的情绪。在2022办法生效一年后，政府似乎开始倾听各方意见，可能他们自己也感受到了沉重的行政负担：2023年9月，网信办发布了将取代繁琐办法的规定草案。正如国际律师事务所科文顿的专家们当时在一份具有代表性的评论中所写的那样，“如果按目前的形式通过，这份草案规定可能会显著减轻企业在过去几个月面临的负担。”而那份草案与当下生效的2024新规内容基本相同。

诸多中国学者将此次新规描绘为一项利好跨境贸易的举措。长期参与中国网络空间政策制定的北京理工大学教授洪延青将2024规定解读为北京在“经济与安全目标之间重新平衡”努力的成果。中国社会科学院的周辉指出，这些规定与今年向全国人民代表大会提交的国务院工作报告相呼应，该报告强调了与高标准国际经贸规则接轨的必要性。北京大学法学院教授王锡锌则注意到新规定传达的外交信息，试图消除外界对中国数据规则过分强调数据本地化的看法。

诚然，2024新规相对于2022办法呈现出更大的开放性导向。然而，如果不能阐明条文之间的不确定性，这种“开放”很有可能沦为一厢情愿。基于和中外企业的焦点访谈，本文着重探索新规中五个方面的不确定性：

首先，2024新规给“重要数据”的内涵带来了新的歧义。

其次，目前许多在华内外企业的数据传输规模太大，无法符合规定中的豁免条件，这意味着这些企业获得的便利有限，可能面临着要么对公司系统进行代价高昂的重新设计，要么将业务线撤出中国市场的选择。

第三，虽然中国的自由贸易试验区可能会制定进一步放宽个别行业限制或为大规模运营商提供减负的规则，但当局尚未完全明确企业如何才能获得这些优惠，例如是否需要通过在特定区域内重新注册或建立数据中心。

第四，我们仍不知道行政机关将如何解释数据传输“必要性”等概念，这将决定企业在多大程度上需要重新设计全球系统以隔离中国的数据和基础设施。

最后，网信办的行政机关在审核数据跨境审批的过程中仍然掌握较大的自主裁量。如果监管机构在实践中采取宽松态度，可能会提振市场信心；反之，如果执行过严，则可能加剧企业对在华经营的担忧。

本文着重探讨重要数据定义、数据规模阈值、自贸区政策创新以及"必要性"标准等问题，以分析中国正在发展完善的跨境数据体制中的明确和待定因素。这是对中国数据出境制度的一次现状梳理，既关注监管文本，也记录了专家见解，特别是中国国内的观点。文章同时指出了目前制度中需要进一步明确的空间。我们认为，中国的跨境数据体制将继续完善，这种完善不仅体现在正在探索新框架的自贸区，也将通过监管实践逐步形成更清晰的规则导向。

在中国跨境数据流动监管中，“重要数据”具有至关重要的地位。当《网络安全法》于2017年生效时，其第37条规定要求“关键信息基础设施”的运营者所收集或产生的重要数据必须存储在中国境内，且在向境外传输此类数据之前，需要按照当时即将出台的法规进行安全评估。2022办法和2024新规都部分旨在落实这一总体要求。

因此，什么样的数据可被认定为重要数据，这一问题已经困扰中国的数据处理者超过七年之久。根据2022办法，所有数据处理者在传输重要数据出境前都必须进行强制性安全评估。然而，“重要数据”这一概念的判断标准仍未完全明确，这导致各个机构不得不自行进行风险评估，在某些情况下，为避免某些数据可能被认定为重要数据，机构会主动选择不向境外传输这些数据。

这种不确定性似乎在2023规定草案中有望大幅减少，因为草案表明政府将会通知数据处理者是否持有重要数据。然而，在最终发布的草案中，网信办却引入了新的解读空间。根据2024新规第2条：“数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。”对第2条的一种解读是，即使在未收到官方通知的情况下，企业也可能需要自行负责识别和报告其是否持有重要数据。这表明对重要数据的识别已成为数据处理者与监管部门之间的共同责任。正如《地缘科技政治》的作者张鹏所言：“中国政策圈内的国家安全派认为，如果某些机构确实拥有相关部门或地区尚未通知的重要数据，而企业自身又没有主动识别和申报这些重要数据，这可能会构成重大的安全风险。”新规第2条的另一种解读方式是，在没有收到官方通知的情况下，数据处理者无需担心重要数据相关规定。事实上，第2条中这两种看似矛盾的思路同时存在于文本中，而政府的实践或指导似乎也未能澄清这一问题。

这种模棱两可的表述看来并非无心之失。今年9月发布、将于明年1月生效的《网络数据安全管理条例》第29条就采用了类似的措辞。一方面要求主管部门建立重要数据目录并及时告知企业，另一方面又强调企业要主动识别和申报重要数据。不过，监管部门似乎也在探索更精准的重要数据界定方式。正如张鹏分析指出，新条例对重要数据的定义更强调其与国家安全的关联性要“具体”且“精确”。虽然仍需进一步明确重要数据的范围，但国内标准体系提供了一些参考依据。比如TC260（全国信息安全标准化技术委员会）今年3月发布的《数据分类分级规则》，其第6.5b节和附录G就详细说明了如何识别重要数据。这个新标准实际上可以看作是取代了TC260在2022年发布的《重要数据识别指南》。

还有一个值得关注的问题：什么情况下个人信息会被视为重要数据？要知道个人信息主要是由2021年的《个人信息保护法》来规范的。新规第5条列出了一些个人信息出境可以“免评估”的情况（也就是不用做安全评估、签标准合同或进行认证）。但是，如果这些个人信息同时被认定为重要数据，就不能享受这个豁免待遇了。简言之，只要数据被定性为重要数据，就需要遵循重要数据的规则，不管其是否属于个人信息。

随着重要数据相关规定的不断完善和实践的深入，企业或许可以从中看到一些积极信号：监管机构似乎有意采取更精准的执法方式，特别是在当前经济形势下。但目前来看，监管机构在具体执行时仍有很大的解释空间。

2024新规最终版本与去年9月的征求意见稿相比，一个重要变化是调高了个人信息出境的规制门槛。从2022办法开始，中国就对不同规模的个人信息采取差异化管理。2022办法规定，出境超过10万人的个人信息（非敏感信息）需要安全评估。而到了2024新规，只有涉及超过100万人的数据传输才需要安全评估。对于10万到100万人之间的数据传输，只需要签订标准合同或进行认证即可。如果是不到10万人的非敏感个人信息，则可以直接传输，不需要任何审批手续。

这一调整无疑给中小企业带来了福音。监管部门在促进商业数据流动方面展现了积极态度，也体现了对企业诉求的回应。除了提高门槛外，2024新规还缩短了数据量的计算周期 - 只计算当年1月1日以后的数据传输，最多统计12个月。相比之下，2022办法是从上一年年初开始计算，也就是说到每年年底时都要统计整整24个月的数据传输量。

值得注意的是，在拥有约10.9亿网民的中国市场，突破100万用户并非难事。因此，对于用户规模较大的国内外企业而言，仍需要按照相关规定完成安全评估程序。

2024新规为企业提供了一个新的减轻跨境数据监管负担的途径：自由贸易试验区（简称自贸区）可以制定不同于全国统一标准的规定。2024新规第6条提到自贸区可以采用“负面清单”的方式来提供更清晰的指引。这里的负面清单借鉴了外商投资领域的概念 - 只列出受限或禁止的领域，未列入清单的则默认开放。运用到数据流动上，就是自贸区可以明确哪些类型的数据需要进行安全评估、签订标准合同或认证，其他数据则可以自由流动。这比正面清单（也叫白名单）的方式要更为开放，因为正面清单是除了列明的领域或情况外都有限制。

北航法学教授赵精武认为，这是对2023年国务院意见中提出的“可自由流动的一般数据清单”（本质上是个正面清单）的延伸。他还指出，自贸区的这些规则可能为中央层面进一步放宽限制提供参考。洪延青则表示，数据清单制度有助于中国参与国际贸易谈判，让政府能比通过法律或普遍适用的法规更快地调整政策，同时也能简化企业和政府部门的合规工作。在目前法律规定较为宽泛且模糊的情况下，负面清单加自贸区的组合可能为跨境数据传输提供一个更友好的环境。

这种让自贸区制定自己的跨境数据规则（需经省级网信部门批准）的做法，体现了中国一贯的“先试点、后推广”的治理模式，也为不同区域开展差异化探索提供了空间。这些地方性规则往往也是动态的，比如上海自贸区管委会就给其清单设置了一年有效期。创新性的安排可以续期，也可能不再延续。

目前自贸区正在积极出台新规则，不再是简单套用统一的数量门槛，而是针对不同场景、类型和数据量采取更灵活的方式。2024年以来，北京、上海、天津和福建走在了前列。但这些地区所发布的规则也已经展现出明显差异。比如在四个自贸区中，北京对零售和制药行业的敏感个人信息跨境传输设置了最宽松的数量门槛。而上海和平潭则没有调整数据出境量的门槛，而是列举了可以自由传输的一般数据类型。

虽然自贸区的数据传输规则已经开始落地，但这种灵活性如何发展还存在不少不确定性。首先，自贸区能在多大程度上偏离全国政策并不明确。2024新规提到，自贸区规则必须“在国家数据分类分级保护体系框架下”建立，这表明虽然具体方式可以不同，但数据传输规则的目标导向应该是一致的。此外，自贸区的整体自主权也在近年不断发展，2023年修订的《立法法》第84条特别提到上海和海南这两个地区的地方官员享有规制权。这两个地区可能有更大的自主空间，但这种自主性并非毫无限制，中央对这些地方法规的监督或审查机制也不够透明，仍是中国学者积极研究的领域。其他自贸区能否参照海南和上海的做法，或者说它们的行动自由是否会受到更多限制，这些问题目前都还没有明确答案。

其次，企业或其他数据处理者如何才能享受自贸区优惠的数据传输政策，这个问题还没有明确答案。上海和平潭的正面清单似乎只要求企业在自贸区注册并开展业务，并不限制数据必须来源于自贸区。那么，在其他地方注册的外企是否可以通过在自贸区设立子公司或与自贸区内的第三方合作来享受这些宽松政策呢？各个自贸区对数据中心或办公场所的位置要求是否一致？这些问题都还没有答案，但影响很大：对一些企业来说，变更注册地或搬迁办公室可能还算容易，但要搬迁大型数据中心就没那么简单了。

第三，虽然自贸区普遍想通过放宽管制来吸引企业，但这些地方性规定也可能带来新的不确定性。比如，平潭在通过正面清单开放特定领域的同时，还增加了额外的风险评估程序；上海也提出了其他需要满足的“管理性要求”。

最后，尽管2024新规为自贸区提供了更多试验空间，但仍有一些跨境数据活动处于灰色地带，这些领域不是数据清单和网信办的规定就能完全覆盖或豁免的。比如涉及国家安全的国际刑事调查，以及医疗、金融等需要多个部门共同监管的数据传输，这些都涉及网信办之外的其他强势部门。虽然2024新规发布实施后，各个自贸区已经开始建立差异化的数据传输制度，但随着地方法规的逐步出台和政策在实践中的落地，对企业和其他组织的实际影响还有待观察。

从《网络安全法》第37条确立中国跨境数据传输制度开始，就规定组织机构只有在“确需”的情况下才能传输相关数据。2024新规第5条的豁免条款虽然为正常商业运营提供了重要便利，但同样要求数据传输是“必要的”。那么，谁来判断什么是必要？如何判断？

企业和组织自己认为全球运营“必要”的数据传输，监管部门会认可吗？还是说监管部门会基于国家安全、经济或其他因素来做出自己的判断？这些问题目前都没有明确答案。同样，企业、律所乃至公众要想了解监管部门通常是如何处理跨境数据传输案件的，也需要一段时间。如果企业发现审批及时且相对宽松，自然会比较乐观；但如果听说审批过程拖沓或倾向于否决，就会更加悲观。由于行政裁量权的存在，中国的跨境数据传输制度能做到多大程度的可预测性，还是有限的。

虽然中国的跨境数据监管制度在过去一年有了重大进展，为一些主体减轻了合规负担，但无论是这个具体领域还是更广泛的数据治理领域都在持续演进。上文讨论的问题 - 重要数据这一类别如何影响数据流动、监管机构如何处理大规模数据、自贸区的政策创新、以及“必要性”在数据传输中的判定标准等 - 都将继续受到企业界和学术界的关注。监管机构的具体实践将逐步提供实证参考。

中国更大范围的数据治理框架也在不断发展。新成立的国家数据局作为国家发展和改革委员会下属的新机构，其在制定规则和执法方面的角色尚未明晰。各地的数据管理局也以不同形式和权限相继设立。同时，中国的法律学者和实务工作者正在研究国家层面和地方层面的法律法规之间可能存在的冲突。

在当今中国，数据对人工智能发展的重要性，以及产业界和政府充分挖掘数据经济价值的强烈意愿，都是推动变革的重要力量。与此同时，对国内外安全挑战的认识，以及对数据保护不力可能构成国家安全的隐患，也在影响政策走向。在跨境数据流动和其他政策领域，中国政府将继续根据这些因素调整政策。在2022办法实施后不久就出台2024新规，明显表明官方认识到之前的数据管制可能过严。在未来几个月里，我们将看到数据之门会开放到什么程度，以及会向谁开放。