前言

       大数据时代的到来，一方面为全球数字经济发展带来了机遇，在另一方面也给数据安全带来了挑战。受经济全球化影响，国家之间的商贸关系越来越密切，人类商业命运共同体理念应运而生。

        在此过程中，各生产要素在全球范围内频繁流动，其中包括但不限于企业的数据要素。任何硬币都有正反两面，企业数据的跨境流动活跃，意味着发展活力较强，但也容易让企业陷入数据合规危机。

        因此，企业需要寻求科学合理的数据跨境合规管理体系，保证其在合法合规的道上循轨而行，奔赴属于自己的阳关大道。

数据跨境的内涵

        一般而言，“数据”是指对客观事物进行记录并予以识别的符号。从数据的主体来看，可以分为个人数据、商业数据以及公共数据。不同类型数据的保护涉及不同的利益取舍：

    ●个人数据：个人人格权和隐私权的保护

    ●商业数据：数据的政策以及出口

    ●公共数据：国家的数据安全、公共利益以及数据主权

         跨境一般可见于贸易或者人员跨境，即以地理位置为界认定是否有物品或人员的移动。例如，跨越国境的行为可被认定为跨境。

        然而在网络空间中，网络的无边界性导致如何认定一国之“边境”成为数据跨境认定的一大难点。

       其次，数据流动是双向的，跨境中可能面临境内向境外、境外向境内，或者境外向境外但途径境内几种情况。数据跨境涉及范围之广是数据跨境认定的另一大难点。

如何判断数据是否跨境呢？

       首先，我国《个人信息保护法》第三章和《出境评估办法》第二条明确指出，其规制的是数据的“提供”行为。根据《信息安全技术数据出境安全评估指南（征求意见稿）》（以下简称《评估指南》）第3.7条规定，数据出境(data cross-border transfer)网络运营者通过网络等方式，将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据，通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。

        其次，是否跨境并不必然根据数据接收方地理位置的判断。《评估指南》第3.7条注明，向本国境内，但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据。下面举几个例子：

一、向本国境内机构提供数据

        “跨境”或者“出境”并不仅是指地理上跨越国境的行为，也包括一个司法管辖地区到另一个司法管辖地区的行为。现有如下情形，某机构虽在本国境内设立，但该机构不属于本国司法管辖。如驻外使馆，其不属于派遣国的国家领土，而属于驻在国的国家领土，并且不受驻在国的司法管辖。在此情形下，向驻外使馆提供数据的行为属于数据出境行为。

二、数据被境外机构、组织、个人访问查看

       医疗机构在进行国际合作，开展科学研究、产品研发等项目的过程中，可能需要将健康医疗数据与国外合作项目人员共享。

三、网络运营者集团内部数据由境内转移至境外

       由于境外子公司必须接受当地政府的监管，或者需要取得境外机构认定的资质，所以需要向境外披露一定的经营信息。

       上述三种常见场景均属于实际意义上的数据“出境”行为。

       此外，非在境内运营中收集和产生的个人信息和重要数据经由本国出境，未经任何变动或加工处理的；非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境，不涉及境内运营中收集和产生的个人信息和重要数据的，上述两种行为不属于数据出境。

结语

        结合上述关于数据跨境的内涵，数据跨境合规治理主要包括：明确管控数据对象、摸查关键情形场景、识别外部合规需求、开展数据跨境风险评估、数据跨境风险治理以及重要数据合规延展等，是一项系统性工程。面对数据合规危机和复杂的经营环境，企业针对跨境数据搭建合规体系，是促进企业高质量发展的理性之举。

封面素材丨部分来源于网络

文案编辑丨黄彩萍、邵静楠、黄骏铭

图文排版丨黄骏铭

责任编辑丨黄彩萍、邵静楠、黄嘉仪、刘炜聪