2019大数据产业峰会|北大洪延青：数据跨境流动博弈——从贸易谈判谈起

国内的政策和立场。这些是现有的本地化，就是《网络安全法》之前的，无论是数据本地化或者禁止数据往外流动的一些规定的摘要，大家可以看到人口、健康、网络出版、保险、网约车都有类似的数据要留在本地，或者不得向境外提供的规则。《网络安全法》对数据的主要规定，刚才那些规定是《网络安全法》之前，现在我们来看《网络安全法》的规定。我自己划成了，对数据主要有三层监管要求，第一个是技术上的要求，我们都很理解，完整性、保密性、可用性，《网络安全法》第十条基本上用了这样的语言，大家学习的第一章都是安全的目标，主要是完整性、保密性、可用性。个人信息主要在第四十到第四十四条，《网络安全法》还有一个创新，就是站在国家层面提出数据保护安全的要求，突出体现了第37条，站在国家角度，中间那个是站在个人角度，最上面这层是任何企业只要拿到数据都应该有这个义务去做好安全。

总结起来很简单，如果要理解《网络安全法》对数据的主要规定的话就是这三层。大家从这儿也可以理解为什么要做《数据安全管理办法》，因为《网络安全法》对重要数据只在出境环节做了规定，前几个环节没写，大家看重要数据的字也没有在前几个出现，个人信息《网络安全法》的表述太原则性，操作性不强，中央网信办出的《数据安全管理办法》从这两个方面提出了更高的要求。

将来我们能从《数据安全管理办法》可以看出来我们国家基本上是沿着这样一个出境管控的思路。对于个人信息，对于出境说要提出评估，对于个人信息的出境规定另见其他办法，总体意思就是把重要数据和个人信息拆开用两套出境的思路做管控。对于重要数据就是要做评估，这个在《数据安全管理办法》也明确了。对于个人信息，由于本地化的必要程度不像重要数据那么高，为什么？因为个人信息本地化有一定的必要程度，比如数据在欧盟境内或者我们人跑到欧盟境内，我们可能那一时段的数据享受被遗忘权、反对权、自动化决策的权利，但是人回到中国以后又不享受这个权利了。所以本地化有一定的意义，但是这个意义不是绝对的，因为很多时候可以通过合同把这些给扩展出去。但是重要数据出境评估就比较严苛，企业首先要做自评估，在特定的情况下监管还会再做一次评估，对重要数据《办法》中也说，相关部门要批准。所以我们可以看到大概沿着这么一个金字塔，如果是最底层的技术安全，纯粹技术安全，地点不太确定，真正的技术安全的顺序，很难说微软在美国做的云的水平就不如在中国做的水平，这个跟地点没关系，主要是跟能力有关系。所以本地化，我觉得在个人信息和重要数据里面相关，国内可能会沿着这么一个路径去设计出境的动作。

我们要把这个框架挪到WTO的框架来看，中间这个地方，个人信息保护可能因为欧美也想做，所以这一块政策空间是有的，但是对重要数据那一块，在欧美新的条款里面已经不承认有所谓的正当的公共政策目标了，他认为要么就国家安全，要么就个人信息，重要数据和数据安全、技术上的安全都不属于你有理由把数据留在本地或者管控数据流动的这么一个理由了，在这个情况下，接下来我们的谈判，大家从前几天WTO对外发布的通讯可以看到，咱们国家商务部也是不断强调数据跨境流动比较复杂，需要更多的研究，而不应该很快做出决定。总体来看前景就是不明朗，美欧都是牵着手大家一起往前走，希望更进一步自由化的趋势和政策目标，但是咱们国家或者说其他的发展中国家，我今天跟大家分享只是我们去年写的报告的一小部分，中间还对巴西、日本、韩国等等，无论是发达国家还是发展中国家都做了分析，巴西跟我们的诉求是比较相近的。今年、明年两三年的谈判中大家可以关注这一点，国际上签的协定空间决定了我们在国内监管的时候，我们的主管部门或者我们接下来几位专家学者要讲的这几个监管，就是各类型数据安全的保护，多大程度上我们国家能够放开手脚做这样一个监管的规定，很大程度上取决于贸易规定是怎么规定的。

我今天就是给大家抛一个砖，20分钟给大家讲一下国际上现在的趋势或者现在的情况是这样的，更多的是为后面几位学者讲国内的情况做一个铺垫，谢谢大家。  

（编辑：应用网_阳江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!