随着新的数据退出规则的酝酿，跨国企业将面临多少挑战？

本篇文章5972字，读完约15分钟

随着新的数据退出规则的酝酿，跨国企业将面临多少挑战？ 从2月28日起，苹果在mainland China的iCloud服务由跨境存储转移到云贵州大数据产业发展有限公司。为了遵守中国的互联网安全法规，苹果公司首次在美国境外传输了诸如iCloud密钥(用于访问账户的大部分内容)等数据，这引起了全世界的关注。

自2月28日起，苹果在mainland China的iCloud服务已由跨境存储转移至尚云贵州工业发展有限公司。为了遵守中国的互联网安全法规，苹果公司首次在美国境外传输了诸如iCloud密钥(用于访问账户的大部分内容)等数据，这引起了全世界的关注。

基于《网络安全法》的中国数据出口配套法律法规立法正在进行中。提供云服务等关键基础服务的科技公司已经采取了行动。配套法规和标准的制定和实施将建立一个适用于所有数据控制器的严格的中国数据出口执行系统。

由于这将对数据合规性和业务产生影响，跨国公司对此反应强烈。我一直在密切关注它，并已开始准备各种行动和计划。一家跨国公司的法律总监告诉《财经》。

对出境数据的严格监管极大地影响了在华跨国企业，尤其是2C跨国公司和互联网公司的合规性和业务调整。

2013年发生在美国的棱镜门事件敲响了数据离开美国的警钟。自那时以来，各国对数据的跨境流动频繁采取监管和立法行动。中国数据退出系统框架的登陆会带来什么影响？

新规则正在酝酿

《网络安全法》第37条规定，境内关键信息基础设施运营商收集和生成的个人信息和重要数据应存储在境内，如果需要在境外提供，应进行安全评估。

由于保护互联网的基本法空,《互联网安全法》的这一规定明确规定了中国对数据退出问题的基本立法态度。由于该规定的模糊性，该规定自2017年6月1日起实施，一直在等待相应的细则出台。

正是这些支持性的法律法规将决定“网络安全法”将在哪里切断数据出境的这把刀。

《关键信息基础设施安全保护条例》、《个人信息和重要数据跨境安全评估办法》(以下简称《评估办法》)和《信息安全技术数据出站安全评估指引》(以下简称《评估指引》)分别于2017年4月11日、7月11日和8月底公开征求意见，对相应的概念、权限和出站程序进行了明确说明。

什么是数据输出？根据《评估办法》，这意味着网络运营商将向海外机构、组织和个人提供其在中国运营期间收集和生成的个人信息和重要数据。根据目前的解释，即使它位于中国，但可以从国外访问，或在一个集团内不同跨国公司之间的数据流，它仍然被提供。

从跨境电子商务、全球数据资产管理系统到大数据服务，全球数据跨境流动正在迅速增长。

2016年2月，麦肯锡全球研究所发布了“数字全球化:新时代的全球流动”统计报告。从2005年到2014年，全球数据流量增长了45倍，从4.8兆位/秒增长到211兆位/秒。数据流对全球经济增长的贡献已经超过了传统的跨境贸易和投资。它不仅支持几乎所有其他类型的全球化活动，包括商品、服务、资本、人才等，而且还发挥着日益独立的作用。

与此背景相反，由于国家和社会保障等多重需求，各国政府对数据退出进行监管。

关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等领域，以及其他可能严重危害国家安全、国计民生和公共利益的设施，一旦遭到破坏、功能丧失或数据泄露。相应的保护条例已经停止接受公众意见，尚未发布。

然而，关键的信息基础设施是静态的，而数据是流动的。

北京大学互联网发展研究中心高级顾问洪延庆表示，当互联网公司和其他私人公司取代以前的政府部门，拥有越来越多的数据，无法纳入关键信息基础设施的范围时，如何监管这些公司的退出安全风险，是立法机构亟待解决的问题。因此，与关键信息基础设施的静态定义不同，数据出境的安全法规分为两个级别，即个人信息和重要数据。

在个人信息保护方面，中国和国际社会有着相同的基本要求。另一方面，就重要数据的跨境流动而言，安全法规对本地化的要求很高。

个人信息是指以电子方式或其他方式记录的各种信息，这些信息可以单独识别自然人的个人身份，也可以与其他信息结合使用，包括但不限于姓名、出生日期、身份号码、个人生物特征信息、地址、电话号码等。自然人的。

根据《评估方法》，个人信息必须由个人信息主体明确授权才能出国。离开这个国家是必要和正当的。对于敏感数据和达到一定级别的数据，他们只能在通过安全风险评估后才能离开该国。

在世界范围内大规模个人信息披露事件频繁发生的情况下，对个人信息出境的监管已成为国际主流立法共识。例如，2017年9月，美国信贷机构Equifax遭到黑客攻击后，数百万敏感信息，如个人社会保险号、生日、地址和20多万张信用卡信息被盗。据估计，1.43亿人受到了伊克法克斯入侵的影响，相当于美国人口的一半。

根据《评估办法》，对于包含或累计包含50万人以上的个人信息，或数据量超过1000GB，且包含各类敏感和关键信息基础设施相关数据的，需由行业主管或监管部门进行评估，并在出境前报批。

《评估指南》列举了电力、金融、运输、军事和电子商务等27个领域的重要数据。

例如，在电子商务领域，重要数据包括但不限于电子商务平台上的个人注册信息，包括姓名、性别、年龄、地址、婚姻、教育背景、职业、收入、账户和联系信息:电子商务交易记录，以及相关的个人消费习惯和偏好以及企业运营数据；等等。

对于重要数据，网络运营商需要在出国前根据情况进行自我评估或由主管部门进行评估。

由于《评估指南》附录A中27个行业的重要数据范围太广，许多跨国公司和外国公司担心，草案公布后，可能会对其正常经营产生重大影响。

对此，《财经》记者了解到，此前版本的《评估指南》征求意见稿将进行大幅调整，重要数据的范围将大幅缩小至更合理的范围，以确保从安全角度规范数据出境的理念得以落实，避免影响相关公司业务的正常运营和发展。

中国电子技术标准化研究院信息安全研究中心评审部技术总监何艳哲指出，即使它被列为重要数据，也不意味着数据不能被导出，而是需要安全评估。例如，数据的离开是否是日常运行的必然要求，数据发送方和数据接收方是否具有技术保护和管理体系保障的能力，以及接收国或地区的整体法律环境评估等。

这个过程的建立并不是用不切实际的过程来阻碍企业的日常运作。评估过程是对企业数据退出系统的检查。通过可操作的评估流程和检查，合法合规的数据仍然可以安全地存在。

哪些公司和行业受到影响

跨国公司对出境数据监管细则的颁布影响最大。大多数跨国公司进行全球化管理，集团内部的日常业务数据经常跨境流动。特别是对于互联网公司来说，服务器不会在每个国家都安装。子公司用于集中处理客户信息和日常业务数据。

对于许多本地化程度较低的公司来说，他们在中国的团队主要是营销团队，具体的业务处理和产品研发都在海外总部进行。

北京证券律师事务所合伙人王芯蕊指出，新规将对这些公司提出更高的要求。如果对大量敏感个人信息或重要数据的退出有限制，将来需要在中国成立一个本地团队来处理这些数据。

此外，2C跨国公司的再营销也会受到业务方面的影响，需要进行合规性调整。

王芯蕊说，许多公司在中国的客户调查中收集了更多的个人信息。根据《评估方法》，如果不进行需求评估，必须首先获得客户的同意，在进行目的评估和安全机制评估等自我评估过程后，需要主管部门的批准才能达到一定的水平。

问题是，公司无意为客户分析和服务而收集的营销信息和数据，尤其是离线收集的数据，获得客户的同意。王芯蕊说，企业是否涉及大量个人信息和本地化程度将决定它是否受到这些法规的很大影响。然而，总的来说，跨国公司面临着遵守的压力。

依赖大数据和人工智能的公司会发生什么？

以自动驾驶为例。安律师事务所高级法律顾问何姗姗告诉《财经》，新规将对这些企业的合规性和业务发展产生更大影响。例如，自动驾驶汽车会自动收集周围的情况，如拍摄、记录位置和轨迹等。驾驶时，所有这些都需要将数据收集到中央系统中，以便对场景进行统一分析、解释和模拟。

然而，事实上，与道路和交通安全相关的数据在世界上更加敏感。在新法规中，与地图、位置和道路交通相关的数据自然被列为重要数据。如果不可能离开这个国家，可能导致其最终产品只适合中国市场，难以与国际市场接轨。

对于自动驾驶行业来说，数据退出的困难只是它面临的众多法律和合规障碍之一。然而，对于近年来在中国迅速发展的跨境电子商务而言，可能的合规压力更为紧迫，因为业务必须依赖跨境数据传输。

对于跨境电子商务和跨境支付等公司，《评估指南》附录A包含几乎所有类型的电子商务和邮政数据。如果安全评估程序复杂，这些退出频率高的分散业务将受到很大影响。

目前，数据退出的具体流程和细则尚未发布。不过，何艳哲强调，在大多数情况下，安全评估是由企业独立进行的，不影响正常业务，并将包括合理合法的退出场景。

例如，跨境电子商务背景下的个人购买行为和信息在《评估指南》中被明确定义为合理的使用场景，并且可以通过安全自我评估流程顺利导出。

是否将合理的数据退出场景纳入严格和不合理的程序性评估，是当前立法过程中行业最重要的一点，也是未来数据退出法规实施和顺利落地的关键。

何艳哲直言不讳地表示，出境安全评估并不妨碍合规和正常业务，如跨国企业员工的信息是否可以传递给母公司，中国公民是否可以在海外进行支付，跨境网上购物是否可以传递等。业务不会因为安全评估需求而停滞不前。

公安部第三研究所网络安全法研究中心主任黄道立也表示，应注意不同企业规模和类型的不同合规特征。例如，中小企业可能没有严格按照标准化执行。首先，成本是有限的，其次，它是不必要的。因此，应体现强制性标准和准则，以满足不同企业的合规需求。并非所有网络运营商都是关键的信息基础设施。

此外，需要考虑适当的过渡。例如，在当前的法规中，既没有启动年度网络安全风险和退出安全评估报告的强制性年度法规(《网络安全法》第38条和《评估办法》第12条)，也没有关于多久才能达到的法规。如果法律得到严格执行，该报告将于2017年发布。报告是否准备好是监管机构、关键信息基础设施和普通网络运营商都需要回答的问题。

流动游戏

《网络安全法》的制定和实施旨在维护国家网络主权和国家安全及社会公共利益，保护公民、法人和其他组织的权益，而不是限制外国企业、技术和产品进入中国市场，或依法限制数据的有序自由流动。2017年5月31日，国家互联网信息办公室网络安全协调局局长在就《网络安全法》实施相关问题回答记者提问时强调，该规定中的重要数据是指国家，而不是指企业和个人。

美国使用的个人信息数据保护框架是亚太经合组织的跨境隐私框架(CPBR)。其基本逻辑是，只要双方遵循同一套原则来保护个人信息，自由数据传输就可以不受阻碍地进行。此前，美国向世贸组织提交的一份报告建议，中国也应该使用同样的框架。

洪延庆认为，因为美国没有定义重要的数据概念，所以它也不希望中国定义这些概念。然而，事实上，尽管没有统一的法规来明确这一点，但美国的做法是通过事先协议、法规要求和合同形式将与关键信息基础架构相对应的重要数据保存在国内。然而，中国的解决机制是通过明确统一的法律法规将立法放在前面，导致双方的侧重点不同。

在国际上，个人信息和重要数据的退出给国家安全带来的风险也引发了一波立法浪潮。

自2010年以来，韩国、越南、俄罗斯、澳大利亚等国家要求个人信息和重要数据的本地存储以及对数据离开的严格监管。

2013年斯诺登泄密事件引发的棱镜门事件被认为是重视数据出口监管的起点。斯诺登事件后，出于对美国政府的不信任，欧洲法院于2015年宣布安全港无效。美国和欧盟之间成千上万家公司的数据流量符合法律规定，true 空。直到2016年7月，双方才谈判达成一项数据流隐私保护协议，该协议规定了更高的保护标准，并对欧盟公民的个人信息安全承担更多责任。

欧盟数据保护专员乔瓦尼。乔瓦尼·巴塔雷利是美国和欧洲之间新隐私保护协议第29条数据保护工作组的成员。在2018年1月接受《财经》采访时，他表示，与安全港相比，隐私保护取得了许多进展，但仍有许多重大问题需要解决。

他说隐私保护只是解决了部分数据流问题。跨境数据流是不可避免的。欧盟希望在需求方面与包括中国在内的国家开展更多合作，如国家层面的对话、双方的相互承认以及执法层面的互动。

事实上，从个人信息保护和国家安全的角度来看，跨境数据流的经济价值和数据离境监管制度是否必然是一种自然的冲突关系，并没有完善的证据支持。

黄道礼说，事实上，主要国家的数据政策包括这两个部分，但它们在不同时期有不同的侧重点或视角。许多国家一方面立法进行数据本地化(本地化的形式不同)，另一方面要求数据跨境流动。与此同时，如果一个国家加强其数据本地化立法，其他国家的压力反应自然要求数据跨越国界。所有国家都明白，数据的价值在于流动和交换，流动和交换要求数据通过的国家提供安全保护，特别是个人信息和重要数据。总的来说，协调比冲突更重要，每一方需要的不仅仅是单独的对抗。

2015年，美国推动并领导了《跨太平洋伙伴关系协定》的制定。原则之一是支持跨境数据的自由流动，反对其他国家施加的限制和其他国家的本地数据存储要求。然而，美国总统特朗普刚上任就宣布退出TPP，引发了人们对数据本地化和存储趋势正在上升的猜测。

全球移动通信系统协会(GSMA)发布的《2017年数字经济》指出，建立和完善跨境数据流隐私保护规则意义重大。包括跨境数据流在内的各种数据行为都必须基于可信的数字环境，这就需要一个完全负责的机制来保证。

中国不是一个大数据流入国。自然，这不同于美国在拥有大多数互联网巨头的前提下成为自然数据流入国的情况。首先，它必须成为一个强大的数据安全保护国家。

此外，如果中国对数据出境的限制过于严格，可能会导致其他国家的报复性待遇，从而导致大型中国企业在出海时面临数据合规问题。

事实上，像阿里、腾讯和小米这样的互联网公司，除了像华为这样的早期专利和商标之类的知识产权之外，还将在本地数据保留和安全保护问题上遭遇冲突，这将成为未来国与国之间产业游戏的焦点之一。

无论如何，数据本地化和存储的要求，以及目前正在制定的数据偏离监管框架，仍然需要填补目前缺乏可操作性和监管的法律空以实现未来的完全着陆。

总体而言，黄道礼强调配套制度需要与立法初衷相衔接。不应有大的偏差或过度解释，否则稳定性将受到质疑。第二，现行立法规定相对原则。许多具体条款被推至支持系统和规范性文件，规范性文件被推至指导方针、准则和标准。这些现象有其原因，如技术发展和中立性、法律稳健性要求和滞后性等。，但认识到这些问题是相关部门加强配套实施和监督的前提。