数据跨境流动应坚持三个“不危害”原则 - 网安 - 专业的网络安全产业、社区、知识平台

由于数据跨境流动跨越国别，涉及国际法、国际规则及他国的法律管辖，因此较国内的数据开放共享更为复杂。数据跨境流动至少应坚持以下三个“不危害”原则。

不危害国家安全利益

利用先进的大数据分析技术，往往能通过跨境流动的数据分析出与国家政治、经济、社会等各个领域息息相关的重要信息，一旦这些关键数据流动到境外，很有可能会影响数据主体国家的安全。以经济安全为例，有些大型跨国公司在某国开展业务，如果将数据传回本国，就可通过分析回传到主服务器上的某国居民消费数据，分析出该国居民的消费趋势，甚至预测出该国的经济发展走势，这对于该国的经济发展来说不失为一种安全威胁。事实上，互联网企业在发展海外业务时，往往需要在海外收集或产生大量数据，并将其传回本国的处理器或总部进行分析，而这些数据有可能会触及数据来源国的国家安全利益。目前，很多国家出于安全考虑，都加大了对数据跨境流动的监管力度。因此，不危害国家安全利益应该成为数据跨境流动坚持的首要原则。

不危害企业商业利益

除了不能危害国家安全外，数据的跨境流动也不能危害企业的商业利益。尤其在经济迈向全球化的今天，跨国合作已成为企业在日益激烈的国际竞争中谋求发展的重要形式之一。通过跨国合作的研发模式，不仅能够使资源、资金等得到充分利用，还有助于合作双方互相借鉴对方先进的管理与技术经验，激发创新思维，为企业创造发展的新空间。跨国合作必然离不开数据的跨境流动，倘若流动出境的数据涉及企业的基础核心技术、资金来源、财务紧张程度及行业市场规模等重要信息，那么数据接收方或其他经手者就可通过这些企业信息蓄意破坏或扰乱数据来源企业的生产业务，或通过分析这些核心数据得到不公正的优势，生产与该企业相类似或更优良的产品，以抢占国际市场，因而对数据来源企业造成巨大的财产损失，甚至影响数据来源企业所在国家的国际竞争优势。

不危害个人信息

2018年，苹果公司被曝在没有告知用户并获得许可的情况下私自通过iPad和iPhone手机收集用户的行踪信息，用于建立用户位置信息数据库，并将境内用户信息传递到境外数据库上。事件一经曝光，立即将跨境数据中的个人信息保护问题置于风口浪尖。如今，无论是注册App账号，还是使用云存储软件，或者是购置新移动设备等，都离不开对个人信息的设置以及收集使用授权。常见的个人信息包括用户姓名、性别、身份证号码以及通信地址，个别网站或设备还会要求用户提供出生日期、工作单位等详细信息。而且，用户在使用电子设备或浏览网页时，一些服务器还会自动生成该用户的行为数据，如常浏览的信息类型、日常上网的时间及位置信息等。这些数据看起来似乎微不足道，但蕴藏着巨大的价值。如果放任其流动出境，极有可能对本国公民的个人信息带来侵害。例如，通过分析用户的位置信息，可以得到其活动轨迹，进而推断出职业，因而严重侵害用户的隐私；现在一些银行允许客户通过上传他们的护照扫描件来开设账户，这些证件资料也就很可能会被攻击者用来开设银行账户，并以受害者的名义获得贷款。数据跨境流动可能对数据主体的隐私或财产带来威胁，因此，不危害个人信息也应作为数据跨境流动须遵循的原则之一。

完善跨境数据流动的法律体系

数据跨境流动应遵循“不危害国家安全利益、不危害企业商业利益、不危害个人信息”三个原则。基于此，我国应在现有法律制度的基础上，进一步完善数据跨境流动的法律体系。

一是在《网络安全法》确立的网络安全管理框架下，制定跨境流动的个人信息及重要数据保护法，以保障数据跨境流动中数据主体的合法权利。

二是建立数据跨境流动的配套法律体系。政府与大型成熟跨境企业联合，共同研究行业级的数据跨境流动安全管理规范，在电子商务、云服务、金融等重要领域率先出台行业数据跨境流动标准，细化各行业数据跨境流动的法律法规，提高行业监管的可操作性，明确数据收集、使用、加工、传输全生命周期的具体措施，加强事前风险研判与监测。

三是积极参与国际平台关于数据跨境流动规则的探讨和磋商。数据跨境流动是国家之间的问题，我国应利用多边、双边机制推进发展中国家数据跨境流动机制的建设，以增强在数据跨境流动领域的国际话语权。

加强数据跨境流动监管

一是保障国家安全，严格监管重点领域的数据跨境流动。对通信、能源、交通、水利、金融、公共服务及电子政务等关键信息基础设施和重点领域的数据跨境流动提出严格的监管要求，控制总量数据和核心数据流出。

二是制定数据分类分级监管体系，对数据跨境流动实施分级分类管理。分行业明确重要数据的范畴，可借鉴国际经验，针对金融等涉及关键基础设施的重点领域进行数据跨境流动限制，设立数据跨境流动监管机构，对企业数据跨境流动进行实时的风险评估和梯度管理，为企业数据跨境流动提供必要的指导。

三是加大数据跨境流动管理方面的研究，以应对可能面临的数据跨境流动问题。政府可联合企业、高校、科研机构等组建专业的研究团队，对数据跨境流动监管问题进行全面深入的研究。

督促企业落实数据跨境流动的安全主体责任

一是建立企业内部数据跨境流动管理制度。在数据分级分类管理、约束合作方、保护数据主体隐私等方面形成企业内部数据规则体系，明确数据采集、运输、存储、使用等各环节的具体安全管理要求，落实对跨境数据的安全保护责任。可由行业龙头型企业主导建立跨境数据保护制度和标准，并向全行业推广实施。龙头型企业也可以借鉴国外经验，建立数据跨境流动“透明度报告”制度，为我国企业的数据跨境流动提供指导。

二是企业加强跨境数据安全监测。对存储在境内的数据定期开展安全检查，对涉及出境的数据在出境前依照相关规定进行风险评估和安全审查。同时，加大对基于大数据的关键安全技术研发的投入，研究基于大数据的网络攻击追踪方法，提升数据安全保护技术水平。

三是提升企业对数据跨境流动的安全保护责任意识。企业通过开展宣传活动以及内部培训，确保相关人员明晰跨境数据保护的相关法律法规、管理机制、具体管理要求以及相关惩罚措施，承担起对数据的保护责任。