2024数据跨境实践探索白皮书

数据跨境实践探索白皮书 2024年7月 版权声明 本报告版权属北京国际大数据交易所有限责任公司所有，并受法律保护。转载、编撰或其他方式使用本报告文字或观点，应注明“来源：《数据跨境实践探索白皮书（简版）》”。违反上述声明者，将追究其相关法律责任。 编写单位 （排名不分先后） 北京国际大数据交易所有限责任公司北京理工大学 对外经济贸易大学首都经济贸易大学 北京市科学技术研究院北京市金杜律师事务所北京市环球律师事务所北京数风科技有限公司 目录 引言1 第一章全球数据跨境概况2 一、全球数据跨境的现状与趋势2 二、数据跨境需求分析3 第二章全球数据跨境政策法规体系概览4 一、全球数据跨境治理体系特点4 二、相关重点国际组织数据跨境规则概要5 三、相关重点国际贸易协定的数据跨境规则概要5 四、重点区域和国家数据跨境规则概要6 第三章我国的数据跨境政策法规体系7 一、发展历程和特点8 二、政策法规的特点8 三、数据出境合规路径8 第四章我国自贸试验区数据跨境政策创新与实践10 一、数据清单制定思路11 二、各地区积极探索11 三、挑战与难点12 第五章我国重点行业企业数据跨境实践分析13 一、企业数据跨境实践概述13 二、重点行业数据跨境研究14 （一）金融行业14 （二）汽车行业14 （三）医疗行业15 （四）跨境电商15 （五）民用航空15 （六）人工智能行业16 第六章启示与展望17 附录目录18 引言 自二十世纪80年代经济合作组织（OECD）首提“跨境数据流动”（Trans-borderDataFlow）以来，伴随着全球化进程，人流、物流、资金流、信息流等均在全球范围内大规模流动，跨境贸易、跨境金融、跨境交通等诸多领域的国际合作高度依赖于数据的跨境流动，数据在其中承载着推动传统国际治理朝向未来升级和变革的重要历史使命。 数据跨境流动是国际竞争与合作中讨论最火热、博弈最激烈、矛盾亦最突出的问题。数据跨境流动涉及国家安全、公共利益、商业利益、个人信息保护等诸多方面问题，愈来愈频繁的数据跨境流动给全球经济带来红利，同时也带来了愈来愈多的安全风险和监管挑战。因此，如何安全有序地保障和促进跨境数据流动，成为个人、企业和国家间利益博弈的焦点。 在数字经济已经成为新时代经济发展重要引擎的背景下，做好数字经济发展顶层设计和体制机制建设，是推动数字经济更好地服务和融入新发展格局的必然要求。在安全与发展之间，在限制流动与鼓励利用之间，几大法域间形成了风格各异的制度特征。中国已按照分类分级管理的思路，针对不同类型的数据制定了不同的跨境流动方案，同时积极寻求加入区域性贸易协定，努力推动数据跨境“科学流动”。 第一章全球数据跨境概况 当前，数据作为新兴的战略资源和生产要素，其跨境流动已成为全球数字经济增长的新动能。数据跨境流动在促进国际经贸合作、加速科技创新的同时，也引发了全球对个人隐私安全、经济安全、国家安全的担忧。尤其是随着网络空间与地缘政治、产业竞争、经贸关系等领域紧密结合，数据跨境流动成为当前全球最为关注、最为复杂的议题之一。基于此，本章将着重介绍全球数据跨境的现状与趋势，同时对数据跨境进行需求分析。 一、全球数据跨境的现状与趋势 在科技的引领下，全球数字化时代已然来临。在新的场域中，各国家和地区间对数据跨境流动的依赖不会减少，只会增加。更加安全、顺畅的数据跨境流动既是全球的主流共识和研究热点，又是世界历史和人类发展进程的客观要求。 数据跨境规则构成国际数字营商环境的重要组成部分，如何统筹安全与发展，如何吸引和留住企业，防止因数据跨境规则问题而引致的企业外流，是对各国家和地区政策法规制定者的考验。 随着各国家和地区对各行业普遍适用的综合性个人信息和数据安全保护政策法规的制定实施和全球性的移借复制，加之对数据出境安全风险不确定性的担忧，全球数据跨境流动监管呈现复杂化态势。 近年来，我国数字经济呈现出爆发式增长态势，中国不仅是数字贸易大国，同时也是数据流动大国，2021年中国数据跨境流动量约占全球的23%，到2025年将位居全球数据圈之首，占比27.8%，中国领跑全球数据跨境流动。可以预见，未来，数据跨境监管趋严与数据跨境有序流动将成为并驾齐驱的两大趋势。 二、数据跨境需求分析 一般而言，数据跨境需求分为商业需求和司法执法需求。商业需求指的是商务和运营意义上企业与个人间、企业与企业间的数据跨境流动需求，司法执法需求指的是由境外司法、行政监管要求等引发的证据调取等数据跨境流动需求。 商业需求又可分为两种情况，一是企业开展跨境业务引发的数据跨境传输需求；二是跨国公司因内部运营管理需要产生的数据跨境需求。司法执法需求亦可分为司法和执法两种场景，其触发数据跨境传输需求的主要原因，一是涉外诉讼中境外司法机关要求跨境调取证据；二是境外监管部门履行监管和调查职能时对赴境外上市企业、跨国公司所涉境外分支机构等相关数据提出监管合规要求。 第二章全球数据跨境政策法规体系概览 随着经济全球化进程的推进和国际交流合作的增多，各国对数据跨境流动的意义和影响的认识逐渐深化，使得数据跨境流动成为国家和地区间博弈的关键议题。在综合考虑国家安全、经济发展、隐私保护和技术能力等多方面因素的基础上，各国和地区制定了不同的数据跨境流动策略，并据此加快构建和完善自身的数据跨境流动规则体系。本章就全球数据跨境治理体系特点，以及相关重点国际组织、国家和地区和国际贸易协定的数据跨境规则进行详细介绍。 一、全球数据跨境治理体系特点 全球跨境数据流动的治理是维护国际经济秩序、保护国家安全和促进数据自由流动之间平衡的关键。随着数字经济的蓬勃发展，跨境数据流动已成为全球贸易和投资不可或缺的一部分，对全球经济格局产生了深远的影响。有效的数据治理机制对于保障数据的合法、安全和高效流动至关重要，它不仅关系到全球市场的健康发展，也是实现全球数字经济潜力的前提。全球数据跨境治理体系呈现出治理目标多元化、跨境数据流动的多维化、自由与禁止两极下多种治理模式的并行博弈的特点。 二、相关重点国际组织数据跨境规则概要 由于各国经济发展越来越受到数据跨境转移的影响，全球不同国家和地区的数据保护立法给数据跨境转移造成了影响。以欧美国家为主的经济合作与发展组织（OECD）发布了《关于隐私保护和个人数据跨境转移的指南》（《OECD指南》），以亚太地区国家为主的亚洲太平洋经济合作组织（Asia-PacificEconomicCooperation，简称APEC）形成了APEC跨境隐私规则体系，而东南亚国家联盟（ASEAN）则针对数据跨境出台了许多相关文件。 三、相关重点国际贸易协定的数据跨境规则概要 除了各国出台数据跨境相关的规则外，各重要国际贸易协定也针对数据跨境达成了多项共识。以美国主导的《跨太平洋伙伴关系协定》TPP为基础框架的《全面与进步跨太平洋伙伴关系协定》（CPTPP）于2017年12月30日生效。新加坡牵头的《数字经济伙伴关系协定》（DEPA）从多方面协调一致实现了数据安全流动、参与者互信的数字营商环境。由东盟发起的区域全面经济伙伴关系协定（RegionalComprehensiveEconomicPartnership，简称RCEP）历经8年时间，经各方努力，于2021年11月2日获得符合生效门槛的多国核准。 四、重点区域和国家数据跨境规则概要 作为全球数据保护和隐私法规的领导者，欧盟一直致力于在保护个人隐私和促进数据自由流动之间找到平衡。美国的数据保护法律体系是一个由多层级法律构成的复杂框架，这种分散化的方法与欧盟的全面统一立法策略形成鲜明对比。日本是OECD和APEC的成员国，并被列入了欧盟《通用数据保护条例》的“白名单”。新加坡则作为全球贸易自由化程度最高的经济体之一，在尊重和保护个人隐私的前提下，对数据的跨境流动采取了比较开放的态度。 第三章我国的数据跨境政策法规体系 近年来，我国已经发展成为数字贸易大国，积极构建海量数据。根据IDC的预测，我国的数据量在2021—2025年间平均增长速度为30%左右，将成为全球数据量最大的国家。随着国际贸易和数字服务进出口规模的持续扩大，跨境流通的数据量持续增加，我国跨境数据流通呈现规模化、区域化的特点。为保障国家数据安全，保护个人信息权益，促进数据开发利用，加强数据安全管理和个人信息保护，积极推动数据跨境安全、促进数据依法有序自由流动，我国制定出台了多部与数据跨境流动相关的法律法规。本章着重介绍我国的数据跨境政策法规体系的发展历程、特点以及合规路径等内容。 我国目前正式出台了《数据出境安全评估办法》《网络安全法》《数据安全法》和《促进和规范数据跨境流动规定》等文件，从立法视角看，势必将推动我国数据跨境流动的制度规则更加清晰完善。 一、发展历程和特点 伴随国内数据领域政策法规体系的形成与发展，数据跨境政策法规体系主要经历了三个阶段。第一阶段（2011至2014年）是数据跨境制度初探阶段，分部门、分领域建立数据本地化和出境管制规定，第二阶段（2015至2020年）是《网络安全法》背景下数据跨境治理从“诸法分立”走向“协调统一”，第三阶段（2021年至今）则是政策法规体系逐步成熟与稳步落地阶段。 二、政策法规的特点 从国际化角度来看，我国关于跨境数据流动的法律规制模式是独立于“欧美模式”之外的第三种模式。这种模式既是基于我国独有的中国特色社会主义现状和国情，也是对当前我国所处国际环境和国际化发展需要的一种体现。根据我国有关跨境数据流动的法律规制文献和条款内容、法律规制原则两部分内容，总结出我国跨境数据流动的法律规制具有将维护国家数据安全与数据主权放在首位、注重数据“动”和“静”两面安全、注重数据开放和国际交流合作这三个方面的特点。 三、数据出境合规路径 明确数据出境合规路径有助于保护个人信息、防范化解企业跨国经营数据安全风险、促进数字经济健康发展，并能够确保数据在跨境传输和存储过程中得到充分保护、符合相关法律法规的要求。当前，我国数据合规管理制度日趋完善，数据跨境监管下的合规出境通路主要采取“3+X”模式，其中“3”代表三种已经法律确认的向境外提供数据的 合规路径，分别为通过国家网信部门组织的安全评估、按照国家网信部门的规定经专业机构进行个人信息保护认证以及按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；“X”代表依据法律、行政法规或者国家网信部门规定的其他条件出境的合规路径，此项兜底条款给未来数据出境制度释放了一定的弹性空间。 第四章我国自贸试验区数据跨境政策创新与实践 在数字化浪潮的推动下，数据跨境流动已成为推动数字经济发展的关键力量。我国出台的《促进和规范数据跨境流动规定》中明确指示自由贸易试验区在国家数据分类分级保护制度框架下，可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单等。作为数据跨境流动的前沿阵地，我国自贸试验区在这一领域展开了积极的探索和实践，这些试验区不仅是连接国内外数据流动的桥梁，更是推动数据要素市场化、国际化的重要引擎。本章将对我国自贸试验区数据跨境政策创新以及北京、天津、上海、粤港澳大湾区等自贸区在数据跨境流动方面的实践探索进行详细梳理。 自贸试验区的便利化数据跨境流动解决方案的探索为制度创新提供了实践平台，有助于完善法律法规。通过在实践中发现问题和挑战，可以为国家层面的立法提供经验和参考，推动形成更加成熟和完善的便利化数据跨境流动管理制度。 一、数据清单制定思路 在编制数据清单的过程中，各自贸试验区深入研究入驻企业所属行业、企业的数据出境需求、国家战略需求以及风险可控性等因素，确保清单的制定符合国家的发展战略。 在选定数据清单行业后，各自贸试验区相继展开重点行业数据清单的编制工作。鉴于各自贸试验区实际情况、总体规划和发展方向的差异，以及区内入驻行业企业的多样化特点，各自贸试验区紧密结合区内企业的实际出境需求，有针对性地选择重点行业并制定相应的数据清单。 二、