近日，國家互聯網信息辦公室發布關于《數據出境安全評估辦法（征求意見稿）》（以下簡稱《辦法》）公開征求意見的通知。中國信息安全研究院副院長左曉棟接受人民網采訪時表示，《辦法》是《網絡安全法》《數據安全法》和《個人信息保護法》共同確立的數據出境安全評估制度的落地細則，數據流動與國家安全和公民權益密切相關，各國都在完備數據出境相關安全管理制度。

《辦法》出臺的必要性和迫切性體現在哪？

在左曉棟看來，《網絡安全法》第37條首次規定了數據出境安全評估制度，但范圍只限定在“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據”。事實上，很多數據出境行為未必同關鍵信息基礎設施相關，因此《網絡安全法》的規定是不完善的，大量應當規范的數據出境行為沒有得到規范，為國家安全留下了漏洞。“據此，《數據安全法》從重要數據出境方面進行彌補，《個人信息保護法》從個人信息出境方面進行彌補。”左曉棟補充說。

“《個人信息保護法》第40條規定，關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者，應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的，應當通過國家網信部門組織的安全評估。這次《辦法》即明確了法律提出的“處理個人信息達到國家網信部門規定數量”。同時，《個人信息保護法》第38條還規定，個人信息處理者因業務等需要，確需向境外提供個人信息的，應當具備該條所列的幾種不同的條件，其中的條件之一便是通過網信部門組織的評估。左曉棟指出，與重要數據不同，并非所有的個人信息出境都要經過網信部門的評估。但確需評估時，要依照《辦法》進行。

國外關于數據出境安全的通行做法是怎么樣的？

在左曉棟看來，數據流動是客觀需求，但這個問題又與國家安全和公民權益密切相關，所以各國都在建立自己的數據出境安全管理制度，但在管理模式上，各國做法不盡相同。如美國、日本等國主張數據自由流動，反對施加出境條件，但其他多數國家和地區都在法律層面作出了規制，數據出境安全評估就是其中的一種制度。總體看，我國的數據出境安全管理制度與國外是銜接的，也充分參考了國際通行做法。

電子科技大學公共管理學院副教授賈開認為，應從兩個維度來理解數據出境安全管理的制度意義。一方面，數據出境安全管理制度建設是為了在數字經濟全球化背景下，維系本國數據安全的重要舉措；另一方面，數據出境安全管理制度是與他國進行談判以實現數據跨境流動，從而融入數字經濟全球化的基礎與前提。

從融入數字經濟全球化的視角來看，賈開還表示，國外針對數據出境的安全管理模式大致可分為兩個方面：一方面，盡管本國與他國的數據治理制度不同，但雙方仍然相互認可各自制度在數據安全和個人數據權利保護方面的充分性，因而允許數據在雙方之間的跨境流動；另一方面，雙方并不承認各自制度的充分性，但可就局部區域或特定企業的數據跨境流動達成共識，以形成不同形式的“白名單”制度。

“可以這么認為，《辦法》奠定了我國數據出境安全管理的基本制度框架，并在管理機制上與國外實現了銜接與兼容。接下來要做的，便是基于《辦法》的制度框架，與其他國家實現互認或局部互認，從而真正發揮《辦法》在維系數據安全的前提下推進數字經濟全球化的積極作用。”賈開說。

互聯網企業今后如何化解合規風險？

賈開分析認為互聯網企業化解合規風險，需高度重視以下三項工作。

首先，應加強對各國數據治理制度的研究與學習，將數據治理合規工作視為實現企業價值的關鍵，而非企業的負擔。需要意識到，數字化轉型進程的深入使得國家數據安全維系和個人數據隱私保護已經成為企業運行的基準線，更好的數據治理效果將成為推動企業高質量發展的關鍵。

其次，應主動探索、完善、創新數據跨境流動的合同范本，提升風險自評估的水平并力爭轉換為國家標準乃至國際標準。數據跨境流動的業務場景十分復雜，企業應積極結合業務特點探索多元化、多重性合同范本，以支撐并豐富國家制度在執行層面的具體內涵。

最后，當不同國家制度差異影響企業數據跨境流動，或者造成企業合規困境時，應杜絕規避思想，在堅持本國數據安全的前提下，靈活地探索創新數據出境管理模式。