（有温度的文字、有态度的声音，各有各精彩！）

当前，以数据为核心要素的数字经济，成为世界经济发展的新引擎。围绕数据要素的供给、流通和应用的全过程，传统的产业结构、技术架构、商业逻辑均有重大改变。与此同时，随着数据泄露、数据贩卖、个人隐私被侵犯等恶性事件频发，数据合规逐渐成为关注重点。

早在几年前，已出现很多与此相关的词，比如数据登记、数据流通、数据交易等。实事上，很多企业之间现在已形成了很成熟的数据的交易与流通。而近期最热的数据合作、数据入场，甚至全球关注的数据出境，都是数据交易领域的发展和延伸。但未来无论你手上有多少有价值的数据资产，只要想让企业的资源去完成对外的，不管是交流、买卖还是出境，就必须先完成数据合规，否则可能触及一些法律红线，刑事责任就成为企业数据业务面临的终极风险。可以说，数据合规是启动数据资源的先决条件。我国在数据合规方面有怎样的规定？企业应该如何做风险防范？

本期嘉宾：

佛山大学·法学与知识产权学院专任教师、佛山市网络安全专家讲师团成员黄韵

Q:如何理解“数据安全合规”这一概念？

A: 生产力由生产要素构成，数据是继土地、劳动力、资本、技术四大生产要素之后的第五大生产要素， 已成为发展新质生产力的关键，是可以给企业赋能的。数据合规是指企业与数据相关的经营活动合乎法律法规以及内部的要求，适用于消费者数据、生产数据、员工数据、财务记录等。广义的数据合规也包括网络运行安全、核心数据及重要数据管理、个人信息安全与隐私保护、商业数据合规应用等具体内容。

从数据处理的环节上看，数据合规涉及数据收集、使用、共享、传输、披露、存储、删除等通用场景下的合规工作，以及第三方数据处理、数据出境及境外数据处理等特定场景下的合规工作。

数据全生命周期包括数据采集、数据存储、数据处理、数据传输、数据交换、数据销毁这六个阶段。作为制造业企业，在处理数据的全生命周期的环节中，数据信息的安全威胁会位于工业生产制造的各个环节，并且不同威胁的成因相对复杂，同时相互交织蕴含着一定的风险，只有对企业制定相应的规则和要求，才能协同激励数据正向的作用，以及充分发挥它的自律功能和价值。

Q:目前我国在数据合规方面有怎样的规定？

A：目前与数据相关的法律法规主要有三大基本法：《 中华人民共和国网络安全法》（以下简称网络安全法）、《数据安全法》以及《个人信息保护法》。

《网络安全法》制订时间相对较早，是2017 年实施。它是我国第一部全面规范网络空间安全管理方面问题的基础性法律，是我国网络空间法治建设的重要里程碑，标志着自此我国网络安全相关工作有法可依。《网络安全法》强化了网络运行安全，重点保护关键信息基础设施，以及完善了网络安全义务和责任，加大了违法惩处力度等。

作为我国关于数据安全的首部律法，经历了三次审议与修改，《数据安全法》于2021年9月1日正式施行。它标志我国在数据安全领域有法可依，为各行业数据安全提供监管依据，主要是宏观地确立数据保护的相关制度，并对数据处理者提出相关的义务要求，它的范围更广，包括个人信息与非个人信息。如：制造业企业在智能化转型的过程当中，会运用、采集和处理很多方面的数据， 那么企业就是作为一个数据处理者。根据《数据安全法》的规定：一是对数据要进行分类分级的保护；二是对于处理重要数据，要设置数据安全的负责人和管理机构；三是要规定内部从业人员处理数据时，要有相    应的权限，并且还要进行持续地安全教育培训；四是对数据的处理活动还要开展定期风险评 估啊， 并向有关的主管部门报送风险评估报告。

而《个人信息保护法》则仅侧重于保护个人信息，但是相较于《数据安全法》，《个人信息保护法》提出了更多具体的场景，例如对个人信息、敏感信息应当基于全生命周期进行保护，对个人信息主体的权利、个人信息处理者面对信息主体提出的权利请求如何应对、应对不当相应的责任等都做出了规范。

此外，从2021 年以后，我们国家还加大了在网络安全、数据安全这一系列的立法。如2022 年的《数据出境安全评估办法》，《人脸识别技术应用安全管理规定》、《未成年人网络保护条例》和《个人信息处理中告知和同意的实施指南》等。其中，《数据出境安全评估办法》规定，数据处理者因业务需要确需向境外提供数据，符合数据出境安全评估适用情形的，应当根据《数据出境安全评估办法》规定，按照申报指南申报数据出境安全评估。因为很多企业，可能要在海外设公司，或者在海外有生产基地，或者跟国外有进行交易的过程中，涉及到数据的传输，那这就是数据出境；《未成年人网络保护条例》明确指出，未成年人的网络素养教育应当围绕“网络道德意识形成、网络法治观念培养、网络使用能力建设、人身财产安全保护”等方面展开；《人脸识别技术应用安全管理规定》则明确，使用人脸识别技术处理人脸信息应当取得个人的单独同意或者依法取得书面同意……可以说，从最早的立法到后面的一系列的行政法规，以及相应的一些国标和设定，我们现在数据安全方面的立法在不断完善中，且执法的依据也在不断清晰。

Q: 什么是数据跨境流动？请结合案例。

A：数据跨境流动，也叫数据跨境传输。目前，国际上对跨境数据流动的概念界定还存在差异，一般认为数据跨境是指任何正在转移数据到其他司法管辖区或是转移到其他司法管辖区之后意图再转移的行为，即可以理解为“数据从一法域被转移至另一法域的行为”或“跨越国界对存储在计算机中的机器可读数据进行处理”。举个例子，位于C国的某跨国企业子公司通过企业内部系统，将数据传输至位于另一司法管辖区的总部。这其中有一种特殊情况是“跨境数据采集”，比如该跨国企业的员工使用内部系统填报个人信息，而该系统的服务器与该员工所在地不属于同一司法管辖区。其次，“跨境访问”是指数据的访问方基于某种需求，访问位于另一法域的系统服务器，读取其数据库中的部分或全部数据并进行一定的自动化处理动作。例如，某跨国企业在D国为B国境内的客户提供系统远程运维服务。

综合来看，跨境数据流动可分为两类：一类是数据跨越国界的传输、处理与存储；另一类是尽管数据尚未跨越国界，但能够被第三国主体进行访问。目前，由于难以在全球范围内部署服务器，这种跨境采集情况大量存在。

Q:数据出境管制措施应该不是我国特有的吧，对于数据跨境流动，其他国家做了哪些规制？

A：数据出境是现今生活生产中很普遍的情况。跨境数据流动是进行数字贸易的前提，但各国对于跨境数据流动的规制持有不同立场。当前，庞大、复杂的经济活动产生了海量、多样和即时的数据，作为一种新型的生产要素，数据已经成为数字时代的基础性资源和战略性资源。

目前，欧美都高度关注数据出境的监管。其中，欧盟GDPR对个人数据出境的监管已经相对成型，包括了充分性认定、集团有效规则、标准合同条款、认证等机制，每一个机制都有配套的实施细则。在非个人数据向外流动监管上，欧盟《非个人数据自由流动条例》对内要求成员国之间自由流动，但向境外流动方面则正拟通过《数据治理法》和《数据市场法》加以明确。美国则通过《外国投资风险审查现代化法》《出口管制条例》《受控非密信息行政令》等法律法规限制数据向外流动。据统计，截至2023年5月，已有70多个国家和地区对数据跨境流动有所规制，超过180个区域贸易协定中增设了包括数据跨境流动在内的数字贸易规则专门章节或专门条款。

文图 | 佛山市新闻传媒中心记者钟晴

音频 | 佛山市新闻传媒中心记者钟晴