【完善法規】後續立法 分層設定出境數據監管

將於9月1日開始實施的《數據安全法》，提出建立數據分級分類管理制度，對國家核心數據更加嚴格保護。個人信息保護法已經過人大常委會二審，按計劃將於今年年內通過審議。據支振鋒介紹，中國的《數據安全法》從立法一審到三審，只用了1年多時間，「出台很快但並不代表立法倉促，對數據安全的監管早在幾年前就開始醞釀。」

翻查資料，早在2015年頒布的《國家安全法》已將數據安全納入國家安全的範疇。2016年發布、於2017年正式實施的《網絡安全法》引入了網絡數據的概念。2020年6月，12部委聯合發布《網絡安全審查辦法》，推動建立國家網絡安全審查工作機制，以確保關鍵信息基礎設施供應鏈安全，維護國家安全。而此次對滴滴等平台的網絡安全審查，正是《網絡安全法》《網絡安全審查辦法》生效之後首次公開進行的網絡安全審查程序。

對於未來監管趨勢，「《網絡安全法》的規定仍然相對比較籠統，並未對重要數據出境安全的評估範圍、標準、等級和程序等進行明確規定等，也沒有數據跨境流動監管的國際合作機制，難以滿足數據多樣化的數據出境需求。」支振鋒指，未來需要出台很多相關配套法規。就數據跨境流動而言，從國家安全、商業利益、個人信息權益等角度出發，可以按來源和重要程度，將跨境數據劃分為個人數據、商業數據、特種行業數據，並設定不同的數據出境審核要求和監管標準。

敏感行業數據出境需更審慎

不少專家指出，雖然中國圍繞數據安全的法律體系不斷完善，但在涉及數字產品和服務的存儲使用、內容審查、隱私保護等方面的基礎立法尚不完善，相關標準規範存在滯後，具體監管制度也有待細化。此外，有業內專家建議，針對電信、金融、石油、電力等關鍵行業數據跨境流動，應採取更審慎的安全風險評估制度，並進一步明確安全風險評估機構的資格認定、評估標準、程序及結果管理等。

支振鋒也認為，「無論是個人信息數據還是企業商業數據，凡涉及國家安全、公共利益的數據原則禁止出境，對僅涉及數據主體利益、商業利益的數據應允許有條件出境，並可以要求數據控制主體履行一定的自查義務。」