第四章  网络安全与数据合规管理



              地化存储原则，该法第 37 条明确要求关键信息基础设施运营者应当将在中国境
              内收集和产生的个人信息和重要数据存储在境内。该法出台后不久，微软、亚马
              逊、苹果等其他国家互联网巨头纷纷在华设立数据中心，并将存储在其他国家的
              中国用户数据一并迁至国内数据中心，以满足数据本地化存储的合规要求。2021

              年 9 月 1 日生效的《数据安全法》和同年 11 月 1 日生效的《个人信息保护法》
              承继了这一要求。在一些特定行业的部门法和管理文件中，也同样存在诸多数据
              跨境规范，明确了数据本地化存储原则。
                  （二）数据出境安全评估机制

                  为顺应全球数据自由流动趋势，推动中国数字企业“走出去”，中国允许数
              据经安全评估后出境。根据《网络安全法》《数据安全法》《个人信息保护法》，
              数据出境安全评估的对象为个人信息和重要数据，如果数据处理者跨境传输的数
              据不涉及前二者，则无需进行安全评估。由于上述三部法律仅对数据出境安全评

              估进行了原则性规定，并未涉及数据出境安全评估的标准、程序等制度规范，中
              国先后颁布多部配套规范，具体落实数据出境安全评估机制。目前主要参考的配
              套规范包括目前主要参考的配套规范包括《数据出境安全评估办法》《数据出境
              安全评估申报指南（第一版）》《数据出境安全评估申报指南》《个人信息和重

              要数据出境安全评估办法（征求意见稿）》（简称《评估办法一（征求意见稿）》）、
              《个人信息出境安全评估办法（征求意见稿）》（简称《评估办法二（征求意见
              稿）》）、《网络数据安全管理条例（征求意见稿）》（简称《网安条例（征求
              意见稿）》）等。其中，《数据出境安全评估办法》和《数据出境安全评估申报

              指南（第一版）》已于 2022 年 9 月正式施行，进一步明确了数据出境安全评估
              的监管主体、评估对象和实施流程等内容，但在实施过程中仍需要更加细化，具
              体实施效果如何仍有待实践检验。


                  二、企业数据跨境合规的风险与困境

                  数据跨境流动是企业在国际贸易中的业务需求，随着数字经济以及全球化的
              深入发展，数据领域与产业竞争、经贸关系等各种议题相结合，越来越成为国家
              间博弈的复杂领域之一。国家间的博弈势必影响国家的经贸政策，中国企业在全

              球化趋势下不断地开展海外业务，在这种复杂的各国博弈形势下，企业在数据跨
              境流动方面面临风险以及合规困境。


                                                                                     159