【建立数据出口管制制度】

国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。

【释义】

本条明确了对于维护国家安全和利益、履行国际义务相关的属于管制物项的数据进行出口管制的要求。在以数字为关键生产要素的数字经济高速发展的背景下，数据流动所产生的经济价值和社会价值日益凸显，随之而来的还有流动过程中产生的安全风险，国家安全、利益、个人隐私等都受到严重威胁，因此对数据流动进行规制，尤其是对处于全球各国各地区进行政策立法博弈的数据跨境流动进行规制是保障数据安全的重要手段。

本条并未对适用跨境流动情形下适用出口管制的数据类型或等级进行明确要求，实际上可以针对任何类型或等级的数据，只要数据属于“与维护国家安全和利益、履行国际义务相关的属于管制物项”，就可以依法对其实施出口管制。换言之，出口管制制度适用范围要求数据必须属于管制物项，且必须是基于履行国际义务和维护国家安全相关事项。根据《出口管制法》第2条第1款、第2款，两用物项、军品、核以及其他与维护国家安全和利益、履行防扩散等国际义务相关的货物、技术、服务等物项，包括物项相关的技术资料等数据在内都属于管制物项。本条也并未对“出口管制”的含义进行解释，《出口管制法》第2条第3款规定，本法所称出口管制，是指国家对从中华人民共和国境内向境外转移管制物项，以及中华人民共和国公民、法人和非法人组织向外国组织和个人提供管制物项，采取禁止或者限制性措施。本条并未对具体的管制范围、管制方式等进行明确规定，仍有待后续配套立法的进一步明确，但是将“数据”作为出口管制物项，事实上为后续重要数据以及个人非敏感数据、政府和公共部门的一般数据、行业非限制性技术数据等数据出口管制规则提供法律依据。(https://www.daowen.com)

本法第30～31条规定的重要数据出境评估制度、《网络安全法》《数据安全管理办法（征求意见稿）》及《个人信息保护法》中分别规定的关键信息基础设施运营者、网络运营者重要数据及个人信息的数据出境安全评估要求一起组成了我国对数据跨境流动的基本管理机制——“评估+管制”机制，通过设置数据跨境禁止和限制的模式来在一定程度上实现数据本地化的安全诉求。从目前关联条款的相关规定来看，国家建立的数据出口管制制度，很大程度可能会延续《出口管制法》《网络安全法》的规定，以出口许可作为实施手段，至于是否采取制定管制清单制度，如何实现数据出口管制与数据安全审查、数据出境安全评估等制度合理衔接则需要依靠有关部门的进一步细化规定。

事实上，在全球范围内，从国家安全角度限制数据活动及数据跨境十分常见。俄罗斯则是通过包括《俄罗斯联邦〈关于信息、信息技术和信息保护法〉修正案及个别互联网信息交流规范的修正案》《就“进一步明确互联网个人数据处理规范”对俄罗斯联邦系列法律的修正案》《俄罗斯联邦个人数据法》等在内的规定采取了数据存储本地化的刚性模式以加强对数据安全、国家安全的保护。^[5]

【关联规定】

《中华人民共和国网络安全法》第37条，《中华人民共和国出口管制法》第2条、第12条、第32条，《中华人民共和国密码法》第28条，《数据安全管理办法（征求意见稿）》第28条，《个人信息出境安全评估办法（征求意见稿）》第2条，《个人信息和重要数据出境安全评估办法（征求意见稿）》第2条、第9条

（撰稿人：徐实、赵精武）