CCF YOCSEF重庆于2023年7月22日，在重庆市渝北区腾讯西南总部举办了以“如何走出数据跨境流通的困局？”为主题的观点论坛。

本次论坛邀请到北京德恒（重庆）律师事务所高级顾问赵长江、重庆百君律师事务所网络安全与数据合规部李晓磊主任、绿盟科技集团股份有限公司高级数据安全专家陈怀源、某企业法务王耀辉作引导发言。参会人员包括来自重庆大学、西南大学、重庆师范大学、重庆邮电大学、重庆交通大学、重庆三峡学院等高校的教师代表，还包括来自腾讯、百度、重庆崇锐科技、中国科学院重庆绿色智能技术研究院、广电奇安、数盾奇安、威爱云、重庆云算、重庆森和等公司企业代表。此次观点论坛由CCF YOCSEF重庆副主席祝清意、AC委员张杰共同担任执行主席。

图1学界业界参会人员合影

首先，执行主席祝清意介绍了CCF YOCSEF的文化，强调了思辨过程中的平等性、严格计时原则和思辨问话，并随后介绍了举办此次论坛的背景。本次论坛将围绕数据跨境流通和数据跨境安全的相关问题开展讨论。

图2 执行主席祝清意介绍论坛背景

引导发言一：数据跨境流通中的技术风险与合规应对

图3 引导嘉宾赵长江发言

在引导嘉宾发言环节，赵长江介绍了数据出境安全评估申报指南，数据出境何境外接收方处理数据的目的、范围、方式等合法性，正当性。赵长江认为，数据跨境并非是低频行为，它必须先完成数据合规，而且数据跨境流通的障碍更多的在于国内企业数据合规水平在意识、制度等方面的普遍落后。律所的优势是上升到公司战略层面、统筹各方力量、建立三位一体的整体逻辑、搭建沟通渠道。

引导发言二：数据要素跨境流通的风险评估与合规新范式

图4 引导嘉宾李晓磊发言

李晓磊围绕数据要素跨境流通的风险评估，提出顶层设计+动静结合+一体化的新范式。李晓磊从滴滴公司的数据违规被罚款的案例入手，提出识别数据跨境流通风险的特殊之处，并将其总结为“动静交织，性质多样”的数据出境的风险类别。最后，李晓磊围绕数据跨境流通的新范式，进一步介绍的顶层设计中的《区域全面经济伙伴关系协定》（RECP），《通用数据保护条例》（GDPR），《亚太经合组织》（APEC）等内容。

引导发言三：保障数据依法有序流动，护航企业数据出境合规

图5 引导嘉宾陈怀源发言

陈怀源进行了《保障数据依法有序流动，护航企业数据出境合规》报告，介绍了企业如何撰写数据安全出境评估要点分析、数据出境治理体系建设、数据出境管理体系等。陈怀源在随后的报告中详解介绍了绿盟数据出境安全实践思路-“六步走”，即对研判企业是否涉及数据出境、数据盘点与计算、研判数据出境合规途径、数据出境安全自评估、数据出境治理体系建设-完善数据出境管理体系、申报数据出境安全评估六个阶段，并围绕相关问题进行了细致的阐述。

引导发言四：企业数据跨境的需求、实践与困境

图6 引导嘉宾王耀辉发言

王耀辉以《企业数据跨境的需求、实践与困境》为题，介绍了如何实现技术与法律的融合。并介绍了数据出境面临的问题。王耀辉从企业的角度出发，从数据跨境之中数据采集需求、数据存储需求、数据传输需求、数据处理需求和数据删除销毁需求几个角度阐述了企业对于数据跨境方面面临的困境，并详细梳理了如何实现技术与法律的融合的痛点，比如海量数据背景下企业合规成本较高，重要数据识别较难，重要数据判断主体尚未确定等问题。

在思辨环节中，与会人员针对此次论坛的主题进行了深入交流。

思辨议题1：数据跨境流通的面临的最大挑战是什么？法律冲突还是技术制约？

图7 思辨环节议题1

针对数据跨境流通的挑战，与会人员们开展了激烈的讨论。赵长江认为，当前最大的挑战在于国内企业合规比较落后，数据出境各个地方网信部门还没有统一标准，数据安全意识还不够。张路提出，最大挑战应该是法律制约，往往是客户不知道要做什么，并且由于主管单位跨区域，针对数据跨境的相关法律法规难以统一。贾韬则表示反对，他认为成本还是在技术层面，目前等保成本在降低，技术上更规范的技术标准能更高效的解决数据出境问题。蒋仕新则认为，监管允许的前提下才能开展的各项数据流通活动，所以首先要满足法律合规，其认为最大的冲突在于法律，技术在于为此服务。金一认为，需求场景定义了数据流通框架，因此首先需明确价值点，才能在技术上加以制约和保障。另外，国外流通回国的数据也是值得讨论的一个方面。杨韬、高宇、冯玉明、张晓光、张扬、黎岩松、胡春强、闫东方和何盼也针对这一问题，分别发表了各自的观点。

思辨议题2：“价值”与“安全”，数据跨境安全评估应该从哪个维度突破？

图8 思辨环节议题2

针对这一话题，李晓磊认为法律和技术维度旨在促进数据安全流通。对企业来说，价值关系企业生存发展；对国家来说，安全关系数据主权。针对数据出境风险认知不确定的现状，可以考虑以行业为突破口，先做好符合行业和企业实际的具有可操作性之指导标准，从而满足企业追求生存发展价值需求与满足国家安全监管基本要求之平衡。王耀辉提出，从公司成本考量，价值是公司业务是否出境的核心考量，然而同时也必须满足国家法律前提。冉银认为，更应该着重考虑价值与安全的平衡点，在基础安全得到保证前提下，企业可以在合理的范围内寻求更大价值。张晓光认为，安全应该进行分级，比如当牵涉到国家安全的，必须要采用更高的安全等保；而对企业来说无牵涉国家安全，可以满足国家法律的要求前提下，需求更高价值，帮助企业的发展。张扬则反对提出，突破的维度应该更注重价值方面评估突破，监管是因为价值高，损害利益的可能性大，价值是推动数据矿井安全评估的重要原因。刘影也认为价值为先，首先要意识到数据的价值，才能意识到数据的安全。随后，秀华、高宇、冯骥、岩松、春强等也各自站在价值或安全的角度发表了各自的看法。

议题3：律所和安全企业，谁应该主导数据跨境安全评估？

图9 思辨环节议题3

陈怀源、赵长江首先从各自的角度阐述了在数据跨境安全评估中，安全企业和律所分别起到的作用。随后李晓磊提出，律所在数据跨境安全评估方面，能够秉持法律法规推进数据跨境安全评估。孙德福作为安全企业，认为律所更适合主导评估，但是在数据安全评估之后，为了保证企业的数据安全，企业更适合将数据安全的内容进行具体落地。陈怀源补充说到，企业在进行数据跨境安全评估后，可以无缝衔接企业在数据安全相关的后续工作，这也是安全公司相对于律所的优势。潘越认为，因为数据安全的评估是由数据安全公司的产品进行认定，且数据安全企业在数据安全相关的标准制定和法律法规研读上是有一定的人员优势，因此在评估层面安全企业更有优势。刘影则认为，谁来主导并不是特别的重要，更为重要的是如何在各方的协同下进一步推进数据跨境安全评估。李晓磊补充提出，二者实际上是一体的，而对企业来说，更为重要的是如何让各方更早的介入安全评估，从技术、法律、管理三个维度促进多方的深度合作，进一步推动数据合规的落地，而不是简单的形成一个基本的评估报告。随后黎岩松、张晓光、何盼等人都对于这一问题发表了各自的看法，并进行了激烈的争论。

最终，论坛在嘉宾的思维碰撞中结束，执行主席祝清意和张杰对论坛进行了简要总结，并在总结之后邀请CCF YOCSEF重庆主席春艳对引导嘉宾、到场人员及工作人员表示感谢。

图10 论坛总结