【社會關注】數據跨境流動 風險應重視

隨著全球化、信息化與網路化的融合，數據安全問題不再僅與國內數據安全管理有關，跨境數據流動帶來的信息數據風險也與日俱增。目前，各國關於跨境個人數據最有效的監管途徑就是建立個人數據留存制度，構築技術性與制度性並重的數據防火牆，切實防止數據流失、泄露和濫用。

作為互聯網時代的後起國家，個人數據留存制度的建立仍未被提上議程，不僅在國家戰略層面未明確個人數據留存制度，《關於加強網路信息保護的決定》《網路安全法》等法律法規也未做出相應規定。隨著全面推進依法治國的深入與國際網路安全規則的日臻完善，確立個人數據留存制度的必要性和緊迫性日益凸顯。

首先，在戰略層面，應在國家網路安全戰略中涵蓋個人數據留存的內容。於2016年12月發布《國家網路空間安全戰略》，以維護在網路空間的主權、安全、發展利益。但是該戰略僅在概括層面上規定「建立大數據安全管理制度」，其側重點在於關鍵信息基礎設施及其數據的保護，並未對個人數據留存作出具體明確的規定。個人數據的內容構成複雜，除了直接的人身、財產信息關乎個人安全，還包括種族、基因等敏感信息，是國家戰略的重要內容。

對此，可以分兩步予以完善：第一步，在發布有關互聯網的國家戰略時，規定個人數據向境外傳輸的應在境內予以留存，明確對個人數據留存制度的鮮明立場；第二步，制定國家數據安全戰略，規定個人數據留存應遵循主權原則、依法留存原則、程序原則和合理原則，同時對留存主體、方法與路徑問題做出規定，為個人數據留存具體制度的出台提供方向指引。

其次，在立法層面，應在法律文件中具體規定個人數據留存制度。目前，不少國家對這一問題已經出台了具體法律規定。俄羅斯2015年生效的《個人數據保護法》就規定俄羅斯公民的個人信息數據只能存於俄境內的伺服器中，以實現數據本地化。歐盟2016年生效的《一般數據保護條例》在其第30條也對數據留存問題作了具體規定。應在借鑒他國有益經驗的基礎上，以維護國家網路主權為核心，在兩個層面對數據留存做出立法規定：第一，制定個人信息保護法，設置專門條款，明確專門的監管部門並就其監管責任、相關義務作出明確規定；第二，出台有關個人數據留存的專門行政法規或部門規章，構建個人數據留存的完整制度體系。

再次，在執法層面，應建立個人數據留存監管機制。目前互聯網監管呈現「九龍治水」的狀況，對個人數據的監管乏力，無法有效落實個人數據留存制度，應理順現有立法體制和模式，切實建立並強化個人數據留存管理監督機制。第一，明確個人數據留存的管理機構。應整合現有管理體制，確立個人數據留存協同管理模式，統一領導、統一執法，使管理主體明確化、具體化。第二，設立數據留存監督執法權，並使這些權力的具體內容公開化、程序化，使監督執法落到實處。第三，建立健全數據留存管理制度。應根據個人數據留存工作的性質特點，建立獨立的數據留存管理制度，規定管理模式、管理要求、管理流程等問題，推動個人數據留存工作的制度化、法治化。