引言：2017年6月1日，《网络安全法》正式实施，作为我国网络安全领域的首部基础性法律，内容十分丰富，奠定了中国网络安全保护和网络空间治理的基本框架，是引导我国网信事业沿着健康安全轨道运行的指南针，具有里程碑意义。《网络安全法》集中体现了网络空间各利益相关方普遍关心的问题，确定了网络建设、运营、维护和使用网络，以及网络安全监管等多项法律规范和制度，这些规范和制度相互影响、相互作用、相互协调，形成了一个维护网络空间安全的闭环系统。

为了配合《网络安全法》的宣传与贯彻，普及我国首部网络安全法，笔者将对《网络安全法》中的重要法律制度进行系列解读，本期解读：重要数据本地化储存法律制度。数据本地化存储（data localization），指主权国家通过制定法律或规则限制本国数据向境外流动。关键信息基础设施重要数据的储存、利用、控制和管辖是国家主权框架下“数据主权”的行使，其基本的规则是任何本国或者外国公司在采集和存储与个人信息和关键领域相关数据时，必须使用主权国家境内的服务器。伴随着云计算、大数据和物联网的发展，跨境数据流动的数量在不断增加，据国际电信联盟（ITU）的统计，2015年全球通过互联网的跨境数据量已超过1ZB（1ZB等于一万亿GB）。在如此庞大的跨境数据传输中，如果没有数据主权保护和跨境流动的法律机制，将有可能直接影响个人的隐私和自由乃至一个国家的经济运行，最终危及到国家安全。

目前，大约有二十多个国家对数据的本国境内存储提出了相关的安排，俄罗斯、澳大利亚以及多个国家通过立法的形式对数据的流动进行动态调整和控制。《欧盟个人数据保护指令》规定，在进行数据转移之前，除了需要满足欧明法律的要求，还必须满足各成员国的法律要求。如某一成员国法律要求，把雇员的个人数据转移到欧盟意外的国家时，采集这些数据时，雇员必须得到通知。如果数据采集之前没有通知雇员本人，数据就不能转移处境，及时有关各方已经签订了数据转移合同或者是也能找到其他专一的法律依据。2012年，韩国发布的《信息通信网络的促进利用与信息保护法》明确规定，政府有权要求网络服务经营者或用户采取必要的手段防止任何有关工业、经济、科学、技术等重要领域的网络数据向境外流动。2016年2月9日，美国公布《网络安全国家行动计划》，其中包括建立由顶尖的企业与技术专家组成的“国家网络安全促进委员会”（Commission on Enhancing National Cybersecurity），共同制定计划及政策发展路线，强化网络安全意识，保护隐私、公共安全，维护经济、国家安全并保证美国拥有更强大的数字安全控制能力，促进联邦、州和本地政府以及企业间的合作。而2015年公布的《关键基础设施网络安全框架》，则对美国大数据、应用隔离、物联网安全等多方面进行了具体规定。然而，在不断强化国家网络安全保护，提升网络防御能力的同时，以美国为首的国家又极力倡导在特定贸易协定下数据的自由流动，努力攫取跨境数据传输规制的国际话语权，以期实现“排他性”的全球数据自由流动，并妄议中国《网络安全法》中对跨境数据传输的规制。

《网络安全法》第三十七条规定，“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”这一条款早在《网络安全法》草案公布之际就已经成为外国媒体最为担心及关注的所谓“争议条款”，据《纽约时报》报道，2016年8月，全球40多个商业团体曾致信中国政府，称该法律将伤害在华外国企业，呼吁中国政府重新考虑相关“争议条款”。对此，全国人大常委会法工委经济法室副主任杨合庆就《网络安全法》回答中外记者提问时强调，中国是一个网络大国，也是面临网络安全威胁最严重的国家之一，完善的法律制度可以有效提高全社会的网络安全意识和网络安全的保护水平，这将使我们的网络更加安全、更加开放、更加便利，也更加充满活力。中国国家互联网信息办公室主任徐麟在第三届世界互联网大会闭幕式上进一步明确，中国出台《网络安全法》是为了更好促进发展而不是限制发展，是为了更好地推进国际合作而不是搞贸易壁垒，更不是针对哪个国家、地区或企业。

我国《网络安全法》第三十七条有三层含义：一是通过对个人信息和重要数据本地化存储的立法，加强对数据跨境流动的控制和管辖；二是规制的主体是关键信息基础设施的运营者，主要涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等关键信息基础设施的运营者；三是数据跨境流动的安全评估机制，即如果遇有特殊情况，需要数据境外跨境流动时，应当按照网信主管部门制定的办法进行安全评估。

《网络安全法》第三十七条重构了数据跨境传输的规则，标志着中国正式开始基于网络主权原则对数据跨境传输进行法律限制，这一规定并不是限制各大跨国公司在我国的运营业务，而是要求其运营业务必须依法合规，体现了《网络安全法》以国家安全为导向，及以安全促发展，以发展促安全的立法目的。

2017年4月11日，国家互联网信息办公室《个人信息和重要数据出境安全评估办法（征求意见稿）》（以下称:《评估办法》），按照《评估办法》第八条的规定，数据出境安全评估应重点评估以下内容：一是数据出境的必要性；二是涉及个人信息情况，包括个人信息的数量、范围、类型、敏感程度，以及个人信息主体是否同意其个人信息出境等；三是涉及重要数据情况，包括重要数据的数量、范围、类型及其敏感程度等；四是数据接收方的安全保护措施、能力和水平，以及所在国家和地区的网络安全环境等；五是数据出境及再转移后被泄露、毁损、篡改、滥用等风险；六是数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险；七是其他需要评估的重要事项。

对于以下三类数据，《评估办法》设置了禁止性规定，首先，个人信息出境未经个人信息主体同意，或可能侵害个人利益，不得出境；其次，如果数据出境给国家政治、经济、科技、国防等安全带来风险，或可能影响国家安全、损害社会公共利益，不得出境；第三，其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的数据，不得出境。