中国发布《网络数据安全管理条例》 营商环境堪忧

中国政府近日公布《网络数据安全管理条例》，凸显当局针对数据安全的监管行动进一步升级。尽管新条例删除了此前一些争议较大的内容，但其中有关跨境数据流动的"规范化"措施引发外资企业关注。有分析人士警告说，该条例对数据安全的界定模糊，可能对外国在华投资产生深远影响。

中国国务院总理李强近日签署国务院令，公布了《网络数据安全管理条例》（以下简称《条例》），并宣布将于明年1月1日起施行。这是中国政府为加强网络数据安全、维护国家利益而采取的最新措施，也凸显当局针对该领域日益严格的监管姿态。

《条例》提出了网络数据安全管理的基本框架，强调数据分类分级保护，并禁止非法处理网络数据；同时，要求网络数据处理者建立健全数据安全管理制度，履行安全风险报告和安全事件处置义务，进一步确保数据处理的“合规性”。

早在2021年，中国主管部门就曾针对该《条例》发布征求意见稿。在当时的草案中，初步明确了有关数据安全管理的框架，特别是在数据分类、个人信息保护和重要数据的跨境管理方面。但与三年前的征求意见稿相比，新《条例》删除了有关数据出境的全面审批机制，改为更灵活的跨境数据传输条件，并以此与国际条约接轨。此外，新版《条例》还简化了对平台算法的审查要求，借以提高透明度和社会责任的标准。

尽管上述部分监管条款被删除或简化，但外界对该条例的实际运作仍存在质疑。华盛顿智库兰德公司（RAND）中国问题专家何天睦（Timothy Heath）指出，新版《条例》在国家安全风险的定义上仍存在较宽泛且模糊的解释，这可能导致任意执法的情况增加。其后果不仅会加大外资企业在华经营的合规风险，也将促使更多投资者重新审视在中国的长期计划。

“安全措施的定义很宽泛，可能会让许多外国投资者面临风险。”他说，“中国对数据和信息技术安全相关措施的打击，与习近平一再宣称欢迎外国投资者来华的说法相矛盾。外国投资显然只有在外国投资者愿意将相当大的控制权移交给中共的情况下，才会受到（中国）欢迎。”

从李强签署的新版《网络数据安全管理条例》来看，该《条例》在个人信息保护方面尤其细化了相关措施，特别是针对自动化采集技术的使用，明确了网络数据处理者的责任，以确保个人信息的合法采集与处理。关于“重要数据”，《条例》要求相关机构建立重要数据目录，并规定数据处理者有识别和申报重要数据的义务。此外，条例还明确了数据安全管理机构的职责，并详细规定有关对重要数据的风险评估要求。

伴随电子商务在数据化产业中的比重日趋突出，中国政府对跨境数据的管理一直是外界关注的焦点。上述《条例》对网络数据处理者向境外提供个人信息的条件作出明确规定，要求此类传输必须符合中国缔结或参与的国际条约和协定；同时规定，对于未被相关部门标识为“重要数据”的信息，无需进行跨境数据安全评估。此外，该条例还规定了网络平台服务提供者的义务，特别是大型网络平台在保护个人信息、发布社会责任报告及防范跨境数据风险方面的责任。

旅居美国的新浪微博原内容审核员刘力朋指出，尽管中国上述新规删除了部分有争议的内容，但仍然存在不确定性。即使监管条款有所放宽，但外资企业仍需面对严格的数据管控。

刘力朋说：“把这些收回去，不意味着它（中国）会放松对数据管控的要求。其实还是很严，比方说苹果在中国卖手机，还是要把用户数据放在云上贵州，不可能取消回来。”

近年来，中国政府出台了一系列相关数据安全的法律法规，包括从2021年的《数据安全法》到2022年生效的《反间谍法》，不断加强对网络数据的监管。这种立法趋势引发国际社会，尤其是跨国企业对在华业务受到数据流动性限制的担忧。《纽约时报》此前披露，中国有关部门去年对国际咨询公司凯盛融英（Capvision）在华办事处展开调查，指控该企业以高报酬雇佣咨询专家，非法获取中国敏感数据，并对中国的国家安全构成重大威胁。在此之前，美思明智（Mintz Group）和贝恩咨询（Bain & Company）等美国公司的在华机构也曾遭遇当局的突击搜查。