自2月28日起，蘋果公司中國內地iCloud服務轉由云上貴州大數據產業發展有限公司負責運營，不再跨境存儲。為符合中國網安法規體系，蘋果公司首次將iCloud密鑰（用以訪問賬戶的大部分內容）等數據轉存至美國境外，這在世界范圍內引發關注。

基于《網絡安全法》的中國數據出境配套法規立法正在進行當中。提供云服務等關鍵基礎服務的科技公司們早已采取行動。配套法規和標準的制定和實施，將建立起嚴密的中國數據出境執法體系，適用所有數據控制者。

由于將對數據合規和業務產生影響，跨國公司們多反應強烈。“一直在關注，已開始準備各項行動和計劃。”一家跨國公司法務總監告訴《財經》記者。

對數據出境監管的嚴格程度，很大程度上影響跨國企業在中國本土的合規和業務調整，特別是2C跨國公司和互聯網公司等。

2013年美國“棱鏡門”事件敲響了數據出境可能帶來風險的警鐘，此后各國關于數據跨境流動的監管和立法動作頻繁。中國關于數據出境制度框架的落地，將影響幾何？

新規醞釀

《網絡安全法》第37條規定，關鍵信息基礎設施運營者在境內收集和產生的個人信息和重要數據，應在境內存儲，如需向境外提供，則需進行安全評估。

作為網絡空間保護基本法《網絡安全法》的這一規定明確了中國對數據出境問題的基本立法態度。由于條文較為模糊，2017年6月1日生效以來，這一條文的實施正等待相應的多個配套細則出臺。

正是這些配套法規，將決定《網絡安全法》對于數據出境的“這一刀”，切在哪里。

《關鍵信息基礎設施安全保護條例》、《個人信息和重要數據跨境安全評估辦法》（下稱《評估辦法》）、《信息安全技術數據出境安全評估指南》（下稱《評估指南》）分別于2017年4月11日、7月11日和8月底公開征求意見，對相應的概念、管轄范圍和出境流程等作出明確解釋。

何為數據出境？按照《評估辦法》，指網絡運營者將在中國境內運營中收集和產生的個人信息和重要數據，提供給位于境外的機構、組織、個人。按目前解釋，即便數據中心設在中國但可以從境外訪問，或者數據在一個集團內部的不同跨國公司分部間流動，仍屬于“提供”。

從跨境電商、全球數據資產管理系統到大數據服務，數據在全球范圍內的跨境流動增長迅速。

2016年2月，麥肯錫全球研究院發布《數字全球化：新時代的全球性流動》報告統計，在2005年-2014年間，全球數據流量從4.8Tbps增加到211Tbps，增長45倍。數據流動對全球經濟增長的貢獻已經超過傳統的跨國貿易和投資，不僅支撐起包括商品、服務、資本、人才等其他幾乎所有類型的全球化活動，同時也在發揮著越來越獨立的作用。

與這一背景相對的，則是各國政府出于國家和社會安全等多元訴求，對于數據出境所進行規制。

關鍵信息基礎設施，指對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的設施，相應保護條例已結束公開征求意見，尚未出爐。

然而，關鍵信息基礎設施是靜態的，數據卻是流動的。

北京大學互聯網發展研究中心高級顧問洪延青介紹，立法部門亟須解決的問題是，當互聯網公司等民營公司取代既往的政府部門，掌握越來越多的數據，又無法被列入關鍵信息基礎設施范圍，應如何規制其數據的出境安全風險。因此，不同于對關鍵信息基礎設施的靜態界定，數據出境的安全規范分為兩個層面，即個人信息和重要數據。

在個人信息保護層面，中國與國際基本訴求一致；而在重要數據的跨境流動方面，安全規范對于本地化的需求程度較高。

個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

據《評估辦法》，個人信息出境，需要經過個人信息主體的明確授權，出境有必要、正當的目的等。對于敏感數據和達到一定量級的數據，經過安全風險評估通過后，才可以出境。

對個人信息出境進行規制，在全球大規模個人信息泄露事件頻發的當下，已成為國際主流立法共識。例如，2017年9月，美國信用機構Equifax遭黑客入侵之后，數以百萬計的個人社保號碼、生日、地址等敏感信息以及超過20萬的信用卡信息被盜。據估，有1.43億人受到Equifax 被入侵事件的影響，相當于美國人口數的一半。