罗立基 Credit世界 2021-12-09

各位专家老师，大家下午好。我个人对觉得《数据出境安全评估办法（征求意见稿）》的立法方向是肯定的，而且是绝对需要的，特别在现在的国际情况之下。

我尝试着研究了整个文件，结合了国外其他国家的法律法规，我发觉该文件是基于两大重点，不过可能存在有一个遗漏。首先说这两大重点：

第一个重点就是“数据”

    虽然文件中很多次提过个人信息，但是没有做到真正定义什么叫数据。其实大部分的国外的法案，目的都是保护个人信息，数据只是因为有了个人信息而产生的副产品。

    还有一种信息是关系到民族安全的，比如生物识别信息，例如DNA的图谱，这是绝对不能够轻视的一个非常重要的信息，否则人家就可以利用这些信息来制作危害我们民族的药物了。

    所以定义什么叫做个人信息是非常重要的一个事情，但是对于个人信息的定义其实蛮难的，很多国家的《隐私法》定义是：什么信息能够追踪而且标示一个自然人的，便是个人信息。这样就不需要每一次有新的科技发展，它便要去修改法律。

    举个例子，在一般的企业里面普遍的都有以下五类的信息：客户信息、供应商信息（这里面的联系人都是个人）、货品跟销售的信息、（一家企业的）财务信息和员工的信息（员工号码也是个人信息的一种）。如果大家有兴趣可以去尝试着看看欧盟的GDPR法律，它可能是这方面最全面的，而且真的是有非常重大的参考意义。它在每一个环节都讲得非常详细，而且是非常能够执行的。

第二个重点是“出境安全”

在这个网络年代什么是“出境”？我看来看去都看不明白。而且“安全”指的是哪方面的安全，多安全才是安全呢？需要非常明确的定义，否则拿着这个文件大家也不知道如何执行。

第三点就是存在的遗漏

我发觉该文件里面可能遗漏了一个非常重要的事情，就是数据的拥有权。从逻辑法律法理上来说，只要申报数据不是我的，那文件里面讲的很多东西很难成立了。还有我们还可以用联接来输送数据的。

    其实这个事情也不难处理，每一个企业都应该明确的申报它的数据来源就可以了，数据来源一定是两个，一个是企业自我产生的，还有就是获得授权的数据。做好数据拥有权的事情，该文件的执行就会比较容易一点。

以上三点都是非常简单的分享，有机会希望再详细一点的讨论，感谢大家。

注：本文为罗立基先生在2021年11月23日全联并购公会信用管理委员会组织召开的“企业征信数据出境”研讨会上发言整理而成。关于本次研讨会，国内官方媒体新华财经也给予重磅报道：https://bm.cnfic.com.cn/sharing/share/articleDetail/2574472/1。

专家简介：罗立基先生

在商业大数据管理、征信应用、合规管理和信息技术方面有超过 30 年的经验。此前，他曾在世界领先的商业信息提供商担任领导职务，包括汤森路透 (Thomson Reuters) 亚洲的董事总经理、邓白氏(D&B)香港和台湾的总经理。此外，他在邓白氏工作时，直接参与管理香港的企业征信中心，同时为环联(Transunion) 个人征信中心的董事。曾就职于CRIF（北京）信息技术服务有限公司任大中华区商业资信部总经理，现为企业征信报告公司发布天下CEO。