知识产权相关数据跨境流动的数据安全问题

近年来，随着中国数据保护相关法律法规日臻成熟，数据跨境传输合规机制不断完善，企业通常对于个人信息的跨境传输合规工作有所关注和部署。但另一方面，在跨境数据流动链条中，非个人信息类数据的安全保护问题备受监管关注；而在各国日益重视国家安全的背景下，与数据安全相关的国家安全问题，也成为监管关注的重点，涉及到企业日常经营、业务活动、投并购交易、涉外争议解决等方方面面，同样值得引起企业的合规关注。

在此类数据中，企业应当更加重视知识产权相关数据的跨境流动问题。一方面，对于技术密集型企业而言，与知识产权相关的数据跨境流动场景十分广泛；另一方面，在科技层面的竞争愈发激烈的时代背景下，涉及知识产权的数据跨境更易引发各法域的监管关注。本文就中国数据合规监管框架下，知识产权相关数据跨境传输活动中可能涉及的数据安全问题进行梳理，以期供各类企业、特别是跨国公司参考。

根据我们的经验，知识产权数据跨境传输，通常出现在以下场景中：

1、企业研发场景

在跨国公司的日常经营管理中，不可避免涉及到关联公司之间的数据传输，可能涉及到与研发工作相关的数据。为研发目的，许多跨国公司在中国境内设有实验室或科研组织，并在必要的时候可能将研发成果向境外总部或关联实体进行分享或汇报。同样地，对于具有海外业务的国内企业而言，其在开展海外业务过程中也可能发生类似的研发相关数据跨境传输情况。

2、知识产权/资产转让或许可等相关涉外交易

在涉及知识产权/资产的涉外交易中，可能会涉及相关数据的出境活动，而此类交易由于其技术敏感的特征，更可能在跨国监管中受到关注。例如，2022年7月，英国政府以国家安全为由禁止曼彻斯特大学向我国某企业转让某视觉传感器技术科研成果[1]；2023年，某头部动力电池企业与某美国汽车企业拟在美国建设电池工厂，以及就电池专利技术进行许可的相关合作也遭遇了美国众议院的审查[2]，这两项交易中的知识产权转让或许可安排中就可能涉及数据出境情况。

3、商务运营场景

在跨国企业的日常商务运营与合作中，可能涉及相关技术数据的跨境流动。例如，跨国企业的境内投资决策部门可能会关注一些与业务相关的前沿技术发展状况，对相关技术企业进行调研，并向境外汇报这类投资信息；境外实体出于其了解中国市场的需要，也可能委托境内关联方开展与技术市场相关的调研并向其汇报调研结果，从而构成数据跨境传输的典型场景。再如，在跨境采购、销售场景下，企业需要跨境传输相关产品的信息，其中可能涉及大量与专利或技术相关的数据。

4、跨国诉讼/监管调查

如企业遭遇海外的知识产权相关执法调查或司法程序，可能涉及到将有关知识产权或技术数据作为证据材料，向海外执法部门或司法部门提供。根据《数据安全法》第36条的规定，非经主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中国境内的数据。因此，在这种场景下，企业需特别关注向境外提供数据的合规程序。例如，我国某无人机制造商与美国某航空航天企业在美国法院的专利诉讼中[3]，就存在将专利相关数据作为证据材料进行开示的情况，其中可能涉及数据出境相关问题。

由上述梳理可知，企业在日常经营、管理和商业交易过程中涉及的数据跨境场景非常广泛，知识产权相关的数据出境活动也十分常见。以下将针对知识产权相关数据可能受到的多场景、多方面的出境安全监管机制进行总结。

（一）国家秘密方面的规制

根据《保守国家秘密法》等法律法规的要求，国家秘密原则上禁止出境。《保守国家秘密法》中对“国家秘密”进行了原则性规定：国家秘密是关系国家安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉的事项。在实践中，国家秘密载体应作出国家秘密标识（包括绝密、机密、秘密三级），可以协助企业更准确识别。

（二）数据安全方面的规制

《数据安全法》对于重要数据的出境作出了限制。根据《数据安全法》《数据出境安全评估办法》等法律法规的要求，重要数据原则上应在中国境内存储，确需出境的，需通过网信部门组织的数据出境安全评估。

目前，我国对于重要数据出境的实操工作已有更清晰的指引。根据网信办发布的《促进与规范数据跨境流动规定》第二条规定，数据处理者应当按照相关规定识别、申报重要数据；未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。也就是说，目前在实践中，如果企业所传输的数据未被相关部门认定为重要数据、未落入公开发布的重要数据目录的，无需经过数据出境安全评估即可向外进行传输。

对于企业而言，识别重要数据的重要参考规则之一是国家标准《GB/T 43697-2024数据安全技术 数据分类分级规则》，根据其规定，“关系我国科技实力、影响我国国际竞争力，或关系出口管制物项，如反映国家科技创新重大成果，或描述我国禁止出口限制物项的设计原理、工艺流程、制作方法的数据，以及涉及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告的数据”可被识别为重要数据。在实践中，特定技术要素敏感领域的研发数据、国家级基金资助或支持的科研项目数据、达到了特定先进性标准的技术或科研项目数据，可能落入重要数据范畴。涉及此类情况的，建议企业应及时与其主管部门沟通，确认数据敏感程度，并在确需跨境传输时采取必要的合规措施。

除了数据保护相关法律法规之外，数据跨国流动的安全监管机制与《反间谍法》下的国家安全问题也有联动。从数据安全保护的角度而言，《反间谍法》所关注的“关系国家安全和利益”的数据与重要数据可能存在一定的范围重合。因此，企业在数据出境场景下依法依规申报数据出境安全评估或其他适用的合规程序，也能够缓释数据出境所涉及的潜在国家安全风险。

（三）特定行业的监管要求

在技术密集型的行业，如汽车、医药、生物基因等行业中，对数据跨境传输还可能存在专门的监管要求，需要企业特别关注。以生物基因行业为例，根据相关法规规定，人类遗传资源信息属于重要数据的一种，其跨境传输需要向国家网信部门申报数据出境安全评估；在此基础上，根据该信息的出境是否会影响我国公众健康、国家安全和社会公共利益，还需要向科技部进行备案并提交信息备份，或通过科技部组织的安全审查。

近期，北京发布了《中国（北京）自由贸易试验区数据出境负面清单管理办法（试行）》和《中国（北京）自由贸易试验区数据出境管理清单（负面清单）（2024版）》，首批负面清单覆盖汽车、医药、零售、民航、人工智能等5个领域，并提出了针对相关数据出境的细化规定。其中，就人工智能训练数据，负面清单明确将模型训练、算法开发、产品测试场景下的人工智能的算法源代码、关键组件数据、控制程序、基础模型数据、数据挖掘分析数据、测试数据等知识产权相关数据划入重要数据的范畴。虽然前述规则仅是地方性规定，但对于其他地区具有较高的参考性意义，值得企业关注。

（四）司法/执法程序中的数据出境合规要求

如前所述，根据《数据安全法》第36条的规定，非经主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中国境内的数据。在实践中，司法部下属的司法协助交流中心曾接受中国企业向海外法院提交的证据材料进行审查，并批准出境。如企业遭遇海外的知识产权相关执法调查或司法程序，被要求向海外国家或地区的司法或执法机关提供数据的，除遵守前述数据出境的一般性要求外，还应积极联络相关司法部门及/或网信部门，寻求司法/执法程序下数据出境的合规路径建议。

就具体的合规策略而言，企业应当关注实质合规与形式合规的重要性。在实质合规方面，建议通过专业的第三方机构审核、确认待出境数据中不包含禁止出境或受到出境限制要求的数据。在形式上，在相关主管部门及出境审查程序暂不明确的情况下，建议企业应以适当的形式与主管部门提前咨询、沟通，合理管控潜在合规风险。

对于企业业务经营活动中涉及的知识产权相关数据跨境流动的情形，我们建议企业加强数据安全合规意识，积极采取相关合规措施，确保履行相关法律法规项下的合规义务。包括但不限于：

1、排查出境相关知识产权/技术数据中是否可能涉及国家秘密，如涉及国家秘密，则原则上不应向境外传输或提供；

2、排查出境相关知识产权/技术数据中是否涉及《数据安全法》项下规定的重要数据，参考行业法规、国家标准中对于重要数据的定义，并结合主管部门的认定情况进行评估，如涉及重要数据的，则应根据相关法规要求向国家网信部门申报数据出境安全评估或履行其他适用的合规程序；

3、关注数据出境场景中是否涉及与《反间谍法》相关的合规义务要求，以及与此产生相互联动的数据出境合规要求；

4、在汽车、医药、生物基因等技术密集型行业中，涉及技术合作、临床研究合作等商务合作场景时，应更加关注知识产权/技术数据的跨境传输场景，此种情形下可能涉及特定行业对数据出境的监管要求，因而需要在数据出境的一般性合规要求的基础上，满足特定的行业监管要求；

5、如因面临境外政府监管或法院诉讼等行政及司法程序而涉及数据跨境流动，应当在遵守《数据安全法》第36条规定的基础上，结合数据出境问题本身、数据安全保护要求、国家安全要求、域外法律冲突、国际礼让原则等进行综合考虑后制定解决方案，尽早引入专业律师协助应对调查或诉讼。