《中华人民共和国数据安全法》（以下称“《数据安全法》”）已经于2021年9月1日正式施行。对于数据安全的保护，《数据安全法》沿袭《网络安全法》相关规定，明确国家将建立数据分类分级保护制度。对于数据分类分级的方法，现行《数据安全法》下即有根据数据的重要程度等区分的“重要数据”、“国家核心数据”（第二十一条），也有根据数据的具体特征区分的“涉及国家秘密的数据”（第五十三条）、“与维护国家安全和利益、履行国际义务相关的属于管制物项的数据”等（第二十五条）。

《数据安全法》第二十五条规定，国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。根据此前于2020年12月1日生效的《出口管制法》第二条规定，“出口管制物项”的范围包括两用物项、军品、核以及其他与维护国家安全和利益、履行防扩散等国际义务相关的货物、技术、服务等物项，其中包括前述物项相关的技术资料等数据。”

由此可知，属于“出口管制物项的数据”原则上包括两类，其一是本身即在出口管制物项清单中列明的作为管制物项的数据，例如《禁止出口限制出口技术目录》所列的技术的相关数据资料，《两用物项和技术进出口许可证管理目录》中列明的规划、计划、图标、数学模型、计算公式、工程设计和技术规范、手册和书面介绍等数据资料，《导弹及相关物项和技术出口管制清单》所列的设计技术、技术资料、规程等相关数据资料，以及《商用密码出口管制清单》中列举的用于研制、生产或使用管制物项产品的软件和技术相关数据资料等。其二，是其本身未在出口管制物项清单中列明，但是与管制物项相关的技术资料等。

根据《出口管制法》第二条三款，出口管制，是指国家对从中华人民共和国境内向境外转移管制物项，以及中华人民共和国公民、法人和非法人组织向外国组织和个人提供管制物项，采取禁止或者限制性措施。

由此可知，受管制的出口行为，既包括从境内向境外转移管制物项的行为，也包括在中国境内，中国公民、法人和非法人组织向外国组织或外国个人提供管制物项的“视同出口”的行为。企业使用电子邮件、电话、传真、工作软件、社交软件、云储存等工具向境外或外国组织或外国个人传输属于管制物项的数据的，即可能构成出口“属于管制物项”的行为。

同时，对于出口管制物项的出口行为管制，国家可采取的禁止或限制性措施包括出口许可、临时管制、管控名单、禁止出口等。对于未取得相关管制物项的出口经营资格从事有关管制物项出口的、未经许可擅自出口管制物项的、超出出口许可证件规定的许可范围出口管制物项的、出口禁止出口的管制物项的出口经营者，可能被处以责令停止违法行为、没收违法所得、罚金、责令停业整顿直至吊销相关管制物项出口经营资格的处罚。

《数据安全法》与《出口管制法》相衔接，针对数据出口管制，包括各类重要数据、国家核心数据、政府和公共数据、一般数据、行业技术数据等的具体出口规则奠定制度基础，同时也提醒企业及时关注数据流动中的隐形风险，将数据出口合规同时纳入整个出口管理合规体系中。虽然在后续具体的数据出口规则出台之前，企业的出口管理合规重点仍在于实体类管制物项，但相对于实体类管制物项，数据类管制物项的识别和管控难度更大，数据出口管制给企业带来的合规挑战也更大。企业经营者需要充分认识到这一点，有意识地在出口管理合规体系中为数据出口管理制度保留空间，便于在后续数据出口规则出台后，及时、顺利地将具体数据出口管理措施纳入合规体系，既保证企业内部管理制度的稳定性，又确保出口管理合规体系紧跟立法脚步，不在合规竞争中被淘汰。

*律师助理徐梦琦对本文亦有贡献。