數據出境安全評估立新規

樊瑞

《數據安全法》和《個人信息保護法》建立了中國數據出境安全管理的基本框架，《數據出境安全評估辦法》明確了具體操作規則。圖/IC

中國對數據出境的安全評估有了明確規則。

7月7日，國家互聯網信息辦公室（下稱“國家網信辦”）公布《數據出境安全評估辦法》（下稱《辦法》）。該《辦法》自2022年9月1日起施行。

國家網信辦有關負責人表示，出臺《辦法》旨在落實《網絡安全法》《數據安全法》《個人信息保護法》的規定，規范數據出境活動，保護個人信息權益，維護國家安全和社會公共利益，促進數據跨境安全、自由流動，切實以安全保發展、以發展促安全。

多位專家在接受《財經》記者采訪時表示，《辦法》彌補了數據出境的安全漏洞，健全了數據出境安全屏障。他們建議，相關企業在數據出境活動發生前，應依法開展風險自評估、申報，并通過數據出境安全評估。

什么情況需要安全評估？

《辦法》中明確，其適于數據處理者向境外提供在中國境內運營中收集和產生的重要數據和個人信息的安全評估。同時提出，數據出境安全評估堅持事前評估和持續監督相結合、風險自評估與安全評估相結合等原則。

《辦法》明確，數據出境活動包括兩種情況：一是數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外。二是數據處理者收集和產生的數據存儲在境內，境外的機構、組織或者個人可以訪問或調用。

《辦法》還規定，在四種情況下，數據處理者應當申報數據出境安全評估。

（一）數據處理者向境外提供重要數據;（二）關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息;（三）自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息;（四）國家網信部門規定的其他需要申報數據出境安全評估的情形。

根據《關鍵信息基礎設施安全保護條例》，關鍵信息基礎設施運營者，是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等的運營企業，大型電信運營商、能源企業、民航公司、金融機構等都屬于此類主體范圍。

而為何將處理100萬人的個人信息作為是否需要進行安全評估的標準？中國法學會網絡與信息法學研究會副秘書長、中國社科院法學所網絡與信息法室副主任周輝透露，在《辦法》制定中，100萬人的標準曾經有過爭議，“許多中國企業的用戶都可能超過這一標準，雖然100萬人占中國人口的比重并不大，但是要放在全球范圍內來看，這是很大的一個規模”。

北京德恒律師事務所合伙人、網絡安全應急技術國家工程實驗室數據安全咨詢專家劉揚對《財經》記者表示，“我的理解是，對達到100萬人以上個人信息的數據處理者的安全要求，應當等同于關鍵信息基礎設施運營者。”也就是說，相關機構如果出現數據安全問題，對公眾造成的影響不低于關鍵信息基礎設施運營者。

那么，哪些類型的個人信息會受到重點關注？

周輝指出，結合《個人信息保護法》的有關規定來看，個人信息是以電子或者其他方式記錄的，與已識別或者可識別的自然人有關的各種信息，但不包括匿名化處理后的信息。例如，個人的賬號密碼、身份證件號碼、出生日期等。此外，還包括敏感個人信息，即一旦被泄露或被非法使用，容易導致具體個人人格尊嚴受到侵害，或人身、財產安全受到危害的個人信息，具體包括生物識別、宗教信仰、特定身份、健康狀況、金融賬戶、行蹤軌跡等信息，以及不滿14周歲的未成年人信息。

如何進行安全評估？

根據《辦法》，數據出境安全評估主要包括七個方面。

一是數據出境的目的、范圍、方式等的合法性、正當性、必要性。

二是境外接收方所在國家或者地區的數據安全保護政策法規和網絡安全環境對出境數據安全的影響;境外接收方的數據保護水平是否達到中國法律、行政法規的規定和強制性國家標準的要求。

三是出境數據的規模、范圍、種類、敏感程度，出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等風險。

四是數據安全和個人信息權益是否能夠得到充分有效保障。

五是數據處理者與境外接收方擬訂立的法律文件中是否充分約定了數據安全保護責任義務。

六是遵守中國法律、行政法規、部門規章情況。

七是國家網信部門認為需要評估的其他事項。

《辦法》也明確了數據出境安全評估的具體流程。

首先是數據處理者在申報前，應當開展自評。此后，應通過所在地省級網信部門向國家網信部門提交申報，而國家網信部門在收到申報材料之日起7個工作日內，確定是否受理，并通知申報者。受理申報后，國家網信部門組織國務院有關部門、省級網信部門、專門機構等進行安全評估。國家網信部門在發出受理通知書之日起45個工作日內完成評估。通過數據出境安全評估的結果有效期為2年。如果在有效期內，發生影響出境數據安全的情況，需要重新申報評估。

《辦法》距離正式生效不足兩個月，將對企業產生什么影響？

世輝律師事務所合伙人王新銳指出，本身用戶數量較多（即超過100萬）的企業，以及業務中涉及大量出境場景的跨國企業，都會受到較大影響，可能觸發安全評估。

周輝表示，《辦法》實施后，將對達到評估申報標準的數據處理者產生約束性影響，尤其是金融、電信、衛生健康、能源、民航等重要行業和領域。這些領域的機構向境外提供的數據，一方面可能涉及國家安全、經濟運行、社會穩定、公共健康和安全的重要數據;另一方面因為自身被確定為關鍵信息基礎設施運營者，同時，其處理數據的量級輕易即可達到“100萬人以上”。

周輝建議，上述相關行業，應當盡快適應《辦法》的要求，在數據出境活動發生前依法開展自評估、申報并通過評估。如果目前不符合《辦法》的管理要求，應當在《辦法》規定的期限（2023年3月1日）前完成整改。周輝還表示，這可能意味著數據出境活動頻率、數量會受到一定程度的影響。一些難以在期限內完成整改的數據出境業務，可能因合規要求而暫停甚至終止。

劉揚建議，在進行數據出境安全評估過程中，應當結合企業實際情況，聘請專業人員輔助評估，形成規范化流程。

補齊數據出境的安全屏障

在全球化背景下，中國的數據出境已呈常態化趨勢。

周輝指出，隨著全球數字經濟的快速發展和大數據、互聯網等技術的廣泛應用，數據出境活動日益普遍。目前，一些國家和地區已建立起有關數據出境的管理制度，幾乎都將數據跨境安全作為重點和出發點。

2022年5月19日，《辦法》經國家網信辦2022年第10次室務會議審議通過。《辦法》共有20條，規定了數據出境安全評估的范圍、條件和程序，為數據出境安全評估提供了具體指引。

中國科學技術大學公共事務學院、網絡空間安全學院教授左曉棟告訴《財經》記者，數據是國家的戰略資源，“如果一個國家對于數據出境不設防，相當于國家安全大門洞開。在當今社會，每一個國家都應當建立數據出境安全的有關管理制度”。

《辦法》要求，對可能會影響國家安全、公共利益的數據出境，要經過網信部門的安全評估。左曉棟指出，《辦法》在很大程度上彌補了國家安全漏洞，健全了國家數據出境安全的屏障。

實際上，中國近年正在逐步完善對于數據出境的相關立法。

2016年11月，全國人大常委會通過《網絡安全法》，其中第37條規定，關鍵信息基礎設施的運營者在中國境內收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當進行安全評估。同時明確，安全評估辦法由國家網信部門會同國務院有關部門制定。

2021年，全國人大常委會先后通過了《數據安全法》和《個人信息保護法》，將數據出境安全評估制度的實施范圍作出擴展，不再將其局限于關鍵信息基礎設施的運營者。

左曉棟指出，根據一系列立法，中國完善了數據出境安全評估制度的法律依據。他還指出，《數據安全法》和《個人信息保護法》建立了中國數據出境安全管理的基本框架，但具體落地還有待細則和明確。2021年10月29日，國家網信辦發布了《數據出境安全評估辦法（征求意見稿）》，八個月后，《辦法》正式出臺。

周輝指出，在《數據安全法》《個人信息保護法》實施前，國內不少機構的數據出境活動基本處于“裸奔”狀態，有時數據權利人甚至都不清楚自己數據被出境，嚴重威脅著個人信息權益、社會公共利益乃至國家安全。通過立法確立了數據出境安全評估的基本制度后，涉及數據出境的機構也迫切希望盡快明確具體的規則，以解決合規標準不清晰的問題，《辦法》由此應運而生。

數據安全出境的全球趨勢

如何保證數據跨境流動安全，是一個全球命題。

歐盟的數據跨境規則主要集中在《通用數據保護條例》（GDPR）中。周輝向《財經》記者介紹，GDPR強調向歐盟境外提供個人信息不得削弱對個人信息的保護力度，除了獲得個人信息主體知情同意等特定例外情況外，具體要求包括：

第一，需要獲得歐盟充分保護認定，這種認定實質上是歐盟對他國法律制度、監管機構設置、參加國際條約等方面的評估，是最嚴格的方式。一旦進入這一白名單，數據跨境的便利性最大。目前只有新加坡、瑞士、日本等極少數國家通過了認定。

第二，未通過認定國家的數據接收方，滿足以下條件之一，歐盟的數據可以出境：1.其所在國與歐盟有數據跨境協議;2.采用歐盟委員會或歐盟委員會批準的成員國通過的標準數據保護條款;3.遵守經歐盟監管機構批準的行為準則，以及數據處理者自身的數據保護承諾。

第三，對于企業集團或跨國企業內部子公司及其雇員的數據跨境，可以遵循“有約束力的公司規則”。該規則由企業集團跨國企業制定，且需要經過歐盟監管機構批準。

左曉棟表示，中國的數據出境安全管理制度，應該說和國際慣例，特別是歐盟保持一致，“明確了數據出境安全的幾種情形”。

而美國則有不同的處理方式。周輝表示，美國自稱數據自由流動，對數據跨境沒有嚴格的法律限制，更多通過市場機制解決。但在2022年4月，美國宣布了全球跨境隱私規則（CBPR）聲明，試圖將亞太經濟合作組織（APEC）框架下的數據跨境傳輸機制（CBPR）的適用擴展至全球范圍。CBPR的核心是建立基于CBPR和處理者隱私識別系統（PRP）的國際認證體系，通過在全球推廣CBPR和PRP系統，支持所謂的數據自由流動。