專家解讀 - 有序流動 數據紅利 -《數據出境安全評估辦法》評述

2022年7月7日國家互聯網信息辦公室（以下簡稱“網信辦”）發布了頗受關注的《數據出境安全評估辦法》（ “出境評估辦法”）。短短兩周時間，網信辦、全國信息安全標準化技術委員會（“TC260”）密集發布了出境評估辦法、《個人信息出境標準合同規定（征求意見稿）》（“標準合同規定”），以及《網絡安全標準實踐指南——個人信息跨境處理活動安全認證規范》（“認證規范”），中國數據出境合規路徑與監管體系日漸清晰。

點擊了解更多

一、我國數據出境安全評估制度立法沿革簡要回顧

然而在2019年，網信辦又發布了《數據安全管理辦法（征求意見稿）》與《個人信息出境安全評估辦法（征求意見稿）》（“19年評估辦法”），似乎意圖對重要數據與個人信息的出境采取分開立法的模式。而彼時最大的爭議恐怕還是來自于19年評估辦法中關于“個人信息出境前，網絡運營者應當向所在地省級網信部門申報個人信息出境安全評估”的規定?？v觀該征求意見稿全文，不再見17年評估辦法所規定的“自行評估”，這是否意味著任何個人信息的出境都要申報省級網信辦？一時間各類市場主體議論紛紛。

囿于網安法關于數據出境的規制范圍相對來講較為狹窄，只限定在關鍵信息基礎設施運營者（Critical Information Infrastructure Operators，“CIIO”）在境內運營中收集和產生的個人信息和重要數據。實踐中有大量的個人信息與重要數據出境并非由CIIO為之，因此有賴于后續法律對其他個人信息與重要數據出境行為在法律層面進行規定。隨著2021年我國《數據安全法》（“數安法”）《個人信息保護法》（“個保法”）的生效，出境評估辦法的出臺便有了“名正言順”的法律基礎。2021年10月29日，網信辦順勢發布了《數據出境安全評估辦法（征求意見稿）》（ “征求意見稿”）。

點擊了解更多

二、“數據出境”的概念

出境評估辦法對于“數據出境”并未給出定義，隨后網信辦在出境評估辦法的答記者問中提及：《辦法》 所稱數據出境活動主要包括兩種情形：一是數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外。二是數據處理者收集和產生的數據存儲在境內，境外的機構、組織或者個人可以訪問或者調用。我們建議企業同時參照數據出境評估指南第3.7條關于“數據出境data cross-border transfer”的內容進行理解，即通過網絡等方式，將數據處理者在境內（不包含香港特別行政區、澳門特別行政區以及臺灣地區）運營中收集和產生的數據，通過直接提供或開展業務、提供服務、產品等方式提供給境外的機構、組織或個人的一次性活動或連續性活動。此外，也要關注數據出境和數據跨境的聯系與區別。

特別需要企業關注如下情形，一般認為屬于數據出境：

a）向中國境內，但不屬于中國司法管轄或未在境內注冊的主體提供個人信息和重要數據；

b）數據未轉移存儲至本國以外的地方，但被境外的機構、組織、個人訪問查看的（公開信息、網頁訪問除外）；

c）企業集團內部數據由境內轉移至境外，涉及其在境內運營中收集和產生的數據的。

此外，如下情形一般認為不屬于數據出境：

a）非在境內運營中收集和產生的數據經由本國出境，未經任何變動或加工處理的；

b）非在境內運營中收集和產生的數據在境內存儲、加工處理后出境，不涉及境內運營中收集和產生的數據的。

點擊了解更多

三、“出境評估”——數據出境的重要合規路徑

從出境數據類型的角度來看，我國對于數據出境的監管主要關注重要數據與個人信息兩類數據。

根據出境評估辦法第4條的規定，出境評估辦法所規定的向網信辦申報數據出境安全評估（“出境評估”）是重要數據出境的必經之路。而對于個人信息來說，則需衡量數據處理者身份，以及個人信息的數量。在數據處理者為CIIO，或處理100萬人以上個人信息的情況下，任何類型與數量的個人信息傳輸都需要采取網信辦評估的路徑；此外，如果自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息，網信辦評估同樣不可避免。

除此之外的個人信息傳輸，則可以通過簽訂“標準合同”或“專業機構認證”的途徑出境（具體請參見我們此前發表的 《中國個人信息出境標準合同評述 – 制度設計與現實挑戰》 一文內容）。

點擊了解更多

四、數據出境評估的要點

根據出境評估辦法的規定，個人信息與重要數據的出境評估將就以下重點內容展開：

1）是否符合數據處理的前提條件：合規性、正當性與必要性是數據處理的前提條件，而評估數據處理行為是否符合該等前提條件，必須結合數據處理的目的、范圍、方式、類型等要件。

實踐中我們注意到，很多企業在思考和討論數據出境的合規性時，往往忽略了數據處理的前提條件，直接進入關于同意的獲取、評估報告制作、跨境傳輸協議的簽訂等后續具體合規動作的討論。需要強調的是，數據處理的合規性、正當性與必要性不僅是出境評估辦法明確列明的評估事項，而且其對同意的獲取、自評估報告與跨境傳輸協議的實質性內容都將產生重要影響，將貫穿整個數據出境評估全過程。因此企業必須充分重視數據處理的前提條件，如果僅從形式上滿足了數據出境的合規動作完備，忽略了數據處理的前提條件，很可能導致無法通過網信辦的數據出境評估。

2）對于數據境外接收方及其法律環境進行評估。為順利進行該項評估，申報數據出境評估的境內數據處理者應當建立起第三方數據合規管理體系，有效掌握境外數據接收方的數據保護水平以及當地數據安全保護政策、網絡安全環境。對于集團內部的數據出境，這一類信息很大程度上有賴于集團境外主體的積極配合；而對于向集團外部第三方提供數據的情形，則要求企業完善第三方合規盡職調查體系。

3）對出境的數據標的及其出境風險展開評估。對數據標的自身的評估應當關注其規模、范圍、種類、敏感程度。為了能夠對出境數據的規模、范圍、種類、敏感程度與出境風險這些“指標”進行有效的梳理與評估，企業應當建立起對于數據處理流程的有效管控，時刻掌握出境數據的內容與規模；同時還應當建立內部數據分類分級制度，以便迅速準確地錨定出境數據的種類與敏感程度。

4）數據安全與個人信息權益保障。該評估事項將與數據接收方所做承諾、采取的數據安全保障措施、當地法律環境密切相關，同時也與個人境內數據處理者與境外數據接收方所采取的個人權益實現方式（例如撤回同意與投訴流程）有關。

5）數據處理者與境外接收方訂立的法律文件內容。我們認為此處的法律文件不限于合同，但至于境外接收方的單方允諾、集團內有約束力的制度是否能夠被網信辦所接受，仍有待觀察。通過對標準合同規定的分析，我們認為對于個人信息出境，境外接收方單方允諾以及集團內部制度恐難以完全滿足標準合同規定的要求，因此現階段對于向網信辦申報個人信息出境安全評估，我們仍建議數據處理者與境外接收方優先考慮簽署標準合同。

點擊了解更多

五、與征求意見稿對比——主要變化與關注點

相較其征求意見稿，出境評估辦法帶來了一些變化。限于篇幅限制，我們在此僅對一些主要的實質性變化及其引出的關注要點展開討論。

1）對于個人信息“累計”的時間段有了明確規定。出境評估辦法第4條中所規定的個人信息數量累計時間起點被明確為上年1月1日。這一點與2022年6月30日網信辦發布的標準合同規定保持了一致。

2）明確申報受理部門為省級網信辦，并由其進行材料完備性的形式審查，實質性審查由國家網信辦做出。值得關注的是這一規定可能意味著實踐中數據出境安全評估的時間存在一定的不確定因素，即現實中材料從省級網信辦向國家網信辦報送的時間消耗，目前還無法預計。

3）行業主管部門是否參與數據出境安全評估？出境評估辦法中刪除了組織“行業主管部門”進行數據出境安全評估的內容，我們認為這可能對重要數據的認定帶來一定的影響。但“行業主管部門”是否被納入了“國務院有關部門”？我們認為網信辦可能在此問題上保留了一定的靈活性，行業主管部門不是必然參與數據出境安全評估，但如果確有需要，其可以作為“國務院有關部門”參與，同樣具有法律依據。

4）評估時限的變化。出境評估辦法刪除了征求意見稿中關于延長評估一般不超過60個工作日的規定，這意味著理論上評估時限沒有限制，這一點變化需要在實踐中重點關注，并在企業決策時將其納入外部不可控因素進行考量。

5）明確的評估報告有效期的起始日，同時在征求意見稿第十二條的基礎上刪除了未重新評估時企業停止數據出境的要求。數據出境安全評估的有效期起始日自評估結果出具之日起計算。在出境評估辦法第14條中，網信辦刪除了在應當進行重新申報評估而未進行的情況下，企業應當停止數據出境的要求，但結合出境評估辦法第17條來看，當發生數據出境或者接收方的變化，觸發不符合數據出境安全管理要求的條件時，國家網信部門將書面通知數據處理者終結數據出境活動，在這一層次上來看，出境評估辦法中新的立法安排更多的從結果而非變化過程上判斷是否需要叫停數據出境，而非意味著對于該等行為的“網開一面”。

6）數據處理者可以申請復評作為救濟措施。出境評估辦法新增了第13條內容，規定如果數據處理者對評估結果有異議的，可以申請復評，此為賦予數據處理者的行政救濟措施。該條明確了復評結果為最終結論，因此數據處理者對復評結果仍有異議需尋求進一步救助途徑的可能性與實操性（包括行政復議，以及此后可能的行政訴訟或國務院行政裁決）還有待觀察。

7）正在進行的數據出境活動仍納入監管范圍。出境評估辦法的最后一條不僅明確了施行日期，較為少見的明確了施行前達到監管門檻且已經開始的數據出境活動，同樣需要納入出境評估辦法的監管范圍，17年評估辦法至今在前述立法進程中較為模糊的范圍由此得到明晰，數據處理者在這一過程中對于自身數據出境活動應進行何種準備和達成何種要求仍不明晰的，應對照更新法律法規的動態，尤其是個人信息出境標準合同的出臺，抓住出境評估辦法預留的整改窗口期，盡快完成整改。

點擊了解更多

六、 結語：從立法價值取向展望未來

從征求意見稿到出境評估辦法，沿用了“促進數據跨境安全、自由流動”的表達，說明我國在數據跨境流動方面并非采取了限制流動的價值取向，而是希望通過包括數據出境評估等手段，在確保安全、合規、個人權益的基礎上，實現數據安全有序的流動?；趯Υ肆⒎▋r值取向的理解，面對即將生效的出境評估辦法，我們建議企業采取如下有效的數據管理措施，盡快建立起符合監管要求的合規體系，采取相應合規措施，確保企業可以安全平穩經營，享受數據時代的紅利：

1、認真評估并審視數據出境的必要性；

3、建立企業內部數據合規（包括數據出境）的自評估體系，起草并打磨適用不同主體、不同數據類型的數據出境合同或相關法律文本，根據專業機構認證的標準對集團內部數據出境進行模擬認證；

4、建立企業處理數據的記錄，屆時如有需要，可以證明企業所處理的數據類型及對應數量；

5、建立對與企業進行數據交互第三方的盡職調查制度。此數據交互第三方既包括數據提供者（即確保企業處理數據具有合法性基礎），也包括數據接收方（即出境評估辦法中對境外數據接收方情況掌控的要求）。

此前市場熱烈討論的中國數據出境合規路徑現已逐漸清晰。未來已來，網信辦等監管機關近期密集發布相關重要法規、出臺相應指引，必將在我國數據安全、個人信息保護領域留下濃墨重彩的一筆，也將深刻地影響我國的數據安全、個人信息保護態勢，對各類市場主體的經營與業務模式產生深遠的影響。

點擊了解更多

文章來源：搜狐網

本文作者：陳文昊 王藝 孫楊 聶千旭

了解更多資訊：http://www.tamaki-nami.com/news1/