淺談數據出境

為了實現本國或本地區數據能夠在境外得到充分和合理的保護，跨境數據流動的相關規則制定是國際社會愈發關注的議題。例如，歐盟在《數據保護指令》（GDPR）第5章以專章對個人數據傳輸至第三國或國際組織的行為進行規範，此外歐盟還提供了跨境傳輸個人數據的標準協議條款[i]；亞太經合組織（APEC）也曾發布跨境隱私規則體系（Cross-BorderPrivacy Rules system，CBPRs），致力於專門規範跨境數據傳輸。在此背景之下，《網路安全法》[ii]第37條[iii]規定的發布預示著中國亦將正式確立具有普適性的數據出境規則體系。[iv]

早在2016年12月底《國家網路空間安全戰略》發布時，就有新聞[v]稱為了配合《網路安全法》第37條的實施，國家互聯網信息辦公室（以下簡稱「網信辦」）正在制定有關數據出境的評估辦法。而距離僅僅不到4個月的時間，《個人信息和重要數據出境安全評估辦法（徵求意見稿）》（以下簡稱「《數據出境辦法》」）即在網信辦的官方網站發布並公開向全社會徵求意見。可見，中國政府十分重視保障個人信息和重要數據的安全，在促進網路信息自由流動的同時強調依法有序。

一、 安全評估制度適用廣泛

· 適用主體

《數據出境辦法》適用的數據持有主體非常廣泛。原則上，不僅所有在中國境內運營過程中存在收集和產生個人信息和重要數據情況的網路運營者[vi]（包括關鍵信息基礎設施運營者）需要遵守該辦法的規定在傳輸數據至境外時進行安全評估；甚至網路運營者之外的其他個人和組織[vii]亦需要參照執行[viii]該辦法。《數據出境辦法》第2條的表述與《網路安全法》第37條如出一轍，然而規管主體由較為特殊的關鍵信息基礎設施運營者直接拓寬至廣義的網路運營者[ix]，甚至可能及於與網路服務無關的運營實體或個人。

· 評估對象

儘管如此，並非所有的數據在跨境提供時都需要經過安全評估。《數據出境辦法》在此方面與《網路安全法》保持一致，仍將評估對象限於個人信息和重要數據兩種。其中值得一提的是，《數據出境辦法》對《網路安全法》未有定義的「重要數據」進行了一定程度的說明——是指與國家安全、經濟發展，以及社會公共利益密切相關的數據，然而重要數據的具體範圍如何界定，仍待「國家有關標準和重要數據識別指南」發布後進一步澄清。

二、 多主管部門將分工協作

根據《數據出境辦法》的規定，網信辦是數據出境安全評估工作的牽頭部門，不僅負責統籌和協調評估工作，還具有指導行業主管或監管部門（以下簡稱「行業主管機關」）的職能[x]。當行業主管機關不能明確時，將由網信部門組織評估工作[xi]。

而行業主管機關則是通常情況下數據出境安全評估工作的具體實施機關，各自負責本行業領域內的評估工作和定期安全檢查工作[xii]。行業主管機關實施安全評估工作的法定期限是60個工作日，且除了需要及時向被評估主體反饋評估情況外，還具有上報國家網信部門的義務[xiii]。

三、 數據保護具體要求和評估流程

《數據出境辦法》對網路運營者提出了一系列具體的個人信息和重要數據保護要求，並且從相關條文可以看出，未來數據出境安全評估將採用自我評估與政府評估相結合的方式。

· 境內存儲：原則上，通常情況下個人信息和重要數據應當存儲在中國境內，只有因業務需要必須向境外提供且通過安全評估的，才能傳輸至境外。實踐中多數外商投資企業及跨國公司均在經營過程中或多或少地涉及跨境數據傳輸，此次徵求意見稿的出台意味著相關數據傳輸的必要性、合規性需要重新審視。

· 知情同意：《數據出境辦法》明確了個人信息出境必須取得個人信息主體的同意，並需要告知其數據出境的目的、範圍、內容、接收方及接收方所在的國家或地區[xiv]。該條規定未明確規定該等同意為明示同意還是默示同意，無論如何，業務涉及個人信息出境的企業可以至少開始考慮完善其隱私政策等協議，補充個人信息跨境傳輸相關的條款。

· 評估流程：

首先，網路運營者應當在數據出境之前進行自我安全評估並且對評估結果負責[xv]。視自身的業務發展和網路運營情況，該安全評估應當每年至少開展1次[xvi]。自我評估的內容則包括出境必要性、個人信息情況、重要數據情況、數據接收方安全保護能力、數據出境與再轉移相關技術風險、可能為國家安全、社會公共利益和個人合法利益帶來的風險等[xvii]。

在上述自我評估過程中，如發現出境數據存在《數據出境辦法》第9條規定的情形之一，則僅完成自我評估是不足以合規的，網路運營者應當主動報請行業主管機關組織安全評估，即需要政府機關參加安全評估工作。第9條[xviii]從數據規模、包含內容等角度羅列了各種可能存在風險的數據，在此次出台的辦法中居於重要地位。總體來講，對於關鍵信息基礎設施運營者而言，但凡擬向境外提供個人信息和重要數據均應通過政府評估；而對於不具有關鍵信息基礎設施的一般網路運營者，其收集和產生的個人信息和重要數據至少應當通過自我評估流程，如符合一定數據規模條件（如含有50萬人以上個人信息或數據量超過1000GB）或符合一定內容條件（如包含人口健康、敏感地理信息數據、關鍵信息基礎設施的網路安全信息等），還應主動申請進行政府評估。此外，目前版本的第9條還列舉了一種「其他可能影響國家安全和社會公共利益，行業主管或監管部門認為應該評估」的兜底情形，意味著政府評估還可能由行業主管機關直接主動啟動。

而如果出境數據不含第9條規定的情形，網路運營者亦應就評估情況向行業主管機關報告，出現數據接收方變更等特定情形時還應當重新開展安全評估[xix]。

四、 安全評估可能產生的消極後果

安全評估可能產生的最直接的消極後果就是數據不得出境。根據《數據出境辦法》的規定，下列數據是禁止傳輸出境的：（1）未經個人信息主體同意或可能侵害個人利益的個人信息；（2）可能為國家政治、經濟、科技、國防等安全帶來風險、影響國家安全、損害社會公共利益的數據；（3）經國家網信部門、公安部門、安全部門等有關部門認定不能出境的數據[xx]。

如果網路運營者非法向境外提供數據，一旦被他人舉報或被主管機關發現，將根據法律規定遭受處罰[xxi]。例如根據《網路安全法》第66條，關鍵信息基礎設施運營者違反規定在境外存儲數據或向境外提供數據，由有關主管部門責令改正，給予警告，沒收違法所得，處五萬元以上五十萬元以下罰款，並可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

結語

即將於今年10月1日生效的中國民法典首章《民法總則》明確在法律對數據、網路虛擬財產保護有規定的從其規定；而《數據出境辦法》的發布正是中國近期個人信息和數據保護立法進程的又一記重拳。中國的數據出境規則體系很可能不止於此，其完整面貌將通過後續發布的法規文件、標準規範等逐漸顯現。例如技術標準方面，根據全國信息安全標準化技術委員會近日發布的《大數據安全標準化白皮書》，《數據出境安全評估指南》正處於建議研製狀態。我們將繼續關注該領域的最新立法進展。

[i] Model Contracts for the transfer of personal data to third countries

[ii] 全國人大常委會於2016年11月7日發布，2017年6月1日起實施。

[iii] 原文為：「關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。」

[iv]在《網路安全法》出台之前，除特定類型的某些數據之外，中國在數據出境方面始終未有普遍適用的具有法律效力的規定。

[v] 國家網信辦：正在制定有關數據出境評估辦法_頭版_新京報電子報。

[vi] 參見《數據出境辦法》第2條。

[vii] 參見《數據出境辦法》第16條。

[viii] 在法律規範中「參照執行」通常是指根據自身的特殊情況類比執行。

[ix] 《數據出境辦法》與《網路安全法》對「網路運營者」的定義相同，均為網路的所有者、管理者和網路服務提供者。

[x] 參見《數據出境辦法》第5條。

[xi] 參見《數據出境辦法》第9條第2款。

[xii] 參見《數據出境辦法》第6條。

[xiii] 參見《數據出境辦法》第10條。

[xiv] 參見《數據出境辦法》第4條。

[xv] 參見《數據出境辦法》第7條。

[xvi]參見《數據出境辦法》第12條。

[xvii]參見《數據出境辦法》第8條。

[xviii] 原文為：「出境數據存在以下情況之一的，網路運營者應報請行業主管或監管部門組織安全評估：（一）含有或累計含有50萬人以上的個人信息；（二）數據量超過1000GB；（三）包含核設施、化學生物、國防軍工、人口健康等領域數據，大型工程活動、海洋環境以及敏感地理信息數據等；（四）包含關鍵信息基礎設施的系統漏洞、安全防護等網路安全信息；（五）關鍵信息基礎設施運營者向境外提供個人信息和重要數據；（六）其他可能影響國家安全和社會公共利益，行業主管或監管部門認為應該評估。行業主管或監管部門不明確的，由國家網信部門組織評估。」

[xix] 見註解16。

[xx] 參見《數據出境辦法》第11條。

[xxi] 參見《數據出境辦法》第13、14條。

推薦閱讀：