政策解讀 | 重要數據出境，將受到嚴格控制

05-15

政策解讀：重要數據出境，將受到嚴格控制

文 | 李鵬飛

2017年4月11日中央網信辦發布了《個人信息和重要數據出境安全評估辦法（徵求意見稿）》（以下簡稱《評估辦法》），針對個人信息和重要數據出境做出了相當嚴格的要求。下面筆者就此徵求意見稿的《評估辦法》簡單進行一下解析。

一、《評估辦法》出台依據

《評估辦法》的制定主要根據是去年剛剛頒布的《網路安全法》，《網路安全法》第三十七條明確規定因業務需要向境外提供數據時，「應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估」。由此可以認為，此次的《評估辦法》就是對《網路安全法》第三十七條的具體落實。

雖然《評估辦法》目前還只是徵求意見稿，但不出意外的話正式稿在結構上將不會有太大的改動，作為《網路安全法》的配套制度，該《評估辦法》將作為強制要求在各重點行業進行推廣施行。

二、數據出境的監管機構

作為落實具體工作的配套制度，相關管理部門及職責已經界定的非常清晰，在數據出境的安全評估工作中，網信部門起到統籌協調作用，各個行業主管或監管部門具體組織開展本行業內的數據出境安全評估。

同時對不能出境的數據認定上，網信部門、公安部門、安全部門等有關部門可以行使否決權。

三、數據出境的監管思想

直觀上很多人感覺《評估辦法》的重點是數據出境的安全評估，其實評估只是一種具體安全控制手段，真正的重點與核心應該是對出境數據的限制。為什麼這麼說呢？將一些涉及到數據出境要求的條款羅列一對比，就能很容易看出來。

《網路安全法》第三十七條中明確規定「關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要業務數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估」這一條重點強調的是在國內所產生的個人信息和重要數據默認要在境內存儲，如果有特殊情況（如業務需要）不得不向境外提供的，需要進行嚴格的安全評估。

早在2011年人民銀行發布的《人民銀行關於銀行業金融機構做好個人金融信息保護工作的通知》中也明確規定「在中國境內收集的個人金融信息的儲存、處理和分析應當在中國境內進行。除法律法規及中國人民銀行另有規定外，銀行業金融機構不得向境外提供境內個人金融信息。」這一條也非常明確的要求個人金融信息出境的限制，同樣是數據默認在境內存儲，法律法規與人民銀行另有規定除外。

《評估辦法》作為《網路安全法》的具體落實，其核心思想也是限制個人信息與重要業務數據出境，如果企業數據需要出境則需要進行嚴格的審批。

四、哪些數據不能出境

對於不能出境的數據，在《評估辦法》的第十一條給出了明確的定義，一共有三類：

（一）個人信息出境未經個人信息主體同意，或可能侵害個人利益；

（二）數據出境給國家政治、經濟、科技、國防等安全帶來風險，可能影響國家安全、損害社會公共利益。

（三）其他經國家網信部門、公安部門、安全部門等有關部門認定不能出境的。

五、數據出境安全評估

《評估辦法》按照數據的重要程度規定了兩種評估程序，自行評估和監管機構評估。

《評估辦法》的第七條明確規定「網路運營者應在數據出境前，自行組織對數據出境進行安全評估，並對評估結果負責。」注意這裡面定義的是所有涉及到數據出境的網路運營者，也就是說只要涉及到數據出境的組織都需要進行安全自評估，而不分所處行業、自身規模與業務類型。

哪些數據出境必須由監管機構評估，在《評估辦法》中的第九條也有明確規定，出境數據存在以下情況之一的，網路運營者應報請行業主管或監管部門組織安全評估：

（一）含有或累計含有50萬人以上的個人信息；

（二）數據量超過1000GB；

（三）包含核設施、化學生物、國防軍工、人口健康等領域數據，大型工程活動、海洋環境以及敏感地理信息數據等；

（四）包含關鍵信息基礎設施的系統漏洞、安全防護等網路安全信息；

（五）關鍵信息基礎設施運營者向境外提供個人信息和重要數據；

（六）其他可能影響國家安全和社會公共利益，行業主管或監管部門認為應該評估。

行業主管或監管部門不明確的，由國家網信部門組織評估。

六、組織如何進行政策要求應對

根據該《評估辦法》的內容來看，未來的幾年會對所有行業的數據出境進行一次大摸底與風險評估，因此凡是涉及到數據出境的所有單位應該儘早進行準備，基本的應對思路包括以下三個方面：

首先，根據自身的業務、技術現狀，參照《網路安全法》和《評估辦法》做一次數據安全的詳細評估，如果自身沒有技術能力操作安全評估，可以聘請專業的第三方專業機構。

其次，根據自身數據安全評估的結果，制定相應的風險處置計劃，並逐步落實風險整改措施，提高自身數據安全保護能力和安全監管合規水平。

最後，如果因業務需要必須進行數據出境，並安全自評估結果負責監管機構評估的條件的，則應儘快與行業監管部門聯繫，開始著手準備監管機構數據出境安全評估。

按照《評估辦法》的要求，每年都需要進行一次安全評估，但如果需要出境的數據規模和數據類型等情況保持不變，每年安全評估的內容應該差別不大。也就是說，最難的就是第一年開始的數據出境自評估和數據出境監管機構評估，以後每年只需要重點關注出境數據的變化情況即可。

從國家一些列的網路措施可以看出，在數據安全方面的各種法律與政策要求將會越來越嚴格。而個人信息保護與數據安全是一個龐大的系統工程，想要很好的應對監管要求和控制組織自身數據安全風險，並不是一件能夠在短時間一蹴而就的事情，這就需要提早進行準備並能夠持續的進行資源投入，一步一個腳印的進行落實才能取得一個良好的數據安全治理效果。

附：個人信息和重要數據出境安全評估辦法（徵求意見稿）

第一條為保障個人信息和重要數據安全，維護網路空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法利益，根據《中華人民共和國國家安全法》《中華人民共和國網路安全法》等法律法規，制定本辦法。

第二條網路運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據，應當在境內存儲。因業務需要，確需向境外提供的，應當按照本辦法進行安全評估。

第三條數據出境安全評估應遵循公正、客觀、有效的原則，保障個人信息和重要數據安全，促進網路信息依法有序自由流動。

第四條個人信息出境，應向個人信息主體說明數據出境的目的、範圍、內容、接收方及接收方所在的國家或地區，並經其同意。未成年人個人信息出境須經其監護人同意。

第五條國家網信部門統籌協調數據出境安全評估工作，指導行業主管或監管部門組織開展數據出境安全評估。

第六條行業主管或監管部門負責本行業數據出境安全評估工作，定期組織開展本行業數據出境安全檢查。

第七條網路運營者應在數據出境前，自行組織對數據出境進行安全評估，並對評估結果負責。

第八條數據出境安全評估應重點評估以下內容：

（一）數據出境的必要性；

（二）涉及個人信息情況，包括個人信息的數量、範圍、類型、敏感程度，以及個人信息主體是否同意其個人信息出境等；

（三）涉及重要數據情況，包括重要數據的數量、範圍、類型及其敏感程度等；

（四）數據接收方的安全保護措施、能力和水平，以及所在國家和地區的網路安全環境等；

（五）數據出境及再轉移後被泄露、毀損、篡改、濫用等風險；

（六）數據出境及出境數據匯聚可能對國家安全、社會公共利益、個人合法利益帶來的風險；

（七）其他需要評估的重要事項。

第九條出境數據存在以下情況之一的，網路運營者應報請行業主管或監管部門組織安全評估：

（一）含有或累計含有50萬人以上的個人信息；

（二）數據量超過1000GB；

（三）包含核設施、化學生物、國防軍工、人口健康等領域數據，大型工程活動、海洋環境以及敏感地理信息數據等；

（四）包含關鍵信息基礎設施的系統漏洞、安全防護等網路安全信息；

（五）關鍵信息基礎設施運營者向境外提供個人信息和重要數據；

（六）其他可能影響國家安全和社會公共利益，行業主管或監管部門認為應該評估。

行業主管或監管部門不明確的，由國家網信部門組織評估。

第十條行業主管或監管部門組織的安全評估，應當於六十個工作日內完成，及時向網路運營者反饋安全評估情況，並報國家網信部門。

第十一條存在以下情況之一的，數據不得出境：

（一）個人信息出境未經個人信息主體同意，或可能侵害個人利益；

（二）數據出境給國家政治、經濟、科技、國防等安全帶來風險，可能影響國家安全、損害社會公共利益；

（三）其他經國家網信部門、公安部門、安全部門等有關部門認定不能出境的。

第十二條網路運營者應根據業務發展和網路運營情況，每年對數據出境至少進行一次安全評估，及時將評估情況報行業主管或監管部門。

當數據接收方出現變更，數據出境目的、範圍、數量、類型等發生較大變化，數據接收方或出境數據發生重大安全事件時，應及時重新進行安全評估。

第十三條對違反相關法律法規和本辦法向境外提供數據的行為，任何個人和組織有權向國家網信部門、公安部門等有關部門舉報。

第十四條違反本辦法規定的，依照有關法律法規進行處罰。

第十五條我國政府與其他國家、地區簽署的關於數據出境的協議，按照協議的規定執行。

涉及國家秘密信息的按照相關規定執行。

第十六條其他個人和組織在中華人民共和國境內收集和產生的個人信息和重要數據出境的安全評估工作參照本辦法執行。

第十七條本辦法下列用語的含義：

網路運營者，是指網路的所有者、管理者和網路服務提供者。

數據出境，是指網路運營者將在中華人民共和國境內運營中收集和產生的個人信息和重要數據，提供給位於境外的機構、組織、個人。

個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

重要數據，是指與國家安全、經濟發展，以及社會公共利益密切相關的數據，具體範圍參照國家有關標準和重要數據識別指南。

第十八條本辦法自2017年月日起實施。