走出去智庫(kù)觀察

7月7日，國(guó)家互聯(lián)網(wǎng)信息辦公室頒布《數(shù)據(jù)出境安全評(píng)估辦法》（以下簡(jiǎn)稱《評(píng)估辦法》），將于2022年9月1日起正式施行。《評(píng)估辦法》明確了數(shù)據(jù)出境安全評(píng)估的目的、原則、范圍、程序和監(jiān)督機(jī)制等具體規(guī)定。

走出去智庫(kù)(CGGT) 特約法律專家、北京德恒律師事務(wù)所合伙人王一楠指出，《評(píng)估辦法》的頒布實(shí)施具有重要現(xiàn)實(shí)意義：一是落實(shí)上位法的數(shù)據(jù)出境管理規(guī)定和要求；二是保障數(shù)字經(jīng)濟(jì)健康有序發(fā)展；三是應(yīng)對(duì)數(shù)據(jù)跨境傳輸和境外匯聚的安全風(fēng)險(xiǎn)。

《評(píng)估辦法》有哪些重要規(guī)定？今天，走出去智庫(kù)（CGGT）刊發(fā)王一楠律師的文章，供關(guān)注跨境數(shù)據(jù)合規(guī)管理的讀者參考。

要 點(diǎn)

CGGT，CHINA GOING GLOBAL THINKTANK

1、雖然上位法《網(wǎng)安法》、《數(shù)安法》、《個(gè)保護(hù)》均從不同角度提到過(guò)數(shù)據(jù)出境需要進(jìn)行安全評(píng)估的情形，而《評(píng)估辦法》首次完整地規(guī)定了安全評(píng)估的具體適用范圍。

2、對(duì)于擬進(jìn)行數(shù)據(jù)出境的數(shù)據(jù)處理者來(lái)說(shuō)，先要判斷其出境活動(dòng)是否適用安全評(píng)估，如果適用，需要進(jìn)行數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估，否則可以通過(guò)《個(gè)保法》項(xiàng)下的其他路徑（如認(rèn)證、標(biāo)準(zhǔn)合同）數(shù)據(jù)出境或依法有序自由流動(dòng)。

3、《評(píng)估辦法》第五條和第八條分別列舉風(fēng)險(xiǎn)自評(píng)估和安全評(píng)估的重點(diǎn)事項(xiàng)，兩者大部分內(nèi)容重合，凸顯了風(fēng)險(xiǎn)自評(píng)估在申報(bào)資料中的重要地位，體現(xiàn)了“風(fēng)險(xiǎn)自評(píng)估與安全評(píng)估相結(jié)合”的評(píng)估原則。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

一、出臺(tái)背景

隨著全球化與數(shù)字經(jīng)濟(jì)的發(fā)展，數(shù)據(jù)作為具有極大經(jīng)濟(jì)價(jià)值的生產(chǎn)要素，在國(guó)際間的流動(dòng)越來(lái)越頻繁，而且數(shù)量呈逐年增長(zhǎng)趨勢(shì)。然而，數(shù)據(jù)跨境的無(wú)序流動(dòng)會(huì)給數(shù)據(jù)主體和數(shù)據(jù)安全帶來(lái)風(fēng)險(xiǎn)，還關(guān)乎國(guó)家安全和社會(huì)公共利益。為了防范數(shù)據(jù)跨境流動(dòng)中存在的各種風(fēng)險(xiǎn)，我國(guó)一直積極推動(dòng)相關(guān)立法規(guī)范數(shù)據(jù)的跨境流動(dòng)，例如《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》和《網(wǎng)絡(luò)安全審查辦法》修訂。

2022年7月7日，國(guó)家互聯(lián)網(wǎng)信息辦公室出臺(tái)了《數(shù)據(jù)出境安全評(píng)估辦法》（以下簡(jiǎn)稱“評(píng)估辦法”），全面和系統(tǒng)地提出了我國(guó)數(shù)據(jù)出境“安檢”的具體要求，也標(biāo)志著《網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱“網(wǎng)安法”）首次確立的數(shù)據(jù)出境安全評(píng)估制度正式落地。

實(shí)際上，國(guó)家互聯(lián)網(wǎng)信息辦公室分別于2017年和2019年就數(shù)據(jù)出境安全評(píng)估出臺(tái)過(guò)兩個(gè)辦法的征求意見(jiàn)稿，即2017年4月11日的《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》（“17年版評(píng)估辦法”）和2019年6月13日的《個(gè)人信息出境安全評(píng)估辦法（征求意見(jiàn)稿）》（“19年版評(píng)估辦法”）。隨著《數(shù)據(jù)安全法》（以下簡(jiǎn)稱“數(shù)安法”）《個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱“個(gè)保法”）的正式頒布實(shí)施，國(guó)家網(wǎng)信部門持續(xù)不斷深入研究國(guó)外相關(guān)立法現(xiàn)狀，結(jié)合17年版評(píng)估辦法和19年版評(píng)估辦法制定工作經(jīng)驗(yàn)，在廣泛吸收社會(huì)各方意見(jiàn)基礎(chǔ)上，打磨完善而形成目前的《評(píng)估辦法》。

《評(píng)估辦法》的頒布實(shí)施具有重要現(xiàn)實(shí)意義：一是落實(shí)上位法的數(shù)據(jù)出境管理規(guī)定和要求；二是保障數(shù)字經(jīng)濟(jì)健康有序發(fā)展；三是應(yīng)對(duì)數(shù)據(jù)跨境傳輸和境外匯聚的安全風(fēng)險(xiǎn)。

二、適用范圍

雖然上位法《網(wǎng)安法》、《數(shù)安法》、《個(gè)保護(hù)》均從不同角度提到過(guò)數(shù)據(jù)出境需要進(jìn)行安全評(píng)估的情形，而《評(píng)估辦法》首次完整地規(guī)定了安全評(píng)估的具體適用范圍。

首先，《評(píng)估辦法》第二條將“數(shù)據(jù)出境”定義為“向境外提供”。在實(shí)踐中，“提供”可以有多種呈現(xiàn)情形。通常理解的情形是數(shù)據(jù)處理者將數(shù)據(jù)轉(zhuǎn)移至中國(guó)境外的地方。但是有一種情形是數(shù)據(jù)并未轉(zhuǎn)移至境外，而依舊存儲(chǔ)在境內(nèi)，不過(guò)數(shù)據(jù)處理者將境內(nèi)數(shù)據(jù)庫(kù)的訪問(wèn)登錄信息或接口提供給境外主體，以便后者可以在境外遠(yuǎn)程訪問(wèn)查看（“遠(yuǎn)程訪問(wèn)情形”）。例如，有些外資企業(yè)的信息技術(shù)團(tuán)隊(duì)部署在中國(guó)境外，其通過(guò)互聯(lián)網(wǎng)訪問(wèn)并處理境內(nèi)服務(wù)器上存儲(chǔ)的數(shù)據(jù)來(lái)提供遠(yuǎn)程技術(shù)服務(wù)。鑒于遠(yuǎn)程訪問(wèn)情形也會(huì)對(duì)境內(nèi)存儲(chǔ)的數(shù)據(jù)構(gòu)成一定風(fēng)險(xiǎn)威脅，從數(shù)據(jù)跨境流動(dòng)安全管理的角度來(lái)看，其理論上屬于“向境外提供”。另外一種情況是數(shù)據(jù)雖然轉(zhuǎn)移至境外，但是數(shù)據(jù)處理者未將存儲(chǔ)在境外數(shù)據(jù)的訪問(wèn)權(quán)交付給任何一個(gè)境外接收方，例如：數(shù)據(jù)處理者將數(shù)據(jù)上傳到境外自己的云存儲(chǔ)空間，僅供自己使用。在這種情況下，雖然不存在明確的境外接收方，但數(shù)據(jù)已經(jīng)處于我國(guó)司法管轄范圍之外，理論上境外主體（如云服務(wù)商）可以訪問(wèn)數(shù)據(jù)，而且也面臨境外政府調(diào)取的風(fēng)險(xiǎn)，因此該場(chǎng)景也應(yīng)屬于“向境外提供”。

其次，《評(píng)估辦法》第二條規(guī)定需要安全評(píng)估的出境數(shù)據(jù)系在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的。由此推斷出數(shù)據(jù)出境排除了境外數(shù)據(jù)“過(guò)境”我國(guó)的場(chǎng)景，體現(xiàn)了監(jiān)管手段與目的之間匹配的適當(dāng)性和合理性。

而且，《評(píng)估辦法》第二條（結(jié)合第四條）明確在出境數(shù)據(jù)涉及重要數(shù)據(jù)的情況下，安全評(píng)估是強(qiáng)制性的。需要注意的是這是首次將重要數(shù)據(jù)需要進(jìn)行安全評(píng)估的范圍從關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者擴(kuò)大至所有數(shù)據(jù)處理者。《網(wǎng)安法》第三十七條明確要求關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者向境外提供重要數(shù)據(jù)需要進(jìn)行安全評(píng)估。《數(shù)安法》第三十一條重申了以上立場(chǎng)，并在此基礎(chǔ)上將其他數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)所適用的具體出境安全管理辦法交“由國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定”。此次《評(píng)估辦法》第二條正是呼應(yīng)了《數(shù)安法》第三十一條，將其他數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)的情形也納入安全評(píng)估范圍。

而且，《評(píng)估辦法》自2017年《網(wǎng)安法》引入重要數(shù)據(jù)這個(gè)概念之后首次在部門規(guī)章的高度對(duì)其進(jìn)行全面的界定，即“指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用、可能危害國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全等的數(shù)據(jù)”（在此之前，《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》明確在汽車數(shù)據(jù)場(chǎng)景下“涉及個(gè)人信息主體超過(guò)10萬(wàn)人的個(gè)人信息”屬于重要數(shù)據(jù)，《信息安全技術(shù) 重要數(shù)據(jù)識(shí)別規(guī)則（征求意見(jiàn)稿）》從國(guó)家標(biāo)準(zhǔn)角度將重要數(shù)據(jù)定義為“特定領(lǐng)域、特定群體、特定區(qū)域或達(dá)到一定精度和規(guī)模的數(shù)據(jù)，一旦被泄露或篡改、損毀，可能直接危害國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全”）。

最后，結(jié)合《評(píng)估辦法》第四條，我們可以看到在出境數(shù)據(jù)涉及個(gè)人信息的情況下，達(dá)到一定“門檻“才需進(jìn)行安全評(píng)估。該門檻主要涉及“四種情形、兩大類別”。“四種情形”是指，個(gè)人信息的處理者在滿足如下四種情形條件下就要進(jìn)行安全評(píng)估：（1）關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者；（2）處理個(gè)人信息達(dá)到一百萬(wàn)人；（3）自上年1月1日起累計(jì)向境外提供10萬(wàn)人個(gè)人信息；（4）自上年1月1日起累計(jì)向境外提供1萬(wàn)人敏感個(gè)人信息。“兩大類別”是指?jìng)€(gè)人信息出境需要做安全評(píng)估的要求可以分為：主體條件類和客體條件類。兩個(gè)類別的區(qū)別是：前者關(guān)注處理者的主體資質(zhì)，而不關(guān)注向境外提供個(gè)人信息的具體數(shù)量，后者則相反。具體來(lái)說(shuō)，主體條件類是指當(dāng)個(gè)人信息處理者是關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者，或者處理個(gè)人信息達(dá)到一百萬(wàn)人的個(gè)人信息處理者時(shí)，只要其向境外提供個(gè)人信息，無(wú)論實(shí)際出境數(shù)量多少個(gè)人信息都需要進(jìn)行安全評(píng)估；客體條件類是指當(dāng)個(gè)人信息處理者向境外提供年累計(jì)達(dá)到一定標(biāo)準(zhǔn)（10萬(wàn)人個(gè)人信息或1萬(wàn)人敏感個(gè)人信息）之后即需要進(jìn)行安全評(píng)估。

為了方便讀者理解，本文通過(guò)如下圖示說(shuō)明數(shù)據(jù)出境安全評(píng)估的適用范圍：

圖1-數(shù)據(jù)出境安全評(píng)估的適用范圍

三、評(píng)估內(nèi)容

1.評(píng)估流程

評(píng)估辦法第五至第十四條和第十七條明確了安全評(píng)估的具體流程，本文總結(jié)如下：

適用分析。對(duì)于擬進(jìn)行數(shù)據(jù)出境的數(shù)據(jù)處理者來(lái)說(shuō)，先要判斷其出境活動(dòng)是否適用安全評(píng)估，如果適用，需要進(jìn)行數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估，否則可以通過(guò)《個(gè)保法》項(xiàng)下的其他路徑（如認(rèn)證、標(biāo)準(zhǔn)合同）數(shù)據(jù)出境或依法有序自由流動(dòng)。

申報(bào)準(zhǔn)備。如需進(jìn)行安全評(píng)估，數(shù)據(jù)處理者需要準(zhǔn)備申報(bào)書(shū)、風(fēng)險(xiǎn)自評(píng)估報(bào)告、與境外接收方擬簽署法律文件等申報(bào)資料。

受理決定。在處理者提交申報(bào)資料之后，國(guó)家網(wǎng)信部門將審查并決定是否受理該申報(bào)。如果不受理，數(shù)據(jù)處理者可以通過(guò)其他路徑進(jìn)行數(shù)據(jù)出境或依法有序自由流動(dòng)。

進(jìn)行評(píng)估。在受理申報(bào)之后，國(guó)家網(wǎng)信部門將組織國(guó)務(wù)院有關(guān)部門、省級(jí)網(wǎng)信部門、專門機(jī)構(gòu)等進(jìn)行安全評(píng)估。值得注意的是，相對(duì)于2021年的征求意見(jiàn)稿，本《評(píng)估辦法》在該環(huán)節(jié)增加了一次給數(shù)據(jù)處理者補(bǔ)充或者更正資料的機(jī)會(huì)，即在安全評(píng)估過(guò)程中，國(guó)家網(wǎng)信部門如果發(fā)現(xiàn)申報(bào)材料不符合要求的，可以要求數(shù)據(jù)處理者補(bǔ)充或者更正。而征求意見(jiàn)稿僅在省級(jí)網(wǎng)信部門收到申報(bào)材料后賦予數(shù)據(jù)處理者一個(gè)類似的機(jī)會(huì)。其體現(xiàn)了監(jiān)管部門對(duì)于安全評(píng)估工作的審慎態(tài)度。

申請(qǐng)復(fù)評(píng)。如果最終通過(guò)了安全評(píng)估，數(shù)據(jù)處理者可以依法有序安排數(shù)據(jù)自由流動(dòng)，否則需要終止數(shù)據(jù)出境活動(dòng)或者申請(qǐng)復(fù)評(píng)。同樣，復(fù)評(píng)環(huán)節(jié)也是相較于2021年征求意見(jiàn)稿的新增內(nèi)容，為數(shù)據(jù)處理者提供了某種程度上的救濟(jì)途徑，在最大程度上確保評(píng)估結(jié)果的準(zhǔn)確性。

重新評(píng)估。《評(píng)估辦法》第十四條和第十七條規(guī)定，已經(jīng)通過(guò)評(píng)估的數(shù)據(jù)處理活動(dòng)在如下三種情形下需要進(jìn)行重新評(píng)估：（a）兩年期滿；(b) 情勢(shì)變化；(c) 違規(guī)處理。體現(xiàn)了“事前評(píng)估和持續(xù)監(jiān)督相結(jié)合”的評(píng)估原則。

為了方便讀者理解，本文通過(guò)如下圖示說(shuō)明安全評(píng)估的工作流程，并將評(píng)估過(guò)程中涉及的時(shí)限通過(guò)如下表格總結(jié)。

圖2-評(píng)估流程

表1-評(píng)估流程中涉及的時(shí)限

2.評(píng)估事項(xiàng)

《評(píng)估辦法》第五條和第八條分別列舉風(fēng)險(xiǎn)自評(píng)估和安全評(píng)估的重點(diǎn)事項(xiàng)，兩者大部分內(nèi)容重合，凸顯了風(fēng)險(xiǎn)自評(píng)估在申報(bào)資料中的重要地位，體現(xiàn)了“風(fēng)險(xiǎn)自評(píng)估與安全評(píng)估相結(jié)合”的評(píng)估原則。

為了方便讀者理解，下文通過(guò)如下表進(jìn)行對(duì)比，并做簡(jiǎn)要分析。

表2 - 風(fēng)險(xiǎn)自評(píng)估與安全評(píng)估事項(xiàng)對(duì)比

3.關(guān)于“法律文件”的幾個(gè)問(wèn)題

在《評(píng)估辦法》所要求提交的申報(bào)資料中，除了申報(bào)書(shū)和自評(píng)估報(bào)告以外，第三個(gè)重要資料就是“數(shù)據(jù)處理者與境外接收方擬訂立的法律文件”（“法律文件”），而且《評(píng)估辦法》第九條明確規(guī)定了“法律文件”需要包含的內(nèi)容，即約定數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)等。

雖然“法律文件”在內(nèi)容要求上類似合同，但是不限于合同一種形式，例如有約束的集團(tuán)公司內(nèi)部管理制度理論上也符合要求。而且，需要澄清的是這里提到的“法律文件”與《個(gè)保法》第三十八條第（三）款中提到的“標(biāo)準(zhǔn)合同”不同。兩者區(qū)別主要包括如下幾個(gè)方面：1）前者是安全評(píng)估的申報(bào)資料之一，而后者是與安全評(píng)估、認(rèn)證共同構(gòu)成我國(guó)個(gè)人信息出境安全管理方式之一；2）前者的主要條款由數(shù)據(jù)處理者與境外接收方在滿足安全評(píng)估要求的前提下自由約定，而后者主要條款由國(guó)家網(wǎng)信部門制定；3）前者屬于事前監(jiān)管的范疇，后者屬于事后監(jiān)管的范疇。

4.結(jié)語(yǔ)

相較于17年和19年兩版評(píng)估辦法，本《評(píng)估辦法》所建立的管理體系更加成熟和完備，無(wú)論是在概念還是在制度建設(shè)方面都與上位法及其他相關(guān)數(shù)據(jù)跨境流動(dòng)安全管理規(guī)定形成良好的銜接。隨著“重要數(shù)據(jù)”等概念、范圍的進(jìn)一步明晰，以及其他配套法規(guī)政策文件的不斷出臺(tái)，《評(píng)估辦法》的實(shí)施標(biāo)志我國(guó)在搭建數(shù)據(jù)出境安全管理制度的工作中邁出了重要且堅(jiān)實(shí)的一步。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問(wèn)題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。