众里寻他，数据跨境规则即将落地——速评《数据出境安全评估办法（征求意见稿）》

原创蔡鹏苏阳阳中伦视界 2022-07-31

作者：

蔡鹏苏阳阳

导言：

今日，国家互联网信息办公室（下称“国家网信办”）发布《数据出境安全评估办法（征求意见稿）》（下称“《意见稿》”）并公开征求意见。

《意见稿》是对数据出境安全评估问题监管上的最新回应，其将全面监管、从严监管的理念贯彻得更为彻底，也对涉及数据出境的企业进一步预设了相应的合规义务。

本文主要内容包含三个部分：

其一对数据出境评估相关立法历史进行梳理，明晰本《意见稿》的相关立法脉络；

其二是对《意见稿》中的重点内容与变化进行评析，意图探析监管层面对数据出境的监管变化与企业合规义务的重点；

其三对《意见稿》与先前有关历史法案进行对比，以便读者更加清晰本次《意见稿》的修改变化（文后可扫码获取详细信息）。

一.

出境评估立法历史

2017年4月11日，国家互联网信息办公室颁布了《个人信息和重要数据出境安全评估办法（征求意见稿）》。

2019年6月13日，国家互联网信息办公室颁布了《个人信息出境安全评估办法（征求意见稿）》。

2021年6月10日，中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议通过了《中华人民共和国数据安全法》（“《数安法》”），自2021年9月1日起施行。

2021年8月20日，中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议通过了《中华人民共和国个人信息保护法》（“《个保法》”），自2021年11月1日起施行。

2021年10月29日，国家互联网信息办公室颁布了《数据出境安全评估办法（征求意见稿）》。

可以看出，数据跨境流动一直以来就是数据立法的重点和难点，立法部门在《网络安全法》实施之初便将其考虑了进去。其后立法也经历了将数据跨境分为个人信息和重要数据两个部分以分别设定规则的阶段，在数据立法整体已经完备的情况下，为了便于法律的整体实施，跨境评估规则落地便水到渠成。

二.

《意见稿》要点解析

1、“三驾马车”夯实上位法基础

随着2021年《数据安全法》和《个人信息保护法》的出台，数据出境评估所依据的上位法最终得以确定，弥补了此前下位法先行，缺少上位法准确依据的尴尬处境。《意见稿》的出台使得数据出境安全评估的法律体系得以明晰，以《网络安全法》、《数据安全法》和《个人信息保护法》“三驾马车”作为上位法，以《意见稿》等细化的法律文件作为下位法，共同作为监管依据，以引导数据出境安全评估相关工作。

2、数据处理者作为评估主体

在此前的数据出境评估法律文件中，将评估主体界定为“网络运营者”，笔者理解是因为在《网络安全法》、《国家安全法》等法律作为上位法的前提下，只能以上位法中虽不准确但至少进行了明确界定的“网络运营者”作为评估主体，可以减少上下位法层面的矛盾。

而在本次《意见稿》中，在上位法明晰化的基础上，基于此办法是对“数据出境”进行评估，故使用《数安法》和《个保法》中所界定的“数据处理者”的概念更为准确，这也是本次《意见稿》的亮点之一，一定程度上避免了因评估主体不清导致的一系列法律适用上的模糊问题。

3、统一监管思路的回归

从立法历史可以看出，对于数据出境评估问题，经历了从“重要数据+个人信息”的统一监管模式到“个人信息”的单独监管模式的转变，再到本次的《意见稿》统一监管模式的回归。

“重要数据+个人信息”模式的回归，也释放了监管部门对个人信息和重要数据的出境评估问题不再进行单独立法的立法信号，对于企业来说，减少了因分散立法而增加的合规义务。

4、评估模式：双层评估流程

《意见稿》第三条明确：数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合，防范数据出境安全风险，保障数据依法有序自由流动。该条在注重对数据出境全流程的监管外，还明确了“风险自评估+安全评估”的双层评估流程，具体制度设计如下：

流程	开展主体	启动条件	评估事项
风险自评估（必经程序）	数据处理者	第五条数据处理者在向境外提供数据前，应事先开展数据出境风险自评估，重点评估以下事项：	第五条数据处理者在向境外提供数据前，应事先开展数据出境风险自评估，重点评估以下事项：（一）数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；（二）出境数据的数量、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；（三）数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险；（四）境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；（五）数据出境和再转移后泄露、毁损、篡改、滥用等的风险，个人维护个人信息权益的渠道是否通畅等；（六）与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。
+安全评估（非必经程序）	数据处理者向监管部门申报	第四条数据处理者向境外提供数据，符合以下情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。（一）关键信息基础设施的运营者收集和产生的个人信息和重要数据；（二）出境数据中包含重要数据；（三）处理个人信息达到一百万人的个人信息处理者向境外提供个人信息；（四）累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息；（五）国家网信部门规定的其他需要申报数据出境安全评估的情形。	第八条数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险，主要包括以下事项：（一）数据出境的目的、范围、方式等的合法性、正当性、必要性；（二）境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响；境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规规定和强制性国家标准的要求；（三）出境数据的数量、范围、种类、敏感程度，出境中和出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险；（四）数据安全和个人信息权益是否能够得到充分有效保障；（五）数据处理者与境外接收方订立的合同中是否充分约定了数据安全保护责任义务；（六）遵守中国法律、行政法规、部门规章情况；（七）国家网信部门认为需要评估的其他事项。

风险自评估：在该双层评估流程中，风险自评估为数据处理者向境外提供数据前的必经流程，该风险自评估并未对数据的数量、范围、目的等进行限定，笔者理解为该条款仅限定数据处理者向境外提供数据的这一行为，故所有数据处理者，只要有数据跨境行为，都需要开展企业数据出境风险自评估。这是数据处理者在数据出境语境下的法定合规义务。

安全评估：主管机构的安全评估并不是必经流程，只在符合一定条件的数据处理者向境外提供数据时，才需要向监管部门申请该自评估；申请提交后，监管部门根据《意见稿》的具体评估内容进行评估，评估内容与评估流程的调整《意见稿》进行了相对清晰的释明，其中安全评估的条件是本次修改的一大突破，也是本次修改的重中之重，将在下一部分论述。

5、核心：法定安全申报义务的重大调整

《意见稿》第四条对数据处理者在何种条件下具有法定安全申报义务进行了重大调整，这也极大地扩张了具有法定申报义务的数据处理者的范围。下表我们将《意见稿》与先前的数据出境评估的具有法定申报义务的条件进行了对比和简要评析。

《意见稿》第四条	《个人信息和重要数据出境安全评估办法（征求意见稿）》第九条	评析
（一）关键信息基础设施的运营者收集和产生的个人信息和重要数据；	（四）包含关键信息基础设施的系统漏洞、安全防护等网络安全信息；（五）关键信息基础设施运营者向境外提供个人信息和重要数据；	对于关键信息基础设施相关的数据出境，进行了概括和扩张。
（二）出境数据中包含重要数据；	（三）包含核设施、化学生物、国防军工、人口健康等领域数据，大型工程活动、海洋环境以及敏感地理信息数据等；	目前对重要数据的法规层面还有待于进一步细化，数据处理者应当重视，一旦所处理的数据容易被认定为重要数据，即落入该法定义务。
（三）处理个人信息达到一百万人的个人信息处理者向境外提供个人信息；		采用了主体+行为的界定，其中主体层面界定为：处理个人信息达到一百万人，行为层面界定为：向境外提供个人信息。笔者认为该界定十分宽泛，可以理解为只要处理个人信息达到一百万人的主体，只要向境外提供个人信息，无论数量，都有可能进行安全申报。而在主体层面，处理个人信息达到一百万人这个条件对于数据处理者而言，在实际处理场景下，极易满足。所以，该条对于数据处理者而言，极易构成该场景下的具有法定申报义务。实操中，企业尤其要重视该条件下的法定申报义务。
（四）累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息；	（一）含有或累计含有50万人以上的个人信息；（二）数据量超过1000GB；	采用了累计的概念，在并未进行其他限定的前提下，只要曾经向境外提供过个人信息，或敏感个人信息，达到该标准，即有义务进行申报。
（五）国家网信部门规定的其他需要申报数据出境安全评估的情形。	（六）其他可能影响国家安全和社会公共利益，行业主管或监管部门认为应该评估。行业主管或监管部门不明确的，由国家网信部门组织评估。	兜底条款，有进一步解释空间。

6、其他变化

相较于以上较为重要的调整，《意见稿》还进一步新增了以下新的变化：

(1) 评估期限相对固定。《意见稿》设定了最长六十七个工作日的评估期限；

(2) 评估重点确定：重点为以数据出境的合法正当和必要性为基础，识别境外接收方以及所在国家的安全风险和保护水平，以及出境数据的敏感程度、个人的权益是否能够得到充分保障；

(3) 跨境合同必要条款明确：《意见稿》设定了数据跨境转让所必须的安全责任条款，我们理解，该条款会成为与《个保法》数据跨境中网信部门制定的跨境合同模板的重要组成部分；

(4) 法定评估主体确定：法定的评估主体将以国家网信部门为牵头，组织行业主管部门，国务院有关部门、省级网信部门和专门机构等进行评估；

(5) 重新评估的条件进行调整：相较于此前两个版本，《意见稿》基于数据安全的考虑，对于重新评估设定了较多的灵活因素，特别是接收方的法律环境发生变化以及合同变更等可能影响数据出境安全的因素；

(6) 法律责任的设定仍以法律规定为主：《意见稿》对于违反评估规则所导致的法律责任，除了撤销和整改之外，再无其他新的设定。处理者违反的，将根据《个保法》和《数安法》对其进行行政和刑事责任的追究。

小结：

随着《数安法》、《个保法》的相继落地，有关的实施细则也将会纷至沓来。作为业界较为关注的数据跨境评估规则，极有可能成为首个在《个保法》生效后实施的规则之一。《意见稿》的出台，体现了数据监管以安全为基础，鼓励自由流动的整体目标，但也对绝大多数的数据处理者形成了不小的合规压力。对于数据出境，最重要的莫过于基于内控措施的完善，而将外部监管压力进行弱化。（在笔者2017年的文章就已经进行了明确建议（《个人信息和重要数据出境法案对企业合规的新挑战》）。对此，企业应当积极进行整体数据合规体系建设，涉及或可能涉及数据出境场景的，应当将数据出境的自评估体系建设和实施作为重要一环，以应对已经到来的严监管时代。

扫描二维码获取《数据跨境评估立法比对和变化》

The End

作者简介

蔡鹏律师

北京办公室 合伙人

业务领域：网络安全和数据保护, 知识产权权利保护, 合规和反腐败

特色行业类别：通讯与技术, 健康与生命科学

苏阳阳

北京办公室知识产权部

*陈雨婕、王惠庭对本文亦有贡献。

作者往期文章推荐

《全景解构<个人信息保护法>，助力企业进入中国个人信息保护新纪元》