?

一

二

?

《網(wǎng)絡(luò)安全法》第37條將適用范圍限定于"關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者"。但隨后出臺(tái)的《評(píng)估辦法》與《評(píng)估指南》均將第2條將適用范圍明確擴(kuò)展為"網(wǎng)絡(luò)運(yùn)營者"，《評(píng)估指南》在范圍的說明中保持了與《評(píng)估辦法》的一致。需要注意的是，《評(píng)估辦法》還規(guī)定"其他個(gè)人和組織在中華人民共和國境內(nèi)收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)出境的安全評(píng)估工作參照本辦法執(zhí)行"，這也意味著，盡管適用《評(píng)估辦法》的主體是網(wǎng)絡(luò)運(yùn)營者，但涉及其他個(gè)人和組織數(shù)據(jù)出境的安全評(píng)估工作，也應(yīng)參照《評(píng)估辦法》的有關(guān)內(nèi)容。

?

根據(jù)《評(píng)估辦法》，網(wǎng)絡(luò)運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)屬于被規(guī)制的數(shù)據(jù)。根據(jù)《評(píng)估指南》，個(gè)人信息(Personal Date)是指以電子方式或其他方式記錄的能夠單獨(dú)或與其他信息結(jié)合識(shí)別自然人身份的各種信息，如姓名、出生日期、身份證號(hào)、個(gè)人賬號(hào)信息、住址、電話號(hào)碼、指紋、虹膜等（關(guān)于個(gè)人信息的范圍和類別可參考《個(gè)人信息安全技術(shù) 個(gè)人信息安全法規(guī)范》）。重要數(shù)據(jù)(Important Data)是指相關(guān)組織、機(jī)構(gòu)和個(gè)人在境內(nèi)收集、產(chǎn)生的不涉及國家秘密，但與國家安全、經(jīng)濟(jì)發(fā)展以及公共利益密切相關(guān)的數(shù)據(jù)，包括原始數(shù)據(jù)和衍生數(shù)據(jù)（重要數(shù)據(jù)的具體范圍可以參見《評(píng)估指南》附件A）。需要注意的是，經(jīng)政府信息公開渠道合法公開的數(shù)據(jù)，不再屬于重要數(shù)據(jù)。

?

根據(jù)《評(píng)估指南》，數(shù)據(jù)出境(Data Cross-border Transfer)是指網(wǎng)絡(luò)運(yùn)營者通過網(wǎng)絡(luò)等方式，將其在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)，通過直接提供或開展業(yè)務(wù)、提供服務(wù)、產(chǎn)品等方式提供給境外機(jī)構(gòu)、組織或個(gè)人的一次性活動(dòng)或連續(xù)性活動(dòng)。

?

?

最后，值得注意的是《評(píng)估指南》第一次征求意見中，關(guān)于數(shù)據(jù)出境的定義為"將在中華人民共和國境內(nèi)收集和產(chǎn)生的電子形式的個(gè)人信息和重要數(shù)據(jù)，提供給境外機(jī)構(gòu)、組織、個(gè)人的一次性活動(dòng)或連續(xù)性活動(dòng)。"而《評(píng)估指南》第二次征求意見中，受規(guī)制的數(shù)據(jù)不再局限于電子形式的個(gè)人信息和重要數(shù)據(jù)，出境的行為方式也被擴(kuò)大為"通過網(wǎng)絡(luò)等方式"。

?

通過對(duì)適用范圍的明確，不難發(fā)現(xiàn)，現(xiàn)階段國家對(duì)數(shù)據(jù)出境的監(jiān)管成趨嚴(yán)趨緊態(tài)勢。具體來說：

?

（1）受規(guī)制主體廣泛，"網(wǎng)絡(luò)運(yùn)營者"、"進(jìn)給運(yùn)營"、"個(gè)人信息和重要數(shù)據(jù)"的概念幾乎可以實(shí)現(xiàn)各類在華企業(yè)及數(shù)據(jù)的全覆蓋；

?

（2）受規(guī)制行為廣泛，從條文本身上看，受規(guī)制的"數(shù)據(jù)出境"行為既包括了企業(yè)主動(dòng)提供數(shù)據(jù)的行為，也包括了被動(dòng)提供數(shù)據(jù)的行為（數(shù)據(jù)未轉(zhuǎn)移存儲(chǔ)至本國以外的地方，但被境外的機(jī)構(gòu)、組織、個(gè)人訪問查看的）。

?

同時(shí)，除線上傳輸外，線下以物理攜帶等方式轉(zhuǎn)移數(shù)據(jù)的行為同樣可能受到規(guī)制。

?

三

網(wǎng)絡(luò)運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)，應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)進(jìn)行安全評(píng)估。數(shù)據(jù)出境安全評(píng)估首先應(yīng)當(dāng)評(píng)估數(shù)據(jù)出境的目的；數(shù)據(jù)出境目的不具有合法性、正當(dāng)性和必要性，不得出境。在此基礎(chǔ)上數(shù)據(jù)出境安全評(píng)估應(yīng)當(dāng)評(píng)估數(shù)據(jù)出境的安全風(fēng)險(xiǎn)，將數(shù)據(jù)出境及再轉(zhuǎn)移后被泄露、損毀、篡改、濫用等風(fēng)險(xiǎn)有效降低至最低限度。

?

數(shù)據(jù)出境安全評(píng)估分為兩種，一種是安全自評(píng)估，另一種是主管部門評(píng)估。

?

在數(shù)據(jù)出境安全自評(píng)估啟動(dòng)后，數(shù)據(jù)出境安全自評(píng)估工作組[1]審查數(shù)據(jù)出境計(jì)劃，對(duì)個(gè)人信息與重要數(shù)據(jù)依照流程進(jìn)行評(píng)估，并形成評(píng)估報(bào)告。數(shù)據(jù)出境滿足上報(bào)要求的，評(píng)估報(bào)告應(yīng)按照要求報(bào)送國家網(wǎng)信部門、行業(yè)主管部門。數(shù)據(jù)出境需獲得國家網(wǎng)信部門、行業(yè)主管部門同意的，應(yīng)在數(shù)據(jù)出境前將評(píng)估報(bào)告按要求報(bào)送國家網(wǎng)信部門、行業(yè)主管部門，并獲得其同意。對(duì)評(píng)估結(jié)果為可以出境的，依照出境計(jì)劃進(jìn)行出境，對(duì)評(píng)估結(jié)果禁止出境的，提出出境計(jì)劃修改建議，業(yè)務(wù)部門修改出境計(jì)劃，降低數(shù)據(jù)出境安全風(fēng)險(xiǎn)后，重新進(jìn)行評(píng)估。?

在數(shù)據(jù)出境主管部門評(píng)估啟動(dòng)之后，國家網(wǎng)信部門、行業(yè)主管部門確定主管部門評(píng)估范圍，制定主管部門評(píng)估方案，并成立主管部門評(píng)估工作組。網(wǎng)絡(luò)運(yùn)營者按要求向主管部門評(píng)估工作組提交相關(guān)材料，材料包括安全自評(píng)估報(bào)告以及相關(guān)證明資料等。主管部門評(píng)估工作組根據(jù)主管部門評(píng)估方案，通過遠(yuǎn)程監(jiān)測、現(xiàn)場檢查等方式進(jìn)行主管部門評(píng)估并形成主管部門評(píng)估報(bào)告。專家委員會(huì)對(duì)主管部門評(píng)估工作組做出的主管部門評(píng)估報(bào)告、安全自評(píng)估報(bào)告進(jìn)行審議并給出是否同意數(shù)據(jù)出境的建議。國家網(wǎng)信部門、行業(yè)主管部門根據(jù)專家委員會(huì)建議做出決定。

?

關(guān)于數(shù)據(jù)出境安全自評(píng)估/主管部門評(píng)估中的數(shù)據(jù)出境計(jì)劃制定/主管部門評(píng)估方案制定、自評(píng)估方法、評(píng)估報(bào)告以及評(píng)估的檢查與修正等具體要求及內(nèi)容，企業(yè)可以參考《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南》及其他相關(guān)法律法規(guī)、國家標(biāo)準(zhǔn)等的規(guī)定進(jìn)行參照。

?

四

?

數(shù)據(jù)出境計(jì)劃中出境目的應(yīng)同時(shí)滿足合法性、正當(dāng)性和必要性的要求。

?

合法性包括數(shù)據(jù)出境目的不屬于法律法規(guī)明令禁止的，不屬于國家網(wǎng)信部門、公安部門、安全部門等有關(guān)部門認(rèn)定不能出境的。

?

正當(dāng)性包括個(gè)人信息主體已經(jīng)同意，且不違反相關(guān)主管部門規(guī)定的情況。

?

必要性主要包括履行合同義務(wù)所必需的、同一機(jī)構(gòu)、組織內(nèi)部開展業(yè)務(wù)所必需的、我國政府部門履行公務(wù)所必需的、履行我國政府與其他國家地區(qū)、國際組織簽署的條約、協(xié)議所必需的、其他維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全、經(jīng)濟(jì)發(fā)展、社會(huì)公共利益和保護(hù)公民合法利益需要的。

?

評(píng)估數(shù)據(jù)出境的安全風(fēng)險(xiǎn)，應(yīng)綜合考慮出境數(shù)據(jù)的屬性和數(shù)據(jù)出境發(fā)生安全事件的可能性及影響程度。

?

從數(shù)據(jù)屬性來看，個(gè)人信息數(shù)據(jù)應(yīng)從數(shù)據(jù)類型、數(shù)量、范圍、敏感程度和技術(shù)處理等角度進(jìn)行評(píng)估。重要數(shù)據(jù)應(yīng)從數(shù)據(jù)類型、數(shù)量、范圍和技術(shù)處理等角度進(jìn)行評(píng)估。

?

從數(shù)據(jù)出境安全事件的可能來看，應(yīng)從發(fā)送方數(shù)據(jù)出境的技術(shù)和管理能力、數(shù)據(jù)接收方的安全保護(hù)能力、采取的措施，以及數(shù)據(jù)接收方所在國家或區(qū)域的政治法律環(huán)境等角度進(jìn)行評(píng)估。

?

關(guān)于數(shù)據(jù)出境評(píng)估中個(gè)人信息、重要數(shù)據(jù)、數(shù)據(jù)出境的技術(shù)和管理能力、數(shù)據(jù)接收方的安全保護(hù)能力、采取的措施，以及數(shù)據(jù)接收方所在國家或區(qū)域的政治法律環(huán)境等內(nèi)容的具體評(píng)估要求及細(xì)節(jié)，企業(yè)可以參考《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南》及其他相關(guān)法律法規(guī)、國家標(biāo)準(zhǔn)等的規(guī)定。

?

五

盡管隨著科技的發(fā)展與信息共享需求的增加，數(shù)據(jù)的價(jià)值日益被得到認(rèn)可，數(shù)據(jù)在全球范圍內(nèi)的跨境流動(dòng)增長迅速也日漸頻繁。但與這個(gè)趨勢相反，各國政府出于國家和社會(huì)安全等考慮，更多傾向于對(duì)數(shù)據(jù)出境進(jìn)行規(guī)制與掌控。因此，盡管《評(píng)估辦法》和《評(píng)估指南》還未正式生效，且經(jīng)過有關(guān)機(jī)關(guān)和部門的斟酌后，不排除現(xiàn)有內(nèi)容會(huì)有所變更可能，但是國家對(duì)數(shù)據(jù)合規(guī)的監(jiān)管趨勢不會(huì)改變，甚至在監(jiān)管初期，監(jiān)管要求與內(nèi)容大概率是趨嚴(yán)趨緊的。

?

有鑒于此，企業(yè)在數(shù)據(jù)合規(guī)方向，特別是跨國企業(yè)，應(yīng)當(dāng)開始逐漸籌劃與組建屬于自己的數(shù)據(jù)合規(guī)團(tuán)隊(duì)。合規(guī)團(tuán)隊(duì)?wèi)?yīng)該根據(jù)國內(nèi)外相關(guān)法律法規(guī)及要求，結(jié)合企業(yè)自身技術(shù)條件、業(yè)務(wù)需求等內(nèi)容，系統(tǒng)化、全面化地對(duì)企業(yè)數(shù)據(jù)及數(shù)據(jù)資源進(jìn)行管理。否則，對(duì)數(shù)據(jù)合規(guī)的輕視，不但會(huì)使企業(yè)陷入合規(guī)的泥潭，更可能導(dǎo)致企業(yè)錯(cuò)失數(shù)據(jù)時(shí)代的發(fā)展機(jī)遇。

注：

?