?

?

?

根據(jù)現(xiàn)行立法及新發(fā)布的《安全評估草案》及《網(wǎng)絡(luò)數(shù)據(jù)安全管理草案》，數(shù)據(jù)出境可能面臨以下限制：

?

?

（1）無論是否是CIIO，重要數(shù)據(jù)出境均需進行安全評估。

?

《安全評估草案》及《網(wǎng)絡(luò)數(shù)據(jù)安全管理草案》發(fā)布以前，現(xiàn)行立法僅明確了CIIO在境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)出境前，需要進行安全評估。而兩個新規(guī)草案則均明確，"出境數(shù)據(jù)中包含重要數(shù)據(jù)"的，無論是否是CIIO，均需進行安全評估，從而進一步擴大了安全評估的范圍。

?

（2）明確需進行安全評估的個人信息處理者處理個人信息的數(shù)量標(biāo)準(zhǔn)。

?

《安全評估草案》及《網(wǎng)絡(luò)數(shù)據(jù)安全管理草案》發(fā)布以前，《個人信息保護法》僅規(guī)定，個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者向境外提供其在境內(nèi)收集和產(chǎn)生的個人信息時，應(yīng)進行安全評估，但未明確具體"規(guī)定數(shù)量"?！栋踩u估草案》則進一步明確了"處理個人信息達到一百萬人的個人信息處理者"向境外提供數(shù)據(jù)，需進行安全評估的?！毒W(wǎng)絡(luò)數(shù)據(jù)安全管理草案》也有類似規(guī)定，其采取的表述為"處理一百萬人以上個人信息的數(shù)據(jù)處理者向境外提供個人信息"的需進行安全評估。根據(jù)《民法典》規(guī)定，民法所稱"以上"包括本數(shù)[12]。因此，兩個草案雖分別采用了"達到"和"以上"的不同表述，但在法律上的效果等同。

?

某些行業(yè)可能存在特殊規(guī)定，例如《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》規(guī)定，"涉及個人信息主體超過10萬人的個人信息"即被視為重要數(shù)據(jù)[13]，需要向境外提供的，應(yīng)通過安全評估。相較于"一百萬"的門檻，汽車行業(yè)在數(shù)據(jù)出境方面設(shè)置了更為嚴(yán)格的限制條件。

?

（3）新增對外提供個人信息數(shù)量限制。

?

除處理個人信息的人數(shù)限制外，《安全評估草案》還規(guī)定對外提供個人信息的數(shù)量，且區(qū)分了一般個人信息和敏感個人信息?！栋踩u估草案》規(guī)定，"累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息"的，需進行安全評估。

?

值得注意的是，無論是處理個人信息的數(shù)量限制，還是對外提供個人信息的數(shù)量限制，其門檻對于大中型數(shù)據(jù)處理者來講都不高，較容易達到。由此可見，網(wǎng)信部門對于個人信息處理的監(jiān)管相對較為嚴(yán)格。

?

（4）明確個人信息出境限制的例外情形。

?

《網(wǎng)絡(luò)數(shù)據(jù)安全管理草案》規(guī)定，以下兩種情形下，跨境傳輸網(wǎng)絡(luò)數(shù)據(jù)無需通過安全評估、個人信息保護認(rèn)證或根據(jù)標(biāo)準(zhǔn)合同與境外數(shù)據(jù)接收方訂立合同：

?

1）網(wǎng)絡(luò)數(shù)據(jù)處理者為訂立、履行個人作為一方當(dāng)事人的合同所必需向境外提供當(dāng)事人個人信息的；及

?

2）為了保護個人生命健康和財產(chǎn)安全而必須向境外提供個人信息。

?

其中，為訂立、履行個人作為一方當(dāng)事人的合同所必需向境外提供當(dāng)事人個人信息的場景，如境內(nèi)個人與境外企業(yè)訂立勞動合同而向境外用人單位提供雇傭所必需的個人信息，或境內(nèi)個人跨境網(wǎng)購，向境外賣家提供必要個人信息等場景。

?

（5）新增數(shù)據(jù)接收方個人信保護認(rèn)證要求。

?

《個人信息保護法》僅規(guī)定個人信息出境的路徑之一是個人信息處理者"按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進行個人信息保護認(rèn)證"，而《網(wǎng)絡(luò)數(shù)據(jù)安全管理草案》則規(guī)定，除數(shù)據(jù)處理者外，數(shù)據(jù)接收方也需通過國家網(wǎng)信部門認(rèn)定的專業(yè)機構(gòu)進行的個人信息保護認(rèn)證。這一規(guī)定，從政府層面加強了對境外接收方的監(jiān)管。

?

?

除本文第一部分提到的出境限制外，數(shù)據(jù)處理者及個人信息處理者還應(yīng)履行以下義務(wù)：

?

?

根據(jù)《個人信息保護法》[14]及《網(wǎng)絡(luò)數(shù)據(jù)安全管理草案》[15]相關(guān)規(guī)定，個人信息處理者向境外提供個人信息的，"應(yīng)當(dāng)向個人告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項，并取得個人的單獨同意。"

?

《網(wǎng)絡(luò)數(shù)據(jù)安全管理草案》進一步規(guī)定"收集個人信息時已單獨就個人信息出境取得個人同意，且按照取得同意的事項出境的，無需再次取得個人單獨同意。"該條款表明，該等同意并非必需在出境時取得，而是在相關(guān)個人信息收集時取得即可。

?

?

個人信息處理者向境外提供個人信息的，應(yīng)當(dāng)事前進行個人信息保護影響評估，并對處理情況進行記錄。[16]

?

?

現(xiàn)行立法[17]及新規(guī)草案[18]均強調(diào)，非經(jīng)主管機關(guān)批準(zhǔn)，境內(nèi)的組織、個人不得向外國司法或者執(zhí)法機關(guān)提供境內(nèi)存儲的數(shù)據(jù)及個人信息。

?

?

《網(wǎng)絡(luò)數(shù)據(jù)安全管理草案》第四十條規(guī)定，向境外提供個人信息和重要數(shù)據(jù)的網(wǎng)絡(luò)數(shù)據(jù)處理者，應(yīng)當(dāng)在每年1月31日前編制數(shù)據(jù)出境安全報告，向設(shè)區(qū)的市級網(wǎng)信部門報告上一年度數(shù)據(jù)出境情況。

?

?

除上述數(shù)據(jù)處理者應(yīng)履行的義務(wù)外，《網(wǎng)絡(luò)數(shù)據(jù)安全管理草案》以專門一條[19]，從個人信息保護影響評估、安全評估、監(jiān)督數(shù)據(jù)接收方、處理用戶投訴、留存相關(guān)日志和審批記錄、配合政府部門核驗、對非法出境的補救及出境在轉(zhuǎn)移等方面明確了網(wǎng)絡(luò)數(shù)據(jù)處理者向境外提供數(shù)據(jù)應(yīng)當(dāng)履行的義務(wù)。

?

?

《安全評估草案》從評估對象、評估流程、評估內(nèi)容及監(jiān)督等方面對數(shù)據(jù)出境安全評估進行了細(xì)化和落實。第一部分已就評估對象進行了總結(jié)，此處不再贅述，僅就其他方面進行總結(jié)分析。

?

?

根據(jù)《安全評估草案》，數(shù)據(jù)出境安全評估分為風(fēng)險自評估及向網(wǎng)信部門申報評估。其中，風(fēng)險自評估為必經(jīng)步驟，而申報評估則僅適用于特定情形（詳見本文第一部分）。根據(jù)《安全評估草案》，申報評估主要需要進行以下流程：

點擊可查看大圖

?

通過安全評估并非一勞永逸的。安全評估的有效期為兩年，有效期屆滿，需要繼續(xù)原數(shù)據(jù)出境活動的，數(shù)據(jù)處理者應(yīng)當(dāng)在有效期屆滿六十個工作日前重新申報評估。并且，在有效期內(nèi)出現(xiàn)法定情形的，數(shù)據(jù)處理者也應(yīng)當(dāng)重新申報評估[20]。

?

此外，數(shù)據(jù)出境安全評估堅持事前評估和持續(xù)監(jiān)督相結(jié)合。因此，網(wǎng)信辦可主動依職權(quán)進行監(jiān)督，發(fā)現(xiàn)已通過評估的數(shù)據(jù)出境活動在實際處理過程中不再符合數(shù)據(jù)出境安全管理要求的，應(yīng)當(dāng)撤銷評估結(jié)果并書面通知數(shù)據(jù)處理者，數(shù)據(jù)處理者應(yīng)當(dāng)終止數(shù)據(jù)出境活動。需要繼續(xù)開展數(shù)據(jù)出境活動的，數(shù)據(jù)處理者應(yīng)當(dāng)按照要求進行整改，并在整改完成后重新申報評估。[21]

?

?

（1）風(fēng)險自評估

?

根據(jù)《安全評估草案》第五條，風(fēng)險自評估應(yīng)重點評估以下事項：

?

• （一）數(shù)據(jù)出境及境外接收方處理數(shù)據(jù)的目的、范圍、方式等的合法性、正當(dāng)性、必要性；

• （二）出境數(shù)據(jù)的數(shù)量、范圍、種類、敏感程度，數(shù)據(jù)出境可能對國家安全、公共利益、個人或者組織合法權(quán)益帶來的風(fēng)險；

• （三）數(shù)據(jù)處理者在數(shù)據(jù)轉(zhuǎn)移環(huán)節(jié)的管理和技術(shù)措施、能力等能否防范數(shù)據(jù)泄露、毀損等風(fēng)險；

• （四）境外接收方承諾承擔(dān)的責(zé)任義務(wù)，以及履行責(zé)任義務(wù)的管理和技術(shù)措施、能力等能否保障出境數(shù)據(jù)的安全；

• （五）數(shù)據(jù)出境和再轉(zhuǎn)移后泄露、毀損、篡改、濫用等的風(fēng)險，個人維護個人信息權(quán)益的渠道是否通暢等；

• （六）與境外接收方訂立的數(shù)據(jù)出境相關(guān)合同是否充分約定了數(shù)據(jù)安全保護責(zé)任義務(wù)。

?

（2）申報評估

?

國家網(wǎng)信部門受理申報后，應(yīng)組織行業(yè)主管部門、國務(wù)院有關(guān)部門、省級網(wǎng)信部門、專門機構(gòu)等進行安全評估。涉及重要數(shù)據(jù)出境的，國家網(wǎng)信部門征求相關(guān)行業(yè)主管部門意見。涉及重要數(shù)據(jù)出境的，國家網(wǎng)信部門征求相關(guān)行業(yè)主管部門意見。[22]

?

根據(jù)《安全評估草案》第八條，數(shù)據(jù)出境安全評估重點評估數(shù)據(jù)出境活動可能對國家安全、公共利益、個人或者組織合法權(quán)益帶來的風(fēng)險，主要包括以下事項：

?

• （一）數(shù)據(jù)出境的目的、范圍、方式等的合法性、正當(dāng)性、必要性；

• （二）境外接收方所在國家或者地區(qū)的數(shù)據(jù)安全保護政策法規(guī)及網(wǎng)絡(luò)安全環(huán)境對出境數(shù)據(jù)安全的影響；境外接收方的數(shù)據(jù)保護水平是否達到中華人民共和國法律、行政法規(guī)規(guī)定和強制性國家標(biāo)準(zhǔn)的要求；

• （三）出境數(shù)據(jù)的數(shù)量、范圍、種類、敏感程度，出境中和出境后泄露、篡改、丟失、破壞、轉(zhuǎn)移或者被非法獲取、非法利用等風(fēng)險；

• （四）數(shù)據(jù)安全和個人信息權(quán)益是否能夠得到充分有效保障；

• （五）數(shù)據(jù)處理者與境外接收方訂立的合同中是否充分約定了數(shù)據(jù)安全保護責(zé)任義務(wù)；

• （六）遵守中國法律、行政法規(guī)、部門規(guī)章情況；

• （七）國家網(wǎng)信部門認(rèn)為需要評估的其他事項。

?

其中，《安全評估草案》進一步明確了數(shù)據(jù)處理者與境外接收方訂立的合同應(yīng)當(dāng)包括的內(nèi)容作為參考。

?

?

自《數(shù)據(jù)安全法》及《個人信息保護法》生效以來，政府部門加快了各種配套規(guī)定的制定，以期使得數(shù)據(jù)保護各項制度有效落地。其中，數(shù)據(jù)出境無疑是數(shù)據(jù)監(jiān)管的一大重點，也在數(shù)據(jù)立法中分量頗重。因此，在數(shù)據(jù)立法日益完善的過程中，建議企業(yè)從以下方面著手，保障自身數(shù)據(jù)出境活動合法、合規(guī)：

?

1、關(guān)注立法動態(tài)，并及時梳理相關(guān)立法。相關(guān)立法雖層出不窮，但有其內(nèi)在邏輯，將不同層級、不同效力、不同關(guān)注點的相關(guān)立法相互聯(lián)系起來理解，使其相輔相成，才能做到全方位地落實數(shù)據(jù)出境監(jiān)管制度。

?

2、特殊行業(yè)需關(guān)注行業(yè)立法。特殊行業(yè)的企業(yè)，如可能產(chǎn)生醫(yī)療數(shù)據(jù)跨境、汽車數(shù)據(jù)、金融數(shù)據(jù)的企業(yè)還應(yīng)關(guān)注其行業(yè)立法的特殊規(guī)定。

?

3、梳理企業(yè)內(nèi)部數(shù)據(jù)出境活動，并對照現(xiàn)行立法以及新規(guī)草案自我評估是否合法、合規(guī)，并對新規(guī)內(nèi)容做好準(zhǔn)備及應(yīng)對。必要時，可聘請專業(yè)人士提供合規(guī)建議。

?

4、加強與網(wǎng)信部門的溝通。就數(shù)據(jù)跨境中存在的問題及疑惑，與相關(guān)部門進行溝通。

?

5、及時與境外數(shù)據(jù)接收方進行溝通，以便境外接收方盡早進行準(zhǔn)備，保證數(shù)據(jù)出境活動能有序平穩(wěn)地進行。

?

?

?