個(gè)人信息、重要數(shù)據(jù)等關(guān)乎個(gè)人信息權(quán)益、國(guó)家安全和社會(huì)公共利益的數(shù)據(jù)出境將迎來(lái)監(jiān)管。10月29日，國(guó)家互聯(lián)網(wǎng)信息辦公室（下稱“網(wǎng)信辦”）發(fā)布《數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》，并向社會(huì)公開(kāi)征求意見(jiàn)。

　　南都記者梳理發(fā)現(xiàn)，這是網(wǎng)絡(luò)安全法審議通過(guò)以來(lái)，網(wǎng)信辦第三次對(duì)數(shù)據(jù)出境安全相關(guān)的評(píng)估辦法征求意見(jiàn)。征求意見(jiàn)稿擬對(duì)達(dá)到申報(bào)要求的個(gè)人信息規(guī)模劃出紅線，如處理個(gè)人信息達(dá)到一百萬(wàn)人，或累計(jì)向境外提供超過(guò)十萬(wàn)人以上個(gè)人信息或者一萬(wàn)人以上敏感個(gè)人信息。

　　文 / 蔣琳 尤一煒

　　個(gè)人信息、重要數(shù)據(jù)等關(guān)乎個(gè)人信息權(quán)益、國(guó)家安全和社會(huì)公共利益的數(shù)據(jù)出境將迎來(lái)監(jiān)管。10月29日，國(guó)家互聯(lián)網(wǎng)信息辦公室（下稱“網(wǎng)信辦”）發(fā)布《數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》，并向社會(huì)公開(kāi)征求意見(jiàn)。

　　南都記者梳理發(fā)現(xiàn)，這是網(wǎng)絡(luò)安全法審議通過(guò)以來(lái)，網(wǎng)信辦第三次對(duì)數(shù)據(jù)出境安全相關(guān)的評(píng)估辦法征求意見(jiàn)。征求意見(jiàn)稿擬對(duì)達(dá)到申報(bào)要求的個(gè)人信息規(guī)模劃出紅線，如處理個(gè)人信息達(dá)到一百萬(wàn)人，或累計(jì)向境外提供超過(guò)十萬(wàn)人以上個(gè)人信息或者一萬(wàn)人以上敏感個(gè)人信息。

　　多位專家對(duì)南都記者表示，征求意見(jiàn)稿“解決了企業(yè)當(dāng)下迫切關(guān)注的問(wèn)題”，是網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法和個(gè)人信息保護(hù)法共同確立的數(shù)據(jù)出境安全評(píng)估制度的落地細(xì)則，而三次征求意見(jiàn)則反映了政策不斷完善的過(guò)程。

　　網(wǎng)信辦三次對(duì)數(shù)據(jù)出境安全相關(guān)評(píng)估辦法征求意見(jiàn)

　　據(jù)了解，《數(shù)據(jù)出境安全評(píng)估辦法》的制定目的是規(guī)范數(shù)據(jù)出境活動(dòng)，保護(hù)個(gè)人信息權(quán)益，維護(hù)國(guó)家安全和社會(huì)公共利益，促進(jìn)數(shù)據(jù)跨境安全、自由流動(dòng)。

　　“經(jīng)濟(jì)全球化條件下，數(shù)據(jù)跨境流動(dòng)是常態(tài)，為全球經(jīng)濟(jì)活動(dòng)、人類社會(huì)發(fā)展提供了基礎(chǔ)支撐。因此，數(shù)據(jù)出境評(píng)估制度在世界各國(guó)的安全和發(fā)展戰(zhàn)略中，都是一個(gè)重要事項(xiàng)，也是近年來(lái)國(guó)際貿(mào)易規(guī)則、協(xié)定以及多邊雙邊磋商的重大議題”，中國(guó)信息安全研究院副院長(zhǎng)左曉棟指出。

　　南都記者注意到，這是2016年網(wǎng)絡(luò)安全法通過(guò)審議以來(lái)，網(wǎng)信辦第三次對(duì)數(shù)據(jù)出境安全相關(guān)的評(píng)估辦法征求意見(jiàn)。

　　早在2017年，網(wǎng)信辦就會(huì)同相關(guān)部門起草發(fā)布了《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》。2019年，網(wǎng)信辦又發(fā)布《個(gè)人信息出境安全評(píng)估辦法（征求意見(jiàn)稿）》。時(shí)隔兩年，此次的《數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》出臺(tái)。

　　值得注意的是，三份征求意見(jiàn)稿對(duì)應(yīng)的數(shù)據(jù)類型并不相同——從最初的“個(gè)人信息和重要數(shù)據(jù)”，到單獨(dú)的“個(gè)人信息”，再到語(yǔ)義相對(duì)籠統(tǒng)的“數(shù)據(jù)”。其中此次征求意見(jiàn)稿中的“數(shù)據(jù)”包括了“數(shù)據(jù)處理者向境外提供在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)和依法應(yīng)當(dāng)進(jìn)行安全評(píng)估的個(gè)人信息”。

　　左曉棟對(duì)南都記者表示，第一次是為了與網(wǎng)絡(luò)安全法實(shí)施同步，但相關(guān)規(guī)定并不完善；第二次考慮了重要數(shù)據(jù)與個(gè)人信息的不同，擬對(duì)其分別制定出境安全評(píng)估辦法，所以先起草了《個(gè)人信息出境安全評(píng)估辦法（征求意見(jiàn)稿）》，但該辦法并不能解決個(gè)人信息出境的所有問(wèn)題，而重要數(shù)據(jù)的定義當(dāng)時(shí)尚不明確?！斑@反映了政策不斷完善的過(guò)程?！?/p>

　　“直到這一次，在數(shù)據(jù)安全法和個(gè)人信息保護(hù)法的補(bǔ)充下，數(shù)據(jù)出境安全評(píng)估制度已經(jīng)在法律上比較完善，制定具體落地辦法的條件終于成熟?！弊髸詶澱f(shuō)，“隨著《數(shù)據(jù)出境安全評(píng)估辦法》征求意見(jiàn)，《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》和《個(gè)人信息出境安全評(píng)估辦法（征求意見(jiàn)稿）》自然廢止?！?/p>

　　中國(guó)人民大學(xué)未來(lái)法治研究院副院長(zhǎng)丁曉東補(bǔ)充指出，網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法和個(gè)人信息保護(hù)法構(gòu)建了完整的與數(shù)據(jù)安全相關(guān)的法律體系。從健全法律、促進(jìn)法律落地的背景來(lái)說(shuō)，征求意見(jiàn)稿將關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者收集產(chǎn)生的數(shù)據(jù)、重要數(shù)據(jù)和個(gè)人信息等囊括其中，是一個(gè)整體性思考。

　　另一個(gè)明顯的變化是，前兩份評(píng)估辦法的規(guī)制主體都是“網(wǎng)絡(luò)運(yùn)營(yíng)者”，與網(wǎng)絡(luò)安全法中的表述一致；而此次征求意見(jiàn)稿的規(guī)制主體則是數(shù)據(jù)“處理者”，與數(shù)據(jù)安全法和個(gè)人信息保護(hù)法表述一致。

　　資深數(shù)據(jù)法律師袁立志指出，網(wǎng)絡(luò)運(yùn)營(yíng)者是網(wǎng)絡(luò)安全法中的概念，而數(shù)據(jù)出境評(píng)估辦法歸管的主體應(yīng)該遵從數(shù)據(jù)安全法和個(gè)人信息保護(hù)法中的相關(guān)規(guī)定，即數(shù)據(jù)處理者?！半m然兩者在大部分情況下是同一個(gè)主體，但也有一些情況下是不同的，使用數(shù)據(jù)處理者的表述會(huì)更加準(zhǔn)確?！?/p>

　　“相較‘網(wǎng)絡(luò)運(yùn)營(yíng)者’，‘?dāng)?shù)據(jù)處理者’代表的范圍更大，比如沒(méi)有實(shí)現(xiàn)網(wǎng)絡(luò)化、數(shù)字化的企業(yè)也包含在‘?dāng)?shù)據(jù)處理者’的范圍中?！倍詵|說(shuō)。

　　圖片

　　“一百萬(wàn)”“十萬(wàn)”適用于不同數(shù)據(jù)處理場(chǎng)景

　　多位專家對(duì)南都記者表示，征求意見(jiàn)稿第四條是核心條款。該條對(duì)數(shù)據(jù)處理者向境外提供數(shù)據(jù)時(shí)，哪些情形下需要申報(bào)數(shù)據(jù)出境安全評(píng)估做出了明確規(guī)定。

　　第四條  數(shù)據(jù)處理者向境外提供數(shù)據(jù)，符合以下情形之一的，應(yīng)當(dāng)通過(guò)所在地省級(jí)網(wǎng)信部門向國(guó)家網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評(píng)估。

　?。ㄒ唬╆P(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)；

　?。ǘ┏鼍硵?shù)據(jù)中包含重要數(shù)據(jù)；

　?。ㄈ┨幚韨€(gè)人信息達(dá)到一百萬(wàn)人的個(gè)人信息處理者向境外提供個(gè)人信息；

　?。ㄋ模├塾?jì)向境外提供超過(guò)十萬(wàn)人以上個(gè)人信息或者一萬(wàn)人以上敏感個(gè)人信息；

　?。ㄎ澹﹪?guó)家網(wǎng)信部門規(guī)定的其他需要申報(bào)數(shù)據(jù)出境安全評(píng)估的情形。

　　左曉棟指出，網(wǎng)絡(luò)安全法第三十七條首次規(guī)定了數(shù)據(jù)出境安全評(píng)估制度，但范圍只限定在關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者在中國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)?！笆聦?shí)上，很多數(shù)據(jù)出境行為未必同關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)”，他說(shuō)，后來(lái)數(shù)據(jù)安全法從重要數(shù)據(jù)出境方面、個(gè)人信息保護(hù)法從個(gè)人信息出境方面進(jìn)行了彌補(bǔ)。

　　根據(jù)個(gè)人信息保護(hù)法，處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者，確需向境外提供的，應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門組織的安全評(píng)估。多位專家均表示，征求意見(jiàn)稿中規(guī)定的100萬(wàn)是對(duì)上述規(guī)定數(shù)量的明確。

　　談及關(guān)于達(dá)到申報(bào)要求的個(gè)人信息規(guī)模的規(guī)定，丁曉東表示，100萬(wàn)不是一個(gè)絕對(duì)標(biāo)準(zhǔn)，并不代表?yè)碛?9.99萬(wàn)用戶量的企業(yè)向境外傳輸數(shù)據(jù)時(shí)，就不需要進(jìn)行安全評(píng)估。他認(rèn)為“這個(gè)紅線是為了區(qū)分小型商家和大型平臺(tái)”。

　　左曉棟則提出，規(guī)定中的“一百萬(wàn)”和“十萬(wàn)”的條件值適用于不同的情況，這反映了在信息技術(shù)廣泛應(yīng)用的情況下，網(wǎng)絡(luò)運(yùn)營(yíng)者、數(shù)據(jù)處理者的復(fù)雜性、多樣性為立法工作帶來(lái)的挑戰(zhàn)。

　　“傳統(tǒng)互聯(lián)網(wǎng)企業(yè)動(dòng)輒處理幾十萬(wàn)、上百萬(wàn)的個(gè)人信息。如果把這個(gè)閾值定得過(guò)低，會(huì)導(dǎo)致大量互聯(lián)網(wǎng)企業(yè)在數(shù)據(jù)出境時(shí)只能選擇網(wǎng)信部門安全評(píng)估方式，無(wú)論對(duì)企業(yè)還是政府部門工作而言都帶來(lái)太高成本。但同時(shí)也要看到……有的時(shí)候幾萬(wàn)、幾十萬(wàn)個(gè)人信息已經(jīng)達(dá)到了一個(gè)企業(yè)處理個(gè)人信息的天花板，但這幾十萬(wàn)的量卻影響十分巨大?！彼e例說(shuō)，一個(gè)車企一年賣十萬(wàn)輛智能汽車是不錯(cuò)的成績(jī)了，如果把閾值定在一百萬(wàn)，一些可能存在嚴(yán)重國(guó)家安全、數(shù)據(jù)安全隱患的智能汽車企業(yè)將被排除在外，“這顯然也是不合適的?！?/p>

　　在袁立志看來(lái)，相對(duì)于中國(guó)市場(chǎng)的體量，100萬(wàn)是“比較低的標(biāo)準(zhǔn)”，很容易觸發(fā)。將紅線劃在100萬(wàn)，可能是主管部門認(rèn)為當(dāng)前國(guó)際數(shù)據(jù)安全形勢(shì)比較嚴(yán)峻，出于對(duì)國(guó)家數(shù)據(jù)安全、爭(zhēng)奪國(guó)際數(shù)據(jù)控制權(quán)等的考量。另一方面，該紅線會(huì)倒逼企業(yè)在本地存儲(chǔ)數(shù)據(jù)，減少數(shù)據(jù)出境的需求。

　　南都記者注意到，一百萬(wàn)的“紅線”在今年7月公布的《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見(jiàn)稿）》中也被提及。上述文件擬規(guī)定，掌握超過(guò)100萬(wàn)用戶個(gè)人信息的運(yùn)營(yíng)者赴國(guó)外上市，必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查。

　　對(duì)此，左曉棟認(rèn)為，“處理個(gè)人信息達(dá)到一百萬(wàn)人的個(gè)人信息處理者向境外提供個(gè)人信息”涵蓋了“掌握超過(guò)100萬(wàn)用戶個(gè)人信息的運(yùn)營(yíng)者赴國(guó)外上市”的情況。換言之，后者是一種典型的數(shù)據(jù)出境行為，既然達(dá)到了“100萬(wàn)”，就自然進(jìn)入國(guó)家網(wǎng)信部門的安全評(píng)估程序。

　　除了第四條，征求意見(jiàn)稿的第五條和第九條也十分重要——它們分別針對(duì)數(shù)據(jù)處理者事先開(kāi)展數(shù)據(jù)出境風(fēng)險(xiǎn)重點(diǎn)評(píng)估的事項(xiàng)和數(shù)據(jù)處理者與境外接收方訂立的合同應(yīng)包含的內(nèi)容做出規(guī)定。

　　“《辦法》的第五條和第九條具有通用性?！弊髸詶澱J(rèn)為，無(wú)論任何一種數(shù)據(jù)出境，至少要遵循兩類要求：一是出境前的自評(píng)估，二是數(shù)據(jù)發(fā)送方與數(shù)據(jù)接收方的安全保護(hù)義務(wù)。

　　數(shù)據(jù)出境評(píng)估結(jié)果有效期為兩年

　　11月1日，個(gè)人信息保護(hù)法將正式實(shí)施，而數(shù)據(jù)安全法也已于9月1日生效。“隨著兩部法律的正式實(shí)施，許多企業(yè)有數(shù)據(jù)出境評(píng)估的迫切需求，如果不做，擔(dān)心被事后追責(zé)，而沒(méi)有這個(gè)評(píng)估辦法的話，企業(yè)又不知道怎么做?！痹⒅菊J(rèn)為，征求意見(jiàn)稿“解決了企業(yè)當(dāng)下迫切關(guān)注的問(wèn)題”。

　　征求意見(jiàn)稿擬規(guī)定，數(shù)據(jù)出境評(píng)估結(jié)果有效期為兩年，如有效期屆滿需繼續(xù)開(kāi)展數(shù)據(jù)出境活動(dòng)，數(shù)據(jù)處理者應(yīng)當(dāng)在有效期屆滿六十個(gè)工作日前重新申報(bào)評(píng)估。

　　南都記者注意到，上述條款基本延續(xù)了2019年《個(gè)人信息出境安全評(píng)估辦法（征求意見(jiàn)稿）》擬規(guī)定的“每2年或者個(gè)人信息出境目的、類型和境外保存時(shí)間發(fā)生變化時(shí)應(yīng)當(dāng)重新評(píng)估”，并在其基礎(chǔ)上做出了更加具體的規(guī)定。

　　如征求意見(jiàn)稿提到，在有效期內(nèi)出現(xiàn)以下情形之一的，數(shù)據(jù)處理者應(yīng)當(dāng)重新申報(bào)評(píng)估：向境外提供數(shù)據(jù)的目的、方式、范圍、類型和境外接收方處理數(shù)據(jù)的用途、方式發(fā)生變化，或者延長(zhǎng)個(gè)人信息和重要數(shù)據(jù)境外保存期限的；境外接收方所在國(guó)家或者地區(qū)法律環(huán)境發(fā)生變化，數(shù)據(jù)處理者或者境外接收方實(shí)際控制權(quán)發(fā)生變化，數(shù)據(jù)處理者與境外接收方合同變更等可能影響出境數(shù)據(jù)安全的；出現(xiàn)影響出境數(shù)據(jù)安全的其他情形的。

　　丁曉東認(rèn)為，征求意見(jiàn)稿會(huì)對(duì)具有強(qiáng)數(shù)據(jù)出境需求的企業(yè)帶來(lái)合規(guī)壓力，這是“毫無(wú)疑問(wèn)的”。與此同時(shí)，還會(huì)對(duì)個(gè)人帶來(lái)間接影響——根據(jù)個(gè)人信息保護(hù)法的要求，企業(yè)在跨境傳輸數(shù)據(jù)時(shí)，需要經(jīng)過(guò)用戶的同意。

　　“歷經(jīng)四年，我國(guó)終于在法律層面建立了數(shù)據(jù)出境安全評(píng)估制度?！?左曉棟表示，征求意見(jiàn)稿是網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法和個(gè)人信息保護(hù)法共同確立的數(shù)據(jù)出境安全評(píng)估制度的落地細(xì)則。根據(jù)法律的授權(quán)，網(wǎng)信辦制定征求意見(jiàn)稿，使數(shù)據(jù)出境安全評(píng)估制度落地。

　　不過(guò)他同時(shí)指出，當(dāng)前我國(guó)需要建立的不僅僅是數(shù)據(jù)出境安全評(píng)估制度，而是完整的數(shù)據(jù)出境安全管理制度?！盁o(wú)論《辦法》多么重要，其只能是我國(guó)數(shù)據(jù)出境安全管理制度的一部分，后續(xù)還需要制定出臺(tái)另外的法規(guī)政策文件，共同構(gòu)建我國(guó)數(shù)據(jù)出境安全管理制度?！?/p>