個(gè)人信息、重要數(shù)據(jù)等關(guān)乎個(gè)人信息權(quán)益、國家安全和社會公共利益的數(shù)據(jù)出境將迎來監(jiān)管。10月29日，國家互聯(lián)網(wǎng)信息辦公室（下稱“網(wǎng)信辦”）發(fā)布《數(shù)據(jù)出境安全評估辦法（征求意見稿）》，并向社會公開征求意見。

　　南都記者梳理發(fā)現(xiàn)，這是網(wǎng)絡(luò)安全法審議通過以來，網(wǎng)信辦第三次對數(shù)據(jù)出境安全相關(guān)的評估辦法征求意見。征求意見稿擬對達(dá)到申報(bào)要求的個(gè)人信息規(guī)模劃出紅線，如處理個(gè)人信息達(dá)到一百萬人，或累計(jì)向境外提供超過十萬人以上個(gè)人信息或者一萬人以上敏感個(gè)人信息。

　　文 / 蔣琳 尤一煒

　　個(gè)人信息、重要數(shù)據(jù)等關(guān)乎個(gè)人信息權(quán)益、國家安全和社會公共利益的數(shù)據(jù)出境將迎來監(jiān)管。10月29日，國家互聯(lián)網(wǎng)信息辦公室（下稱“網(wǎng)信辦”）發(fā)布《數(shù)據(jù)出境安全評估辦法（征求意見稿）》，并向社會公開征求意見。

　　南都記者梳理發(fā)現(xiàn)，這是網(wǎng)絡(luò)安全法審議通過以來，網(wǎng)信辦第三次對數(shù)據(jù)出境安全相關(guān)的評估辦法征求意見。征求意見稿擬對達(dá)到申報(bào)要求的個(gè)人信息規(guī)模劃出紅線，如處理個(gè)人信息達(dá)到一百萬人，或累計(jì)向境外提供超過十萬人以上個(gè)人信息或者一萬人以上敏感個(gè)人信息。

　　多位專家對南都記者表示，征求意見稿“解決了企業(yè)當(dāng)下迫切關(guān)注的問題”，是網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法和個(gè)人信息保護(hù)法共同確立的數(shù)據(jù)出境安全評估制度的落地細(xì)則，而三次征求意見則反映了政策不斷完善的過程。

　　網(wǎng)信辦三次對數(shù)據(jù)出境安全相關(guān)評估辦法征求意見

　　據(jù)了解，《數(shù)據(jù)出境安全評估辦法》的制定目的是規(guī)范數(shù)據(jù)出境活動，保護(hù)個(gè)人信息權(quán)益，維護(hù)國家安全和社會公共利益，促進(jìn)數(shù)據(jù)跨境安全、自由流動。

　　“經(jīng)濟(jì)全球化條件下，數(shù)據(jù)跨境流動是常態(tài)，為全球經(jīng)濟(jì)活動、人類社會發(fā)展提供了基礎(chǔ)支撐。因此，數(shù)據(jù)出境評估制度在世界各國的安全和發(fā)展戰(zhàn)略中，都是一個(gè)重要事項(xiàng)，也是近年來國際貿(mào)易規(guī)則、協(xié)定以及多邊雙邊磋商的重大議題”，中國信息安全研究院副院長左曉棟指出。

　　南都記者注意到，這是2016年網(wǎng)絡(luò)安全法通過審議以來，網(wǎng)信辦第三次對數(shù)據(jù)出境安全相關(guān)的評估辦法征求意見。

　　早在2017年，網(wǎng)信辦就會同相關(guān)部門起草發(fā)布了《個(gè)人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》。2019年，網(wǎng)信辦又發(fā)布《個(gè)人信息出境安全評估辦法（征求意見稿）》。時(shí)隔兩年，此次的《數(shù)據(jù)出境安全評估辦法（征求意見稿）》出臺。

　　值得注意的是，三份征求意見稿對應(yīng)的數(shù)據(jù)類型并不相同——從最初的“個(gè)人信息和重要數(shù)據(jù)”，到單獨(dú)的“個(gè)人信息”，再到語義相對籠統(tǒng)的“數(shù)據(jù)”。其中此次征求意見稿中的“數(shù)據(jù)”包括了“數(shù)據(jù)處理者向境外提供在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)和依法應(yīng)當(dāng)進(jìn)行安全評估的個(gè)人信息”。

　　左曉棟對南都記者表示，第一次是為了與網(wǎng)絡(luò)安全法實(shí)施同步，但相關(guān)規(guī)定并不完善；第二次考慮了重要數(shù)據(jù)與個(gè)人信息的不同，擬對其分別制定出境安全評估辦法，所以先起草了《個(gè)人信息出境安全評估辦法（征求意見稿）》，但該辦法并不能解決個(gè)人信息出境的所有問題，而重要數(shù)據(jù)的定義當(dāng)時(shí)尚不明確?！斑@反映了政策不斷完善的過程?！?/p>

　　“直到這一次，在數(shù)據(jù)安全法和個(gè)人信息保護(hù)法的補(bǔ)充下，數(shù)據(jù)出境安全評估制度已經(jīng)在法律上比較完善，制定具體落地辦法的條件終于成熟?！弊髸詶澱f，“隨著《數(shù)據(jù)出境安全評估辦法》征求意見，《個(gè)人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》和《個(gè)人信息出境安全評估辦法（征求意見稿）》自然廢止?！?/p>

　　中國人民大學(xué)未來法治研究院副院長丁曉東補(bǔ)充指出，網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法和個(gè)人信息保護(hù)法構(gòu)建了完整的與數(shù)據(jù)安全相關(guān)的法律體系。從健全法律、促進(jìn)法律落地的背景來說，征求意見稿將關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者收集產(chǎn)生的數(shù)據(jù)、重要數(shù)據(jù)和個(gè)人信息等囊括其中，是一個(gè)整體性思考。

　　另一個(gè)明顯的變化是，前兩份評估辦法的規(guī)制主體都是“網(wǎng)絡(luò)運(yùn)營者”，與網(wǎng)絡(luò)安全法中的表述一致；而此次征求意見稿的規(guī)制主體則是數(shù)據(jù)“處理者”，與數(shù)據(jù)安全法和個(gè)人信息保護(hù)法表述一致。

　　資深數(shù)據(jù)法律師袁立志指出，網(wǎng)絡(luò)運(yùn)營者是網(wǎng)絡(luò)安全法中的概念，而數(shù)據(jù)出境評估辦法歸管的主體應(yīng)該遵從數(shù)據(jù)安全法和個(gè)人信息保護(hù)法中的相關(guān)規(guī)定，即數(shù)據(jù)處理者?！半m然兩者在大部分情況下是同一個(gè)主體，但也有一些情況下是不同的，使用數(shù)據(jù)處理者的表述會更加準(zhǔn)確?！?/p>

　　“相較‘網(wǎng)絡(luò)運(yùn)營者’，‘?dāng)?shù)據(jù)處理者’代表的范圍更大，比如沒有實(shí)現(xiàn)網(wǎng)絡(luò)化、數(shù)字化的企業(yè)也包含在‘?dāng)?shù)據(jù)處理者’的范圍中?！倍詵|說。

　　圖片

　　“一百萬”“十萬”適用于不同數(shù)據(jù)處理場景

　　多位專家對南都記者表示，征求意見稿第四條是核心條款。該條對數(shù)據(jù)處理者向境外提供數(shù)據(jù)時(shí)，哪些情形下需要申報(bào)數(shù)據(jù)出境安全評估做出了明確規(guī)定。

　　第四條  數(shù)據(jù)處理者向境外提供數(shù)據(jù)，符合以下情形之一的，應(yīng)當(dāng)通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評估。

　　（一）關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)；

　?。ǘ┏鼍硵?shù)據(jù)中包含重要數(shù)據(jù)；

　?。ㄈ┨幚韨€(gè)人信息達(dá)到一百萬人的個(gè)人信息處理者向境外提供個(gè)人信息；

　?。ㄋ模├塾?jì)向境外提供超過十萬人以上個(gè)人信息或者一萬人以上敏感個(gè)人信息；

　　（五）國家網(wǎng)信部門規(guī)定的其他需要申報(bào)數(shù)據(jù)出境安全評估的情形。

　　左曉棟指出，網(wǎng)絡(luò)安全法第三十七條首次規(guī)定了數(shù)據(jù)出境安全評估制度，但范圍只限定在關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者在中國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)?！笆聦?shí)上，很多數(shù)據(jù)出境行為未必同關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)”，他說，后來數(shù)據(jù)安全法從重要數(shù)據(jù)出境方面、個(gè)人信息保護(hù)法從個(gè)人信息出境方面進(jìn)行了彌補(bǔ)。

　　根據(jù)個(gè)人信息保護(hù)法，處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者，確需向境外提供的，應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評估。多位專家均表示，征求意見稿中規(guī)定的100萬是對上述規(guī)定數(shù)量的明確。

　　談及關(guān)于達(dá)到申報(bào)要求的個(gè)人信息規(guī)模的規(guī)定，丁曉東表示，100萬不是一個(gè)絕對標(biāo)準(zhǔn)，并不代表擁有99.99萬用戶量的企業(yè)向境外傳輸數(shù)據(jù)時(shí)，就不需要進(jìn)行安全評估。他認(rèn)為“這個(gè)紅線是為了區(qū)分小型商家和大型平臺”。

　　左曉棟則提出，規(guī)定中的“一百萬”和“十萬”的條件值適用于不同的情況，這反映了在信息技術(shù)廣泛應(yīng)用的情況下，網(wǎng)絡(luò)運(yùn)營者、數(shù)據(jù)處理者的復(fù)雜性、多樣性為立法工作帶來的挑戰(zhàn)。

　　“傳統(tǒng)互聯(lián)網(wǎng)企業(yè)動輒處理幾十萬、上百萬的個(gè)人信息。如果把這個(gè)閾值定得過低，會導(dǎo)致大量互聯(lián)網(wǎng)企業(yè)在數(shù)據(jù)出境時(shí)只能選擇網(wǎng)信部門安全評估方式，無論對企業(yè)還是政府部門工作而言都帶來太高成本。但同時(shí)也要看到……有的時(shí)候幾萬、幾十萬個(gè)人信息已經(jīng)達(dá)到了一個(gè)企業(yè)處理個(gè)人信息的天花板，但這幾十萬的量卻影響十分巨大?！彼e例說，一個(gè)車企一年賣十萬輛智能汽車是不錯(cuò)的成績了，如果把閾值定在一百萬，一些可能存在嚴(yán)重國家安全、數(shù)據(jù)安全隱患的智能汽車企業(yè)將被排除在外，“這顯然也是不合適的?！?/p>

　　在袁立志看來，相對于中國市場的體量，100萬是“比較低的標(biāo)準(zhǔn)”，很容易觸發(fā)。將紅線劃在100萬，可能是主管部門認(rèn)為當(dāng)前國際數(shù)據(jù)安全形勢比較嚴(yán)峻，出于對國家數(shù)據(jù)安全、爭奪國際數(shù)據(jù)控制權(quán)等的考量。另一方面，該紅線會倒逼企業(yè)在本地存儲數(shù)據(jù)，減少數(shù)據(jù)出境的需求。

　　南都記者注意到，一百萬的“紅線”在今年7月公布的《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》中也被提及。上述文件擬規(guī)定，掌握超過100萬用戶個(gè)人信息的運(yùn)營者赴國外上市，必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查。

　　對此，左曉棟認(rèn)為，“處理個(gè)人信息達(dá)到一百萬人的個(gè)人信息處理者向境外提供個(gè)人信息”涵蓋了“掌握超過100萬用戶個(gè)人信息的運(yùn)營者赴國外上市”的情況。換言之，后者是一種典型的數(shù)據(jù)出境行為，既然達(dá)到了“100萬”，就自然進(jìn)入國家網(wǎng)信部門的安全評估程序。

　　除了第四條，征求意見稿的第五條和第九條也十分重要——它們分別針對數(shù)據(jù)處理者事先開展數(shù)據(jù)出境風(fēng)險(xiǎn)重點(diǎn)評估的事項(xiàng)和數(shù)據(jù)處理者與境外接收方訂立的合同應(yīng)包含的內(nèi)容做出規(guī)定。

　　“《辦法》的第五條和第九條具有通用性?！弊髸詶澱J(rèn)為，無論任何一種數(shù)據(jù)出境，至少要遵循兩類要求：一是出境前的自評估，二是數(shù)據(jù)發(fā)送方與數(shù)據(jù)接收方的安全保護(hù)義務(wù)。

　　數(shù)據(jù)出境評估結(jié)果有效期為兩年

　　11月1日，個(gè)人信息保護(hù)法將正式實(shí)施，而數(shù)據(jù)安全法也已于9月1日生效?！半S著兩部法律的正式實(shí)施，許多企業(yè)有數(shù)據(jù)出境評估的迫切需求，如果不做，擔(dān)心被事后追責(zé)，而沒有這個(gè)評估辦法的話，企業(yè)又不知道怎么做?！痹⒅菊J(rèn)為，征求意見稿“解決了企業(yè)當(dāng)下迫切關(guān)注的問題”。

　　征求意見稿擬規(guī)定，數(shù)據(jù)出境評估結(jié)果有效期為兩年，如有效期屆滿需繼續(xù)開展數(shù)據(jù)出境活動，數(shù)據(jù)處理者應(yīng)當(dāng)在有效期屆滿六十個(gè)工作日前重新申報(bào)評估。

　　南都記者注意到，上述條款基本延續(xù)了2019年《個(gè)人信息出境安全評估辦法（征求意見稿）》擬規(guī)定的“每2年或者個(gè)人信息出境目的、類型和境外保存時(shí)間發(fā)生變化時(shí)應(yīng)當(dāng)重新評估”，并在其基礎(chǔ)上做出了更加具體的規(guī)定。

　　如征求意見稿提到，在有效期內(nèi)出現(xiàn)以下情形之一的，數(shù)據(jù)處理者應(yīng)當(dāng)重新申報(bào)評估：向境外提供數(shù)據(jù)的目的、方式、范圍、類型和境外接收方處理數(shù)據(jù)的用途、方式發(fā)生變化，或者延長個(gè)人信息和重要數(shù)據(jù)境外保存期限的；境外接收方所在國家或者地區(qū)法律環(huán)境發(fā)生變化，數(shù)據(jù)處理者或者境外接收方實(shí)際控制權(quán)發(fā)生變化，數(shù)據(jù)處理者與境外接收方合同變更等可能影響出境數(shù)據(jù)安全的；出現(xiàn)影響出境數(shù)據(jù)安全的其他情形的。

　　丁曉東認(rèn)為，征求意見稿會對具有強(qiáng)數(shù)據(jù)出境需求的企業(yè)帶來合規(guī)壓力，這是“毫無疑問的”。與此同時(shí)，還會對個(gè)人帶來間接影響——根據(jù)個(gè)人信息保護(hù)法的要求，企業(yè)在跨境傳輸數(shù)據(jù)時(shí)，需要經(jīng)過用戶的同意。

　　“歷經(jīng)四年，我國終于在法律層面建立了數(shù)據(jù)出境安全評估制度?！?左曉棟表示，征求意見稿是網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法和個(gè)人信息保護(hù)法共同確立的數(shù)據(jù)出境安全評估制度的落地細(xì)則。根據(jù)法律的授權(quán)，網(wǎng)信辦制定征求意見稿，使數(shù)據(jù)出境安全評估制度落地。

　　不過他同時(shí)指出，當(dāng)前我國需要建立的不僅僅是數(shù)據(jù)出境安全評估制度，而是完整的數(shù)據(jù)出境安全管理制度。“無論《辦法》多么重要，其只能是我國數(shù)據(jù)出境安全管理制度的一部分，后續(xù)還需要制定出臺另外的法規(guī)政策文件，共同構(gòu)建我國數(shù)據(jù)出境安全管理制度?！?/p>