2021年10月29日，網(wǎng)信辦發(fā)布了《數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》（“本辦法”），作為《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》的配套規(guī)則。這不是第一次，甚至不是第二次網(wǎng)信部門就數(shù)據(jù)出境的規(guī)則征求意見(jiàn)，在2017年4月曾發(fā)布過(guò)《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》，2019年6月再度發(fā)布《個(gè)人信息出境安全評(píng)估辦法（征求意見(jiàn)稿）》。

　　與之前不同，此次的《數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》是在《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》塵埃落定的基礎(chǔ)上征求意見(jiàn)。

　　雖然征求意見(jiàn)稿的發(fā)布讓數(shù)據(jù)出境規(guī)則稍稍清晰，但仍然有大量?jī)?nèi)容處于迷霧之中。

　　一、境外直接處理

　　《數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》的立法以境內(nèi)處理者為核心，需要履行自評(píng)估、申報(bào)等多項(xiàng)義務(wù)。但如果是境外主體直接收集、使用境內(nèi)數(shù)據(jù)，則完全不受本辦法的規(guī)制。境外直接處理主要是依據(jù)《個(gè)人信息保護(hù)法》第53條：“境外的個(gè)人信息處理者，應(yīng)當(dāng)在中華人民共和國(guó)境內(nèi)設(shè)立專門機(jī)構(gòu)或者指定代表，負(fù)責(zé)處理個(gè)人信息保護(hù)相關(guān)事務(wù)，并將有關(guān)機(jī)構(gòu)的名稱或者代表的姓名、聯(lián)系方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門?！笨瓷先ブ皇切枰写聿?bào)送即可，比起安全評(píng)估要容易得多。

　　數(shù)據(jù)出境安全評(píng)估的“抓手”是將數(shù)據(jù)傳輸至境外的數(shù)據(jù)處理者，如果由境外主體面向境內(nèi)自然人收集，那么境內(nèi)的自然人顯然不可能去進(jìn)行數(shù)據(jù)出境的評(píng)估，那么進(jìn)而導(dǎo)致數(shù)據(jù)出境安全評(píng)估無(wú)從下手。

　　那么這樣的一個(gè)可能后果是跨國(guó)企業(yè)即使在境內(nèi)存在數(shù)據(jù)處理者，也會(huì)通過(guò)法律與IT架構(gòu)的安排，讓境外主體直接處理數(shù)據(jù)、境內(nèi)主體完全與數(shù)據(jù)隔離，履行報(bào)送義務(wù)即可，完全規(guī)避掉安全評(píng)估的各項(xiàng)義務(wù)。

　　如果實(shí)踐中出現(xiàn)此種“漏洞”，那么無(wú)疑會(huì)被跨國(guó)企業(yè)所利用，進(jìn)而導(dǎo)致監(jiān)管部門可能會(huì)進(jìn)一步要求如果有境內(nèi)實(shí)體，海外實(shí)體不得直接收集消費(fèi)者個(gè)人信息，給該制度打上補(bǔ)丁。

　　二、跨境評(píng)估與境外報(bào)送

　　另一個(gè)《數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》未解決的問(wèn)題是，當(dāng)數(shù)據(jù)出境安全評(píng)估完成后，境外的接收方是否還需要履行向中國(guó)監(jiān)管部門的報(bào)送義務(wù)，在境內(nèi)設(shè)立專門機(jī)構(gòu)或任命代表。因?yàn)樵诶碚撋希惩鈹?shù)據(jù)接收方也同樣屬于《個(gè)人信息保護(hù)法》第3條第2款適用范圍規(guī)定的情形之一：

　　以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的；

　　分析、評(píng)估境內(nèi)自然人的行為；

　　法律、行政法規(guī)規(guī)定的其他情形。

　　在《數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》中對(duì)評(píng)估事項(xiàng)的羅列，并沒(méi)有要求境外接收方提供境內(nèi)專門機(jī)構(gòu)或代表的信息。我不確定這是意味著數(shù)據(jù)接收方無(wú)需履行報(bào)送與境內(nèi)任命的義務(wù)，或是未來(lái)會(huì)新設(shè)接收方境內(nèi)任命的制度或申報(bào)入口。

　　三、雜項(xiàng)與猜想

　　申報(bào)對(duì)象：目前來(lái)看，評(píng)估辦法是計(jì)劃以場(chǎng)景進(jìn)行劃分，企業(yè)如果數(shù)據(jù)出境場(chǎng)景復(fù)雜，需要多次申報(bào)以覆蓋不同場(chǎng)景。即申報(bào)的門檻是根據(jù)主體來(lái)界定，但只要出現(xiàn)新的場(chǎng)景就可能需要申報(bào)。

　　申報(bào)書：申報(bào)書可能是制式的，會(huì)由網(wǎng)信部門提供下載或使用在線系統(tǒng)。

　　合同之一：審查需要提交“數(shù)據(jù)處理者與境外接收方擬訂立的合同或者其他具有法律效力的文件等”，但并不清楚是僅需要提供與數(shù)據(jù)處理相關(guān)的內(nèi)容（附件），還是需要提供完整的合同。如果提交根據(jù)《個(gè)人信息保護(hù)法》第38條國(guó)家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同，不確定能否達(dá)到合同提交的要求。

　　合同之二：在一些場(chǎng)景下，比如跨國(guó)企業(yè)內(nèi)部員工個(gè)人信息出境（海外統(tǒng)一管理），可能不存在海外總部與中國(guó)境內(nèi)實(shí)體之間的數(shù)據(jù)處理協(xié)議，可能需要提交包含《數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》第9條的規(guī)章制度。

　　合同之三：提交的合同或許是需要完成簽署的版本，沒(méi)有簽署的合同模板可能不會(huì)被受理。但數(shù)據(jù)出境安全評(píng)估存在不通過(guò)的可能，可能需要在合同中注明此合同須在通過(guò)數(shù)據(jù)出境安全評(píng)估后方可生效，以避免因?yàn)闆](méi)有通過(guò)而造成損失。

　　申訴：不確定數(shù)據(jù)出境安全評(píng)估是否可以申請(qǐng)行政復(fù)議或行政訴訟。在《數(shù)據(jù)安全法》中，明確了數(shù)據(jù)安全審查是最終決定，因此無(wú)法申請(qǐng)行政復(fù)議或行政訴訟。數(shù)據(jù)出境安全評(píng)估的效力并不確定，但大概率不會(huì)有救濟(jì)措施。

　　網(wǎng)絡(luò)安全審查：網(wǎng)絡(luò)安全審查與數(shù)據(jù)出境安全評(píng)估是兩套獨(dú)立的制度，但可能會(huì)同時(shí)觸發(fā)，如關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)海外具有數(shù)據(jù)收集功能的IT設(shè)備，就需要同時(shí)完成審查和安全評(píng)估。

　　策略：可能會(huì)有企業(yè)為規(guī)避數(shù)據(jù)出境安全評(píng)估，設(shè)立不同實(shí)體分別處理不同場(chǎng)景的數(shù)據(jù)，比如在集團(tuán)內(nèi)，公司A負(fù)責(zé)集團(tuán)人事數(shù)據(jù)、公司B負(fù)責(zé)消費(fèi)者數(shù)據(jù)、公司C負(fù)責(zé)患者敏感個(gè)人信息、公司D負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)，互相之間實(shí)現(xiàn)隔離數(shù)據(jù)。