2021年10月29日，網(wǎng)信辦發(fā)布了《數(shù)據(jù)出境安全評估辦法（征求意見稿）》（“本辦法”），作為《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》的配套規(guī)則。這不是第一次，甚至不是第二次網(wǎng)信部門就數(shù)據(jù)出境的規(guī)則征求意見，在2017年4月曾發(fā)布過《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》，2019年6月再度發(fā)布《個人信息出境安全評估辦法（征求意見稿）》。

　　與之前不同，此次的《數(shù)據(jù)出境安全評估辦法（征求意見稿）》是在《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》塵埃落定的基礎(chǔ)上征求意見。

　　雖然征求意見稿的發(fā)布讓數(shù)據(jù)出境規(guī)則稍稍清晰，但仍然有大量內(nèi)容處于迷霧之中。

　　一、境外直接處理

　　《數(shù)據(jù)出境安全評估辦法（征求意見稿）》的立法以境內(nèi)處理者為核心，需要履行自評估、申報等多項義務(wù)。但如果是境外主體直接收集、使用境內(nèi)數(shù)據(jù)，則完全不受本辦法的規(guī)制。境外直接處理主要是依據(jù)《個人信息保護法》第53條：“境外的個人信息處理者，應(yīng)當(dāng)在中華人民共和國境內(nèi)設(shè)立專門機構(gòu)或者指定代表，負(fù)責(zé)處理個人信息保護相關(guān)事務(wù)，并將有關(guān)機構(gòu)的名稱或者代表的姓名、聯(lián)系方式等報送履行個人信息保護職責(zé)的部門。”看上去只是需要委托代表并報送即可，比起安全評估要容易得多。

　　數(shù)據(jù)出境安全評估的“抓手”是將數(shù)據(jù)傳輸至境外的數(shù)據(jù)處理者，如果由境外主體面向境內(nèi)自然人收集，那么境內(nèi)的自然人顯然不可能去進(jìn)行數(shù)據(jù)出境的評估，那么進(jìn)而導(dǎo)致數(shù)據(jù)出境安全評估無從下手。

　　那么這樣的一個可能后果是跨國企業(yè)即使在境內(nèi)存在數(shù)據(jù)處理者，也會通過法律與IT架構(gòu)的安排，讓境外主體直接處理數(shù)據(jù)、境內(nèi)主體完全與數(shù)據(jù)隔離，履行報送義務(wù)即可，完全規(guī)避掉安全評估的各項義務(wù)。

　　如果實踐中出現(xiàn)此種“漏洞”，那么無疑會被跨國企業(yè)所利用，進(jìn)而導(dǎo)致監(jiān)管部門可能會進(jìn)一步要求如果有境內(nèi)實體，海外實體不得直接收集消費者個人信息，給該制度打上補丁。

　　二、跨境評估與境外報送

　　另一個《數(shù)據(jù)出境安全評估辦法（征求意見稿）》未解決的問題是，當(dāng)數(shù)據(jù)出境安全評估完成后，境外的接收方是否還需要履行向中國監(jiān)管部門的報送義務(wù)，在境內(nèi)設(shè)立專門機構(gòu)或任命代表。因為在理論上，境外數(shù)據(jù)接收方也同樣屬于《個人信息保護法》第3條第2款適用范圍規(guī)定的情形之一：

　　以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的；

　　分析、評估境內(nèi)自然人的行為；

　　法律、行政法規(guī)規(guī)定的其他情形。

　　在《數(shù)據(jù)出境安全評估辦法（征求意見稿）》中對評估事項的羅列，并沒有要求境外接收方提供境內(nèi)專門機構(gòu)或代表的信息。我不確定這是意味著數(shù)據(jù)接收方無需履行報送與境內(nèi)任命的義務(wù)，或是未來會新設(shè)接收方境內(nèi)任命的制度或申報入口。

　　三、雜項與猜想

　　申報對象：目前來看，評估辦法是計劃以場景進(jìn)行劃分，企業(yè)如果數(shù)據(jù)出境場景復(fù)雜，需要多次申報以覆蓋不同場景。即申報的門檻是根據(jù)主體來界定，但只要出現(xiàn)新的場景就可能需要申報。

　　申報書：申報書可能是制式的，會由網(wǎng)信部門提供下載或使用在線系統(tǒng)。

　　合同之一：審查需要提交“數(shù)據(jù)處理者與境外接收方擬訂立的合同或者其他具有法律效力的文件等”，但并不清楚是僅需要提供與數(shù)據(jù)處理相關(guān)的內(nèi)容（附件），還是需要提供完整的合同。如果提交根據(jù)《個人信息保護法》第38條國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同，不確定能否達(dá)到合同提交的要求。

　　合同之二：在一些場景下，比如跨國企業(yè)內(nèi)部員工個人信息出境（海外統(tǒng)一管理），可能不存在海外總部與中國境內(nèi)實體之間的數(shù)據(jù)處理協(xié)議，可能需要提交包含《數(shù)據(jù)出境安全評估辦法（征求意見稿）》第9條的規(guī)章制度。

　　合同之三：提交的合同或許是需要完成簽署的版本，沒有簽署的合同模板可能不會被受理。但數(shù)據(jù)出境安全評估存在不通過的可能，可能需要在合同中注明此合同須在通過數(shù)據(jù)出境安全評估后方可生效，以避免因為沒有通過而造成損失。

　　申訴：不確定數(shù)據(jù)出境安全評估是否可以申請行政復(fù)議或行政訴訟。在《數(shù)據(jù)安全法》中，明確了數(shù)據(jù)安全審查是最終決定，因此無法申請行政復(fù)議或行政訴訟。數(shù)據(jù)出境安全評估的效力并不確定，但大概率不會有救濟措施。

　　網(wǎng)絡(luò)安全審查：網(wǎng)絡(luò)安全審查與數(shù)據(jù)出境安全評估是兩套獨立的制度，但可能會同時觸發(fā)，如關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購海外具有數(shù)據(jù)收集功能的IT設(shè)備，就需要同時完成審查和安全評估。

　　策略：可能會有企業(yè)為規(guī)避數(shù)據(jù)出境安全評估，設(shè)立不同實體分別處理不同場景的數(shù)據(jù)，比如在集團內(nèi)，公司A負(fù)責(zé)集團人事數(shù)據(jù)、公司B負(fù)責(zé)消費者數(shù)據(jù)、公司C負(fù)責(zé)患者敏感個人信息、公司D負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施運營，互相之間實現(xiàn)隔離數(shù)據(jù)。