前后歷經(jīng)四年三易其稿，合合分分合合，國家網(wǎng)信辦于2021年10月29日發(fā)布了最新一版《數(shù)據(jù)出境安全評估辦法》公開征求意見（下稱“2021版”），業(yè)界終于迎來了《個人信息保護法》生效前臨門一稿，數(shù)據(jù)合規(guī)三大“玄學”之一的“數(shù)據(jù)出境規(guī)則”即將掀開神秘面紗。

　　結合立法沿革、監(jiān)管意見及近期項目經(jīng)驗，匯業(yè)律師事務所黃春林律師團隊簡要解讀如下，僅供參考。正式法律建議及場景化落地，還請正式咨詢律師意見。

　　問題一：2021版還會大改嗎？

　　自《網(wǎng)絡安全法》第37條“開天辟地”以來，數(shù)據(jù)出境規(guī)則每兩年一變，先后經(jīng)歷了三個大版本：

　　時間

　　名稱牽頭部門

　　2017年4月11日個人信息和重要數(shù)據(jù)出境安全評估辦法（下稱“2017版”）

　　網(wǎng)信辦網(wǎng)絡安全協(xié)調(diào)局

　　2019年6月13日個人信息出境安全評估辦法（下稱“2019版”）網(wǎng)信辦網(wǎng)絡安全協(xié)調(diào)局

　　2021年10月29日數(shù)據(jù)出境安全評估辦法（下稱“2021版”）網(wǎng)信辦網(wǎng)絡數(shù)據(jù)管理局

　　從題目就看得出來，正是應了《三國演義》開篇之詞，“分久必合合久必分”，開始是“個人信息”與“重要數(shù)據(jù)”合并規(guī)范的2017版，后來分道揚鑣才有了2019版，最新版握手言和又“在一起”，統(tǒng)稱為“數(shù)據(jù)出境”。

　　二龍湖浩哥說過“事不過三”。江湖上普遍預測，這一版已經(jīng)是綜合考慮了立法基礎及國內(nèi)外形勢，兼顧了各方意見后的相對成熟的一個版本?？紤]到《個人信息保護法》生效在即， “奉子成婚”已是必然之選，因此，不出意外，《2021版》將在2021年11月28日征求意見到期后盡快發(fā)布，畢竟江湖上各大廠已經(jīng)“苦秦久矣”。否則，真是一鼓作氣再而衰三而竭，“狼來了”效應會大大削弱立法的威嚴性。

　　若是如此，2022年1月1日估計是一個比較好的時點。但是，我們建議正式版本設立一個三個月左右的過渡期，否則按照要求應“事先評估”，而“事先評估”的依據(jù)和基礎是“法律生效”。因此，企業(yè)顯然無法在法律生效的同時完成評估、申報等工作。到時是選擇“暫停傳輸”損害業(yè)務連續(xù)性，還是選擇“消極違法”損害企業(yè)合規(guī)性，必然是兩難的選擇。墨子說，法不“逼良為娼”，這是底限。

　　問題二：哪些企業(yè)會落入？

　　數(shù)據(jù)出境安全評估的落入門檻，也是符合歷史發(fā)展的“單擺規(guī)律”，先右（2017版有門檻）再左（2019版無門檻）后右（2021版有門檻），具體如下表：

　　版本落入門檻頻率

　　2017版

　　CIIO；特殊行業(yè)；

　　50萬人；1000G

　　1年

　　2019版無門檻2年

　　2021版

　　關鍵信息基礎設施的運營者收集和產(chǎn)生的個人信息和重要數(shù)據(jù)；

　　出境數(shù)據(jù)中包含重要數(shù)據(jù)；

　　處理PI達到100萬人的個人信息處理者向境外提供PI；

　　累計向境外提供超過10萬人以上PI或者1萬人以上SPI

　　2年

　　不過，相較于2017版的落入門檻，2021版邏輯更加嚴密，所謂“法網(wǎng)恢恢疏而不漏”，具體從兩個維度設立了門檻：

　　（1）兩類主體需要評估：CIIO + 處理個人信息達到100萬人；出境數(shù)量在所不問，理論上哪怕1條也需要。

　?。?）兩類數(shù)據(jù)需要評估：出境涉及重要數(shù)據(jù) + 數(shù)據(jù)量超過10萬（PI）或1萬（SPI）；主體類型在所不問，理論上哪怕個人也需要。

　　而以上兩個維度只要符合任何一個就需要，因此，考慮到中國網(wǎng)民基數(shù)及當前互聯(lián)網(wǎng)及數(shù)字化發(fā)展程度，絕大多數(shù)跨境經(jīng)營的企業(yè)都會落入需要出境安全評估的范疇，進而極大的“彌補”了《網(wǎng)絡安全法》第37條了適用范圍。

　　反過來可能更好理解，只有一種企業(yè)可能不需要出境安全評估，即用戶數(shù)＜100萬，且跨境傳輸?shù)腜I＜10萬（且含有的SPI＜1萬，且含有的重要數(shù)據(jù)＜0）。這種情形，是不是本身就可以適用《個人信息保護法》第六十二條第2款來構建制度？

　　問題三：什么叫“跨境提供”？

　　遠的不說，《個人信息保護法》上叫“跨境提供”，2021版叫“出境”，法條內(nèi)部叫“向境外提供”。如何理解這三個術語，確實很多企業(yè)都很懵逼。我們理解，立法者的原意應該是沒有差別對待的意圖，都是一個意思。

　　但從《個人信息保護法》的內(nèi)部關系理解，又犯迷糊了，即第三章的跨境提供的“提供”含義和第23條的“提供”是不是一個含義？匯業(yè)律師事務所黃春林律師團隊理解，這兩個“提供”的含義（或稱“場景范圍”）是不一樣的，即跨境提供的“提供”實質(zhì)上是包含了第20條至23條的幾種可能發(fā)生“客觀轉(zhuǎn)移”的情形，尤其包括委托處理和對外提供中可能涉及個人信息出境的情形，舉例而言：

　　適用情形場景舉例

　　因委托處理而出境例如境內(nèi)主體直接使用服務器位于境外的Oracle、SAP、Salesforce、Workday等系統(tǒng)或服務商。

　　因?qū)ν馓峁┒鼍忱缦蚓惩饧瘓F公司、關聯(lián)公司提供。

　　有人會問，那么第一種情況，為什么需要？你去想想出境安全評估規(guī)則的立法目的就知道了，否則這些系統(tǒng)也不會考慮本地化的問題了。那么，和誰簽出境合同呢？當然是和受托方簽啊。對方不同意簽怎么辦？那是你公司的談判能力不夠啊，放心，有人在給你開路。

　　此外，另外幾個被廣泛關注的問題匯總如下：（1）境外鏡像、遠程訪問也是出境；（2）去標識化（如MD5加密）和ID轉(zhuǎn)化（例如openID、jdID、VIN、各種封閉ID）后的個人信息出境仍然算；（3）員工（含外籍員工）信息出境也算；（4）用戶根據(jù)國內(nèi)公司指引（例如跳轉(zhuǎn)、通知）或基于國內(nèi)公司的信賴（例如購買國內(nèi)產(chǎn)品）向境外網(wǎng)站或系統(tǒng)直接提供（例如投遞簡歷等）還是算；（5）用戶直接（國內(nèi)公司沒有任何參與）向境外提供（例如注冊、打電話、發(fā)郵件等）的不算……

　　問題四：如何理解“因業(yè)務需要，確需”？

　　無論是《網(wǎng)絡安全法》還是《個人信息保護法》，法條規(guī)定的數(shù)據(jù)出境都有個前提，即“因業(yè)務需要，確需”，只不過后者多了一個“等”字，兼顧了業(yè)務、技術等多樣化需求。這個前提非常重要，只有滿足這個“需要”的前提才能出境，否則不能出境，就更不考慮38條的路徑選擇問題和39條的單獨同意問題了。

　　如何理解“因業(yè)務需要，確需”？首先，《個人信息保護法》第六條規(guī)定了處理個人信息應“合理”、“相關”， 大家很能理解顆粒度、范圍等的合理、相關；但是，針對不同處理行為也應分別開展合理、相關性判斷，這是很多人容易忽視的判斷點。即，收集、使用行為你可能滿足合理、相關（例如收集生日信息為了發(fā)放生日禮物），但并不代表你的“對外提供”、“跨境提供”（生日信息）的行為也滿足合理、相關性。也正是因此，歷次版本的出境安全評估規(guī)則中安全評估的重點內(nèi)容之一就是“正當性”、“必要性”，以及《個人信息保護法》第五十五條設置了個人信息保護影響評估制度，評估的一個重要內(nèi)容也是正當性、合理性。所以，不能用收集、使用環(huán)節(jié)的合理、相關性，去解釋38條出境環(huán)節(jié)的合理、相關性。

　　其次，《個人信息保護法》確立了一套“需要等級”，“必需”＞“需要”。例如第13條要求的“必需”是最強的，因此可以不經(jīng)同意（例如跨境電商）；但是，《網(wǎng)絡安全法》37條和《個人信息保護法》38條都沒有用“必需”，只是說“需要”（可以是業(yè)務上合理需要，例如全球聯(lián)保；也可以技術上的合理需要，例如國內(nèi)沒有替代技術），因此才有39條的單獨同意。

　　最后，對“需要”的判斷不是企業(yè)一廂情愿的“單方價值判斷”（例如為了節(jié)約成本、境外集團不放權等），而應當從用戶、監(jiān)管的視角來客觀評價“需要”的合理性，進而滿足“確（實）需（要）”，否則這套制度的價值將蕩然無存。

　　問題五：“本地化”有依據(jù)嗎？

　　不同于2017版、2019版，2021版全篇沒提“應當在境內(nèi)存儲”，是不是說就沒有“本地化”的要求了？事實上，這僅僅是個立法技術問題。

　　回到《個人信息保護法》第40條的條文結構，即大前提是“關鍵信息基礎設施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者”，滿足這個大前提后導致兩個法律后果，即應當“存儲在境內(nèi)”和觸發(fā)“出境安全評估”。

　　在2021版發(fā)布前，至于“國家網(wǎng)信部門規(guī)定數(shù)量”，可能有多個參考維度，包括2017版、《互聯(lián)網(wǎng)個人信息安全保護指南》等。2021版發(fā)布后，這個數(shù)量實質(zhì)上比較明確了，且與已經(jīng)生效的《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》基本一致。

　　但是，有人認為2021版第4條的數(shù)據(jù)僅是《個人信息保護法》第40條后半句“出境安全評估”觸發(fā)的參照標準，不能套用到前半句應當“存儲在境內(nèi)”。匯業(yè)黃春林律師團隊認為，這種理解實質(zhì)上是人為割裂了數(shù)據(jù)跨境流動安全管理制度的“本地化”和“出境安全評估”的“一體兩面”，這兩點實際上是同一個立法目的，一個有機的、完整的制度整體，不能割裂開來。我們也很難理解，網(wǎng)信辦會再出一個辦法叫《數(shù)據(jù)境內(nèi)存儲辦法》來單獨規(guī)定應當境內(nèi)存儲的“規(guī)定數(shù)量”。

　　問題六：如何做“單獨同意”？

　　“明示同意”還沒完全搞明白，《個人信息保護法》規(guī)定的這個“單獨同意”，導致整個數(shù)據(jù)合規(guī)圈 “花樣百出”、“雞飛狗跳”，這樣形容一點都不為過，要不各位看官等11月1日后看各大廠的個保規(guī)則和交互界面就明白了。

　　首先，“同意”和“單獨同意”是平行關系還是包含關系，各方爭論激烈，似乎都有道理，但我個人認為這個是“語文作業(yè)”，最多也就算個“數(shù)學作業(yè)”，認為是平行關系的可以去補補課。哦對，學科教育“雙減”了，沒地方。

　　其次，單獨同意怎么搞？坦誠的說，這個問題我覺得要開賬單，這里僅表一二：

　　（1）5種單獨同意可以歸納為兩類：敏感度可能提高（T26、29），需要增強同意；處理者可能發(fā)生轉(zhuǎn)移（T23、25、39），需要個人自決。

　?。?）收集敏感個人信息，主要無外有兩種情況：一種是用戶自己主動填寫、提交、口述、配合等，這當然是單獨同意了；另一種系統(tǒng)權限自動采集，現(xiàn)在開啟系統(tǒng)權限都有彈框授權、撤回授權和狀態(tài)提示，當然也滿足單獨同意了。其他的一些特殊的小場景，不是單獨同意的問題，是你連有效的同意都沒做到問題。

　?。?）極少企業(yè)有純粹的公開或?qū)ν馓峁﹤€人信息的場景（畢竟數(shù)據(jù)是企業(yè)的競爭力和生命線，誰愿意對外提供?。?，例如把個人信息“賣”或“贈”給接收方（“不用還回來”，現(xiàn)在很多風控業(yè)務也僅僅是“通道模式”）；大多數(shù)情況下是委托處理（“要還回來的”）或者“合同必需”的提供（例如物流、支付等）或“法定義務”的提供（例如不良申報）。目前真正意義的對外提供，最多的其實是關聯(lián)公司之間的提供，嚴格意義來說也是對外提供，只不過（非法利用、泄露或被發(fā)現(xiàn)的）風險相對可控。

　?。?）跨境提供其實才是“單獨同意”的主戰(zhàn)場，因為大量外資企業(yè)存在（用戶或員工）個人信息跨境提供的情況。這種情況怎么做落地？說實話，由于業(yè)務復雜性、系統(tǒng)多樣性以及各公司的管理架構和合規(guī)文化差異較大，很難有絕對合規(guī)、放之四海而皆準的落地做法，只能根據(jù)各公司的實際情況單獨討論（說人話就是要開賬單），并分步推進合規(guī)建設，不斷探索風險與成本的平衡點。

　　此外，“單獨同意”絕對不是簡單的增加一個勾選框或彈窗那么簡單，是必選嗎？用戶不同意怎么辦？用戶只同意部分數(shù)據(jù)出境可以嗎？數(shù)據(jù)庫表是不是要加字段？系統(tǒng)怎么改造？這些問題都要配套解決。SayNO，誰不會？

　　最后一點，整個行業(yè)實踐及用戶習慣，需要一個養(yǎng)成過程，當年我們提出來必須彈窗權限、主動勾選隱私政策的時候，業(yè)務和技術的不也跳出來咆哮，這樣會搞死“用戶體驗”嗎？

　　問題七：“標準合同”不需要了？

　　2021版第9條“怎么還在教我們做合同”？《個人信息保護法》不是說“按照國家網(wǎng)信部門制定的標準合同”簽署嗎？那么是不是意味著“標準合同”跳票了呢？

　　不是的。不管采取《個人信息保護法》第38條的哪種路徑出境，都需要與接收方簽訂合同（參考第21、23條）。只不過，如果按照第38條第3款路徑出境的，需要簽“按照國家網(wǎng)信部門制定的標準合同”；而如果第38條第1款路徑（安全評估）出境需要簽訂的合同，可以不用標準合同，但是內(nèi)容需要涵蓋2021版第9條規(guī)定的內(nèi)容。

　　這也就是為什么，我們沒有等國家的法定標準合同出來，已經(jīng)幫很多企業(yè)草擬非標版數(shù)據(jù)出境協(xié)議先用起來滿足形式合規(guī)要求。相比較于2019版對合同內(nèi)容的各方責任的詳細規(guī)定，2021版規(guī)定更加原則，但增加了“具有約束力且可執(zhí)行的爭議解決條款”等內(nèi)容，匯業(yè)黃春林律師團隊建議約定為境內(nèi)法院管轄或香港仲裁。

　　問題八：現(xiàn)在要做什么？

　　我們已經(jīng)完成的外企數(shù)據(jù)合規(guī)項目中，在提示政策大趨勢后，大多數(shù)都是把數(shù)據(jù)跨境合規(guī)模塊放在第二階段的，原因是當時網(wǎng)信辦細則還沒出來，避免重復合規(guī)建設。目前，2021版基本成型，政策路徑相對清晰，建議符合“落入門檻”的企業(yè)盡快推進數(shù)據(jù)跨境合規(guī)模塊，以避免辦法生效后要么“停業(yè)”要么“違法”的艱難抉擇。匯業(yè)黃春林律師團隊建議，企業(yè)應當著手準備包括但不限于工作：

　?。?）組建項目團隊，調(diào)研數(shù)據(jù)出境情況（第一階段已經(jīng)完成的除外）；

　　（2）項目宣導，以及境外集團、供應商溝通、討論；

　?。?）必要的系統(tǒng)改造、改進機制（例如系統(tǒng)遷移、本地備份、字段限制與脫敏、訪問控制等等）方案評審、解釋及談判等；

　　（4）制定數(shù)據(jù)出境協(xié)議，審核涉及數(shù)據(jù)出境相關產(chǎn)品或服務的個保規(guī)則/條款以及交互界面文案（第一階段已經(jīng)完成的除外）；

　?。?）結合個人信息保護影響評估制度，制定數(shù)據(jù)出境風險自評估制度及機制，包括但不限于評估范圍、評估組織、評估流程、評估指標、評估標準、評估申報、標準模板及配套表格等；

　　（6）關鍵入境地法律政策環(huán)境及安全環(huán)境調(diào)研；

　?。?）根據(jù)公司資源情況，選擇全域或關鍵模塊（例如CRM系統(tǒng)）開展數(shù)據(jù)出境風險自評估，并撰寫自評估報告（初稿）備用；

　?。?）持續(xù)跟進政策及行業(yè)實踐變化；等等。