一、 出臺背景

　　隨著全球化與數字經濟的發(fā)展，數據作為具有極大經濟價值的生產要素，在國際間的流動越來越頻繁，而且數量呈逐年增長趨勢。然而，數據跨境的無序流動會給數據主體和數據安全帶來風險，還關乎國家安全和社會公共利益。為了防范數據跨境流動中存在的各種風險，我國一直積極推動相關立法規(guī)范數據的跨境流動，例如《汽車數據安全管理若干規(guī)定（試行）》和《網絡安全審查辦法（修訂草案征求意見稿）》。

　　2021年10月29日，國家互聯(lián)網信息辦公室出臺了《數據出境安全評估辦法（征求意見稿）》（以下簡稱評估辦法），全面和系統(tǒng)地提出了我國數據出境“安檢”的具體要求。

　　實際上，國家互聯(lián)網信息辦公室分別于2017年和2019年就數據出境安全評估出臺過兩個辦法的征求意見稿，即2017年4月11日的《個人信息和重要數據出境安全評估辦法（征求意見稿）》（“以下簡稱17年版評估辦法”）和2019年6月13日的《個人信息出境安全評估辦法（征求意見稿）》（“以下簡稱19年版評估辦法”）。本次公布的評估辦法一是落實上位法的數據出境管理規(guī)定和要求；二是保障數字經濟健康有序發(fā)展；三是應對數據跨境傳輸和境外匯聚的安全風險。隨著上位法《數據安全法》（以下簡稱數安法）和《個人信息保護法》（以下簡稱個保法）的相繼實施，筆者認為這次評估辦法將在征求意見之后很快正式出臺。

　　二、 適用范圍

　　雖然《網絡安全法》（以下簡稱網安法）、數安法、個保法均從不同角度提到過數據出境需要進行安全評估的情形，而本次發(fā)布的評估辦法基于上位法的要求完整地規(guī)定了安全評估的具體適用范圍。

　　首先，評估辦法第二條將“數據出境”定義為“向境外提供”。在實踐中，“提供”可以有多種呈現情形。通常理解的情形是數據處理者將數據轉移至中國境外的地方。還有一種情形是數據并未轉移至境外，而依舊存儲在境內，不過數據處理者將境內數據庫的訪問登錄信息或接口提供給境外主體，以便后者可以在境外遠程訪問查看（“以下簡稱遠程訪問情形”）。例如，有些外資企業(yè)的信息技術團隊部署在中國境外，其通過互聯(lián)網訪問并處理境內服務器上存儲的數據來提供遠程技術服務。鑒于遠程訪問情形也會對境內存儲的數據構成一定風險威脅，從數據跨境流動安全管理的角度來看，其理論上也屬于“數據出境”。

　　其次，評估辦法第二條明確在出境數據涉及重要數據的情況下，安全評估是強制性的。需要注意的是網信辦基于數安法的授權，明確了重要數據需要進行安全評估的范圍包括關鍵信息基礎設施的運行者和其他數據處理者。網安法第三十七條明確要求關鍵信息基礎設施的運營者向境外提供重要數據需要進行安全評估。數安法第三十一條重申了以上立場，并在此基礎上將其他數據處理者向境外提供重要數據所適用的具體出境安全管理辦法交“由國家網信部門會同國務院有關部門制定”。本評估辦法第二條正是呼應了數安法第三十一條，將其他數據處理者向境外提供重要數據的情形也納入安全評估范圍。

　　需要指出的是，超過一定量的個人信息可能會被各部門各地區(qū)界定為重要數據，納入重要數據目錄，應當按照本辦法關于重要數據的要求管理，如：《汽車數據安全管理若干規(guī)定（試行）》第三條給出了重要數據的定義，其中明確指出“涉及個人信息主體超過10萬人的個人信息”屬于重要數據，依照本評估辦法的要求，出境數據中包含重要數據的，應申報安全評估。

　　最后，結合評估辦法第四條，我們可以看到在出境數據涉及個人信息的情況下，達到一定要求才需進行安全評估。該要求可以分為三大類別：主體條件、客體條件及其他。主體條件是：關鍵信息基礎設施的運營者，或處理個人信息達到一百萬人的個人信息處理者?？腕w條件是：累計向境外提供超過十萬人以上個人信息，或累計向境外提供超過一萬人以上敏感個人信息。其他是：國家網信部門規(guī)定的其他需要安全評估的情形。

　　為了方便讀者理解，本文通過如下圖示說明數據出境安全評估的適用范圍：

　　圖1-數據出境安全評估的適用范圍

　　三、 評估原則

　　評估辦法第三條明確了數據出境總體評估原則：事前評估和持續(xù)監(jiān)督相結合、風險自評估與安全評估相結合，保障數據依法有序自由流動。

　　“事前評估”即數據在安全評估通過之前不得出境?！俺掷m(xù)監(jiān)督”則體現在評估辦法第十二條和第十六條，即對已經通過評估的數據處理活動在如下三種情形下需要進行再評估：1）兩年期滿；2）情勢變化；3）違規(guī)處理。

　　“風險自評估”與“安全評估”的內容貫穿評估辦法第五條至第十一條，具體解讀詳見下文。

　　四、 風險自評估和安全評估

　　1. 評估流程

　　評估辦法第五條明確“數據處理者在向境外提供數據前，應事先開展數據出境風險自評估”，該表述中并未強調僅在適用安全評估的情況下才需要事先開展風險自評估。因此理論上，風險自評估適用于所有數據出境情形，無論是否涉及重要數據或上文所述滿足一定條件的個人信息。

　　評估辦法第六、七、十、十一條規(guī)定了安全評估的具體流程。為了方便讀者理解，本文通過如下圖示說明安全評估的工作流程，其中也包括個保法涉及的其他出境管理制度。

　　圖2-評估流程

　　需特別說明的是本評估辦法明確了國家網信部門對于數據出境安全評估的主導地位。在評估辦法第十條中首次提到“專門機構”，筆者認為此機構可能為國家網信部門指定的特定評估機構。

　　2. 評估事項及簡析

　　評估辦法第五條和第八條分別列舉風險自評估和安全評估的重點事項，兩者既有區(qū)別也有一致。為了方便讀者理解，下文通過如下表進行對比，并做簡要分析。

　　表1-風險自評估與安全評估事項對比

　　3. 關于涉及合同的幾個問題

　　如以上表格所示，評估辦法第五條和第八條均要求評估數據處理者與境外接收方訂立的合同。不過，這里提到的合同與個保法第三十八條第（三）款中提到的“標準合同”不同。兩者區(qū)別主要包括如下幾個方面：1）前者是安全評估的申報資料之一，而后者是與安全評估并列的個人信息出境的安全管理制度之一，2）前者的主要條款由數據處理者與境外接收方在滿足安全評估要求的前提下自由約定，而后者主要條款由國家網信部門制定，3）前者屬于事前監(jiān)管的范疇，后者屬于事后監(jiān)管的范疇。

　　合同的作用主要在爭議解決程序中體現，即只有在爭議解決程序中被認定有效、有約束力、最終可執(zhí)行才能達到合同訂立的目的。然而，如果在實踐中安全評估未通過，數據處理者可能會面臨違反已經生效且有約束力合同的風險。筆者的解決方案是將安全評估未通過情形與合同解除條款相結合，或者約定合同的生效條件為安全評估通過情形。另外，因為境外接收方在中國境內很可能沒有資產，且中國法院判決會面臨在境外無法得到承認和執(zhí)行的風險，因此建議在合同制定過程中要特別注意爭議解決條款的制定，以便滿足可執(zhí)行性的要求。

　　五、 結語

　　相較于17年和19年兩版評估辦法，本評估辦法所建立的管理體系更加成熟和完備，無論是在概念還是在制度建設方面都與上位法及其他相關數據跨境流動安全管理規(guī)定形成良好的銜接。隨著“重要數據”等概念的逐漸明晰，以及其他配套法規(guī)政策文件的不斷出臺，本評估辦法的出臺標志我國在搭建數據出境安全管理制度的工作中邁出了重要且堅實的一步。