更多類型的數(shù)據(jù)被納入跨境流動監(jiān)管

　　在數(shù)安條例公布之前，《網(wǎng)絡安全法》《個人信息保護法》《數(shù)據(jù)安全法》對數(shù)據(jù)跨境流動僅僅是對個人信息和重要數(shù)據(jù)這兩個類型來說，但數(shù)安條例將數(shù)據(jù)跨境流動監(jiān)管的數(shù)據(jù)對象，做了較大擴展。如下表所示：

　　《網(wǎng)絡安全法》

　　第三十七條 關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數(shù)據(jù)應當在境內存儲。因業(yè)務需要，確需向境外提供的，應當按照國家網(wǎng)信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。

　　《個人信息保護法》

　　個人信息

　　《數(shù)據(jù)安全法》

　　第三十一條　關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數(shù)據(jù)的出境安全管理，適用《中華人民共和國網(wǎng)絡安全法》的規(guī)定；其他數(shù)據(jù)處理者在中華人民共和國境內運營中收集和產生的重要數(shù)據(jù)的出境安全管理辦法，由國家網(wǎng)信部門會同國務院有關部門制定。

　　數(shù)安條例

　　第三十五條 數(shù)據(jù)處理者因業(yè)務等需要，確需向中華人民共和國境外提供數(shù)據(jù)的，應當具備下列條件之一：

　?。ㄒ唬┩ㄟ^國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評估；

　?。ǘ?shù)據(jù)處理者和數(shù)據(jù)接收方均通過國家網(wǎng)信部門認定的專業(yè)機構進行的個人信息保護認證；

　?。ㄈ┌凑諊揖W(wǎng)信部門制定的關于標準合同的規(guī)定與境外數(shù)據(jù)接收方訂立合同，約定雙方權利和義務；

　?。ㄋ模┓?、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。

　　網(wǎng)絡數(shù)據(jù)（簡稱數(shù)據(jù)）是指任何以電子方式對信息的記錄。

　　所以，實際上數(shù)安條例對三個上位法對跨境監(jiān)管的范圍，做了比較大的擴展——也就是不再只是針對個人信息和重要數(shù)據(jù)，還包括其他非個人信息和非重要數(shù)據(jù)的數(shù)據(jù)。

　　在這樣的擴展下，相應地制度就要做變革，至少有兩個方面：一是數(shù)據(jù)出境安全評估制度，要包括對“非個人信息和非重要數(shù)據(jù)的數(shù)據(jù)”的安全評估設計。因為目前的安全評估草案【國家互聯(lián)網(wǎng)信息辦公室關于《數(shù)據(jù)出境安全評估辦法（征求意見稿）》公開征求意見的通知】中第二條明確規(guī)定：“數(shù)據(jù)處理者向境外提供在中華人民共和國境內運營中收集和產生的重要數(shù)據(jù)和依法應當進行安全評估的個人信息，應當按照本辦法的規(guī)定進行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定”。因此，目前的制度設計無法涵蓋“非個人信息和非重要數(shù)據(jù)的數(shù)據(jù)”。

　　二是標準合同覆蓋的范圍需要擴展。最早出現(xiàn)標準合同的規(guī)定出現(xiàn)在《個人信息保護法》，針對的對象自然是個人信息。現(xiàn)在標準合同需要覆蓋重要數(shù)據(jù)，還需要覆蓋“非個人信息和非重要數(shù)據(jù)的數(shù)據(jù)”。

　　這樣的擴展影響非常重大，比如向境外證監(jiān)部門提供一個財務報表數(shù)據(jù)，不屬于個人信息，假設也不屬于重要數(shù)據(jù)，那么也需要根據(jù)數(shù)安條例第35條的規(guī)定來執(zhí)行。類似的例子還有很多。

　　個人信息出境即“松了”也“嚴了”

　　根據(jù)數(shù)安條例，可以得出至少三個情形是豁免監(jiān)管的。具體如下：

　　說明

　　具體實例

　　第二條 自然人因個人或者家庭事務開展數(shù)據(jù)處理活動，不適用本條例。

　　按照這條規(guī)定，個人自主、直接將自身的個人信息、家庭成員、朋友個人信息向境外提供，其個人的提供行為，不受本條例管轄。

　　這點在我國《個人信息保護法》中的規(guī)定是一致的，也與GDPR規(guī)定一致。

　　GDPR在Recital 18中明確提出：本條例不適用于自然人在純粹的個人或家庭活動過程中對個人數(shù)據(jù)的處理，只要這些處理與專業(yè)或商業(yè)活動沒有關系。（This Regulation does not apply to the processing of personal data by a natural person in the course of a purely personal or household activity and thus with no connection to a professional or commercial activity.）

　　個人自主登陸境外電商網(wǎng)站購買家用產品，并在境外電商網(wǎng)站填寫其個人信息，包括姓名、聯(lián)系方式、收貨地址等。

　　第三十五條  數(shù)據(jù)處理者為訂立、履行個人作為一方當事人的合同所必需向境外提供當事人個人信息的，或者為了保護個人生命健康和財產安全而必須向境外提供個人信息的除外。

　　按照《個人信息保護法》第十三條規(guī)定，“為訂立、履行個人作為一方當事人的合同”而處理個人信息（包括對境外提供個人信息），和基于個人同意的個人信息處理，是不同的合法性事由。

　　同樣，“為了保護個人生命健康和財產安全而必須向境外提供個人信息”，與《個人信息保護法》中“緊急情況下為保護自然人的生命健康和財產安全所必需”相近，但數(shù)安條例的表述中沒有“緊急情況下”。這點是否意味著數(shù)安條例做了些許放寬？

　　個人通過平臺預訂境外的酒店或境外航空公司的機票，平臺將個人的預訂信息傳輸至境外的酒店和航空公司。

　　第三十八條 中華人民共和國締結或者參加的國際條約、協(xié)定對向中華人民共和國境外提供個人信息的條件等有規(guī)定的，可以按照其規(guī)定執(zhí)行。

　　這樣的條款也出現(xiàn)在了《個人信息保護法》之中——“中華人民共和國締結或者參加的國際條約、協(xié)定對向中華人民共和國境外提供個人信息的條件等有規(guī)定的，可以按照其規(guī)定執(zhí)行?！?/p>

　　考慮到中國正在申請加入CPTPP和DEPA【見：數(shù)字貿易協(xié)定 | DEPA和CPTPP給國內數(shù)據(jù)本地化和跨境流動管控預留的“自由度”】，那是否意味著只要中國正式加入了這些經貿協(xié)定，國內法律法規(guī)對個人信息的跨境監(jiān)管就可以“豁免”？

　　當然，這一點不僅需要網(wǎng)信辦，還需要全國人大做出解釋。

　　其實我們仔細對比《個人信息保護法》第三十八條的規(guī)定，和數(shù)安條例第三十五條的規(guī)定，會發(fā)現(xiàn)比較大的區(qū)別。

　　《個人信息保護法》

　　第三十八條 個人信息處理者因業(yè)務等需要，確需向中華人民共和國境外提供個人信息的，應當具備下列條件之一：

　?。ㄒ唬┮勒毡痉ǖ谒氖畻l的規(guī)定通過國家網(wǎng)信部門組織的安全評估；

　?。ǘ┌凑諊揖W(wǎng)信部門的規(guī)定經專業(yè)機構進行個人信息保護認證；

　?。ㄈ┌凑諊揖W(wǎng)信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務；

　?。ㄋ模┓?、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。

　　中華人民共和國締結或者參加的國際條約、協(xié)定對向中華人民共和國境外提供個人信息的條件等有規(guī)定的，可以按照其規(guī)定執(zhí)行。

　　個人信息處理者應當采取必要措施，保障境外接收方處理個人信息的活動達到本法規(guī)定的個人信息保護標準。

　　《數(shù)安條例》

　　第三十五條 數(shù)據(jù)處理者因業(yè)務等需要，確需向中華人民共和國境外提供數(shù)據(jù)的，應當具備下列條件之一：

　?。ㄒ唬┩ㄟ^國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評估；

　　（二）數(shù)據(jù)處理者和數(shù)據(jù)接收方均通過國家網(wǎng)信部門認定的專業(yè)機構進行的個人信息保護認證；

　?。ㄈ┌凑諊揖W(wǎng)信部門制定的關于標準合同的規(guī)定與境外數(shù)據(jù)接收方訂立合同，約定雙方權利和義務；

　?。ㄋ模┓伞⑿姓ㄒ?guī)或者國家網(wǎng)信部門規(guī)定的其他條件。

　　數(shù)據(jù)處理者為訂立、履行個人作為一方當事人的合同所必需向境外提供當事人個人信息的，或者為了保護個人生命健康和財產安全而必須向境外提供個人信息的除外。

　　《個人信息保護法》并沒有豁免“為訂立、履行個人作為一方當事人的合同所必需向境外提供當事人個人信息的，或者為了保護個人生命健康和財產安全而必須向境外提供個人信息”這兩個場景中的安全評估或認證或合同的義務。但是數(shù)安條例第三十五條卻對此做了豁免。因此，可以說數(shù)安條例“松了”

　　于此同時，數(shù)安條例相比《個人信息保護法》更加嚴格了。這方面體現(xiàn)在對個人同意這方面。

　　《個人信息保護法》第十三條規(guī)定——“依照本法其他有關規(guī)定，處理個人信息應當取得個人同意，但是有前款第二項至第七項規(guī)定情形的，不需取得個人同意”。這句話的意思是：《個人信息保護法》第十三條之后各個條文中，如果出現(xiàn)需要征得個人同意，或者個人單獨同意的，只要存在《個人信息保護法》第十三條第二項至第七項規(guī)定情形時，都是可以豁免同意的。

　　但數(shù)安條例第三十六條明確“數(shù)據(jù)處理者向中華人民共和國境外提供個人信息的，應當向個人告知境外數(shù)據(jù)接收方的名稱、聯(lián)系方式、處理目的、處理方式、個人信息的種類以及個人向境外數(shù)據(jù)接收方行使個人信息權利的方式等事項，并取得個人的單獨同意”。就好比說，個人通過平臺預訂境外的酒店或境外航空公司的機票，平臺將個人的預訂信息傳輸至境外的酒店和航空公司。這個例子中，平臺將個人信息傳輸至境外酒店和航空公司，本身就是履行預訂服務合同中的必要，進一步說，平臺履行整個預訂服務所涉及的各種個人信息處理，包括對境外提供個人信息，合法性基礎都不是個人的同意。因此將個人信息傳輸至境外酒店和航空公司這個處理動作，也都不需要征得個人的同意。

　　這時候問題來了：這時候是否可以認為《個人信息保護法》第十三條中的表述，在法律效力方面是否能夠優(yōu)于數(shù)安法的這條規(guī)定？

　　數(shù)據(jù)處理者向境外提供數(shù)據(jù)應當履行的義務

　　對于數(shù)安條例第三十九條和第四十條的規(guī)定，按照個人信息、重要數(shù)據(jù)、非個人信息且非重要數(shù)據(jù)的數(shù)據(jù)，來歸歸類。

　　非個人信息且非重要數(shù)據(jù)的數(shù)據(jù)

　　采取合同等有效措施監(jiān)督數(shù)據(jù)接收方按照雙方約定的目的、范圍、方式使用數(shù)據(jù)，履行數(shù)據(jù)安全保護義務，保證數(shù)據(jù)安全；

　　接受和處理數(shù)據(jù)出境所涉及的用戶投訴；

　　數(shù)據(jù)出境對個人、組織合法權益或者公共利益造成損害的，數(shù)據(jù)處理者應當依法承擔責任；

　　國家網(wǎng)信部門認定不得出境的，數(shù)據(jù)處理者應當停止數(shù)據(jù)出境，并采取有效措施對已出境數(shù)據(jù)的安全予以補救；

　　非經中華人民共和國主管機關批準，境內的個人、組織不得向外國司法或者執(zhí)法機構提供存儲于中華人民共和國境內的數(shù)據(jù)。

　　個人信息

　　同上；以及如下：

　　不得超出網(wǎng)信部門安全評估時明確的出境目的、范圍、方式和數(shù)據(jù)類型、規(guī)模等向境外提供個人信息和重要數(shù)據(jù)

　　不得超出報送網(wǎng)信部門的個人信息保護影響評估報告中明確的目的、范圍、方式和數(shù)據(jù)類型、規(guī)模等向境外提供個人信息；

　　國家網(wǎng)信部門會同國務院有關部門核驗向境外提供個人信息和重要數(shù)據(jù)的類型、范圍時，數(shù)據(jù)處理者應當以明文、可讀方式予以展示；

　　個人信息出境后確需再轉移的，應當事先與個人約定再轉移的條件，并明確數(shù)據(jù)接收方履行的安全保護義務。

　　數(shù)安條例第四十條“在每年1月31日前編制數(shù)據(jù)出境安全報告，向設區(qū)的市級網(wǎng)信部門報告上一年度以下數(shù)據(jù)出境情況”

　　重要數(shù)據(jù)

　　同“非個人信息非重要數(shù)據(jù)的數(shù)據(jù)”，以及如下：

　　不得超出網(wǎng)信部門安全評估時明確的出境目的、范圍、方式和數(shù)據(jù)類型、規(guī)模等向境外提供個人信息和重要數(shù)據(jù)

　　國家網(wǎng)信部門會同國務院有關部門核驗向境外提供個人信息和重要數(shù)據(jù)的類型、范圍時，數(shù)據(jù)處理者應當以明文、可讀方式予以展示；

　　數(shù)安條例第四十條“在每年1月31日前編制數(shù)據(jù)出境安全報告，向設區(qū)的市級網(wǎng)信部門報告上一年度以下數(shù)據(jù)出境情況”

　　這里面很有意思的一點是：在第三十九條中，“不得超出網(wǎng)信部門安全評估時明確的出境目的、范圍、方式和數(shù)據(jù)類型、規(guī)模等向境外提供個人信息和重要數(shù)據(jù)”，似乎又把安全評估局限于個人信息和重要數(shù)據(jù)，而非一開始數(shù)安條例第三十五條要求的，需要覆蓋“非個人信息且非重要數(shù)據(jù)的數(shù)據(jù)”。

　　對于數(shù)據(jù)跨境安全網(wǎng)關（數(shù)安條例第四十一條），就不做分析了。第四篇文章到此打住。（完）