北師大學者解讀《個人信息出境安全評估辦法（徵求意見稿）》

今日全球正擁抱新一輪科技革命浪潮，層出不窮的新技術、新應用更是依賴海量個人信息的挖掘收集、處理使用乃至跨境傳輸。個人信息已成為機遇和福祉的新源泉，也成為風險和威脅的新焦點。面對日趨上升的數據跨境流動業務需求和跨國情形下更為複雜的安全環境，建構有效的風險管理機制確保諸多數據跨境場景中的個人信息安全，關乎網絡空間主權、國家安全、社會公共利益和公民、法人的合法權益，也成為《個人信息出境安全評估辦法（徵求意見稿）》（以下簡稱：《辦法》）的制度追求。

總體而言，為促進個人信息的依法有序自由流動，《辦法》基於《網絡安全法》有關網絡安全和網絡數據安全的總體要求，確立了以“經安全評估後出境”為主幹制度的個人信息跨境規範框架，對於這一制度設計的準確理解有助於釐清當下外界存在的若干誤讀。

1、《辦法》的適用範圍並不是針對網民訪問、註冊或登陸境外網站等純個人行為，而是明確指向於業務性活動，也即“網絡運營者向境外提供在中國境內運營中收集的個人信息”這一特定的場景。

因此，從適用主體而言，《辦法》主要針對的是網絡運營者，其範圍涵蓋網絡的所有者、管理者和網絡服務提供者，目前最常見的就是各類網站和App的運營商。而從適用對象而言，《辦法》針對的是網站和App等在先前的網絡運營中收集的、將要向境外傳輸的個人信息。

2、《辦法》所要求的個人信息出境前申報安全評估，並不是設定個人信息出境的行政許可，而是行使風險管理維度的網絡安全執法權力。眾所周知，行政許可是指國家行政機關對不特定的一般人依法負有不作為義務的事項，在特定條件下對特定對象解除禁令，允許他作為的行政活動，包括普通許可、特許、認可、核准以及登記等。換言之，如果在個人信息出境場景中談及行政許可，其邏輯前提應當是國家原則上禁止個人信息出境，只有符合特定資質的主體才能獲准向境外提供，但事實上在我國現行法律體系中完全不存在一般性禁止出境規範和特殊的出境業務准入資質要求，《辦法》也沒有基於網絡運營者自身的特定主體類型設定禁止性要求。

需要指出的是，網絡運營者本身應當採取技術措施和其他必要措施，確保其收集的個人信息在向境外提供過程中的安全，防止信息泄露、毀損、丟失等，這屬於履行《網絡安全法》第42條強調的法定義務的內容，出境前申報安全評估則是《辦法》提供的一項具體的合規工具。而國家主管部門在“經安全評估認定個人信息出境可能影響國家安全、損害公共利益，或者難以有效保障個人信息安全的”場合中要求不得出境，這屬於行使《網絡安全法》第64條賦予的網絡安全執法權力，同時也符合《網絡安全法》第5條有關國家採取措施處置來源於中華人民共和國境內外的網絡安全風險和威脅的立法要求。

3、《辦法》所引入的個人信息出境安全評估制度並不是一刀切的強監管措施，而是旨在建立一套着眼風險應對的、彈性動態的流程化管理框架。《辦法》規定的安全評估內容從橫向看既強調國家有關法律法規和政策規定的符合性，也強調保障個人信息主體合法權益的充分性，體現了個人信息出境風險研判範圍的全面性。從縱向看既強調個人信息出境前網絡運營者或接收者的業務歷史以及網絡運營者獲得個人信息是否合法、正當，也強調對於合同能否得到有效執行的預判，結合後續的重新評估義務（第3條）、出境記錄保存義務（第8條）、年度報告與安全事件報告義務（第9條）以及定期執法檢查要求（第10條）和舉報制度（第12條）等，反映了個人信息出境風險事前、事中與事後管理處置的全流程覆蓋。

為此，就安全評估的制度性要素而言，一方面，《辦法》注重發揮“個人信息出境安全風險及安全保障措施分析報告”的工具性價值，要求網絡運營者披露自身和境外接收者的基本狀況、個人信息出境計劃、風險分析以及安保措施等，通過這一合規風控工具引導督促網絡運營者落實對於個人信息跨境流動有關風險的預先研判以及安全保障措施體系的事先設計，最大程度提高網絡運營者和境外接收方等相關主體的風險應對和處置能力。

另一方面，《辦法》尤其注重發揮“網絡運營者與接收者簽訂的合同”的工具性價值，旨在通過個人信息跨境流動相關主體之間權利義務的結構性分配，引導督促網絡運營者和境外接收方等主體主動、自覺提高技術安全水平、權利保護水平以及業務管理水平，為個人信息主體維權提供切實可行的救濟途徑。就此，《辦法》對於該合同的內容要素（第13條）、網絡運營者的責任和義務（第14條）、接收者的責任和義務（第15條）以及個人信息出境後轉移的條件（第16條）等方面做出了明確的提示性規定，提升了合規風控的確定性和可操作性，能在實務層面產生多重積極價值：

首先，《辦法》對於該合同的內容要點做出了重點提示，但不影響合同雙方也即網絡運營者和境外接收者基於合同自由，結合特定業務場景達成符合其個性化業務訴求的具體合同條款。反觀歐盟《一般數據保護條例》中有關個人數據跨境流動的“標準合同條款”機制，各當事方對於該條款的文字內容基本無權修改，在實踐中多發與具體業務場景無法完全兼容的情況，而《辦法》的彈性設計相對更具可行性。

此外，《辦法》有關合同的制度規定具有全口徑適用性，既可用於網絡運營者和境外接收者分屬不同主體的場合，也可用於兩者同屬一個主體（例如同一跨國集團公司）的場合。反觀歐盟《一般數據保護條例》在個人數據跨境問題上引入的“約束性公司規則”機制，其僅限於同一跨國公司內部的數據跨境傳輸，顯然《辦法》的制度設計能夠覆蓋更多的業務場景。

並且，《辦法》引入的合同管理機制，在制度落實和跨國協調層面可以獲得更廣泛的國際接受度。《辦法》通過引導網絡運營者和境外接收者達成的雙向合意，既為中國法的合規遵從、網絡運營者對接收方的約束以及個人信息主體的權利救濟提供了紮實可靠的法律依據，也能夠有效避免歐盟《一般數據保護條例》的域外管轄和美國《雲法案》的長臂管轄等制度面對的管轄衝突和執法乏力的現實困境。

整體而言，相比較於常見的域外相關立法例，《辦法》建構的個人信息出境安全評估制度以全面的風險管理為基本的制度邏輯，其側重於事先安全評估、以合同管理機制為中心的跨境流動規範框架旨在最大限度避免可能的數據業務阻礙情形，進而更好地實現具體業務場景中安全與發展的動態平衡關係，反映了國家主管機關致力打造跨境數據業務友好型治理機制的總體思路與努力方向。

（文丨北京師範大學網絡法治國際中心執行主任吳沈括）