《網絡數據安全管理條例（徵求意見稿）》系列解讀之數據跨境篇_風聞

走出去智庫觀察

國家互聯網信息辦公室於11月14日發佈的《網絡數據安全管理條例（徵求意見稿）》（簡稱“《條例》”），已滿一個月的徵求意見期後即將施行。《條例》第五章——數據跨境安全管理對跨境數據安全提出具體要求。

走出去智庫（CGGT）特約法律專家、金杜律師事務所合夥人寧宣鳳指出，本次《條例》在跨境傳輸規則方面的細化和完善體現了對國家公共利益、個人信息主體利益與企業利益之間的平衡，其一方面通過數據處理者向境外提供數據的義務要求、年度數據出境安全評估報告等規則強化對數據跨境安全的合規監管，另一方面通過跨境傳輸合法性基礎的豁免、告知同意的豁免等規則為企業在日常業務中的跨境傳輸義務進行適當減輕。

互聯網企業如何做好跨境數據安全合規管理？今天，走出去智庫（CGGT）刊發金杜律師事務所寧宣鳳、吳涵、趙天琦的文章，供關注數據安全的讀者參考。

要 點

CGGT，CHINA GOING GLOBAL THINKTANK

1、《條例》除了對安全評估進行了一定程度的闡釋外，還對數據跨境的其他具體規則進行了明確，其主要內容涵蓋數據跨境傳輸的合法性基礎、個人信息主體告知同意的相關要求、數據出境安全評估的具體場景、數據處理者向境外提供數據的義務要求、年度數據出境安全評估報告、數據跨境安全網關管控等。

2、《個人信息保護法》規定履行由專業機構進行個人信息保護認證義務的主體是個人信息處理者，但《條例》在《個人信息保護法》的基礎之上明確指出“數據處理者和數據接收方”均需通過網信部門認定的專業機構進行的個人信息保護認證。

3、國家對於數據跨境傳輸的監管已經從規則層面逐漸深入至實踐層面，監管可操作性也逐漸提升。雖然目前提及的“數據跨境安全網關”僅用於阻斷非法數據入境，但是我們可以合理地認為，未來不排除國家可能也會利用網關對非法數據出境行為進行同樣的監管。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

文/寧宣鳳 吳涵趙天琦

金杜律師事務所

引言

2021年11月14日下午，國家互聯網信息辦公室（“國家網信辦”），發佈《網絡數據安全管理條例（徵求意見稿）》（“《條例》”）。《條例》以《中華人民共和國網絡安全法》（“《網絡安全法》”）、《中華人民共和國數據安全法》（“《數據安全法》”）和《中華人民共和國個人信息保護法》（“《個人信息保護法》”）等法律法規作為上位法依據，以專章的形式對境內數據跨境傳輸的規則在行政法規層面進行了細化規定，同時也提出了若干項新增的要求。

本文作為團隊就《條例》的規則理解與系列解讀的數據跨境研討篇，將以《條例》第五章為核心，在對比不同法律法規所提出的數據跨境規則的基礎上，整體性梳理國內針對數據跨境傳輸的監管框架，同時從《條例》的立法目的及監管趨勢出發，為企業提供數據跨境傳輸的合規思路，並協助企業做好相應的合規準備，落實相關義務，為企業安全合規地“走出去”打下堅實基礎。

一、《條例》下的數據跨境規定概述

如我們在《<網絡數據安全管理條例（徵求意見稿）>系列解讀之框架篇》中所述，《條例》是一部效力僅次於法律的行政法規，其制定與出台將有助於彌補和完善數據保護監管體系中的細化規則，體現出我國逐漸下沉的監管趨勢。雖然近期發佈的《數據出境安全評估辦法（徵求意見稿）》（“《評估辦法》”）在《網絡安全法》《數據安全法》《個人信息保護法》等法律的基礎上對數據出境的規則進行了細化，但其細化內容主要集中於數據跨境安全評估規則本身。相比之下，《條例》除了對安全評估進行了一定程度的闡釋外，還對數據跨境的其他具體規則進行了明確，其主要內容涵蓋數據跨境傳輸的合法性基礎、個人信息主體告知同意的相關要求、數據出境安全評估的具體場景、數據處理者向境外提供數據的義務要求、年度數據出境安全評估報告、數據跨境安全網關管控等。

《條例》及相關法律法規有關數據跨境的規則概覽如下：

（點擊查看大圖）

應當説明的是，本次《條例》在跨境傳輸規則方面的細化和完善體現了對國家公共利益、個人信息主體利益與企業利益之間的平衡，其一方面通過數據處理者向境外提供數據的義務要求、年度數據出境安全評估報告等規則強化對數據跨境安全的合規監管，另一方面通過跨境傳輸合法性基礎的豁免、告知同意的豁免等規則為企業在日常業務中的跨境傳輸義務進行適當減輕。我們理解，《條例》將全面搭建和完善我國關於數據跨境的規則體系，助力我國企業在全球一體化數字經濟時代浪潮中高速、穩健的發展。

二、《條例》與其他法律法規規定之間的銜接

《網絡安全法》《數據安全法》和《個人信息保護法》作為《條例》的上位法，均對數據的跨境傳輸提出統領性規定。《網絡安全法》針對CIIO在境內收集和產生的個人信息和重要數據提出原則上應遵循本地化要求，並明確對於因業務需要確需向境外提供的情形，應當按規定進行跨境安全評估。《數據安全法》在《網絡安全法》的基礎之上規定除CIIO外的數據處理者所收集和產生的重要數據出境應遵守相關配套規定，目前而言我們理解已經發布的該等配套規定包括《評估辦法》和《條例》。《個人信息保護法》在《網絡安全法》基礎上要求個人信息的出境應當具備網信部門組織的安全評估、專業機構的個人信息保護認證或與境外接收方簽訂標準合同的三種基礎之一，或滿足其他法律法規的規定。

本次《條例》第五章對個人信息和重要數據的出境要求均提出了進一步的細化要求，並在一定程度上與上位法的規定相銜接，但在某些場景下也存在細微差異。詳情如下：

**01、**與《個人信息保護法》關於跨境傳輸合法性基礎規定的銜接

《條例》第三十五條基本延續了《個人信息保護法》第三十八條的規定，要求數據出境應以安全評估、認證或標準合同三者之一作為基礎，但是應當注意的是，《條例》對專業機構認證和單獨同意這兩方面提出了細化要求。

具體而言，《個人信息保護法》規定履行由專業機構進行個人信息保護認證義務的主體是個人信息處理者，但《條例》在《個人信息保護法》的基礎之上明確指出“數據處理者和數據接收方”均需通過網信部門認定的專業機構進行的個人信息保護認證。我們理解，將數據接收方也納入個人信息保護認證的範疇一方面體現了我國對數據安全的強化監管，即數據跨境安全的監管重點不僅在於境內數據處理者，也同樣在於境外的數據接收方，對數據接收方的安全監管是確保數據流動至境外後依然安全可控的重要措施；另一方面，對境外接收方的認證要求也是我國對外輸出數據安全保護標準的重要方式之一，即在國際社會上以互認的方式達成雙邊或多邊合作，確保在安全合法合規的基礎之上推進數據的有序跨境流通。

此外應當説明的是，《條例》第三十五條在《個人信息保護法》第三十八條的基礎之上新增了“數據處理者為訂立、履行個人作為一方當事人的合同所必需向境外提供當事人個人信息”以及“為了保護個人生命健康和財產安全而必須向境外提供個人信息”的兩項例外情形。我們理解，從文理解釋及邏輯解釋出發，該等條款豁免的應當是跨境傳輸的合法性基礎，而非告知同意要求，即在該等例外情形下數據的跨境傳輸不需要以安全評估、認證以及標準合同作為合法性基礎，並不意味着在個人信息跨境傳輸的場景下處理者不需要向個人信息主體告知並獲得單獨同意。但結合《個人信息保護法》第十三條的第二項“為訂立、履行個人作為一方當事人的合同所必需”和第四項 “緊急情況下為保護自然人的生命健康和財產安全所必需”，我們理解上述《條例》所規定的例外情形在一定程度上也有可能落入《個人信息保護法》所規定的同意的例外情形，從而構成跨境傳輸合法性基礎和告知同意的雙豁免，這在一定程度上可以為企業提供減輕義務的依據，但企業應當保證豁免情形嚴格限制在必要範圍內。

**02、**與《個人信息保護法》關於告知同意的銜接

《個人信息保護法》第三十九條要求個人信息處理者向境外提供個人信息時應當告知個人並取得個人的單獨同意。《條例》第三十六條第一款作出與《個人信息保護法》類似的規定，但是在第二款新增了單獨同意的豁免情形，即“收集個人信息時已單獨就個人信息出境取得個人同意，且按照取得同意的事項出境的，無需再次取得個人單獨同意”。我們理解，“按照取得同意的事項出境”指的是後續出境的數據範圍、方式、目的、數據接收方、個人向境外數據接收方行使個人信息權利的方式等內容均與之前的告知同意事項相一致，並未超出原本的授權範圍。這避免了企業在日常業務過程中出於同一業務目的向同一數據接收方傳輸相同類型的數據而需要多次、重複獲得個人信息主體授權的情況。

**03、**與《數據安全法》及其配套規定的銜接

雖然《數據安全法》在《網絡安全法》的基礎之上進一步提出了重要數據跨境的要求，但是該要求為統領性規定，目的在於為後續的配套規定奠定合法性基礎。《評估辦法》的發佈在一定程度上嘗試對數據跨境評估規則進行細化，為企業的實踐和落地提供參考，其重點內容詳見《迎接個人信息保護法的正式生效：<數據出境安全評估辦法（徵求意見稿）>規則解讀》。《條例》中跨境評估相關的內容基本與《評估辦法》相協調，明確了數據處理者應當進行數據出境安全評估的情形。與《評估辦法》相比，《條例》未明確規定累計向境外提供超過十萬人以上個人信息或一萬人以上敏感個人信息的需要向主管機關申報數據出境安全評估，但其通過“國家網信部門規定的其他需要申報數據出境安全評估的情況”這一兜底條款進行了適當保留，以實現法律法規之間規定的一致性。

三、《條例》新增重點內容解讀

《條例》除與《數據安全法》《評估辦法》就數據跨境評估規則進行銜接之外，也對數據處理者在數據跨境傳輸的其他方面提出了更加細化和明確的監管規則。我們將在本章節中對其中的重點內容進行梳理和解讀，旨在為境內外企業提供數據跨境方面的實踐性參考。

**01、**對已出境但被認定為不得出境數據的應對措施

根據《條例》第三十九條第八項的規定，數據處理者向境外提供數據應當履行特定義務，包括對於國家網信部門認定不得出境的數據，數據處理者應當停止數據出境，並採取有效措施對已出境數據的安全予以補救。

在此應當説明的是，雖然《條例》中並未提及《評估辦法》第五條數據出境風險自評估的要求，但根據《數據安全法》第三十條的規定，我們理解數據跨境自評估將有較高概率成為企業的一項合規義務。同時結合上述《條例》的規定，我們理解，向主管機構申報數據跨境安全評估並非企業進行跨境傳輸的前置性條件，換言之，企業經自評估認為數據可以跨境傳輸與向主管機構申報跨境安全評估這兩項工作可以同時開展。對於企業經自評估認定為可以向境外傳輸的數據，企業可以開展數據跨境傳輸活動。當主管機構對於申報的數據安全評估認定為企業不得傳輸相關數據出境，則企業應當立即停止擬跨境或正在跨境的數據傳輸活動，並對在此之前已傳輸出境的數據進行刪除。相關説明的示意圖如下：

（點擊查看大圖）

**02、**與個人事先約定再轉移條件

根據《條例》第三十九條第九項的規定，個人信息出境後確需再轉移的，應當事先與個人約定再轉移的條件，並明確數據接收方履行的安全保護義務。在《條例》之前，相關法律法規並未對數據在跨境後再轉移的情形進行明確規定，雖然在實踐中可以將其解釋為包含在“處理方式”中，從而認為數據處理者應當將是否再轉移以及再轉移的接收方等告知個人信息主體並獲得其單獨同意，但鑑於缺少明文規定，此種情形在實踐中較難被企業貫徹和落地。本次《條例》對再轉移情形的規定進一步體現了數據傳輸至境外後的安全保障已逐漸成為我國監管的重點關注內容，並已通過相關法規進行強化監管，因此企業應當在告知同意文本中加入再轉移的相關內容，或與個人另行達成關於再轉移的協議，以滿足《條例》對再轉移的相關要求。

**03、**通過跨境安全網關阻斷非法數據入境

為了維護國內網絡信息內容生態環境，《條例》第四十一條第一款首次提出，國家將建立“數據跨境安全網關”以阻斷境外向境內傳輸“法律和行政法規禁止發佈或者傳輸的信息”。其中，“數據跨境安全網關”是指“阻斷訪問境外反動網站和有害信息、防止來自境外的網絡攻擊、管控跨境網絡數據傳輸、防範偵查打擊跨境網絡犯罪的重要安全基礎設施”，“禁止發佈或者傳輸的信息”的具體類型可以參考《網絡信息內容生態治理規定》第六條和第七條規定的“違法信息”[1]與“不良信息”[2]。

從上述規則不難看出，國家對於數據跨境傳輸的監管已經從規則層面逐漸深入至實踐層面，監管可操作性也逐漸提升。雖然目前提及的“數據跨境安全網關”僅用於阻斷非法數據入境，但是我們可以合理地認為，未來不排除國家可能也會利用網關對非法數據出境行為進行同樣的監管。

**04、**禁止為他人提供“翻牆”工具及服務的行為

“翻牆”通常是指繞過IP封鎖、內容過濾、域名劫持、流量限制等，非法對境外網絡內容的訪問行為。《條例》第四十一條第二款規定，任何個人和組織不得提供穿透、繞過數據安全網關的程序、工具，也不得為前述程序提供從互聯網接入到支付結算的全流程中的任何一項服務。從前述規定可以看出，提供非法“翻牆”工具和服務的行為屬於違法行為，而無論是否營利。

由上述規定可知，《條例》僅就“翻牆”工具及服務提供者的違法行為進行了明確，但是對於“翻牆”工具及服務使用者卻並沒有明確規定。其實我國早在1997年就已在《計算機信息網絡國際聯網管理暫行規定》中對“翻牆”行為進行了明確禁止，其第六條規定“任何單位和個人不得自行建立或者使用其他信道進行國際聯網”。同時，據不完全統計，2020年浙江省公安對個人“翻牆”行為實施行政處罰的案例已超過60起。鑑於此，我們理解不僅提供“翻牆”工具和服務行為屬於違法行為，使用“翻牆”工具和服務的行為仍有可能構成違法行為。但是應當説明的是，在《關於清理規範互聯網網絡接入服務市場的通知》（“《通知》”）的答記者問中，監管官員曾指出外貿企業、跨國企業因辦公自用等原因，需要通過專線等方式跨境聯網時，可以向依法設置國際通信出入口局的電信業務經營者租用，《通知》的相關規定不會對其正常運轉造成影響。

**05、**規制流量路由所觸發的跨境場景

《條例》第四十一條第三款規定，境內用户訪問境內網絡的，其流量不得被路由至境外。其實，該要求並未由《條例》首次提出，幾乎一致的條文最早出現在國家網信辦於2019年頒佈的《數據安全管理辦法（徵求意見稿）》內的第二十九條[3]。我們理解國家網信辦之所以再次在《條例》中提出該規定，旨在明確個人在境內訪問互聯網所產生的流量數據並非被排除在國內數據跨境監管框架之外，其跨境行為依然要建立在滿足相關監管要求之上。

2020年4月，有美國研究人員稱某會議軟件X公司在美國提供服務過程中會部分流量被路由到中國，引發了監管大量的不滿。在當地監管機關對其進行安全審查過程中，X公司承認在提高服務器容量以應對超高負載的過程中，允許部分境外流量路由到中國境內的兩個數據中心。當時，美國司法部的多位成員在一封信中稱，此行為可能導致美國私人信息的泄漏，存在被監聽的可能性。[4]由此可見，流量路由到境外還可能會引發流量被竊取、監聽的風險，禁止流量路由到境外可以防止路由泄露、流量誤導和流量劫持。

**06、**其他義務

除上述內容外，《條例》第三十九條還對數據處理者的數據跨境行為提出其他合規義務，包括接受和處理數據出境所涉及的用户投訴、留存相關日誌記錄和數據出境審批記錄三年以上、主管機構核驗向境外提供個人信息和重要數據的類型與範圍時以明文可讀方式予以展示等。該等義務一方面對個人信息主體的權利進行強化，另一方面也為主管機構的後續監管提供支持。企業應當在日常業務過程中注意留痕，將數據跨境傳輸活動進行詳細記錄和保存以供自證合規，並在主管機構核驗、檢查時積極配合，以降低潛在的合規風險。

結語

在全面推進全球數字經濟化的時代，各方主體對於數據價值的認識日益增強。雖然數據跨境是全球數字經濟發展的必由之路，但不加規制的數據跨境行為有可能導致國家安全與穩定受到影響。《條例》正式在這樣的背景下，對現有數據跨境規則進行了細化及完善，同時其也分別站在監管機關、企業、個人的角度，分別提出了部分新增規定，旨在平衡國家、企業與個人之間的利益關係，形成更加穩固的數據跨境監管框架。

從定期提交年度數據安全評估報告，到建立“數據跨境安全網關”落地監管機制，不難看出，《條例》相比於以往的數據跨境監管規則，更加註重整體規則的銜接以及實施方式的可操作性。我們有理由期待數據跨境的具體規則逐漸明確並在實踐中被貫徹和落實。

來源：金杜研究院