跨境數據合規 | 以安全促發展——《數據出境安全評估辦法》解讀_風聞

走出去智库-走出去智库官方账号-2022-07-08 18:05

2022-07-08

走出去智庫觀察

7月7日，國家互聯網信息辦公室公佈《數據出境安全評估辦法》（以下簡稱《辦法》），自2022年9月1日起施行。《辦法》旨在落實網絡安全法、數據安全法、個人信息保護法的規定，規範數據出境活動，促進數據跨境安全、自由流動，切實以安全保發展、以發展促安全。

走出去智庫(CGGT)特約法律專家、金杜律師事務所合夥人寧宣鳳指出，《數據出境安全評估辦法》的頒佈，標誌着我國距離數據安全評估制度的落地有了長足的進步，為數據處理者開展數據出境安全評估提供了確定性的法律依據。從《數據出境安全評估辦法》的落地也能看出國家對於數據安全監管的決心，“以安全促發展”將成為數字經濟發展的首要指導原則之一。

數據出境如何做好安全評估？今天，走出去智庫（CGGT）刊發金杜律師事務所寧宣鳳、吳涵、姚敏侶的文章，供關注跨境數據合規管理的讀者參考。

要點

CGGT，CHINA GOING GLOBAL THINKTANK

1、《網絡安全法》的生效，初步確立了以安全評估制度為核心的數據跨境的基本規則；隨着《數據安全法》《個人信息保護法》等法律法規的出台，數據跨境制度的法律框架逐漸完善，安全評估制度在數據跨境制度中的定位也逐漸清晰。

**2、**與《個人信息出境安全評估辦法》相比，《數據出境安全評估辦法》綜合了的個人信息處理情況、個人信息權利保障以及網絡運營者和接收者的責任義務於一體，並補充再跨境條款和爭議解決條款的要求，因而更為簡潔，同時也更強調標準合同的可行性、周全性以及可執行性。

**3、**對於明顯不符合或者不屬於需向網信部門等相關部門申報數據出境安全評估的情形，數據出境安全風險自評估可能並非強制性法律義務，但這並不代表企業在向境外提供數據前無需進行任何內部自主判斷，因此企業依然可以通過自評估的方式，對於是否滿足數據出境安全評估的要求進行自證。

正文

CGGT，CHINA GOING GLOBAL THINKTANK

各國關於數據出境的監管要求一直是各國數據監管的風向標，不僅體現國家對於數據安全的重視程度，也能意會出國家對於數據競爭的態度以及數字經濟發展的思路。例如歐盟《通用數據保護條例》（GDPR）設定的個人數據出境的限制，規定在第三國具備充分保護水平的前提下可將個人數據向第三國傳輸，而如第三國不具備充分保護水平的，控制者或處理者只有在提供了適當的保障措施，併為數據主體提供了可執行的權利和有效的法律救濟措施的條件下，才可將個人數據傳輸至第三國。上述內容是對於個人數據出境的特殊監管要求，也是解決歐盟單一數字經濟發展面臨制度障礙的嘗試。

數據出境的監管對於數字經濟蓬勃發展的中國也尤為重要。一方面需要樹立數據監管的價值觀，另一方面數據出境監管的制度設計將直接影響跨國企業以及出海企業的日常運營，更深刻的影響數字經濟的發展進程。隨着《網絡安全法》《數據安全法》以及《個人信息保護法》三大法律的確立，以及相關法律法規徵求意見稿的出台，我國數據跨境制度法律框架已經完成了基礎性搭建。其中，數據出境安全評估制度在我國的數據跨境制度中佔據相當重要的地位。2022年7月7日，《數據出境安全評估辦法》正式頒佈，這意味着，我國數據出境安全評估制度在效力上，從概念的制度向實踐的制度邁出了重要的一步。本文在回顧我國數據跨境制度的歷史沿革基礎上，對《數據出境安全評估辦法》的自評估方法進行操作化的解讀，為企業等各數據處理者提供自評估合規指引。

01、數據跨境制度的規則導向

而就國內而言，《網絡安全法》的生效，初步確立了以安全評估制度為核心的數據跨境的基本規則；隨着《數據安全法》《個人信息保護法》等法律法規的出台，數據跨境制度的法律框架逐漸完善，安全評估制度在數據跨境制度中的定位也逐漸清晰。在此期間，為有效落地法律層面的制度規範，國家網信辦等有關部門、標準制定單位等陸續發佈了不同層級的數據跨境細則、標準指南等草案文件，明晰了數據跨境合規的監管和實踐方向。

02、我國數據跨境安全評估制度的歷史沿革

在國內數據跨境制度的發展過程中，數據出境安全評估作為數據跨境的合規途徑貫穿始終，並隨着規則草案的頒佈而逐漸細化。以下我們就數據跨境安全評估制度的歷史演總結如下：

1. 數據跨境安全評估制度的開端——以《網絡安全法》作為標誌

（1）《網絡安全法》奠定數據跨境安全評估制度基礎

從時間上看，最開始對數據跨境提出安全評估要求的是2017年的《網絡安全法》（“《網安法》”）。《網安法》第37條對關鍵信息基礎設施運營者（“CIIO”）提出了在境內收集和產生的個人信息和重要數據的本地化要求，確需出境的應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。不過，對於上述條文中對“關鍵信息基礎設施運營者”“重要數據”“個人信息”三個核心概念均未進行界定，同時並沒有相應的國家層面的安全評估規定，這使得《網安法》的規定與數據跨境安全評估制度實際落地仍有較大距離。因此於同年，國家網信辦就《個人信息和重要數據出境安全評估辦法（徵求意見稿）》公開徵求意見，國家標準委隨後也就《信息安全技術數據出境安全評估指南（徵求意見稿）》（“《數據出境安全評估指南（徵求意見稿）》”）公開徵求意見。兩文件均不同程度地對《網安法》所奠定的數據跨境安全評估框架進行了進一步的深入和細化。

（2）階段性徵求意見稿明確方向

《個人信息和重要數據出境安全評估辦法（徵求意見稿）》的貢獻在於確立了數據跨境制度之下的安全評估程序的基本流程。該《辦法》對需要進行安全評估的情形、安全評估需要重點評估的內容、負責安全評估的主管部門等方面進行了具體的規定，並確立了以自評估為前置流程，申請評估為正式環節，重新評估為可持續性支持的安全評估流程。其中，還值得注意的是安全評估適用範圍的拓展。它將適用主體拓展適用於任何符合第9條條件的網絡運營者，同時將數據類型拓展至具有一定體量的數據。而《數據出境安全評估指南（徵求意見稿）》則是對數據跨境、重要數據、核心數據等基本概念進行了界定和列舉，同時提供了極具可操作性的，以影響程度等級和安全事件可能性等級為判斷維度的安全評估落實方案。

隨後經過大約兩年時間，《數據安全管理辦法（徵求意見稿）》以及《個人信息出境安全評估辦法（徵求意見稿）》相繼公開徵求意見。《數據安全管理辦法（徵求意見稿）》納入個人信息的有關內容，將包括個人信息在內的數據的收集、處理使用、安全監督管理進行了規定。《數據安全管理辦法（徵求意見稿）》區分重要數據和個人信息，涉及重要數據跨境的，網絡運營者應進行評估，並報經同意或批准；個人信息則按照其他規定執行。

隨之而來的《個人信息出境安全評估辦法（徵求意見稿）》中，個人信息的出境限制比數據出境更為嚴格，根據第3條的規定，凡涉及個人信息跨境，均需要進行個人信息出境安全評估申報。《個人信息出境安全評估辦法（徵求意見稿）》可以視為先前《個人信息和重要數據出境安全評估辦法（徵求意見稿）》的細化版本，其對申報材料、安全評估期限、救濟渠道等內容進行細化規定，並強調網絡運營者與個人信息接收者簽訂的合同或者其他有法律效力的文件（統稱合同）中所應規定的，保障個人信息權利以及網絡運營者、個人信息接收者責任義務的要求。在該文件中，合同審核成為了安全評估的重點內容。

這一階段，數據跨境安全評估制度得到了較高程度的討論與細化，奠定了該制度在數據跨境制度中的重要地位。

2. 數據跨境安全評估制度的重要更新——以《數據安全法》《個人信息保護法》為標誌

（1）數據跨境安全評估制度的適用日益多元化和具體化

隨着《數據安全法》（“《數安法》”）以及《個人信息保護法》（“《個信法》”）相繼出台並生效，我國的數據跨境制度的基本法律框架得以進一步釐清。《數安法》第31條在CIIO向境外提供重要數據時延續了《網安法》的規定，還為非CIIO的數據處理者在向境外提供重要數據提供了制度留白。《個信法》則是在數據處理者的基礎上，進一步界定了個人信息處理者，並規定了“個人信息跨境提供的規則”專章來專門針對個人信息跨境構建規則框架。在《個信法》下，個人信息跨境場景下的安全評估制度有了更多的細化規定。

適用主體上，《個信法》繼承了《網安法》和《數安法》的規定，將屬於CIIO的個人信息處理者納入需要安全評估的責任主體範圍。在此基礎上，《個信法》第36條和第40條還加入兩個需要進行安全評估的責任主體，分別是國家機關和處理個人信息達到國家網信部門規定人數的個人信息處理者（下稱“大型個人信息處理者”）。《個信法》對上述三者提出了個人信息本地化要求，因需要確需出境的，則需要進行安全評估。其中，CIIO作為長期存在的概念，其概念界定、認定標準以及認定程序在《關鍵信息基礎設施保護條例》中有了相對明確的規定。各主體可以根據該條例的要求，對自身是否可能會被認定為CIIO進行自評估，可能會被認定為CIIO的，宜以CIIO的標準開展數據跨境合規工作。可以看出，在整個數據出境制度體系中，數據出境安全評估佔據十分重要的位置。因為對於特定主體而言，安全評估並不是《個信法》第38條第1款所規定的“選擇性義務”，而是第36條、第40條所規定的“強制性義務”；不是《網絡數據安全管理條例（徵求意見稿）》第35條中數據出境的“選擇性義務”；而是第37條所規定的“強制性義務”。而同時，“處理個人信息達到國家網信部門規定數量的個人信息處理者”尚需進一步界定。

（2）後續規則草案嘗試制度落地

《網安法》《數安法》以及《個信法》三駕馬車的形成，為後來的《網絡數據安全管理條例（徵求意見稿）》的制定提供了上位法基礎。《網絡數據安全管理條例（徵求意見稿）》將數據跨境統一處理，將個人信息跨境制度框架擴展成為數據跨境制度的一般框架，其基本上遵循了《個信法》的制度架構，但同時對三大法律的規定進行了細化，形成制度補充。在延續性地將數據出境安全評估作為數據出境的一種條件的基礎上，《網絡數據安全管理條例（徵求意見稿）》嘗試就數據出境安全評估的觸發條件做進一步明確，除CIIO情形外，還包括了出境數據中包含重要數據、處理一百萬人以上個人信息的數據處理者向境外提供個人信息。

現今生效的辦法在統一處理數據出境的基礎上，對統一的安全評估制度做了進一步更新。其第4條對《個信法》“處理個人信息達到國家網信部門規定數量的個人信息處理者”進行了補充界定，在“處理個人信息達到一百萬人的個人信息處理者向境外提供個人信息”的基礎上，補充了“自上年1月1日起累計向境外提供超過十萬人個人信息或者一萬人敏感個人信息”的數據處理者的情形，較為顯著地擴大了數據出境安全評估制度的適用範圍。

在具體的評估流程上，《數據出境安全評估辦法》明確了自評估——申請評估——重新申報評估****的評估流程框架，並對部分細節進行了更新。例如，在有效期上，《數據出境安全評估辦法》規定了2年的固定有效期，2年有效期屆滿均需要進行安全評估，並且規定有效期內需要重新評估的情形。在評估時限上，《數據出境安全評估辦法》充分考慮到了安全評估工作的複雜性，例如根據第10條的要求，國家網信部門受理申報後，需要根據申報情況組織國務院有關部門、省級網信部門、專門機構等進行安全評估，因而整個過程需要多部門協同以及具有較高的專業性。

在該辦法中，數據跨境合同等法律文件仍然是重要的評估內容，與《個人信息出境安全評估辦法》相比，《數據出境安全評估辦法》綜合了的個人信息處理情況、個人信息權利保障以及網絡運營者和接收者的責任義務於一體，並補充再跨境條款和爭議解決條款的要求，因而更為簡潔，同時也更強調標準合同的可行性、周全性以及可執行性。

以上可以看出，《數據安全法》《個人信息保護法》生效之後這一時期的跨境制度，立法者逐漸梳理清楚了數據和個人信息之間的關係，搭建了基本統一的數據跨境法律制度框架。這一時期的個人信息跨境制度的構建拓展了多種允許數據跨境的路徑。在眾多路徑中，安全評估仍然是數據合法跨境的最為重要的路徑，也是特定數據處理者的強制性義務。同時，安全評估作為我國特色的數據跨境制度，其具體的落實應給予足夠的關注和重視。而《數據出境安全評估辦法》的最終生效，象徵着我國數據出境安全評估制度的進一步落地，為數據處理者在開展數據安全評估工作提供了確定可操作的法律依據，因而具有里程碑式的意義。

03、《數據出境安全評估辦法》內容解讀

1.數據出境評估情形與流程

從整體體例來看，《數據出境安全評估辦法》對安全評估的程序性規則和實體評估內容均進行了規定。辦法中所規定的自評估—申請評估—重新評估，以及評估材料、評估時間、評估通知、評估材料補充更正、評估結果撤銷均屬於程序性的規定。這些規定能夠幫助數據處理者定位自己在開展數據出境安全評估工作中所處的時間點位。

2.數據出境評估內容

上述環節中，數據處理者的自評估與網信部門等有關部門安全評估構成整個評估流程中相對關鍵和重要的內容。《數據出境安全評估辦法》第5條、第8條及對自評估及安全評估的重點事項進行了列舉説明。

值得注意的是，對於數據出境安全自評估是否為企業的強制性法律義務，在《數據出境安全評估辦法》中也給出了相應的傾向性回答。我們注意到，《數據出境安全評估辦法》正式稿第5條改變了企業需履行“自評估”的法定條件，將原先徵求意見稿中“數據處理者在向境外提供數據前”改為“數據處理者在申報數據出境安全評估前”，因此我們理解，對於明顯不符合或者不屬於需向網信部門等相關部門申報數據出境安全評估的情形，數據出境安全風險自評估可能並非強制性法律義務，但這並不代表企業在向境外提供數據前無需進行任何內部自主判斷，因此企業依然可以通過自評估的方式，對於是否滿足數據出境安全評估的要求進行自證。此外，《個人信息保護法》第55條仍然對企業向境外提供個人信息的行為，需履行個人信息保護影響評估的法定義務****。

除上述之外，《數據出境安全評估辦法》第9條對數據跨境法律文件（合同）應當包含的內容也進行了説明；法律文件條款的設置也將構成自評估和安全評估的重要組成部分。

數據出境法律文件評估

● 數據出境的目的、方式和數據範圍，境外接收方處理數據的用途、方式等；

● 數據在境外保存地點、期限，以及達到保存期限、完成約定目的或者法律文件終止後出境數據的處理措施；

● 對於境外接收方將出境數據再轉移給其他組織、個人的約束性要求；

● 境外接收方在實際控制權或者經營範圍發生實質性變化，或者所在國家、地區數據安全保護政策法規和網絡安全環境發生變化以及發生其他不可抗力情形導致難以保障數據安全時，應當採取的安全措施；

● 違反法律文件約定的數據安全保護義務的補救措施、違約責任和爭議解決方式；

● 出境數據遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等風險時，妥善開展應急處置的要求和保障個人維護其個人信息權益的途徑和方式。

以上可以看出，自評估與安全評估的重點事項在內容上有一定重疊，安全評估將重點關注數據出境活動對國家安全、公共利益、個人或組織合法權益帶來的風險，並將基於此額外考慮境外接收方所在國家或地區的政策、法律、網絡安全環境對出境數據安全的影響，以及數據出境活動及所涉相關方遵守中國法律、行政法規、部門規章情況。

3.企業開展自評估的維度及要求

正如前文所述，本文認為數據處理者在正式開展評估工作時，應充分將申請評估階段和合同等法律文件條款評估納入到自評估的內容中。但鑑於這些評估內容在表述上仍較為寬泛，本文在對《數據出境安全評估辦法》評估內容進行總結的基礎上，進一步細化其顆粒度，爭取為自評估工作提供一個更為清晰的指引。根據《數據出境安全評估辦法》第5條、第8條和第9條的內容，本文認為可以從以下幾個維度分別開展自評估工作：數據處理者維度、數據接收方維度、數據出境風險維度，以及合同約束維度。分別整理如下：

根據上述整理，本文結合業務實踐，嘗試提出具有針對性的可落地和可操作性的評估內容。並結合上述的自評估流程，給出完成對應評估項的評估階段，釐清各評估維度的流程定位。當然，評估內容的結構邏輯也可以根據實際情況進行靈活調整：

結語

出境數據在第三國的安全保障歷來是國際層面諸多司法轄區數據跨境制度的關注重點，同時也隨着法律對經濟的影響而不斷調整。比如近期，隨着歐盟法院在Schrems II案中因擔憂歐盟公民個人數據因可能被美國當局有關部門獲取而無法得到有效保障，決定歐美“隱私盾協議”無效，歐盟對其數據跨境制度中個人數據在第三國是否得到有效保障予以了重新審視，並於2021年6月發佈了新版的標準合同條款（SCC）。而此後，歐盟數據保護委員會（EDPB）發佈了《關於數據跨境轉移的補充措施最終建議》（Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data），明確數據出境方在適用適當保護措施的情況下進行個人數據跨境時應進行數據跨境影響評估，評估第三國的現行法律和/或慣例中是否有任何內容可能影響數據出境方所採取的出境工具的適當保護措施的有效性，且須包含對第三國政府機構獲取數據能力的評估。這一做法與我國的數據出境安全評估制度有異曲同工之處，表明歐盟當局通過數據出境方的影響評估，以補強論證適當保護措施有效性的監管意圖。

《數據出境安全評估辦法》的頒佈，標誌着我國距離數據安全評估制度的落地有了長足的進步，為數據處理者開展數據出境安全評估提供了確定性的法律依據。數據處理者應根據《數據出境安全評估辦法》第5條、第8條和第9條的內容，嚴格按照規定程序開展工作。其中，自評估對各數據處理者的數據出境合規提出了更為細緻且實際的要求，不僅可以成為數據安全評估制度的基礎性、前提性工作，同時也有助於各數據處理者開展日常的數據流轉梳理，對促進數據處理者數據管理的規範化、個人信息權益保護有巨大助益。

最後，從《數據出境安全評估辦法》的落地我們也能看出國家對於數據安全監管的決心，“以安全促發展”將成為數字經濟發展的首要指導原則之一。在數據安全上升到國家安全的今天，企業需要理解和體會國家數據監管的格局和基礎原則，在原有的國際化發展的慣性中找到合規與商業的平衡點，尋求新型的國際化發展方向，在安全、合規的主旋律中奏響數字經濟的新篇章。

來源：金杜研究院