跨境數據合規｜盤點常見數據出境風險場景【走出去智庫】_風聞

走出去智庫觀察****9月1日，《數據出境安全評估辦法》正式生效。我國出台《辦法》的目的是進一步規範數據出境活動，保護個人信息權益，維護國家安全和社會公共利益，促進數據跨境安全。****走出去智庫(CGGT)特約法律專家、中倫律師事務所顧問賈申指出，數據出境普遍存在於企業的各類商業需求和實務場景中，而一些可能構成數據出境的情形在實務中較為隱蔽，可能會被企業忽視。在我國數據合規領域的立法日趨完善、執法愈發常態與嚴格的監管趨勢下，企業應不斷加強數據合規意識，結合自身實際情況，充分梳理和識別涉及數據出境的經營、管理和業務相關情形，切實履行數據出境方面的合規義務。****數據出境如何做好合規管理？今天，走出去智庫(CGGT)刊發中倫律師事務所李瑞、賈申、李夢涵的文章，供關注跨境數據合規管理的讀者參閲。****要 點CGGT，CHINA GOING GLOBAL THINKTANK

1、如果企業使用的信息系統、軟件平台或數據庫的服務器或雲端部署在境外（最典型的例子是跨國企業使用境外服務商運營及/或部署的信息系統），也會構成境內主體主動向境外傳輸數據的情形。****2、如果境內處理者將其境內服務器、數據庫或信息系統向境外主體開放，使得境外主體可以在境外對存儲於境內的數據進行訪問、下載或者調用，同樣屬於“數據出境”的場景，並且實踐中經常被一些企業所忽略。****3、有一類較為特殊的數據出境情形，是境外收集和產生的數據傳輸到中國境內進行加工後，再傳輸到境外。****正 文CGGT，CHINA GOING GLOBAL THINKTANK

文/李瑞、賈申**、李夢涵****中倫律師事務所**2022年9月1日，《數據出境安全評估辦法》（“《辦法》”）正式生效。這是中國數據出境監管歷程中的重要一步，從9月1日起，《網絡安全法》、《數據安全法》和《個人信息保護法》中關於重要數據和符合條件的個人信息出境的安全評估要求正式落地，企業可開始向網信部門申報數據出境安全評估程序。在《辦法》落地生效前夜，國家互聯網信息辦公室（“國家網信辦”）也於8月31日正式發佈《數據出境安全評估申報指南（第一版）》（“《申報指南》”），以指導企業申報數據出境安全評估的具體工作。

對於存在數據出境活動的企業而言，數據出境合規工作亟待開展，而評估自身的經營活動是否涉及數據出境的場景，是準確評估自身合規義務的第一步和關鍵步驟。本文作為“數據出境合規解讀”系列文章的第一篇，將詳細解讀可能構成中國法意義上的“數據出境”的各類場景，尤其是一些在實務中容易被企業忽視的數據出境場景。

《申報指南》明確指出，以下情形屬於數據出境行為：

（1）數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外； 

（2）數據處理者收集和產生的數據存儲在境內，境外的機構、組織或者個人可以查詢、調取、下載、導出；

（3）國家網信辦規定的其他數據出境行為。

在下文中，我們將分別解讀和梳理上述數據出境行為在企業實務中的具體表現和常見場景。

1.數據主動出境：數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外境內的數據處理者通過主動開展傳輸、存儲、上載、遞送等動作，將其在境內運營中收集和產生的數據通過軟件或或硬件介質提供至境外，這是數據出境中最常見的方式，也是最符合直觀印象的數據出境方式。數據主動出境通常包括以下場景：

1.1 境內主體使用專用於數據傳遞功能的軟件或硬件介質，向境外主體提供數據專用於數據傳遞功能的軟件包括電子郵件、FTP、跨境搭建的VPN、API等傳輸信道等，硬件介質包括U盤、移動硬盤、甚至裝載數據的便攜筆記本等。當企業以這些方式向境外提供數據時，其通常能夠意識到發生了數據出境，可能會觸發相關合規義務。以下是此類場景在企業經營實務中的一些常見範例：

某境外公司A在中國境內設有子公司B，B公司定期通過郵件方式向A公司報送業務經營情況總結，以供境外集團總部進行經營情況的總體統計、分析。

B公司從事數據收集和分析業務，經常將其在境內運營過程中收集和分析得出的數據以數據包的形式通過FTP方式向其境外的客户定點傳輸。

因應對外國某執法機關調查案件的需要，B公司通過移動硬盤載體的形式，將涉及個人信息和其他數據的調查信息、證據材料寄送給該境外執法機關、聘用的境外法律顧問機構及其母公司A。

點擊可查看大圖

1.2 境內主體使用服務器位於海外的信息系統、軟件平台時產生的數據上載或存儲在當前的信息社會中，稍具規模的企業都會使用信息系統、軟件平台或數據庫來協助企業的運營、管理和業務開展。如果企業使用的信息系統、軟件平台或數據庫的服務器或雲端部署在境外（最典型的例子是跨國企業使用境外服務商運營及/或部署的信息系統），也會構成境內主體主動向境外傳輸數據的情形。這種方式相比上一種情形而言相對隱蔽，可能會被部分企業所忽視。例如，某些境內服務商的境外雲服務的服務器是架設在境外的，企業使用相關雲服務時不可因其是境內服務商就默認數據將存儲在境內服務器中。若企業數據可能被存儲在該境內企業的境外服務器中，我們傾向於認為該境內服務商也可能認定成為“境外服務商” 。典型實踐場景如下：

某境外公司A的境內子公司B使用母公司在海外自行部署的數據庫作為文檔庫，所有業務文檔一經存入文檔庫，即上載至母公司在海外的服務器，從而構成出境。

A公司所有集團下屬公司（包括B公司）均使用向境外第三方服務商採購的OA系統和HR管理軟件實現日常業務流轉和人事數據管理，該OA系統和HR管理軟件的相關數據均通過第三方在境外架設的雲服務器進行存儲和備份。B公司在境內經營過程中收集的個人信息和其他數據一經錄入到OA系統和HR管理軟件中，即構成數據出境。

點擊可查看大圖

2.數據被動出境：數據處理者收集和產生的數據存儲在境內，境外的機構、組織或者個人可以查詢、調取、下載、導出在數據被動出境場景下，數據處理者收集和產生的數據存儲在境內，其也並未採取任何主動將數據提供給境外的行為；但境外的機構、組織或者個人（不論其是否與境內實體存在關聯關係）可以查詢、調取、下載、導出該等境內數據，這種情形也構成數據出境。相比於主動出境的情形，數據被動出境的情形更容易被企業忽略。以下是數據被動出境的常見場景：

2.1 公開網頁訪問在自有網頁上發佈信息，是企業對外宣傳和業務經營中最常見的一種場景。而信息一旦發佈到網頁上，除非採取特別的技術措施，否則境外人士也可自由訪問。在2017年8月25日發佈的國家標準《信息安全技術 數據出境安全評估指南（徵求意見稿）》第二稿中，曾提出境外對境內公開信息和網頁的訪問不屬於數據出境，但是該規定僅為徵求意見稿，距今已五年時間，仍未轉化為生效規定。當前實務中的觀點傾向於認為，公開網頁訪問也屬於數據出境的一種情形。

延伸話題《數據出境安全評估辦法》已明確：重要數據和符合一定條件的個人信息出境，應當通過網信部門組織的安全評估後方可進行。企業應特別關注一種情形——企業如在公開網頁上發佈重要數據或個人信息，就可能會導致這些數據可被境外主體獲取，從而構成數據出境。目前，在數據出境及重要數據識別相關規則不明朗之前，我們建議企業採取此類操作時應持謹慎態度，如非必要，不通過公開網頁發佈可能受制於出境監管要求的數據。

2.2 境外訪問數據處理者部署於境內的服務器/數據庫/信息系統如果境內處理者將其境內服務器、數據庫或信息系統向境外主體開放，使得境外主體可以在境外對存儲於境內的數據進行訪問、下載或者調用，同樣屬於“數據出境”的場景，並且實踐中經常被一些企業所忽略。以下是此類情形的一些範例：

境內公司B將其在境內收集和產生的數據存儲於境內的服務器或數據庫，但向境外的母公司A開放遠程訪問權限。

B公司使用的OA系統是境外技術服務商E協助在中國境內本地化部署的，但E公司會遠程訪問該系統進行日常運維。

B公司在境內的外籍員工或派駐在境外工作的員工登陸公司的OA系統、HR管理系統和其他信息系統，開展相關操作並獲取相關信息。

點擊可查看大圖

延伸話題雲服務提供商將其服務器架設在境內，用户在海外調取和訪問數據，也是一種數據出境的場景。例如，某SaaS平台將應用軟件部署在境內的服務器上，向國內外客户提供應用軟件服務，由於用户數據存儲在國內的雲服務中，當海外用户或國內用户的海外人員調取或訪問該SaaS平台中存儲的數據時，也構成了數據出境。在這種情況下，該SaaS平台的服務商通常並不擁有其客户在平台上存儲的數據的訪問權限，而是否允許海外主體訪問賬户中的數據，通常是由雲服務用户自主決定的，因此數據出境的境內提供者和合規義務方應當是雲服務用户。但需要提示的是，由於該SaaS服務商控制該等數據的存儲硬件（服務器）以及雲服務器的運維和安全保護服務，其可能被認定為掌握雲服務器中存儲的相關數據，並且對於相關數據出境過程中的安全保護也承擔一定責任。

3.其他特殊情形：以境外信息境內加工再傳輸至境外為例有一類較為特殊的數據出境情形，是境外收集和產生的數據傳輸到中國境內進行加工後，再傳輸到境外。加工包括數據收集、存儲、訪問、修改、轉讓、披露、匿名化、去標識化、恢復、刪除、銷燬等方式。此種情形是否構成數據出境需要結合具體情況進行判斷。

2017年發佈的國家標準《信息安全技術 數據出境安全評估指南（徵求意見稿）》規定：非在境內運營中收集和產生的個人信息和重要數據經由本國出境，未經任何變動或加工處理的，不屬於數據出境；非在境內運營中收集和產生的個人信息和重要數據在境內存儲、加工處理後出境，不涉及境內運營中收集和產生的個人信息和重要數據的，不屬於數據出境。該徵求意見稿並未正式生效，結合近年來頒佈的相關法規及實務中普遍的觀點，我們傾向於認為中國法意義上的“數據出境”應限於境內運營中收集和產生的數據。

總結而言，在境外數據境內加工的場景下，共有三類可能的情形：

**（1）未在中國境內對境外數據進行任何加工處理，僅經由中國出境，我們傾向於認為這不屬於中國法意義上的“數據出境”；（2）在中國境內對境外數據進行加工處理，但加工後並不涉及中國境內產生的任何數據，我們傾向於認為這也不屬於中國法意義上的“數據出境”；（3）在中國境內對數據進行加工處理，涉及境內產生的個人信息或其他數據，且將加工後的數據傳輸至境外，我們認為這毫無疑問屬於中國法意義上的“數據出境”。**例如，某境內數據服務商D為境外公司A提供數據加工和處理服務，將A公司在中國境外運營產生的經營數據進行統計分析後，再傳輸給A公司。在這一過程中，D服務商利用其在境內收集和產生的個人信息進行融合和分析後再向A公司傳輸，構成了數據出境。

從上述梳理不難發現，數據出境普遍存在於企業的各類商業需求和實務場景中，而一些可能構成數據出境的情形在實務中較為隱蔽，可能會被企業忽視。在我國數據合規領域的立法日趨完善、執法愈發常態與嚴格的監管趨勢下，企業應不斷加強數據合規意識，結合自身實際情況，充分梳理和識別涉及數據出境的經營、管理和業務相關情形，切實履行數據出境方面的合規義務，降低潛在合規風險，為企業合規經營、業務健康發展保駕護航。

來源：中倫律師事務所