走出去智庫觀察

7月7日，國家互聯網信息辦公室頒布《數據出境安全評估辦法》（以下簡稱《評估辦法》），將于2022年9月1日起正式施行。《評估辦法》明確了數據出境安全評估的目的、原則、范圍、程序和監督機制等具體規定。

走出去智庫(CGGT) 特約法律專家、北京德恒律師事務所合伙人王一楠指出，《評估辦法》的頒布實施具有重要現實意義：一是落實上位法的數據出境管理規定和要求；二是保障數字經濟健康有序發展；三是應對數據跨境傳輸和境外匯聚的安全風險。

《評估辦法》有哪些重要規定？今天，走出去智庫（CGGT）刊發王一楠律師的文章，供關注跨境數據合規管理的讀者參考。

要 點

CGGT，CHINA GOING GLOBAL THINKTANK

1、雖然上位法《網安法》、《數安法》、《個保護》均從不同角度提到過數據出境需要進行安全評估的情形，而《評估辦法》首次完整地規定了安全評估的具體適用范圍。

2、對于擬進行數據出境的數據處理者來說，先要判斷其出境活動是否適用安全評估，如果適用，需要進行數據出境風險自評估，否則可以通過《個保法》項下的其他路徑（如認證、標準合同）數據出境或依法有序自由流動。

3、《評估辦法》第五條和第八條分別列舉風險自評估和安全評估的重點事項，兩者大部分內容重合，凸顯了風險自評估在申報資料中的重要地位，體現了“風險自評估與安全評估相結合”的評估原則。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

一、出臺背景

隨著全球化與數字經濟的發展，數據作為具有極大經濟價值的生產要素，在國際間的流動越來越頻繁，而且數量呈逐年增長趨勢。然而，數據跨境的無序流動會給數據主體和數據安全帶來風險，還關乎國家安全和社會公共利益。為了防范數據跨境流動中存在的各種風險，我國一直積極推動相關立法規范數據的跨境流動，例如《汽車數據安全管理若干規定（試行）》和《網絡安全審查辦法》修訂。

2022年7月7日，國家互聯網信息辦公室出臺了《數據出境安全評估辦法》（以下簡稱“評估辦法”），全面和系統地提出了我國數據出境“安檢”的具體要求，也標志著《網絡安全法》（以下簡稱“網安法”）首次確立的數據出境安全評估制度正式落地。

實際上，國家互聯網信息辦公室分別于2017年和2019年就數據出境安全評估出臺過兩個辦法的征求意見稿，即2017年4月11日的《個人信息和重要數據出境安全評估辦法（征求意見稿）》（“17年版評估辦法”）和2019年6月13日的《個人信息出境安全評估辦法（征求意見稿）》（“19年版評估辦法”）。隨著《數據安全法》（以下簡稱“數安法”）《個人信息保護法》（以下簡稱“個保法”）的正式頒布實施，國家網信部門持續不斷深入研究國外相關立法現狀，結合17年版評估辦法和19年版評估辦法制定工作經驗，在廣泛吸收社會各方意見基礎上，打磨完善而形成目前的《評估辦法》。

《評估辦法》的頒布實施具有重要現實意義：一是落實上位法的數據出境管理規定和要求；二是保障數字經濟健康有序發展；三是應對數據跨境傳輸和境外匯聚的安全風險。

二、適用范圍

雖然上位法《網安法》、《數安法》、《個保護》均從不同角度提到過數據出境需要進行安全評估的情形，而《評估辦法》首次完整地規定了安全評估的具體適用范圍。

首先，《評估辦法》第二條將“數據出境”定義為“向境外提供”。在實踐中，“提供”可以有多種呈現情形。通常理解的情形是數據處理者將數據轉移至中國境外的地方。但是有一種情形是數據并未轉移至境外，而依舊存儲在境內，不過數據處理者將境內數據庫的訪問登錄信息或接口提供給境外主體，以便后者可以在境外遠程訪問查看（“遠程訪問情形”）。例如，有些外資企業的信息技術團隊部署在中國境外，其通過互聯網訪問并處理境內服務器上存儲的數據來提供遠程技術服務。鑒于遠程訪問情形也會對境內存儲的數據構成一定風險威脅，從數據跨境流動安全管理的角度來看，其理論上屬于“向境外提供”。另外一種情況是數據雖然轉移至境外，但是數據處理者未將存儲在境外數據的訪問權交付給任何一個境外接收方，例如：數據處理者將數據上傳到境外自己的云存儲空間，僅供自己使用。在這種情況下，雖然不存在明確的境外接收方，但數據已經處于我國司法管轄范圍之外，理論上境外主體（如云服務商）可以訪問數據，而且也面臨境外政府調取的風險，因此該場景也應屬于“向境外提供”。

其次，《評估辦法》第二條規定需要安全評估的出境數據系在中華人民共和國境內運營中收集和產生的。由此推斷出數據出境排除了境外數據“過境”我國的場景，體現了監管手段與目的之間匹配的適當性和合理性。

而且，《評估辦法》第二條（結合第四條）明確在出境數據涉及重要數據的情況下，安全評估是強制性的。需要注意的是這是首次將重要數據需要進行安全評估的范圍從關鍵信息基礎設施的運營者擴大至所有數據處理者。《網安法》第三十七條明確要求關鍵信息基礎設施的運營者向境外提供重要數據需要進行安全評估。《數安法》第三十一條重申了以上立場，并在此基礎上將其他數據處理者向境外提供重要數據所適用的具體出境安全管理辦法交“由國家網信部門會同國務院有關部門制定”。此次《評估辦法》第二條正是呼應了《數安法》第三十一條，將其他數據處理者向境外提供重要數據的情形也納入安全評估范圍。

而且，《評估辦法》自2017年《網安法》引入重要數據這個概念之后首次在部門規章的高度對其進行全面的界定，即“指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用、可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據”（在此之前，《汽車數據安全管理若干規定（試行）》明確在汽車數據場景下“涉及個人信息主體超過10萬人的個人信息”屬于重要數據，《信息安全技術 重要數據識別規則（征求意見稿）》從國家標準角度將重要數據定義為“特定領域、特定群體、特定區域或達到一定精度和規模的數據，一旦被泄露或篡改、損毀，可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全”）。

最后，結合《評估辦法》第四條，我們可以看到在出境數據涉及個人信息的情況下，達到一定“門檻“才需進行安全評估。該門檻主要涉及“四種情形、兩大類別”。“四種情形”是指，個人信息的處理者在滿足如下四種情形條件下就要進行安全評估：（1）關鍵信息基礎設施的運營者；（2）處理個人信息達到一百萬人；（3）自上年1月1日起累計向境外提供10萬人個人信息；（4）自上年1月1日起累計向境外提供1萬人敏感個人信息。“兩大類別”是指個人信息出境需要做安全評估的要求可以分為：主體條件類和客體條件類。兩個類別的區別是：前者關注處理者的主體資質，而不關注向境外提供個人信息的具體數量，后者則相反。具體來說，主體條件類是指當個人信息處理者是關鍵信息基礎設施運營者，或者處理個人信息達到一百萬人的個人信息處理者時，只要其向境外提供個人信息，無論實際出境數量多少個人信息都需要進行安全評估；客體條件類是指當個人信息處理者向境外提供年累計達到一定標準（10萬人個人信息或1萬人敏感個人信息）之后即需要進行安全評估。

為了方便讀者理解，本文通過如下圖示說明數據出境安全評估的適用范圍：

圖1-數據出境安全評估的適用范圍

三、評估內容

1.評估流程

評估辦法第五至第十四條和第十七條明確了安全評估的具體流程，本文總結如下：

適用分析。對于擬進行數據出境的數據處理者來說，先要判斷其出境活動是否適用安全評估，如果適用，需要進行數據出境風險自評估，否則可以通過《個保法》項下的其他路徑（如認證、標準合同）數據出境或依法有序自由流動。

申報準備。如需進行安全評估，數據處理者需要準備申報書、風險自評估報告、與境外接收方擬簽署法律文件等申報資料。

受理決定。在處理者提交申報資料之后，國家網信部門將審查并決定是否受理該申報。如果不受理，數據處理者可以通過其他路徑進行數據出境或依法有序自由流動。

進行評估。在受理申報之后，國家網信部門將組織國務院有關部門、省級網信部門、專門機構等進行安全評估。值得注意的是，相對于2021年的征求意見稿，本《評估辦法》在該環節增加了一次給數據處理者補充或者更正資料的機會，即在安全評估過程中，國家網信部門如果發現申報材料不符合要求的，可以要求數據處理者補充或者更正。而征求意見稿僅在省級網信部門收到申報材料后賦予數據處理者一個類似的機會。其體現了監管部門對于安全評估工作的審慎態度。

申請復評。如果最終通過了安全評估，數據處理者可以依法有序安排數據自由流動，否則需要終止數據出境活動或者申請復評。同樣，復評環節也是相較于2021年征求意見稿的新增內容，為數據處理者提供了某種程度上的救濟途徑，在最大程度上確保評估結果的準確性。

重新評估。《評估辦法》第十四條和第十七條規定，已經通過評估的數據處理活動在如下三種情形下需要進行重新評估：（a）兩年期滿；(b) 情勢變化；(c) 違規處理。體現了“事前評估和持續監督相結合”的評估原則。

為了方便讀者理解，本文通過如下圖示說明安全評估的工作流程，并將評估過程中涉及的時限通過如下表格總結。

圖2-評估流程

表1-評估流程中涉及的時限

2.評估事項

《評估辦法》第五條和第八條分別列舉風險自評估和安全評估的重點事項，兩者大部分內容重合，凸顯了風險自評估在申報資料中的重要地位，體現了“風險自評估與安全評估相結合”的評估原則。

為了方便讀者理解，下文通過如下表進行對比，并做簡要分析。

表2 - 風險自評估與安全評估事項對比

3.關于“法律文件”的幾個問題

在《評估辦法》所要求提交的申報資料中，除了申報書和自評估報告以外，第三個重要資料就是“數據處理者與境外接收方擬訂立的法律文件”（“法律文件”），而且《評估辦法》第九條明確規定了“法律文件”需要包含的內容，即約定數據安全保護責任義務等。

雖然“法律文件”在內容要求上類似合同，但是不限于合同一種形式，例如有約束的集團公司內部管理制度理論上也符合要求。而且，需要澄清的是這里提到的“法律文件”與《個保法》第三十八條第（三）款中提到的“標準合同”不同。兩者區別主要包括如下幾個方面：1）前者是安全評估的申報資料之一，而后者是與安全評估、認證共同構成我國個人信息出境安全管理方式之一；2）前者的主要條款由數據處理者與境外接收方在滿足安全評估要求的前提下自由約定，而后者主要條款由國家網信部門制定；3）前者屬于事前監管的范疇，后者屬于事后監管的范疇。

4.結語

相較于17年和19年兩版評估辦法，本《評估辦法》所建立的管理體系更加成熟和完備，無論是在概念還是在制度建設方面都與上位法及其他相關數據跨境流動安全管理規定形成良好的銜接。隨著“重要數據”等概念、范圍的進一步明晰，以及其他配套法規政策文件的不斷出臺，《評估辦法》的實施標志我國在搭建數據出境安全管理制度的工作中邁出了重要且堅實的一步。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。