走出去智庫觀察

9月1日，《中華人民共和國數(shù)據(jù)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》正式施行，均對數(shù)據(jù)跨境做出相關(guān)規(guī)定。新出臺的《個人信息保護法》更是對數(shù)據(jù)跨境流動的規(guī)則作出了較為具體的規(guī)定。企業(yè)如何做好出境數(shù)據(jù)合規(guī)，成為關(guān)注的主要問題。

走出去智庫（CGGT）特約法律專家、金誠同達律師事務(wù)所高級合伙人彭凱指出，《數(shù)據(jù)安全法》將“重要數(shù)據(jù)”的出境安全管理進行了二分監(jiān)管，即對于“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)”出境，直接援引《網(wǎng)絡(luò)安全法》的規(guī)定；但對于“其他數(shù)據(jù)處理者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)”，則需進一步由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定出境安全管理辦法，這也填補了非關(guān)鍵信息基礎(chǔ)設(shè)施運營者的其他主體在向境外提供重要數(shù)據(jù)時的監(jiān)管空白。

如何做好數(shù)據(jù)出境的合規(guī)管理？今天，走出去智庫（CGGT）刊發(fā)金誠同達律師事務(wù)所彭凱、周晨黠、宋海新主編的《數(shù)據(jù)安全法合規(guī)指引》白皮書中涉及數(shù)據(jù)出境的內(nèi)容，供關(guān)注跨境數(shù)據(jù)合規(guī)的讀者參考。

要 點

CGGT，CHINA GOING GLOBAL THINKTANK

1、《個人信息保護法》進一步規(guī)定了個人信息的境內(nèi)存儲原則，規(guī)定“國家機關(guān)處理的個人信息”和“關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者在中華人民共和國境內(nèi)收集和產(chǎn)生的個人信息”需要以境內(nèi)存儲為原則。

2、重要數(shù)據(jù)出境，對于關(guān)鍵信息基礎(chǔ)設(shè)施的運營者，需按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行安全評估；對于一般的數(shù)據(jù)處理企業(yè)，需進一步由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定出境安全管理辦法。

3、需要注意的是，此處的數(shù)據(jù)出境問題并未包含關(guān)于數(shù)據(jù)對外共享的討論，但是考慮到數(shù)據(jù)出境往往伴隨著集團數(shù)據(jù)融合共享、公司對外共享數(shù)據(jù)等場景，因此亦很可能涉及到數(shù)據(jù)共享的相關(guān)規(guī)制，并進而引發(fā)新的合規(guī)要求。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

文/彭凱 周晨黠 宋海新

金誠同達律師事務(wù)所

自《網(wǎng)絡(luò)安全法》實施以來，數(shù)據(jù)的本地化存儲要求與出境合規(guī)就一直備受關(guān)注，也是眾多跨國公司合規(guī)工作中的難點，《數(shù)據(jù)安全法》第三十一條，則自草案二審稿開始，加入了關(guān)于重要數(shù)據(jù)出境的相關(guān)管理要求。

此前關(guān)于這一問題的相關(guān)規(guī)定，主要以《網(wǎng)絡(luò)安全法》為總領(lǐng)，輔以《GB/T35273—2020信息安全技術(shù)個人信息安全規(guī)范》等國家標準作為規(guī)范參考。在相關(guān)規(guī)范尚不健全的情況下，還存在《個人信息保護法》《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》《信息安全技術(shù)數(shù)據(jù)出境安全評估指南（草案）》《個人信息出境安全評估辦法（征求意見稿）》《數(shù)據(jù)安全管理辦法（征求意見稿）》等一系列尚未生效的法規(guī)、指南和標準，一定程度上也代表監(jiān)管部門對這一問題的看法。

也正是因為相關(guān)規(guī)范尚不健全，而尚未生效的法規(guī)、指南和標準又將相應(yīng)的合規(guī)要求進行了提升，實踐中對于哪些數(shù)據(jù)需要境內(nèi)存儲、數(shù)據(jù)出境需要履行什么手續(xù)等問題存在較大的爭議。

1、原則上需要本地化存儲的數(shù)據(jù)

在《網(wǎng)絡(luò)安全法》框架下，以境內(nèi)存儲為原則的數(shù)據(jù)主要系指“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)”。

作為《網(wǎng)絡(luò)安全法》的初期配套文件，《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》將境內(nèi)存儲為原則的數(shù)據(jù)擴張為“網(wǎng)絡(luò)運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)”。

在重要數(shù)據(jù)與個人信息分軌監(jiān)管后，《個人信息出境安全評估辦法（征求意見稿）》取代了上述《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》，其中對于個人信息的出境，不再以本地化存儲為原則，而是以安全評估先于個人信息出境為原則。但在辦法未落地的情況下，相關(guān)的安全評估亦無法實際開展，因此我們認為實質(zhì)上并未改變以本地化存儲為原則的現(xiàn)狀。

《個人信息保護法》進一步規(guī)定了個人信息的境內(nèi)存儲原則，規(guī)定“國家機關(guān)處理的個人信息”和“關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者在中華人民共和國境內(nèi)收集和產(chǎn)生的個人信息”需要以境內(nèi)存儲為原則。在上述復雜規(guī)定之下，《數(shù)據(jù)安全法》更進一步，將以境內(nèi)存儲為原則的數(shù)據(jù)擴展為所有的“在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)”。

結(jié)合上述法律、法規(guī)和文件，我們總結(jié)了現(xiàn)階段必須以境內(nèi)本地化存儲為原則的數(shù)據(jù)，具體包括：

1）在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)；

2）在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息；

3）國家機關(guān)處理的個人信息。

2、數(shù)據(jù)出境的前提與手續(xù)

在《網(wǎng)絡(luò)安全法》框架下，“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)”如需向境外提供的，需按照“國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法”進行安全評估。

《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》則對“網(wǎng)絡(luò)運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)”向境外提供的行為設(shè)置了安全評估的要求，并對“含有或累計含有50萬人以上的個人信息”“數(shù)據(jù)量超過1000GB”“包含核設(shè)施、化學生物、國防軍工、人口健康等領(lǐng)域數(shù)據(jù)，大型工程活動、海洋環(huán)境以及敏感地理信息數(shù)據(jù)等”“包含關(guān)鍵信息基礎(chǔ)設(shè)施的系統(tǒng)漏洞、安全防護等網(wǎng)絡(luò)安全信息”“關(guān)鍵信息基礎(chǔ)設(shè)施運營者向境外提供個人信息和重要數(shù)據(jù)”等情形下的數(shù)據(jù)出境附加了“報請行業(yè)主管或監(jiān)管部門組織安全評估”的要求。另外對于個人信息的出境，也提出了“同意”這一前置要求。

而后《個人信息出境安全評估辦法（征求意見稿）》將個人信息的出境評估義務(wù)變更為由網(wǎng)絡(luò)運營者向所在地省級網(wǎng)信部門申報個人信息出境安全評估，但因為該辦法未生效，也尚不存在報請省級網(wǎng)信部門進行出境安全評估的渠道。

《個人信息保護法》進一步將安全評估劃分為，如屬于“國家機關(guān)處理的個人信息”出境，需進行安全評估（未規(guī)定主體，從文義而言應(yīng)由出境的國家機關(guān)自行評估）；如屬于“關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者在中華人民共和國境內(nèi)收集和產(chǎn)生的個人信息”出境，則需通過國家網(wǎng)信部門組織的安全評估。此外，對于個人信息出境行為，除了通過國家網(wǎng)信部門組織的安全評估外，還設(shè)置了“按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進行個人信息保護認證”“按照國家網(wǎng)信部門制定的標準合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)，并監(jiān)督其個人信息處理活動達到本法規(guī)定的個人信息保護標準”等可選方案，一定程度上放寬了個人信息出境問題的監(jiān)管態(tài)勢。

《數(shù)據(jù)安全法》將“重要數(shù)據(jù)”的出境安全管理同樣進行了二分監(jiān)管，即對于“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)”出境，直接援引《網(wǎng)絡(luò)安全法》的規(guī)定；但對于“其他數(shù)據(jù)處理者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)”，則需進一步由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定出境安全管理辦法，這也填補了非關(guān)鍵信息基礎(chǔ)設(shè)施運營者的其他主體在向境外提供重要數(shù)據(jù)時的監(jiān)管空白。

結(jié)合上述法律、法規(guī)和文件，我們梳理了針對企業(yè)不同類型數(shù)據(jù)在出境時的不同前提與手續(xù)，具體包括：

1）個人信息出境，在告知并征得信息主體個人的同意、經(jīng)個人信息保護影響評估并記錄出境情況后，對于關(guān)鍵信息基礎(chǔ)設(shè)施的運營者，需按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行安全評估；對于一般的網(wǎng)絡(luò)運營者，可能選擇“按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進行個人信息保護認證”或“按照國家網(wǎng)信部門制定的標準合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)”，并監(jiān)督其個人信息處理活動達到本法規(guī)定的個人信息保護標準等其他方式；

2）重要數(shù)據(jù)出境，對于關(guān)鍵信息基礎(chǔ)設(shè)施的運營者，需按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行安全評估；對于一般的數(shù)據(jù)處理企業(yè)，需進一步由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定出境安全管理辦法。

同時需要注意的是，此處的數(shù)據(jù)出境問題并未包含關(guān)于數(shù)據(jù)對外共享的討論，但是考慮到數(shù)據(jù)出境往往伴隨著集團數(shù)據(jù)融合共享、公司對外共享數(shù)據(jù)等場景，因此亦很可能涉及到數(shù)據(jù)共享的相關(guān)規(guī)制，并進而引發(fā)新的合規(guī)要求。

3、數(shù)據(jù)出境安全評估

考慮到目前國家網(wǎng)信部門尚未發(fā)布標準合同，個人信息保護認證機構(gòu)也未設(shè)立，相應(yīng)的網(wǎng)信部門安全評估制度亦未成型，為了滿足日益趨嚴的監(jiān)管要求，結(jié)合參考包括《信息安全技術(shù)數(shù)據(jù)出境安全評估指南（草案）》《GB/T 39335-2020 信息安全技術(shù) 個人信息安全影響評估指南》等在內(nèi)的眾多草案、指南、標準，我們建議有數(shù)據(jù)出境需求的企業(yè)可自行組織數(shù)據(jù)出境安全評估，一方面可以作為向監(jiān)管部門證明履行相關(guān)數(shù)據(jù)保護義務(wù)的重要參考資料，另一方面也可以為未來的合規(guī)工作做好鋪墊，未雨綢繆。

針對具體的數(shù)據(jù)出境場景，企業(yè)可從數(shù)據(jù)出境的合法正當、風險可控兩方面展開數(shù)據(jù)出境安全評估，具體而言：

1）合法正當，包括數(shù)據(jù)合法性、授權(quán)同意的合法性，業(yè)務(wù)活動、履行合同的正當性等維度；

2）風險可控，包括數(shù)據(jù)屬性（類型、敏感度、數(shù)量、范圍、技術(shù)處理情況等維度）、收發(fā)雙方的技術(shù)和管理能力、數(shù)據(jù)接收方所在國家或地區(qū)的整體法律環(huán)境等維度。

如評估結(jié)果顯示數(shù)據(jù)出境的安全風險為極高或高的，企業(yè)可進一步修正數(shù)據(jù)出境計劃，并對修正后的數(shù)據(jù)出境計劃重新進行評估。

4、違法向境外提供重要數(shù)據(jù)的法律責任

從上述歷次版本變更對比可以看出，《數(shù)據(jù)安全法》在正式稿增加了違法向境外提供重要數(shù)據(jù)的法律責任的規(guī)定，這里的法律責任主要適用于關(guān)鍵信息基礎(chǔ)設(shè)施運營者之外的數(shù)據(jù)處理者。

對于關(guān)鍵信息基礎(chǔ)設(shè)施的運營者而言，因為《數(shù)據(jù)安全法》第三十一條明確關(guān)鍵信息基礎(chǔ)設(shè)施的運營者的重要數(shù)據(jù)出境安全管理適用《網(wǎng)絡(luò)安全法》的規(guī)定，其法則亦主要指向《網(wǎng)絡(luò)安全法》第六十六條的規(guī)定。

對于關(guān)鍵信息基礎(chǔ)設(shè)施運營者之外的數(shù)據(jù)處理者，如果違反后續(xù)國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的重要數(shù)據(jù)出境安全管理辦法的規(guī)定，需要承擔責令改正、警告、罰款的法律責任，情節(jié)嚴重的，除罰款額度提高外，還可以一并責令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照。

延展閱讀

數(shù)據(jù)合規(guī)觀察 | 面臨新一輪數(shù)據(jù)監(jiān)管浪潮，如何做好個保法、數(shù)安法與網(wǎng)安法三法合規(guī)聯(lián)動

跨境數(shù)據(jù)合規(guī) | 合規(guī)創(chuàng)造價值：新經(jīng)濟領(lǐng)域（擬）上市企業(yè)的若干合規(guī)要點分析

跨境數(shù)據(jù)合規(guī) |《數(shù)據(jù)安全法》亮點解讀：明確重要數(shù)據(jù)出境安全管理制度

跨境合規(guī)實務(wù) | 美國又將7家中國超算實體列入清單，中企如何防范具體業(yè)務(wù)相關(guān)風險

反壟斷觀察 | “一分規(guī)，九分合”：從史上最高罰單看企業(yè)反壟斷合規(guī)的重要性

專家簡介

彭凱

執(zhí)業(yè)領(lǐng)域：網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)、金融科技、公司治理與合規(guī)、收并購

走出去智庫（CGGT）特約法律專家，金誠同達律師事務(wù)所高級合伙人，兼任復旦大學法律碩士專業(yè)學位實務(wù)導師，復旦大學法學院實務(wù)課程講師，廈門市地方金融協(xié)會調(diào)解員，多家機構(gòu)簽約講師，浪巔Shairk Intelligence 創(chuàng)始人，十字財經(jīng)聯(lián)合創(chuàng)始人。

執(zhí)業(yè)以來為多家大型互聯(lián)網(wǎng)公司、跨國企業(yè)、知名金融科技企業(yè)、金融機構(gòu)、初創(chuàng)公司等提供常年及各類專項法律服務(wù)，深諳國內(nèi)網(wǎng)絡(luò)安全、數(shù)據(jù)治理、個人信息保護、互聯(lián)網(wǎng)、金融領(lǐng)域法律法規(guī)，個人研究領(lǐng)域聚焦于網(wǎng)絡(luò)安全、金融科技、大數(shù)據(jù)及人工智能，正持續(xù)圍繞該等新興領(lǐng)域進行研究及寫作。

周晨黠

執(zhí)業(yè)領(lǐng)域：網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)、爭議解決、破產(chǎn)重整及保險

金誠同達律師事務(wù)所資深律師，畢業(yè)于上海交通大學法學院，先后獲學士學位（法學及經(jīng)濟學）、碩士學位（法律）。自執(zhí)業(yè)以來為多家金融科技公司、互聯(lián)網(wǎng)企業(yè)、科技公司等提供有關(guān)網(wǎng)絡(luò)安全、數(shù)據(jù)合規(guī)、個人信息與隱私保護等內(nèi)容的咨詢與專項法律服務(wù)。

曾代理包括建設(shè)工程施工合同糾紛、保險合同糾紛、融資租賃合同糾紛、股權(quán)回購糾紛等在內(nèi)的眾多商事爭議解決案件，并在多個房地產(chǎn)建設(shè)工程項目、破產(chǎn)重整項目、內(nèi)部調(diào)查項目中提供全流程專業(yè)法律服務(wù)，目前聚焦于個人信息保護與數(shù)據(jù)合規(guī)、人工智能、大數(shù)據(jù)、網(wǎng)絡(luò)安全等多個新興領(lǐng)域開展研究工作。

宋海新

執(zhí)業(yè)領(lǐng)域：網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)、金融科技、公司治理與合規(guī)、爭議解決

金誠同達律師事務(wù)所資深律師，畢業(yè)于上海交通大學凱原法學院，先后獲學士學位、碩士學位。自執(zhí)業(yè)以來為數(shù)十家互聯(lián)網(wǎng)巨頭、持牌金融機構(gòu)、金融科技企業(yè)、大數(shù)據(jù)企業(yè)、初創(chuàng)公司等提供網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)、金融科技、公司治理與合規(guī)方面的常年及專項法律服務(wù)，并代理/負責包括軟件開發(fā)糾紛、服務(wù)合同糾紛、民間借貸糾紛等在內(nèi)的近十起爭議解決案件。

主筆撰寫數(shù)據(jù)合規(guī)專著1本，參與撰寫金融科技專著1本，主筆撰寫并公開發(fā)布數(shù)據(jù)合規(guī)文章30余篇，主筆撰寫并公開發(fā)布金融科技文章10余篇。深諳國內(nèi)數(shù)據(jù)合規(guī)和金融科技領(lǐng)域法律法規(guī)，個人研究領(lǐng)域聚焦于網(wǎng)絡(luò)安全、大數(shù)據(jù)、人工智能及金融科技。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。