数据出境与安全评估要点浅议

数据出境与安全评估要点浅议

张晓宇 夏晨斌

一、数据跨境流转的相关法律规范

我国对于数据跨境流转的态度是十分审慎的，对于数据跨境流转的规定也颇为丰富，且成体系。具体来说包括《国家安全法》、《网络安全法》、《个人信息保护法（征求意见稿）》、《数据安全法》、《个人信息出境办法（征求意见稿）》、《个人信息和重要数据出境安全评估办法（征求意见稿）》、《数据出境安全评估指南（征求意见稿）》等。其中，《网络安全法》对数据出境做了概括性规定，《个人信息保护法（征求意见稿）》和《数据安全法》则对个人信息出境和其他数据出境做了区别规定，《个人信息出境办法（征求意见稿）》、《个人信息和重要数据出境安全评估办法（征求意见稿）》、《数据出境安全评估指南（征求意见稿）》以及后续配套《数据安全法》的若干实施细则将组成数据出境的具体操作指南。

数据出境法律法规图解：

数据出境是企业数据跨境交易中的重点环节，也是监管机构的关注焦点。从我国近期的立法动态来看，我国对数据出境的问题愈发重视，主要体现为法罚力度加大和出境简化试点。2021年6月10日通过的《数据安全法》将违反相关法律违规数据出境行为的法罚标准调整至顶格一千万元的标准，同时直接负责人也将面临顶格一百万元的罚款。

另一方面，同一天通过的《海南自由贸易港法》第42条规定国家将在海南探索基于“安全有序自由便利”原则实施区域性国际数据跨境流动制度试点。无论是从相关法律文件还是国家战略安排来看，可以预见海南自由贸易港将在数据出境规则方面有别于中国内地，会实行更加便捷，对跨国企业的数据义务更少的相关规范。在我国整体加码数据安全的大背景下，跨国企业可以重点关注海南自由贸易港，选择在海南自由贸易港建立数据中心或进行数据出境业务。

二、个人信息和重要数据出境的定义

1.个人信息和重要数据出境的法律定义

《个人信息出境安全评估办法（征求意见稿）》第2条对个人信息出境的定义是“网络运营者向境外提供在中华人民共和国内运营中收集的个人信息”。

《个人信息和重要数据出境安全评估办法（征求意见稿）》第17条对数据出境的定义是“是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据，提供给位于境外的机构、组织、个人。”其中网络运营者是指网络的所有者、管理者和网络服务提供者。

《数据出境安全评估指南（征求意见稿）》第3.6条对数据出境的定义是“将在中华人民共和国境内收集和产生的电子形式的个人信息和重要数据，提供给境外机构、组织、个人的一次性活动或连续性活动。但境外数据经由中华人民共和国中转，未经任何变动或加工处理的情形不属于数据出境。”

上述各条款对“数据出境”的定义大同小异，但又有所不同。综合来看，“数据出境”可以定义为“网络所有者、管理者和网络服务提供者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据提供给境外机构、组织、个人的一次性活动或连续性活动。”从这一表述可以剥离出三个法律概念：一是数据提供主体，包括但不限于境内的网络所有者、管理者和网络服务者。二是用于出境的数据标的，只限于在中华人民共和国境内运营中收集和产生的个人信息和重要数据，因此过境我国或通过我国经传第三国的数据不再此列。三是数据出境接收方，可以说境外机构、组织或个人。

2.个人信息和重要数据出境行为的识别

（1）主体识别

我国在数据出境的有关规定中虽然未对数据提供主体作出在境内的具体限制，但是从行业准入设计以及数据的本地存储义务来看，实际上潜在要求网络运营者位于境内，或至少其实际在境内运营网络数据业务分支机构位于境内。此外，这一规定的用意还在于强调以境内活动且有关数据涉及境内公民个人信息或其他重要数据为标准，而不是以网络运营者是否境内注册，或位于境内来作为判断标准。

（2）行为识别

行为识别的重点在于何为“出境”。根据《数据安全出境评估指南（征求意见稿）》的规定，此处的“出”既包括实际意义上的离开国境，也包括未实际离开国境而视为离开国境的情形。数据虽然存储于境内但用于境外机构、组织、个人访问的同样视为出境。此处的“境”即指实际意义上的边境也指法律意义上的国境，也即一国司法管辖区域，因此向港澳台传输也属于出境，但向海南自由贸易港传输不属于数据出境。

（3）标的识别

“数据出境”中规定的数据仅包括个人信息、重要数据和国家核心数据，目前国家核心数据缺少细则规定在此暂不讨论。关于个人信息、重要数据识别已在第二章释明，这里不做赘述。

三、个人信息出境的“告知同意”

个人信息出境必须遵守“告知同意”规则，《个人信息告知同意指南》第5.4a条规定涉及个人信息出境时必须对个人信息主体告知出境的原因、目的、方式和可能产生的影响等，并征得个人信息主体的同意。

具体来说告知的内容包括：出境个人信息类型、个人信息出境的目的、个人信息出境的处理方式和出境可能产生的影响，告知内容应当便于理解，准确不会产生歧义，不具有误导性，并对可能对个人信息主体产生的影响进行释明，确保个人信息主体在充分理解的情况下作出同意或不同意决定。出境个人信息中包括儿童个人信息（《儿童个人信息网络保护规定》第2条规定本规定所指儿童为不满14周岁未成年人），还应当以显著清晰地方式告知儿童的监护人并征得监护人同意。同意应当以书面形式或积极地主动肯定性动作作出，不得以默示方式作出。

四、个人信息出境记录留存

《个人信息出境办法》第8条对人信息出境记录的留存做出了规定。个人信息出境留存记录应包括：出境时间、接受者身份详细信息、信息类型数量及敏感程度。个人信息出境记录应至少保存5年。建议企业对所有出境的个人信息逐份建立台账，建档立卡，并做好归档保存和备份工作。

五、数据出境的安全评估流程

1.数据出境安全评估宏观流程

数据出境的宏观评估流程主要分两步走，第一步是出境目的审查，数据出境必须具有合法、正当且必要的目的，因此数据出境的第一步就是对数据出境的目的进行评估，主要评估数据出境目的或者理由是否合法、是否正当也即合理、是否为业务所必须。若不能通过数据出境目的评估则无法进入第二步，数据不得出境。通过了数据出境目的评估的数据将进入安全评估的第二步，即安全风险评估，通过安全风险评估的数据准予出境，未通过评估的不予出境。

数据出境安全评估宏观流程图

2.数据出境安全评估微观流程

（1）自评估型

a.自评估程序启动：涉及数据出境的启动自评估程序，多次出境的需要多次评估。但数据出境的目的、接受方相同，范围、类型、数量未发生较大变化且两次出境时间不超过一年的视为连续出境，免于重复评估。

b.组建自评估工作组：自评估工作组由企业自行组建，工作组应包括法务、安全、技术和相关管理人员，工作组负责审核出境计划，并对出境情况督导检查。

c.制定数据出境计划：企业业务部门自行编制数据出境计划，计划至少应当包括个人信息的类型、数量、范围和敏感度；重要数据类型、数量、范围；信息系统情况；数据发送方安保能力情况、接收方安保能力情况及其所在国相关政策情况。

d.进行出境目的评估：工作组根据出境目的评估要点对目的展开评估，对不符合出境目的要求的，不予出境，符合要求的，进入安全风险评估流程。

e.进行安全风险评估：工作组根据安全评估要点进行安全评估，对不符合安全风险保障要求的，不予出境，符合要求的，准予出境，并做评估报告。

f.形成自评估报告：自评估报告由工作组起草，报告至少应包括：被评估对象的基本情况、评估工作组织情况、评估结果、主要安全风险点及检查修正建议。报告应至少保存2年。

g.修正程序：数据出境如在目的评估、安全风险评估和主管部门审查三个环节被否定，可以进入修正程序，工作组可以对出境计划提出修正建议，并重新开展自评估。

h.报送主管部门：并非所有报告都需要向主管部门报送，符合以下条件的需要向主管部门报送：涉及关键信息基础设施运营者及与关键信息基础设施相关的安防信息；数据出境数量达到上报要求；数据包括核设施、生化、军工、人口健康数据、大型工程活动和海洋环境敏感地理信息数据的；其他可能影响国家安全、经济发展和社会公共利益的。

（2）主管部门评估型

a.主管部门评估程序启动：出境数据涉及关键信息基础设施运营者及与关键信息基础设施相关的安防信息；数据出境数量达到上报要求；数据包括核设施、生化、军工、人口健康数据、大型工程活动和海洋环境敏感地理信息数据的；其他可能影响国家安全、经济发展和社会公共利益的。或者数据提供方受到大量用户投诉、举报。或者全国性行业协会建议的；国家网信部门及行业主管部门认为确有必要的。

b.进行出境目的评估：主管部门将根据出境目的评估要点对目的展开评估，对不符合出境目的要求的，不予出境，符合要求的，进入安全风险评估流程。

c.进行安全风险评估：工作组根据安全评估要点进行安全评估，对不符合安全风险保障要求的，不予出境，符合要求的，准予出境，并做评估报告。

d.专家委员会审议：专家委员会负责对企业自评估报告及主管部门评估报告进行审议，并给出出境建议。

e.形成书面结论：根据专家委员会审议建议给出最终出境决定。主管部门评估型程序中没有修正程序，所有流程不得修正。

六、出境目的及安全风险评估要点

1.出境目的评估要点

出境目的评估主要针对出境目的的三性展开，即合法性、正当性和必要性。

（1）合法性即指不违反法律法规和有关部门规章的禁止性规定。

（2）正当性即指已取得个人信息主体的同意，且取得同意的方式、内容不违反相关规定。

（3）必要性即指数据出境为履行合同所必须、组织机构内部开展业务所必须、我国政府履行公务所必须、履行我国政府所签署的国际条约所必须或者其他维护网络空间主权和国家安全、经济发展、社会公共利益和保护公民合法利益所需要的情形。

2.安全风险评估要点

（1）概况

数据出境的安全风险评估要点大致可以归纳分类为两大方面，一是针对数据本身的安全风险评估，包括个人信息和重要数据的属性、类型、数量、范围、敏感程度和技术处理情况等。

二是数据出境可能带来的安全风险和影响程度，具体包括企业发送数据的技术能力和管理能力、数据接收方的安全保护能力及应急处置能力、数据接收方所在国的数据保护法律法规是否健全等。

（2）个人信息属性评估要点

a.个人信息、个人敏感信息类别与敏感程度认定见前节：个人信息、敏感信息、重要数据的认定。

b.数量：应对个人信息主体数量和主要人群的群体特征进行评估，赴海外上市的，以掌握个人信息100万条为界限，掌握个人信息100万条以上者，赴海外上市的，不论出境数据规模都需要申报网络安全审查。从目前滴滴APP下架案来看，数据出境规模巨大会被认为对国家安全造成危害，被禁止出境。

c.最小化要求：a)向境外传输的个人信息应与出境目的相关的业务功能有直接关联，即缺少该信息的参与，相应功能无法实现；b)向境外自动传输个人信息的频率应与数据出境目的相关的业务开展所需频率匹配；c)向境外自动传输个人信息的数量应与数据出境目的相关的业务开展所需数量匹配。

d.技术处理情况：a)是否在出境前对个人信息进行了数据脱敏处理；b)信息脱敏效果是否有效可靠，达到了一般情况下的不可还原。

（3）重要数据属性评估要点

a.重要数据类型见前节：个人信息、敏感信息、重要数据的认定。

b.数量：应评估重要数据出境数量，何种数量级的重要数据会限制出境仍然有待实务验证。

c.最小化要求：a)向境外传输的数据应与出境目的相关的业务供应有直接关联，即没有该数据的参与，相应功能无法实现；b)向境外传输数据的频率应与数据出境目的相关的业务开展所需频率匹配；c)向境外传输数据的数量应与数据出境目的相关的业务开展所需数量匹配。

d.技术处理情况：a)是否在出境前对数据进行了数据脱敏处理；b)数据脱敏效果是否有效可靠，达到了一般情况下的不可还原。

（4）数据发送方安全保护能力评估要点

a.安全管理制度：a)应具备数据出境安全管理体系，包括但不限于：安全策略、管理制度、数据出境安全操作流程；b)安全策略管理文件中应包含：总体目标、原则、总体框架等；c)安全管理制度中应对出境数据的数量、范围、类型及其敏感程度等进行描述；4)数据出境安全操作流程应包括：数据出境计划、数据出境安全评估报告等。

b.人员管理：a)应在组织内部指定数据出境安全管理人员，并确保其履行相应职责，包括但不限于：数据出境的审计、评估报告的编写与提交、配合主管部门监督检査、处理有关纠纷等；b)应在组织内部建立数据出境相关人员的培训和考核机制。

c.合同约束：a)应约定数据接收方的数据处理目的、方式和取得安全措施；b)应约定数据接收方配合数据发送方对数据出境活动进行调查；c)应约定在未获得数据发送方的授权前提下，数据接收方不得对数据进行公开披露及再转移；d)应约定数据接收方使用、留存数据的合法周期及超出合法周期后数据接收方应对数据采取的处理措施如：删除、销毁等；e)应约定数据接收方配合数据发送方响应个人信息主体的请求，如：访问、更正、删除等。

d.审计机制：a)应对数据出境安全策略、管理制度、出境操作流程以及安全措施的有效性进行审计，并形成审计结果；b)审计结果应能支持事件的处置、应急响应和事后调查；c)应防止非授权访问、算改或删除审计记录。

e.技术保障能力：a)具备数据传输安全保障能力，如加密技术等；b)是否具备对数据安全事件的技术预警、检测和应急能力；c)是否具备数据安全防护体系，能够保障接收数据的保密性、完整性和可用性；d)是否对数据处理过程进行身份识别与访问控制管制；e)是否具备数据接收日志安全防篡改保存能力，日志应包括数据接收时间、数据类型、数量、范围、接收方式、发送方信息，数据日志应保存至少2年；f)应具备对数据出境传输的安全评估、安全漏洞发现及修复能力；h)若数据出境需要中转第三国，应采取相关技术手段保障中转过程中数据不被非法访问或调取。

（5）数据接收方安全保护能力评估要点

a.接收方背景情况：包括数据接收方是否具有真实有效的数据处理主体资格、是否曾经发生过数据安全事件，如有，事件处置结果如何、涉及重要数据出境的，应调查清楚接收方股东构成和主管部门背景信息。

b.接收方安全制度建设情况：

一是是否建立安全管理机制：包括a)是否依据业务需要和数据安全合规要求制定并执行数据安全管理方略；b)是否建立数据接收、保存、使用、传输、销毁等全流程的安全管理制度并有细化要求；c)是否建立数据安全风险预警、应急处置和问责救济机制。

二是是否建立人员管理机制：包括a)是否指定数据安全管理机构和人员，并确保其履职尽责；b)数据处理和管理人员是否具备数据安全的相关知识与技能，能够执行数据安全合规要求。

三是是否建立审计机制：包括a)是否有应对数据安全的管理策略、制度、流程及安全审计机制；b)是否已开展审计工作并形成有效审计结果、审计结果是否能支持相关安全事件的应急处置和事后调查；c)安全审计记录是否无法随意篡改。

四是是否建立应急处置机制：包括a)是否制定数据安全事件应急处置预案，如已制定，预案是否包括应急处置、安全事件告知和上报等内容；b)是否定期对相关人员开展应急培训和演练、在曾经发生的事故中是否有效启动应急预案并及时告知数据发送方；c)是否及时更新应急预案。

五是是否具备技术手段保障能力：包括a)是否具备对数据安全事件的技术预警、检测和应急能力；b)是否具备数据安全防护体系，能够保障接收数据的保密性、完整性和可用性；c)是否对数据处理过程进行身份识别与访问控制管制；d)是否具备数据接收日志安全防篡改保存能力，日志应包括数据接收时间、数据类型、数量、范围、接收方式、发送方信息，数据日志应保存至少2年；e)是否具备数据处理全过程安全技术审计能力；f)是否对数据存储介质有安全管理、数据备份和恢复能力。

c.数据接收方所在国数据安全法规保障情况：一是个人信息方面，涉及个人信息出境时，对数据接收方所在国家或地区的政治法律环境的评估包括：a)该国家或地区现行的个人信息保护法律法规及普遍适用的标准情况；b)该国家或地区加入的区域或全球性的个人信息保护方面的组织，以及所做出的具有约束力的承诺；c)该国家或地区落实个人信息保护的机制，如：是否具备负责个人信息保护的执法机构和相关司法机构等。二是重要数据方面，涉及重要数据出境时，对数据接收方所在国家或地区的政治法律环境评估包括a)该国家或地区在数据安全方面现行的法律法规及普遍适用的标准情况：b)该国家或地区主管数据安全的执法机构和相关司法机构等；c)该国家或地区的执法机构、司法机构等部门调取数据的权力和法律程序；d)该国家或地区与其他国家或地区之间是否缔结有关数据流通、共享等方面的双边或多边协定，包括在执法、监管等方面数据流通、共享的双多边协定。