更深入的数据合规与保护要求：数据跨境流转（一）

更深入的数据合规与保护要求：数据跨境流转（一）

IXCDC

数据跨境流转

一、数据跨境流转的相关法律规范

我国对于数据跨境流转的态度是十分审慎的，对于数据跨境流转的规定也颇为丰富，且成体系。具体来说包括《国家安全法》、《网络安全法》、《个人信息保护法（征求意见稿）》、《数据安全法》、《个人信息出境办法（征求意见稿）》、《个人信息和重要数据出境安全评估办法（征求意见稿）》、《数据出境安全评估指南（征求意见稿）》等。其中，《网络安全法》对数据出境做了概括性规定，《个人信息保护法（征求意见稿）》和《数据安全法》则对个人信息出境和其他数据出境做了区别规定，《个人信息出境办法（征求意见稿）》、《个人信息和重要数据出境安全评估办法（征求意见稿）》、《数据出境安全评估指南（征求意见稿）》以及后续配套《数据安全法》的若干实施细则将组成数据出境的具体操作指南。

数据出境法律法规图解：

序号

法律法规

定位

相关法条

相关内容

1

《国家安全法》

确定数据出境的基本原则。

第11条

数据出境以不危害国家安全为底线要求。

2

《网络安全法》

第37条、第42条

第42条确立了数据出境的“告知同意”一般原则。第37条与《数据安全法》第31条组成了重要数据出境的一般规则。

3

《个人信息保护法（征求意见稿）》

分别规定了个人信息和其他数据如工业数据的出境规范。

第三章 第38至43条、第七章 第65、66、68、69、70条

确立了个人信息出境的一般规则。

4

《数据安全法》

第31条、第46条

确立了重要数据出境的一般规则。

5

《个人信息出境安全评估办法（征求意见稿）》

对个人信息出境的安全评估工作做了细致规定。

全文（共21条）

规定了个人信息出境安全评估的部门、申请材料、评估内容、出境记录、需要暂停或终止向境外提供的情形、出境合同应载明的内容、数据提供与接收方的义务、向第三方传输的例外、安全分析报告应包含的内容等内容。

6

《个人信息和重要数据出境安全评估办法（征求意见稿）》

对个人信息和重要数据出境安全评估工作的细则性规定。

全文（共18条）

规定了“告知同意”规则的一般要求与未成年人特别要求、重点评估内容、应报请安全评估的条件、不得出境的情况、年度自评估义务等内容。

7

《数据出境安全评估指南（征求意见稿）》

对数据出境安全评估工作的国标指引。

全文（含附录A、B）

规定了数据出境安全评估的流程、要点、重要数据识别及评估方法等内容。

数据出境是企业数据跨境交易中的重点环节，也是监管机构的关注焦点。从我国近期的立法动态来看，我国对数据出境的问题愈发重视，主要体现为法罚力度加大和出境简化试点。2021年6月10日通过的《数据安全法》将违反相关法律违规数据出境行为的法罚标准调整至顶格一千万元的标准，同时直接负责人也将面临顶格一百万元的罚款。另一方面，同一天通过的《海南自由贸易港法》第42条规定国家将在海南探索基于“安全有序自由便利”原则实施区域性国际数据跨境流动制度试点。无论是从相关法律文件还是国家战略安排来看，可以预见海南自由贸易港将在数据出境规则方面有别于中国内地，会实行更加便捷，对跨国企业的数据义务更少的相关规范。在我国整体加码数据安全的大背景下，跨国企业可以重点关注海南自由贸易港，选择在海南自由贸易港建立数据中心或进行数据出境业务。

二、个人信息和重要数据出境的定义

（一）个人信息和重要数据出境的法律定义

《个人信息出境安全评估办法（征求意见稿）》第2条对个人信息出境的定义是“网络运营者向境外提供在中华人民共和国内运营中收集的个人信息”。

《个人信息和重要数据出境安全评估办法（征求意见稿）》第17条对数据出境的定义是“是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据，提供给位于境外的机构、组织、个人。”其中网络运营者是指网络的所有者、管理者和网络服务提供者。

《数据出境安全评估指南（征求意见稿）》第3.6条对数据出境的定义是“将在中华人民共和国境内收集和产生的电子形式的个人信息和重要数据，提供给境外机构、组织、个人的一次性活动或连续性活动。但境外数据经由中华人民共和国中转，未经任何变动或加工处理的情形不属于数据出境。”

上述各条款对“数据出境”的定义大同小异，但又有所不同。综合来看，“数据出境”可以定义为“网络所有者、管理者和网络服务提供者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据提供给境外机构、组织、个人的一次性活动或连续性活动。”从这一表述可以剥离出三个法律概念：

一是数据提供主体，包括但不限于境内的网络所有者、管理者和网络服务者。

二是用于出境的数据标的，只限于在中华人民共和国境内运营中收集和产生的个人信息和重要数据，因此过境我国或通过我国经传第三国的数据不再此列。

三是数据出境接收方，可以说境外机构、组织或个人。

（二）个人信息和重要数据出境行为的识别

1.主体识别

我国在数据出境的有关规定中虽然未对数据提供主体作出在境内的具体限制，但是从行业准入设计以及数据的本地存储义务来看，实际上潜在要求网络运营者位于境内，或至少其实际在境内运营网络数据业务分支机构位于境内。此外，这一规定的用意还在于强调以境内活动且有关数据涉及境内公民个人信息或其他重要数据为标准，而不是以网络运营者是否境内注册，或位于境内来作为判断标准。

2.行为识别

行为识别的重点在于何为“出境”。根据《数据安全出境评估指南（征求意见稿）》的规定，此处的“出”既包括实际意义上的离开国境，也包括未实际离开国境而视为离开国境的情形。数据虽然存储于境内但用于境外机构、组织、个人访问的同样视为出境。此处的“境”即指实际意义上的边境也指法律意义上的国境，也即一国司法管辖区域，因此向港澳台传输也属于出境，但向海南自由贸易港传输不属于数据出境。

3.标的识别

“数据出境”中规定的数据仅包括个人信息、重要数据和国家核心数据，目前国家核心数据缺少细则规定在此暂不讨论。关于个人信息、重要数据识别已在第二章释明，这里不做赘述。

三、个人信息出境的“告知同意”

个人信息出境必须遵守“告知同意”规则，《个人信息告知同意指南》第5.4a条规定涉及个人信息出境时必须对个人信息主体告知出境的原因、目的、方式和可能产生的影响等，并征得个人信息主体的同意。

具体来说告知的内容包括：出境个人信息类型、个人信息出境的目的、个人信息出境的处理方式和出境可能产生的影响，告知内容应当便于理解，准确不会产生歧义，不具有误导性，并对可能对个人信息主体产生的影响进行释明，确保个人信息主体在充分理解的情况下作出同意或不同意决定。出境个人信息中包括儿童个人信息（《儿童个人信息网络保护规定》第2条规定本规定所指儿童为不满14周岁未成年人），还应当以显著清晰地方式告知儿童的监护人并征得监护人同意。同意应当以书面形式或积极地主动肯定性动作作出，不得以默示方式作出。

四、个人信息出境记录留存

《个人信息出境办法》第8条对人信息出境记录的留存做出了规定。个人信息出境留存记录应包括：出境时间、接受者身份详细信息、信息类型数量及敏感程度。个人信息出境记录应至少保存5年。建议企业对所有出境的个人信息逐份建立台账，建档立卡，并做好归档保存和备份工作。

不看此公众号