王春暉

(南京郵電大學(xué) 信息產(chǎn)業(yè)發(fā)展戰(zhàn)略研究院，江蘇 南京 210023)

網(wǎng)絡(luò)安全的核心是數(shù)據(jù)安全，在數(shù)據(jù)對(duì)各領(lǐng)域的重要性與日俱增的同時(shí)，數(shù)據(jù)風(fēng)險(xiǎn)與數(shù)據(jù)安全問(wèn)題也愈發(fā)突出，給人類和社會(huì)帶來(lái)了前所未有的挑戰(zhàn)。在此背景下，數(shù)據(jù)出境的安全問(wèn)題不僅關(guān)乎數(shù)據(jù)本身作為重要生產(chǎn)要素的開(kāi)發(fā)利用與安全問(wèn)題，還與國(guó)家主權(quán)、國(guó)家安全、個(gè)人信息權(quán)益、社會(huì)公共利益等休戚相關(guān)。因此，按照總體國(guó)家安全觀的要求，在《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》有關(guān)數(shù)據(jù)和個(gè)人信息出境法律規(guī)則的框架下，制定一部專門(mén)的數(shù)據(jù)出境安全評(píng)估規(guī)定十分必要和迫切。

2021年10月29日，國(guó)家網(wǎng)信辦公布《數(shù)據(jù)出境安全評(píng)估辦法(征求意見(jiàn)稿)》(以下稱“征求意見(jiàn)稿”)，面向社會(huì)征求意見(jiàn)。在廣泛征求意見(jiàn)的基礎(chǔ)上，國(guó)家網(wǎng)信辦對(duì)“征求意見(jiàn)稿”進(jìn)行了修改和完善。2022年7月7日，國(guó)家網(wǎng)信辦公布《數(shù)據(jù)出境安全評(píng)估辦法》(以下簡(jiǎn)稱《辦法》)，并于2022年9月1日起施行。

《辦法》共二十條，對(duì)“征求意見(jiàn)稿”的條款內(nèi)容進(jìn)行了進(jìn)一步細(xì)化和完善，在“征求意見(jiàn)稿”十八條的基礎(chǔ)上增加了兩條，一是數(shù)據(jù)處理者對(duì)評(píng)估結(jié)果有異議的，可以在收到評(píng)估結(jié)果15個(gè)工作日內(nèi)向國(guó)家網(wǎng)信部門(mén)申請(qǐng)復(fù)評(píng)，復(fù)評(píng)結(jié)果為最終結(jié)論(第十三條)；二是增加了對(duì)“重要數(shù)據(jù)”的定義，即是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全等的數(shù)據(jù)(第十九條)。以下就《辦法》的核心要點(diǎn)進(jìn)行解讀和分析。

一、數(shù)據(jù)出境與數(shù)據(jù)出境安全評(píng)估

數(shù)據(jù)出境，主要指在中國(guó)境內(nèi)的數(shù)據(jù)處理者通過(guò)網(wǎng)絡(luò)及其他方式(如物理攜帶)，將其在中國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的數(shù)據(jù)，通過(guò)直接提供或開(kāi)展業(yè)務(wù)、提供服務(wù)、產(chǎn)品等方式提供給境外的組織或個(gè)人的一次性活動(dòng)或連續(xù)性活動(dòng)[1]。

《辦法》第一條規(guī)定，為了規(guī)范數(shù)據(jù)出境活動(dòng)，保護(hù)個(gè)人信息權(quán)益，維護(hù)國(guó)家安全和社會(huì)公共利益，促進(jìn)數(shù)據(jù)跨境安全、自由流動(dòng)，根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》等法律法規(guī)，制定本辦法。

從立法目的看，《辦法》體現(xiàn)了總體國(guó)家安全觀，其中“規(guī)范、保護(hù)、維護(hù)、促進(jìn)”這四個(gè)關(guān)鍵詞在立法目的中是一種遞進(jìn)關(guān)系，規(guī)范數(shù)據(jù)出境活動(dòng)是核心，只有在規(guī)范數(shù)據(jù)出境活動(dòng)的基礎(chǔ)上，方能保護(hù)個(gè)人信息權(quán)益和維護(hù)國(guó)家安全和社會(huì)公共利益，從而實(shí)現(xiàn)促進(jìn)數(shù)據(jù)跨境安全和自由流動(dòng)之目的。數(shù)據(jù)出境安全評(píng)估制度是一項(xiàng)重要的法律制度，主要源于《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》。

首先，2017年6月1日施行的《網(wǎng)絡(luò)安全法》第三十七條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定的辦法進(jìn)行安全評(píng)估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。

這是我國(guó)以法律形式確立數(shù)據(jù)出境需要進(jìn)行安全評(píng)估的規(guī)定，上述規(guī)定有兩層含義：一是關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在國(guó)內(nèi)收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)；二是因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)依法進(jìn)行安全評(píng)估。這條內(nèi)容主要針對(duì)的主體是關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者。

其次，2021年9月1日施行的《數(shù)據(jù)安全法》是我國(guó)首部數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)性立法，該法第三十一條確立了數(shù)據(jù)出境的基本法律規(guī)則，即“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理，適用《網(wǎng)絡(luò)安全法》的規(guī)定；其他數(shù)據(jù)處理者在中國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法，由國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定”。

上述規(guī)定對(duì)重要數(shù)據(jù)出境的法律適用做了分工：一是關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者收集和產(chǎn)生的重要數(shù)據(jù)確需出境，適用《網(wǎng)絡(luò)安全法》第三十七條的規(guī)定；二是關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者以外的“其他數(shù)據(jù)處理者”在國(guó)內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)出境，適用國(guó)家網(wǎng)信辦制定的相關(guān)出境安全管理辦法。上述“相關(guān)出境安全管理辦法”主要指《數(shù)據(jù)出境安全評(píng)估辦法》。

最后，2021年11月11日施行的《個(gè)人信息保護(hù)法》第三章專章確立了“個(gè)人信息跨境提供的規(guī)則”。依據(jù)《個(gè)人信息保護(hù)法》第三十八條的要求，個(gè)人信息處理者因業(yè)務(wù)等需要，確需向我國(guó)境外提供個(gè)人信息的，應(yīng)當(dāng)具備下列四項(xiàng)條件之一：一是依照《個(gè)人信息保護(hù)法》第四十條的規(guī)定，通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估；二是按照國(guó)家網(wǎng)信部門(mén)的規(guī)定，經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證；三是按照國(guó)家網(wǎng)信部門(mén)制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)；四是法律、行政法規(guī)或者國(guó)家網(wǎng)信部門(mén)規(guī)定的其他條件[2]。

上述內(nèi)容與《辦法》有關(guān)數(shù)據(jù)出境安全評(píng)估要求基本一致，但是《個(gè)人信息保護(hù)法》將“按照國(guó)家網(wǎng)信部門(mén)的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證”或“與境外接收方訂立合同”的方式，也作為個(gè)人信息跨境提供規(guī)則的法定選擇條件之一。

筆者認(rèn)為，《個(gè)人信息保護(hù)法》為“個(gè)人信息跨境提供規(guī)則”提供了四項(xiàng)選擇(包括一項(xiàng)兜底條件)，主要涉及安全評(píng)估、保護(hù)認(rèn)證、訂立合同。如果境內(nèi)數(shù)據(jù)和個(gè)人信息出境涉及“安全評(píng)估”，應(yīng)當(dāng)適用《辦法》的相關(guān)規(guī)定。個(gè)人信息出境不屬于“安全評(píng)估”范圍的情形，個(gè)人信息處理者可以通過(guò)個(gè)人信息保護(hù)認(rèn)證或者訂立合同的方式，提供相關(guān)個(gè)人信息跨境服務(wù)。

事實(shí)上，《個(gè)人信息保護(hù)法》第四十條就數(shù)據(jù)出境需要安全評(píng)估和不需要安全評(píng)估的情形做出了規(guī)定：首先，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定數(shù)量的個(gè)人信息處理者，確需向境外提供的，應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估；其次，法律、行政法規(guī)和國(guó)家網(wǎng)信部門(mén)規(guī)定可以不進(jìn)行安全評(píng)估的，從其規(guī)定。

《辦法》第二條進(jìn)一步對(duì)數(shù)據(jù)出境安全評(píng)估做了劃分，即“數(shù)據(jù)處理者向境外提供在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)和依法應(yīng)當(dāng)進(jìn)行安全評(píng)估的個(gè)人信息，應(yīng)當(dāng)按照本辦法的規(guī)定進(jìn)行安全評(píng)估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定”。上述規(guī)定劃定了需要對(duì)數(shù)據(jù)出境安全評(píng)估的兩種情形：

第一，數(shù)據(jù)處理者在中國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)，全部要通過(guò)國(guó)家數(shù)據(jù)安全評(píng)估。該項(xiàng)內(nèi)容明確了對(duì)數(shù)據(jù)獲取的兩種模式，一種是“收集”，這是一種主動(dòng)和積極的行為，主要是通過(guò)自動(dòng)化方式收集的數(shù)據(jù)；另一種是在運(yùn)營(yíng)中信息系統(tǒng)“產(chǎn)生”的數(shù)據(jù)。以上特別強(qiáng)調(diào)的是僅限于“重要數(shù)據(jù)”(critical data)，即指以電子方式存在的，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國(guó)家安全、公共利益的數(shù)據(jù)。

第二，不是所有的個(gè)人信息出境都要進(jìn)行安全評(píng)估，個(gè)人信息出境只有在符合法律法規(guī)要求的安全評(píng)估條件時(shí)，才應(yīng)當(dāng)按照《辦法》的規(guī)定進(jìn)行安全評(píng)估。比如《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見(jiàn)稿)》規(guī)定，“處理一百萬(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息”，應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門(mén)組織的數(shù)據(jù)出境安全評(píng)估。如果不符合上述規(guī)定的要求，就無(wú)需申報(bào)個(gè)人信息出境安全評(píng)估。

《辦法》第二條規(guī)定，數(shù)據(jù)處理者向境外提供在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)和個(gè)人信息的安全評(píng)估，適用本辦法。法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。根據(jù)上述規(guī)定，《辦法》主要針對(duì)在中國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)和個(gè)人信息進(jìn)行安全評(píng)估，這里有三個(gè)關(guān)鍵詞，一是中國(guó)境內(nèi)；二是運(yùn)營(yíng)中收集和產(chǎn)生；三是重要數(shù)據(jù)和一定數(shù)量的個(gè)人信息。

這里需要明確運(yùn)營(yíng)中收集和產(chǎn)生的數(shù)據(jù)之間的區(qū)別，根據(jù)《數(shù)據(jù)安全法》第三條第一款和第二款規(guī)定，數(shù)據(jù)，是指任何以電子或者其他方式對(duì)信息的記錄。數(shù)據(jù)處理，包括數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等?！掇k法》中涉及的數(shù)據(jù)，包括中國(guó)境內(nèi)數(shù)據(jù)處理者通過(guò)網(wǎng)絡(luò)及其他方式收集和產(chǎn)生的數(shù)據(jù)，但主要是網(wǎng)絡(luò)數(shù)據(jù)。其中，收集數(shù)據(jù)，無(wú)論是采取自動(dòng)化方式還是非自動(dòng)化方式，都是一種具有目的性的積極主動(dòng)行為，屬于《數(shù)據(jù)安全法》數(shù)據(jù)處理中的七種處理行為之一。

數(shù)據(jù)的產(chǎn)生則不同，其沒(méi)有具體的目的，主要是網(wǎng)絡(luò)和信息系統(tǒng)生成的社會(huì)數(shù)據(jù)，數(shù)據(jù)生成的模式大致有三種情形，一是用戶主動(dòng)提供的數(shù)據(jù)，比如以博客、微博、微信為代表的新型數(shù)字社交平臺(tái)，以及以電子商務(wù)為代表的數(shù)字交易平臺(tái)，能夠向數(shù)字平臺(tái)提供海量數(shù)據(jù)；二是數(shù)字城市(城市大腦)的建設(shè)將大量的智能終端設(shè)備和傳感器接入物聯(lián)網(wǎng)，各種數(shù)據(jù)采集設(shè)備源源不斷地自動(dòng)生成并產(chǎn)生海量的數(shù)據(jù)；三是企業(yè)在研發(fā)設(shè)計(jì)、生產(chǎn)制造、經(jīng)營(yíng)管理、運(yùn)維服務(wù)、平臺(tái)運(yùn)營(yíng)、應(yīng)用服務(wù)等過(guò)程中產(chǎn)生的海量數(shù)據(jù)。

數(shù)據(jù)出境主要有以下三類情形：一是向本國(guó)境內(nèi)機(jī)構(gòu)提供數(shù)據(jù)，但該機(jī)構(gòu)不屬于本國(guó)司法管轄，如外國(guó)大使館就屬于使館所在國(guó)的國(guó)家領(lǐng)土，不屬于派遣國(guó)的國(guó)家領(lǐng)土；二是數(shù)據(jù)未轉(zhuǎn)移存儲(chǔ)至本國(guó)以外的地方，但可以被境外的組織、個(gè)人訪問(wèn)查看，不包括公開(kāi)的數(shù)據(jù)和通過(guò)網(wǎng)頁(yè)訪問(wèn)的數(shù)據(jù)；三是數(shù)據(jù)處理者集團(tuán)內(nèi)部數(shù)據(jù)由境內(nèi)轉(zhuǎn)移至境外，其中涉及其在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的數(shù)據(jù)。但是以下兩種情形不屬于數(shù)據(jù)出境：一是非在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的數(shù)據(jù)經(jīng)由本國(guó)出境，且數(shù)據(jù)未經(jīng)任何加工處理；二是非在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的數(shù)據(jù)，但在境內(nèi)存儲(chǔ)、加工處理后出境，不涉及境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的數(shù)據(jù)[1]。

二、數(shù)據(jù)出境評(píng)估的基本原則和需要申報(bào)的情形

我國(guó)數(shù)據(jù)出境安全評(píng)估的目的，是在確保防范數(shù)據(jù)出境安全風(fēng)險(xiǎn)的基礎(chǔ)上，保障數(shù)據(jù)依法有序的自由流動(dòng)。為了實(shí)現(xiàn)上述目的，《辦法》提出了數(shù)據(jù)出境安全評(píng)估應(yīng)遵循兩項(xiàng)基本原則：一是堅(jiān)持事前評(píng)估和持續(xù)監(jiān)督相結(jié)合原則；二是風(fēng)險(xiǎn)自評(píng)估與國(guó)家安全評(píng)估相結(jié)合原則。

第一項(xiàng)原則表明，重要數(shù)據(jù)和依法應(yīng)當(dāng)進(jìn)行安全評(píng)估的個(gè)人信息，必須在出境前進(jìn)行數(shù)據(jù)安全出境評(píng)估，但是保障數(shù)據(jù)出境安全不僅僅是一次性評(píng)估，還要對(duì)出境后的數(shù)據(jù)進(jìn)行持續(xù)的安全監(jiān)督，重點(diǎn)監(jiān)督與境外接收方訂立法律文件中約定的數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)的履行情況；第二項(xiàng)原則表明，對(duì)重要數(shù)據(jù)和依法應(yīng)當(dāng)進(jìn)行安全評(píng)估的個(gè)人信息實(shí)施階梯式評(píng)估模式，即“自評(píng)估”+“國(guó)家安全評(píng)估”，以企業(yè)數(shù)據(jù)出境自評(píng)估為基礎(chǔ)，以國(guó)家安全評(píng)估為保障，這是一個(gè)合二為一的整體性安全評(píng)估模式。

《辦法》第四條明確了有以下四種情形之一的，應(yīng)當(dāng)申報(bào)數(shù)據(jù)出境安全評(píng)估：一是數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)；二是關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理一百萬(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息；三是自上年1月1日起累計(jì)向境外提供十萬(wàn)人個(gè)人信息或者一萬(wàn)人敏感個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息；四是國(guó)家網(wǎng)信部門(mén)規(guī)定的其他需要申報(bào)數(shù)據(jù)出境安全評(píng)估的情形。申請(qǐng)者申報(bào)數(shù)據(jù)出境安全評(píng)估，應(yīng)當(dāng)通過(guò)所在地省級(jí)網(wǎng)信部門(mén)向國(guó)家網(wǎng)信部門(mén)提出。

以上規(guī)定與“征求意見(jiàn)稿”第四條相比變化有兩處：首先，將“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者”與“處理一百萬(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息”合并為一款，該款的主體為兩個(gè)，一個(gè)是“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者”，另一個(gè)是“處理一百萬(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者”。前者處理的數(shù)據(jù)均為重要數(shù)據(jù)，只要出境，必須無(wú)條件申報(bào)安全評(píng)估，后者只是在達(dá)到處理一百萬(wàn)以上個(gè)人信息這個(gè)法定條件，才可申報(bào)安全評(píng)估。其次，在“征求意見(jiàn)稿”的“累計(jì)向境外提供超過(guò)十萬(wàn)人以上個(gè)人信息或者一萬(wàn)人以上敏感個(gè)人信息”基礎(chǔ)上，增加了“自上年1月1日起”，這樣就明確了“累計(jì)向境外提供超過(guò)十萬(wàn)人以上個(gè)人信息”的計(jì)算依據(jù)和起止時(shí)間。

三、開(kāi)展數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估的重點(diǎn)

依據(jù)《辦法》第五條的規(guī)定，數(shù)據(jù)處理者在申報(bào)數(shù)據(jù)出境安全評(píng)估前，應(yīng)當(dāng)對(duì)以下六項(xiàng)重點(diǎn)內(nèi)容開(kāi)展數(shù)據(jù)出境風(fēng)險(xiǎn)的自評(píng)估：一是數(shù)據(jù)出境和境外接收方處理數(shù)據(jù)的目的、范圍、方式等的合法性、正當(dāng)性、必要性；二是出境數(shù)據(jù)的規(guī)模、范圍、種類、敏感程度，數(shù)據(jù)出境可能對(duì)國(guó)家安全、公共利益、個(gè)人或者組織合法權(quán)益帶來(lái)的風(fēng)險(xiǎn)；三是境外接收方承諾承擔(dān)的責(zé)任義務(wù)，以及履行責(zé)任義務(wù)的管理和技術(shù)措施、能力等能否保障出境數(shù)據(jù)的安全；四是數(shù)據(jù)出境中和出境后遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等的風(fēng)險(xiǎn)，個(gè)人信息權(quán)益維護(hù)的渠道是否通暢等；五是與境外接收方擬訂立的數(shù)據(jù)出境相關(guān)合同或者其他具有法律效力的文件等(以下統(tǒng)稱法律文件)是否充分約定了數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)；六是其他可能影響數(shù)據(jù)出境安全的事項(xiàng)。

以上自評(píng)估的內(nèi)容有四大特征，一是數(shù)據(jù)出境的合規(guī)性評(píng)估，重點(diǎn)評(píng)估數(shù)據(jù)出境的目的、范圍和方式是否符合我國(guó)數(shù)據(jù)處理的法定原則——“合法、正當(dāng)、必要”；二是數(shù)據(jù)出境的風(fēng)險(xiǎn)性評(píng)估，重點(diǎn)從出境數(shù)據(jù)的規(guī)模、范圍、種類、敏感度等四個(gè)維度評(píng)估出境的數(shù)據(jù)是否會(huì)給國(guó)家安全、公共利益、個(gè)人或者組織合法權(quán)益帶來(lái)風(fēng)險(xiǎn)；三是數(shù)據(jù)出境的安全保障能力評(píng)估，重點(diǎn)評(píng)估境外接收方是否能夠保障出境數(shù)據(jù)的安全，尤其是評(píng)估境外接收方能否依據(jù)誠(chéng)實(shí)信用原則，全面履行合同所約定的安全保障義務(wù)；四是數(shù)據(jù)出境中和出境后的救濟(jì)渠道評(píng)估，重點(diǎn)評(píng)估在數(shù)據(jù)出境期間和出境后，一旦遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等，個(gè)人信息權(quán)益維護(hù)和救濟(jì)的渠道是否暢通。

四、國(guó)家數(shù)據(jù)出境安全評(píng)估的程序和風(fēng)險(xiǎn)點(diǎn)

數(shù)據(jù)處理者在完成了數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估之后，應(yīng)按照《辦法》的要求形成自評(píng)估報(bào)告，同時(shí)應(yīng)擬訂與境外接收方簽署的相關(guān)法律文件，數(shù)據(jù)出境合同的擬訂應(yīng)當(dāng)依據(jù)國(guó)家網(wǎng)信辦制定的個(gè)人信息出境標(biāo)準(zhǔn)合同的相關(guān)規(guī)定。在完成了以上環(huán)節(jié)后，數(shù)據(jù)處理者應(yīng)當(dāng)向省級(jí)網(wǎng)信部門(mén)提交以下材料：一是申報(bào)書(shū)；二是數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估報(bào)告；三是數(shù)據(jù)處理者與境外接收方擬訂立的法律文件；四是網(wǎng)絡(luò)部門(mén)安全評(píng)估工作需要的其他材料。

省級(jí)網(wǎng)信部門(mén)應(yīng)當(dāng)自收到上述申報(bào)材料之日起5個(gè)工作日內(nèi)完成完備性查驗(yàn)。這里的“完備性”是指，申報(bào)材料全部齊全，不需要再添加任何其他材料。省級(jí)網(wǎng)信部門(mén)將“完備性”的申報(bào)材料報(bào)送國(guó)家網(wǎng)信部門(mén)，如果國(guó)家網(wǎng)信部門(mén)認(rèn)為申報(bào)材料不具備完備性，將退回?cái)?shù)據(jù)處理者并一次性告知需要補(bǔ)充的材料。

國(guó)家網(wǎng)信部門(mén)自收到完備的申報(bào)材料之日起，應(yīng)當(dāng)在7個(gè)工作日內(nèi)確定是否受理并書(shū)面通知數(shù)據(jù)處理者。最終的處理結(jié)果有三種情形：一是通過(guò)安全評(píng)估，數(shù)據(jù)處理者可以在收到國(guó)家網(wǎng)信部門(mén)通過(guò)評(píng)估的書(shū)面通知后，嚴(yán)格按照《辦法》的相關(guān)規(guī)定開(kāi)展數(shù)據(jù)出境活動(dòng)；二是未通過(guò)安全評(píng)估，數(shù)據(jù)處理者應(yīng)當(dāng)立即停止所申報(bào)的數(shù)據(jù)出境活動(dòng)；三是對(duì)于不屬于《辦法》安全評(píng)估范圍的情形，國(guó)家網(wǎng)信部門(mén)通知數(shù)據(jù)處理者不予受理，數(shù)據(jù)處理者在接到不予受理的書(shū)面通知后，可以依照相關(guān)法律法規(guī)開(kāi)展數(shù)據(jù)的出境業(yè)務(wù)。

國(guó)家網(wǎng)信部門(mén)受理申報(bào)后，將根據(jù)申報(bào)數(shù)據(jù)出境的領(lǐng)域組織國(guó)務(wù)院有關(guān)部門(mén)、省級(jí)網(wǎng)信部門(mén)，以及專門(mén)機(jī)構(gòu)等進(jìn)行安全評(píng)估，安全評(píng)估的權(quán)重主要是可能對(duì)國(guó)家安全、公共利益、個(gè)人或者組織合法權(quán)益帶來(lái)的風(fēng)險(xiǎn)，著重考慮以下因素：一是數(shù)據(jù)出境的目的、范圍、方式等的合法性、正當(dāng)性、必要性；二是境外接收方所在國(guó)家或者地區(qū)的數(shù)據(jù)安全保護(hù)政策法規(guī)和網(wǎng)絡(luò)安全環(huán)境對(duì)出境數(shù)據(jù)安全的影響，境外接收方的數(shù)據(jù)保護(hù)水平是否達(dá)到中華人民共和國(guó)法律、行政法規(guī)的規(guī)定和強(qiáng)制性國(guó)家標(biāo)準(zhǔn)的要求；三是出境數(shù)據(jù)的規(guī)模、范圍、種類、敏感程度，出境中和出境后遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等的風(fēng)險(xiǎn)；四是數(shù)據(jù)安全和個(gè)人信息權(quán)益是否能夠得到充分有效保障；五是數(shù)據(jù)處理者與境外接收方擬訂立的法律文件中是否充分約定了數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)；六是遵守中國(guó)法律、行政法規(guī)、部門(mén)規(guī)章情況；七是國(guó)家網(wǎng)信部門(mén)認(rèn)為需要評(píng)估的其他事項(xiàng)。

國(guó)家網(wǎng)信部門(mén)對(duì)數(shù)據(jù)出境安全評(píng)估的內(nèi)容，基本上與數(shù)據(jù)處理者自評(píng)估的內(nèi)容保持了一致性，但在自評(píng)估內(nèi)容的基礎(chǔ)上，更強(qiáng)調(diào)兩大方面的內(nèi)容：一是對(duì)境外接收方所在國(guó)家或者地區(qū)的數(shù)據(jù)安全保護(hù)政策法規(guī)和網(wǎng)絡(luò)安全環(huán)境對(duì)出境數(shù)據(jù)安全影響的評(píng)估；二是對(duì)境外接收方的數(shù)據(jù)保護(hù)水平是否達(dá)到我國(guó)法律、行政法規(guī)規(guī)定和強(qiáng)制性國(guó)家標(biāo)準(zhǔn)要求的評(píng)估。

五、全面履行數(shù)據(jù)出境標(biāo)準(zhǔn)合同是實(shí)現(xiàn)數(shù)據(jù)安全監(jiān)管的重要措施

數(shù)據(jù)出境安全評(píng)估是對(duì)數(shù)據(jù)出境風(fēng)險(xiǎn)的事先防范，要保證數(shù)據(jù)出境的全過(guò)程安全，事先安全評(píng)估是非常關(guān)鍵和重要的環(huán)節(jié)，但經(jīng)安全評(píng)估后的數(shù)據(jù)在由境外接收方實(shí)際控制時(shí)，特別是在境外接收方國(guó)家或地區(qū)的數(shù)據(jù)安全與個(gè)人信息保護(hù)法律與我國(guó)法律法規(guī)存在差異的情況下，如何保障數(shù)據(jù)在安全可控的范圍內(nèi)，關(guān)鍵在于與境外接收方簽訂切實(shí)可行的合同等法律文件，并使得該合同得到全面履行。

根據(jù)我國(guó)法律法規(guī)的要求，數(shù)據(jù)處理者因業(yè)務(wù)等需要，確需向我國(guó)境外提供數(shù)據(jù)的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門(mén)制定的關(guān)于標(biāo)準(zhǔn)合同的規(guī)定與境外數(shù)據(jù)接收方訂立合同，約定雙方的權(quán)利和義務(wù)，(1)參見(jiàn)《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見(jiàn)稿)》第三十五條(三)。尤其要突出“數(shù)據(jù)安全優(yōu)先”的義務(wù)。事實(shí)上，國(guó)家依法要求雙方簽訂數(shù)據(jù)出境標(biāo)準(zhǔn)合同，是實(shí)現(xiàn)國(guó)家數(shù)據(jù)出境安全監(jiān)管的重要措施。

《辦法》第九條要求，數(shù)據(jù)處理者與境外接收方訂立的法律文件，應(yīng)當(dāng)明確約定數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)，至少包括以下六項(xiàng)內(nèi)容：一是數(shù)據(jù)出境的目的、方式和數(shù)據(jù)范圍，境外接收方處理數(shù)據(jù)的用途、方式等；二是數(shù)據(jù)在境外的保存地點(diǎn)、期限，以及達(dá)到保存期限、完成約定目的或者法律文件終止后出境數(shù)據(jù)的處理措施；三是對(duì)于境外接收方將出境數(shù)據(jù)再轉(zhuǎn)移給其他組織、個(gè)人的約束性要求；四是境外接收方在實(shí)際控制權(quán)或者經(jīng)營(yíng)范圍發(fā)生實(shí)質(zhì)性變化，或者所在國(guó)家、地區(qū)數(shù)據(jù)安全保護(hù)政策法規(guī)和網(wǎng)絡(luò)安全環(huán)境發(fā)生變化，以及發(fā)生其他不可抗力情形導(dǎo)致難以保障數(shù)據(jù)安全時(shí)，應(yīng)當(dāng)采取的安全措施；五是違反法律文件約定的數(shù)據(jù)安全保護(hù)義務(wù)的補(bǔ)救措施、違約責(zé)任和爭(zhēng)議解決方式；六是出境數(shù)據(jù)遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等風(fēng)險(xiǎn)時(shí)，妥善開(kāi)展應(yīng)急處置的要求和保障個(gè)人維護(hù)其個(gè)人信息權(quán)益的途徑和方式。

以上法律文件中的數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)，充分體現(xiàn)了“數(shù)據(jù)安全優(yōu)先”的原則。從數(shù)據(jù)出境的國(guó)際實(shí)踐看，合同條款標(biāo)準(zhǔn)化一直被認(rèn)為是數(shù)據(jù)跨境傳輸領(lǐng)域的有效監(jiān)管手段，比如歐盟GDPR將標(biāo)準(zhǔn)化合同條款(SCC)嵌入了跨境數(shù)據(jù)流動(dòng)的全過(guò)程，原因在于該項(xiàng)機(jī)制既能實(shí)現(xiàn)監(jiān)管者對(duì)于數(shù)據(jù)跨境傳輸重要事項(xiàng)的直接審核，也能基于違約責(zé)任督促數(shù)據(jù)處理者積極履行數(shù)據(jù)安全保護(hù)義務(wù)[3]。鑒于數(shù)據(jù)出境的目的、方式和數(shù)據(jù)范圍的復(fù)雜性與不確定性，在數(shù)據(jù)安全保障義務(wù)性條款的基礎(chǔ)上，關(guān)鍵是對(duì)違約責(zé)任進(jìn)行約定，這是保障標(biāo)準(zhǔn)合同義務(wù)實(shí)現(xiàn)的基礎(chǔ)，建議以“過(guò)錯(cuò)責(zé)任推定”的模式約定違約責(zé)任的承擔(dān)方式。我國(guó)《個(gè)人信息保護(hù)法》第六十九條規(guī)定，處理個(gè)人信息、侵害個(gè)人信息權(quán)益造成損害，個(gè)人信息處理者不能證明自己沒(méi)有過(guò)錯(cuò)的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。

同時(shí)，應(yīng)參照數(shù)據(jù)接受方國(guó)家或地區(qū)的法律，加大違約賠償責(zé)任的約定，如GDPR規(guī)定，違反第58(2)條規(guī)定的監(jiān)管機(jī)構(gòu)發(fā)布的命令，應(yīng)當(dāng)按第2段的規(guī)定施加最高2 000萬(wàn)歐元的行政罰款，如果是集團(tuán)的話，可以施加最高前一年全球總營(yíng)業(yè)額4%的罰款，兩者取高的一項(xiàng)進(jìn)行處罰。

實(shí)際上，歐盟個(gè)人數(shù)據(jù)出境的規(guī)則與我國(guó)數(shù)據(jù)出境安全評(píng)估的原則基本是一致的，但是兩者對(duì)“數(shù)據(jù)安全”保護(hù)的側(cè)重點(diǎn)有所不同。從GDPR的立法目可以看出，歐盟的個(gè)人數(shù)據(jù)保護(hù)立法主要強(qiáng)調(diào)保護(hù)個(gè)人隱私權(quán)并促進(jìn)該權(quán)利的行使，其中從個(gè)人數(shù)據(jù)權(quán)利的法律歸屬上，設(shè)定了“個(gè)人數(shù)據(jù)”“數(shù)據(jù)主體”“數(shù)據(jù)主體權(quán)利”并采取了嚴(yán)格的全球個(gè)人隱私保護(hù)措施[4]。

我國(guó)數(shù)據(jù)出境安全評(píng)估制度不僅要保護(hù)個(gè)人信息，更重要的是保障重要數(shù)據(jù)出境活動(dòng)的安全。個(gè)人信息的出境安全評(píng)估申報(bào)有一定數(shù)量的限制，即“處理一百萬(wàn)人以上個(gè)人信息”或“自上年1月1日起累計(jì)向境外提供十萬(wàn)人個(gè)人信息或者一萬(wàn)人敏感個(gè)人信息”；重要數(shù)據(jù)的出境必須全部申報(bào)安全評(píng)估，沒(méi)有任何數(shù)量的限制。因?yàn)橹匾獢?shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國(guó)家安全、公共利益的數(shù)據(jù)。

根據(jù)《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見(jiàn)稿)》對(duì)重要數(shù)據(jù)的解釋，重要數(shù)據(jù)主要包括以下七類數(shù)據(jù)：一是未公開(kāi)的政務(wù)數(shù)據(jù)、工作秘密、情報(bào)數(shù)據(jù)和執(zhí)法司法數(shù)據(jù)；二是出口管制數(shù)據(jù)，出口管制物項(xiàng)涉及的核心技術(shù)、設(shè)計(jì)方案、生產(chǎn)工藝等相關(guān)的數(shù)據(jù)，密碼、生物、電子信息、人工智能等領(lǐng)域?qū)?guó)家安全、經(jīng)濟(jì)競(jìng)爭(zhēng)實(shí)力有直接影響的科學(xué)技術(shù)成果數(shù)據(jù)；三是國(guó)家法律、行政法規(guī)、部門(mén)規(guī)章明確規(guī)定需要保護(hù)或者控制傳播的國(guó)家經(jīng)濟(jì)運(yùn)行數(shù)據(jù)、重要行業(yè)業(yè)務(wù)數(shù)據(jù)、統(tǒng)計(jì)數(shù)據(jù)等；四是工業(yè)、電信、能源、交通、水利、金融、國(guó)防科技工業(yè)、海關(guān)、稅務(wù)等重點(diǎn)行業(yè)和領(lǐng)域安全生產(chǎn)、運(yùn)行的數(shù)據(jù)，關(guān)鍵系統(tǒng)組件、設(shè)備供應(yīng)鏈數(shù)據(jù)；五是達(dá)到國(guó)家有關(guān)部門(mén)規(guī)定的規(guī)?；蛘呔鹊幕?、地理、礦產(chǎn)、氣象等人口與健康、自然資源與環(huán)境國(guó)家基礎(chǔ)數(shù)據(jù)；六是國(guó)家基礎(chǔ)設(shè)施、關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)運(yùn)行及其安全數(shù)據(jù)，國(guó)防設(shè)施、軍事管理區(qū)、國(guó)防科研生產(chǎn)單位等重要敏感區(qū)域的地理位置、安保情況等數(shù)據(jù)；七是其他可能影響國(guó)家政治、國(guó)土、軍事、經(jīng)濟(jì)、文化、社會(huì)、科技、生態(tài)、資源、核設(shè)施、海外利益、生物、太空、極地、深海等安全的數(shù)據(jù)。(2)參見(jiàn)《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見(jiàn)稿)》第七十三條(三)。

從以上七種“重要數(shù)據(jù)”的內(nèi)容上看，主要涉及國(guó)家安全和公共利益，這些數(shù)據(jù)出境后，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能?chē)?yán)重危害國(guó)家安全、公共利益。筆者建議，重要數(shù)據(jù)應(yīng)當(dāng)以“非必要不出鏡”為原則，出境為例外，只有在具有特定的目的和充分必要的條件下，并在采取嚴(yán)格保護(hù)措施的基礎(chǔ)上，方可出境。