世辉解读 |《数据出境安全评估办法（征求意见稿）》对企业合规工作的影响

国家互联网信息办公室（下称“网信办”）于2021年10月29日发布《数据出境安全评估办法（征求意见稿）》（下称“办法”）。该办法的出台有何背景，出台后对于企业相关数据合规工作究竟带来哪些影响，我们在此做简要分析如下，以供参考。

自2016年至今，《网络安全法》《数据安全法》《个人信息保护法》的相继出台，逐步构建起我国数据保护领域的基础性法律制度体系。对于备受业界关切的数据出境问题，以上三部法律均有所规定，这也成为后续各个数据出境的落地规定的上位法依据来源。

为了帮助业界尽快实现数据出境合规，网信办先于2017年发布了《个人信息和重要数据出境安全评估办法（征求意见稿）》。随后，由于重要数据的复杂性及敏感性，网信办于2019年将个人信息出境事项拆分出来，单独发布了《个人信息出境安全评估办法（征求意见稿）》。随着《数据安全法》和《个人信息保护法》的相继出台，以及国家对于数据出境的高度关注，此次办法将包括重要数据和个人信息在内的所有数据出境事项进行统一规范。需要说明的是，此次最新发布的办法，也意味着前述两项征求意见稿被淘汰替换。

办法规定了数据出境安全评估的目的、原则、适用范围以及企业进行风险自评估和申报评估的范围和程序。根据本办法，数据出境安全评估坚持事前评估和持续监督相结合，风险自评估与申报评估相结合，目的是规范数据出境活动，保护国家安全和个人信息，促进数据合理利用。我们认为，虽然办法仍处于征求意见阶段，但办法的相关规定内容，与监管几年来的思路一脉相承，充分反映了国家的监管趋势，因此，本办法出台后，企业的合规工作中应尽量参考本办法的规定进行相应的调整，为日后的正式实施提前做好准备。

根据办法的规定，数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息，应当按照本办法的规定进行安全评估。那么什么情况下会构成向“境外提供”？

根据我们的理解，对于“数据出境”的含义，目前《网络安全法》《个人信息保护法》《数据安全法》等相关法律并未做出明确具体的定义，虽然之前出台的一些标准和规范的征求意见稿或者草案，曾经尝试对数据出境进行定义，但也均未发布最终具有约束力的生效文本。本次办法依然没有对此做明确的定义，我们认为，这种故意的立法留白，也使法律可解释性的空间增大，并提高了执法的灵活性，可以应对新形势下不同的数据出境情形。尽管如此，就现有实践而言，存在一些公认的数据出境情形，例如：数据未转移存储至本国以外的地方，但被境外的机构、组织、个人访问查看等。

此外，如果数据处理者收集境内运营数据时就处于境外，是否依然构成向境外提供的情形？对此，我们认为，根据《数据安全法》（“数安法”）第31条和《个人信息保护法》（“个保法”）第40条的规定，构成办法第4条规定需要向国家网信部门申报数据安全评估的情形的，此类数据应存储于中国境内，未向国家网信部门申报，不应进行跨境传输。

注：数安法第31条：关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。

 个保法第40条：关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估。

根据个保法第38条的规定，个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，可以从以下四种合规路径中选择一种：1）通过国家组织的安全评估；2）依据国家规定取得专业机构的认证；3）按照国家制定的标准合同与境外接收方订立合同；4）满足其他法定条件。

因此，我们理解，在不构成办法第4条规定的国家评估的触发条件时，企业可以选择四条合规路径中的任何一种，但是构成触发条件时，那么依据个保法第40条的规定，企业只有通过国家的数据安全评估申报这一个合法途径来进行合规。办法第4条明确需要申报数据出境安全评估的情形，见下表：

对于上述规定，我们的意见如下：

（一）关键信息基础设施的运营者收集和产生的个人信息和重要数据

这类情形的上位法依据主要是《网络安全法》（“网安法”）第37条规定的数据出境安全评估制度。有观点认为，这一情形涉及的范围实在太广泛，甚至可以涵盖办法中规定的其他几类数据出境情形。理由是，除关键信息基础设施的运营者自身因为运营需要而收集和产生的个人信息和重要数据以外，其他个人信息处理者也是以关键信息基础设施作为技术依托从而实现收集和产生个人信息和重要数据（例如通话数据、互联网社交数据等），对于后一种情形，如果也归因到关键信息基础设施运营者的“功劳”，那这一项确实可以涵盖其他情形。但是，我们认为这种观点属于对立法的误读，这一项针对的是关键信息基础设施的运营者作为有关数据处理者因业务需要向境外提供数据的情形，不能对此进行扩大解释。

注：网安法第37条：关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。

（二）出境数据中包含重要数据

所有数据处理者出境重要数据的也均需要通过安全评估。根据数安法第21条的规定，各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护，因此重要数据涉及多种数据类型和多个行业。

对此，我们了解到的情况是各地方政府和各行业部门正在开展相关重要数据目录的起草工作，而涉及重要数据出境的，国家网信部门也会征求相关行业主管部门意见。

（三）特定数量的个人信息

办法明确了个保法提到的“处理个人信息达到国家网信部门规定数量的个人信息处理者”数量标准。

首先，依据办法的规定，处理个人信息达到100万人的个人信息处理者，哪怕仅向境外提供一条个人信息，也需要完成安全评估。关于一百万人的标准其实在有关立法中早有体现。今年7月由国家网信办公开的《网络安全审查办法（修订草案征求意见稿）》同样对“掌握超过100万用户个人信息的运营者赴国外上市”的情形，提出了必须向网络安全审查办公室申报网络安全审查的要求。在此需要说明的是，我们理解办法只是有关数据出境的规则，虽然“赴国外上市”的行为本身也可能涉及数据出境的情形，但办法规定的国家评估流程跟上述网络安全审查不宜混为一谈。

其次，对于处理个人信息未达到100万人的个人信息处理者，如果累计向境外提供的个人信息涉及的人数超过10万或者敏感个人信息涉及的人数达到1万时，也将触发数据出境安全评估申报机制。那么实践中，应如何进行累计计算，是不是出境的数量累计达到上述标准时才需要进行申报？我们的理解是，根据办法的规定，数据出境评估结果存在2年的有效期，所以在未来2年内累计出境的数据将满足上述标准时，都应向国家网信部门进行申报。因此，我们认为，在办法正式出台后，企业如需向境外提供数据，基于此规定而触发申报评估的几率较大。

除了向国家申报安全评估以外，办法还规定了企业的其他合规义务。由于有关合规义务在个保法里也有相关体现，我们认为企业在涉及数据出境情形时，也应当关注相关合规要点。

(一) 风险自评估的事项

根据本办法风险自评估与申报评估相结合的原则，所有的数据处理者在向境外提供数据前，都应事先开展数据出境风险自评估，重点评估的内容具体如下表所示。

根据个保法第55条的规定，在涉及向境外提供个人信息的情形时，应当事前进行个人信息保护影响评估，并对处理情况进行记录。由于办法规定的内容体现了国家监管层面对于有关数据安全工作的态度，我们建议企业参考办法规定，建立相应的自评估制度，并明确风险自评估的具体流程或形式。

(二) 数据出境合同要点

此外，办法要求数据处理者与境外接收方应充分约定数据安全保护责任义务，双方签订的合同至少应当包括的内容如下表所示：

如前所述，《个人信息保护法》第38条将“标准合同”作为一般个人信息处理者的数据出境的合规路径之一，我们理解虽然38条规定的标准合同与办法提及的合同要求未必等同，但办法规定的要点体现了监管态度，在具体的标准合同出台之前，企业在涉及数据出境的业务时，可以参考办法的要求对相关合同条款进行完善。

根据办法，国家网信部门负责数据出境安全评估，如果企业需要进行申报评估，应当通过所在地省级网信部门向其提交相关材料，包括申报书、数据出境风险自评估报告、数据提供者与数据接收者拟签订的合同、协议或具有法律效力的文件等，以及安全评估工作需要的其他材料。

(一) 申报材料重点内容

根据本办法的规定，企业在申报材料中应当明确的重点内容如下表所示：

(二) 评估时限

国家网信部门自收到申报材料之日起，7个工作日内确定是否受理评估并以书面通知形式反馈受理结果。

国家网信部门自出具书面受理通知书之日起45个工作日内完成数据出境安全评估；情况复杂或者需要补充材料的，可以适当延长，但一般不超过60个工作日。根据上述规定，数据出境安全评估从受理到完成需要的时间可能会长达67个工作日。

尽管本办法尚在征求意见阶段，但《个人信息保护法》已经明确了数据出境评估制度。对于可能涉及数据出境的企业来说，安全评估流程应被纳入项目计划。首先，在立项时，应参考本办法规定的安全评估时限，充分预留时间，避免未通过安全评估阻碍项目进程。其次，从目前规定看来，尚未有法律豁免制度，如果企业面临紧急的数据出境需求，可能会面临不能在需求时间内通过数据评估的风险。

(三) 重新评估和撤销评估

数据出境评估结果有效期2年。有效期届满，需要继续开展原数据出境活动的，数据处理者应当在有效期届满60个工作日前重新申报评估。

有效期届满或在有效期内出现下述情形之一的，数据提供者则需要重新申报评估。具体情形包括：

●数据出境的基本内容发生变化：向境外提供数据的目的、方式、范围、类型和境外接收方处理数据的用途、方式发生变化，或者延长个人信息和重要数据境外保存期限的；

●数据保护环境（法律、控制权、合同）的变化：境外接收方所在国家或者地区法律环境发生变化，数据处理者或者境外接收方实际控制权发生变化，数据处理者与境外接收方合同变更等可能影响出境数据安全的；

●出现影响出境数据安全的其他情形。

另外，国家网信部门发现通过评估的数据出境活动已不再满足数据出境安全要求的，将会撤销通过评估的结论，并且数据提供者应当终止数据出境活动。

办法的公开征求意见意味着数据出境的安全评估制度得以落地，而在不远的将来，其他有关数据出境安全管理的细则规定也会接续“官宣”，最终形成全面的数据出境的安全管理法规制度，企业的数据出境合规也会有更多规定可依，我们届时也会为大家带来进一步的解读与分享。

（本文作者：世辉律师事务所 王新锐 王嘉瑛 ）