目前已有100000+人加入我们，欢迎您关注

本文综合自“网安寻路人”，作者为洪延青

关于美国在执法跨境调取数据的进展，以及对中国区iCloud账户影响的延伸分析，见【深度解读 | 微软VS美国政府：他们到底在争什么？】、【美国Cloud Act法案到底说了什么】、【如何看待“iCloud中国账户密钥将存储在中国”】、【苹果公司境内存储密钥的法律效果再分析】。

结果，中美之间还没分析透彻。欧洲人又参与进来。

路透社2018年2月26日报道，欧盟正在酝酿立法，允许执法机构向在欧洲运营的企业直接调取其存储在欧盟境外的数据。被问及立法缘由时，欧盟最高司法官员Vera Jourova表示，目前的跨境调取证据的方式太慢且效率太低，而执法部门必须比犯罪分子更快一步。

在路透社的报道中，知情人士进一步透露，欧盟的立法不仅仅局限于欧盟公民，只要是与欧盟的具体调查相关，执法机构可以调取任何国家公民的个人数据，前提是侦查所涉及的犯罪的最低刑罚为三年监禁。

而且这样激进的立法，部分目的就是为了在与美国进行相关议题的双边谈判中，增加自己的筹码。对此，Vera Jourova也给予了确认，“我们必须与美国当局达成互惠”。

如果结合GDPR第三条关于管辖地域的规定，欧盟对“在欧洲运营”可是持扩大理解的态度。第三条翻译如下：

《条例》的管辖范围包括，

1、对在欧盟境内设有establishment的数据控制者或数据处理者，只要个人数据处理活动发生在此establishment的情景中，哪怕实际的数据处理行动不在欧盟境内发生，都将被《条例》管辖。

2、对在欧盟境内没有设立establishment的数据控制者或数据处理者，只要其面向欧盟境内的数据主体提供商品或服务（无论是否发生支付行为），或监控欧盟境内数据主体的行为，就要接受《规定》的管辖。

换句话说，如果某一家中国企业，其设有欧盟官方语言的界面（例如德文、法文等），或支持以欧元为结算货币，那就算在欧盟境内没有办公室，也算是“在欧洲运营”。

看来，在个人数据的保护和执法跨境调取数据两个方面，欧洲人确实准备和美国人针锋相对。那什么是中国的策略？

我们是否要重新思考和定义《网络安全法》第37条所说的“在境内运营”和“向境外提供”？

个人信息和重要数据出境安全评估之“境内运营”

《网络安全法》已经正式生效，就意味着其第37条关于关键信息基础设施运营者境内存储数据的要求已经生效。虽然《个人信息和重要数据出境安全评估办法》仍未正式发布，但数据出境安全评估这项制度已经是板上钉钉。

为了落实《网络安全法》和《个人信息和重要数据出境安全评估办法》，一些看似清晰但是细究起来其实模糊的问题亟待理清。本文专门探讨“境内运营”，供大家评论。

《网络安全法》第三十七条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。”

《个人信息和重要数据出境安全评估办法（征求意见稿）》也规定：“网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据......确需向境外提供的，应当按照本办法进行安全评估。”

但到底什么是境内运营？其实非常模糊。举例如下：

a. 中国公民从境内计算机登录美国一租车网站，注册账号，并预约租车。该美国租车网站在中国境内没有进行法律注册，其人员、服务器等均在美国。则该网络运营者是否为中华人民共和国境内运营？

评论：这样的情形，如果认定其属于境内运营，则几乎全球所有可公开访问的网站，均受我国数据出境安全评估的管辖。显然不合理。但是不管吧，有两个问题：

首先，毕竟其收集了我国公民的个人信息。再延伸一下，如果这样一个网络运营者，有超过50万名甚至更多的中国公民在上面注册。根据《个人信息和重要数据出境安全评估办法（征求意见稿）》的精神，这50万名中国公民的个人信息相当于“重要数据”，难道我国数据出境安全评估不应该给予关注吗？如果50万不够，那100万，1000万呢？又或者这样的情形并非数据出境安全评估来管辖，而应该有其他规定出马？

其次，如果不管，那会不会有中国的网络运营者看到这个空子，决定在境外注册成立公司，将人员、服务器等都搬到境外，那就不用做数据出境安全评估了。而且对在努力做到数据出境安全评估合规的公司来说也很不公平，因为那些外国的同行不用承担这样的义务也能继续从事原来的业务，双方不是在level playing ground上竞争。

b. 如果该美国租车网站设立专门的中文界面，其支持以人民币为结算货币，但在中国境内没有进行法律注册，其人员、服务器等均在美国。则该网络运营者是否为中华人民共和国境内运营？

评论：这样的情形，根据欧盟《通用数据保护条例》的规定，应受《通用数据保护条例》。如果学习欧盟的做法，将这个租车网站认定属于境内运营，似乎可以减轻前一个例子中在同一个水平线上竞争的问题。

但是另外一个问题马上就来了，谁来发起评估？租车网站会说，这是个人主动登录服务器位于美国的网站并注册账户，应当视为个人主动向境外提供个人信息。而无论是《网络安全法》和《个人信息和重要数据出境安全评估办法》都规定，“网络运营者”向境外提供数据的才需要评估，个人又不是网络运营者，那就不用评估了。

可是不用评估吧，直觉上又感觉不太对。还是这个理由：如果这样一个实体，还收集了超过50万名中国公民的个人信息。根据《个人信息和重要数据出境安全评估办法（征求意见稿）》的精神，这50万名中国公民的个人信息相当于“重要数据”，难道我国数据出境安全评估不应该给予关注吗？

c. 一企业看中我国相对低廉的人力成本，在中国境内设立的客服中心，但客服中心只针对美国顾客开展服务。则该客服中心是否为中华人民共和国境内运营？

这个例子，从字面上看，这个客服中心属于在中国境内运营。但是其处理的个人信息又全是美国顾客的，在此过程中不提供其他任何额外的信息。等于说，美国顾客的信息恰好存储在中国，其分析、挖掘、使用等环节都在中国，在此过程中产生的衍生信息也在中国境内。从纸面上完全符合“在中华人民共和国境内运营中收集和产生的个人信息”，那这样的情形，需要受数据出境安全评估要求的管辖吗？如果要，很可能很多外国企业就不会选择中国来设立类似的客服中心，甚至于只面向境外客户的数据中心了。而且，管这些外国人的数据真的符合数据出境安全评估的立法和监管精神吗？

从这三个例子来看，似乎对“境内运营”的解释，应当采用场景的定义（context），而非严格遵循地域的概念。

这只是准确建立数据出境安全评估制度中的一个小问题，除此之外还有更多......

个人信息和重要数据出境安全评估之“向境外提供”

除了“境内运营”，还有几个棘手的定义问题。本文将专门讨论“向境外提供”（或“数据出境”）。

有必要再次回顾《网络安全法》第37条：“因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。但具体什么叫做“向境外提供”，其实情形多种多样。以下举5个场景为例：

a. 向位于境外的组织、机构、个人提供

这是最广被人接受的解释，也非常符合法律文件中关于“境外”的解释。也正是如此，4月11日公布的《个人信息和重要数据出境安全评估办法（征求意见稿）》在第17条指出：“数据出境，是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据，提供给位于境外的机构、组织、个人。”

这里是严格按照领土来划定的。

b. 使领馆、航空器、船舶

1961年4月18日的《维也纳外交关系公约》的规定，外国大使馆、领事馆和外交人员的确不受我国司法管辖，而受本国的司法管辖。

1963年9月14日订于东京的《关于在航空器内的犯罪和其他某些行为的公约》第3条1款规定：“航空器登记国对该航空器内所犯的罪行和行为有权行使管辖。”

1988年3月10日订于罗马的《制止危及海上航行安全非法行为公约》第6条1款规定：如果该公约所列举的“罪行发生时是针对悬挂其国旗的船舶或发生在该船上”，船旗国应采取必要措施确定其刑事管辖权。

因此，外国使领馆、航空器、船舶即便在我国境内，也不接受我国司法管辖。那数据从我国境内传输至在我国境内的外国使领馆，以及停泊在我国领土上的航空器、船舶，算不算是“向境外提供”？

也许会有小伙伴认为，外国使领馆、航空器、船舶可以被认为是外国领土的延伸，因此可以认为是“位于境外”，所以和情形a一样，都是严格按照领土来划定何为境内和境外。

但我个人认为，我国境内的外国使领馆、航空器、船舶，更应当其位于我国领土内，只不过是根据国际协议，我国如需对其追究责任，应从另外的渠道，而非直接行使执法权力。

基于此理由，我认为情形b是根据司法管辖权来划分境内境外的：即境外是指“我国领土外，以及位于我国领土内但不受我国司法管辖权的”。

c. 位于境内的外国组织、机构（未在中国经过法律注册成立），以及外国个人在我国境内收集信息，进行分析处理，是不是“数据出境”？

此情形中，数据没有出境，但是却被临时位于我国境内的外国组织、机构、个人所获得【注：没有在境内注册成立，因此为临时】。

夸张一点的例子是：外国安全人员于我国境内获取了大量的数据，但是没有将数据传输至其母国，而是就地分析，并运用。

稍微不夸张的例子是：外国母公司临时派出一位数据分析师，到中国参与一个项目，这位数据分析师没有将任何数据携带回国。

按照领土说（情形a）、司法管辖权说（情形b），此种情形均未发生数据出境的情形，似乎不受数据出境安全评估制度的管辖。

但让我们先看看美国。在美国出口管制体系中，有一个非常有特色的概念，“视同出口”。“视同出口”的涵盖范围很广，包括任何能够使得外国人得到敏感技术的行为，如阅读技术材料、口头交流、电话电传以及在掌握敏感技术的人员指导下的试验操作等。根据美国的《出口管理条例》的规定，视同出口主要分以下三类：外国人查看美国的设备、资料；在美国国内或国外进行的口头信息交流；在国外运用在美国获得的个人知识或进行技术实验。

但目前正在征求意见的《中华人民共和国出口管制法（草案征求意见稿）》中，也设立了“视同出口”的要求。

如果从“视同出口”的角度来看，似乎情形c也应当属于“向境外提供”。

以上三种情形实质上提出了三种认定“向境外提供”的理论。那么在数据出境安全评估制度中选择哪一个理论，需要有个决断。

而接下来的情形d和情形e，从行为上来看，符合“向境外提供”，但是根据政策考量，又应当予以从“向境外提供”中豁免：

d. 合法公开信息（包括已经公开在互联网上）的数据

既然信息已经合法公开，则世界上任何不特定组织和个人均可以访问，因此可以认为不属于有主观意图专门向境外提供。

当然其情形有一个前提——“合法公开”，例如正规的新闻报道、政府数据开放等。

e. 非在境内运营中收集和产生的个人信息和重要数据经由本国出境，未经任何变动或加工处理的，不属于数据出境

此种情形属于普通的数据过境，应当不属于“向境外提供”，一是境内没有数据提供方，二是不存在有主观意图，仅仅是因为路由原因。

“监管与合规”公号是由法学教授、资深官员、专业律师及企业高管领衔的高端法律平台，聚焦于分享市场监管与企业合规领域的前沿资讯和深度报告，重点研究跨国公司的反商业贿赂、不正当竞争、广告、产品标识质量、网络安全、隐私政策及数据竞争的行政调查、处罚及复议、诉讼等争端解决，同时关注金融企业和上市公司的金融合规监管。

诚意推荐 欢迎关注