一、《征求意见稿》确立的宽泛的数据境内存储要求和出境安全评估要求不符合我国《国家安全法》《网络安全法》的立法本意

《征求意见稿》第2条界定了办法的适用范围：“网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据，应当在境内存储。因业务需要，确需向境外提供的，应当按照本办法进行安全评估。”这实际要求所有的“网络运营者”在我国境内“收集和产生的个人信息和重要数据”都需要“境内存储”和“出境安全评估”，这实际上确立了相当宽泛的数据境内存储要求和宽泛的出境安全评估要求。

笔者认为，这种相当宽泛的境内存储和出境安全评估要求，实际上并不符合我国《国家安全法》《网络安全法》的立法本意。《国家安全法》第25条规定要“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”，从文义上看，是要求对“关键基础设施和重要领域信息系统及数据”实现安全可控，这里的“数据”是有限定的，即要求安全可控的是“关键基础设施和重要领域信息系统”的数据。《网络安全法》第37条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”从文义上看，这里的“个人信息和重要数据”也是有限定的，即“关键信息基础设施运营者”在我国境内收集和产生的“个人信息和重要数据”。

无论是“关键基础设施和重要领域信息系统”的数据，还是“关键信息基础设施运营者”在我国境内收集和产生的“个人信息和重要数据”，都是有限定范围的，“安全可控”、“境内存储”和“出境安全评估”的要求绝不是针对所有信息系统和所有网络经营者的数据。这种适用范围的限定是必要的也是必需的，因为《国家安全法》《网络安全法》的制度设计基本上是从确保国家安全的高度出发的，与侧重公共安全的《刑法》、《治安管理处罚法》等分工配合一起构成了我国网络安全法律的体系，立法本意在于维护国家安全，必要的适用限定是为了避免对商业信息系统和行业正常发展造成不当的负担，是一种利益平衡机制，体现了我国《国家安全法》《网络安全法》平衡网络安全与产业发展的立法目的。而《征求意见稿》规定“境内存储”和“出境安全评估”义务适用于所有信息系统和所有网络经营者，打破了这种利益平衡机制，有违我国《国家安全法》《网络安全法》的立法本意。

《征求意见稿》现在的方案设计，忽视了确保网络安全与促进产业发展的平衡，会给国内外互联网企业造成不必要的负担，也会让国外政府和产业界对我国《国家安全法》《网络安全法》造成不必要的误解，不利于我国相关产业的健康发展和国际贸易的正常开展。2016年，在我国举办G20会议之前，美国商会等46家国外团体针对我国《网络安全法（草案）》和保监会发布的《保险机构信息化监管规定》发出联名意见函，其关切点之一就是担心“宽泛的数据本地存储要求”，可能“会阻碍经济增长，并且会对外国公司和中国公司进入市场造成障碍”。笔者当时专门撰文予以回应，提出：我国《网络安全法》规定的境内存储义务有严格的适用范围，只适用于“关键信息基础设施”，不会影响一般商业信息系统的正常数据传输。（参见拙文《关于国外产业界对我国网络安全法关切点的评析》，可参阅前哨往期推文）。而目前《征求意见稿》规定的宽泛要求，恰恰是发生了国外产业界最为担心的情况，可以预见域外有关企业和组织将会对此征求意见稿反映强烈。还需要指出的是，如果《征求意见稿》的方案通过，国外政府有可能会对我国企业采取相应的对等措施，将极大地影响我国企业在国外的正常业务和持续发展。

       二、《征求意见稿》在一定程度上混淆了我国的“关键信息基础设施个人信息和重要数据出境管制”和域外一般探讨的“个人数据跨境流通规制”

我国《网络安全法》第37条规定的境内存储和出境安全评估义务针对的是“关键信息基础设施运营者”在我国境内收集和产生的“个人信息和重要数据”，而不是针对所有的“个人信息和重要数据”。“关键信息基础设施”的“个人信息和重要数据”的范围要在“关键信息基础设施”概念下理解和把握。所谓的“关键信息基础设施”，根据《网络安全法》第31条“列举+概括”的规定，是指“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的”信息基础设施。

虽然关键信息基础设施的范围有待后续立法进一步确定，但从这一定义来看，判断关键信息基础设施的标准是统一的，即“可能严重危害国家安全、国计民生、公共利益的”，所谓的“关键”就是指事关国家安全、国计民生和公共利益。对于关键信息基础设施具体范围的划定，因“国家安全、国计民生和公共利益”存在较大的解释空间，可能会出现宽泛界定和狭义界定两种情形，笔者建议主管部门根据我国面临的网络安全态势，从国家安全的高度出发予以狭义界定较为妥当。原因在于从国家安全的高度出发予以狭义界定可以将“关键信息基础设施”与一般信息系统、商业信息系统区分开来，可以统筹划定《网络安全法》《刑法》等法律的适用范围，形成关键信息基础设施保护多层次规范相互配合的法律体系。笔者建议从平衡网络安全与产业发展的角度出发，至少应该将一般的商业性信息系统排除在“关键信息基础设施”之外，以避免对产业界施加不当的监管负担。但不管如何界定，“关键信息基础设施”绝对不是指所有的信息系统，也不是指所有的重要领域信息系统，而是指重要领域信息系统中的“关键”信息系统。“关键信息基础设施个人信息和重要数据境内存储和出境安全评估”属于关键信息基础设施保护制度的一部分，是为了维护事关国家安全、国计民生和公共利益的重要信息基础设施的安全。

而域外一般所探讨的“个人数据跨境流通”规制是在个人信息保护制度下的内容，其目的是为了维护个人的人格尊严，不同于关键信息基础设施保护制度维护国家安全的目的。“个人数据跨境流通”议题的产生，最初是因为欧盟1995年《个人数据保护指令》规定，个人数据禁止流动至欧盟以外的没有“充分保护水平”的其他国家和地区，这促使与欧盟存在经贸往来的欧洲甚至世界其他国家和地区主动通过专门立法或行业规则来遵循贯彻欧盟《个人数据保护指令》所要求的保护水平。如果得不到欧盟的认可，欧盟就会禁止个人数据向该国或地区流动，这在某种程度上形成了“数据禁运”，对国际数据流动和数据贸易产生了重大影响。以美国和欧盟之间的数据流动为例，上述“数据禁运”的规定迫使美国与欧盟谈判并发展出了“欧盟—美国安全港计划（2000）”等一系列商贸规则。2013年斯诺登披露美国“棱镜”计划之后，欧盟出现控告脸书非法追踪用户数据案，欧盟法院于2015年10月6日做出判决，2000年签署的保障跨大西洋数据流动的欧美“安全港”协议制度无效。2016年6月27日，欧盟和美国达成新的“隐私盾”协议，美国在欧盟的要求下加强了对个人数据的保护，但笔者认为该协议是两国妥协的产物，形式意义大于实质意义。

从《征求意见稿》的规定看，无论是第4条“向个人信息主体说明数据出境的目的、范围、内容、接收方”并取得其同意、第8条评估“个人信息情况”、第9条“含有或累计含有50万人以上的个人信息”纳入出境数据评估范围，还是第11条“个人信息出境未经个人信息主体同意或可能侵害个人利益”时禁止出境，都在某种程度上属于个人信息保护制度“个人数据跨境流通”规制的内容。

《征求意见稿》将所有的个人信息都纳入境内存储和出境安全评估的范围，这里的“安全评估”是为了什么呢？是为了评估接收国家和地区个人信息保护、人格尊严保护是否充分？还是为了评估个人信息跨境流动影响国家安全？对于前者，其实我国并没有规定个人数据禁止流向保护水平比我国低的地区，尚未有制定法的依据，也许未来《个人信息保护法》会规定类似的原则，但不是目前所面临的问题。对于后者，有些个人信息确实会影响国家安全，对其跨境流动确有规制之必要，但从《国家安全法》《网络安全法》甚至其他法律的现行条文看，目前仅规定“关键信息基础设施运营者”在我国境内收集和产生的“个人信息”要纳入基于国家安全考虑而予以监管的范围，建议对于这之外的其他可能影响国家安全的个人信息另行制定监管法律，没有必要纳入贯彻《国家安全法》《网络安全法》的“关键信息基础设施个人信息和重要数据出境安全评估办法”这一配套规定之中。

将所有的个人信息都纳入境内存储和出境安全评估的范围，会对相关产业造成不当的负担，影响相关产业的健康发展。近年来，我国大力实施网络强国战略、国家信息化战略、国家大数据战略、“互联网+”行动计划，大力发展电子商务，着力推动互联网和实体经济深度融合发展，加快数字经济的发展，积极拓展经济发展新空间，这其中促进数据流动和数据增值应该是基本价值取向，应该鼓励相关产业的发展，在此基础上再积极探索制定相应的法律规则，争取我国在此方面的国际话语权和规则制定权。《网络安全法》对此也有所回应，例如第42条规定原则上“未经被收集者同意，不得向他人提供个人信息”，但规定“经过处理无法识别特定个人且不能复原的除外”。这在一定程度上回应了大数据产业发展的需求，未来大数据产业的发展不仅需要整合国内数据，也需要汇入国外数据，这需要通畅的数据跨境流动环境和有效的法律规则保障。从这个意义上看，《征求意见稿》规定“未经个人信息主体同意”的个人信息禁止出境、数据量超过1000GB的出境数据就需要纳入安全评估，在一定程度上不符合《网络安全法》的规定，也缺乏一定的战略远见。

因此，从《征求意见稿》的规定看，笔者认为其在一定程度上混淆了我国的“关键信息基础设施个人信息和重要数据出境管制”和域外一般探讨的“个人数据跨境流通规制”，建议将立法目的和制度设计都有较大不同的二者区分规定，仅将“关键信息基础设施运营者”在我国境内收集和产生的“个人信息”纳入“评估办法”的规定范围，其他个人信息跨境流动的保护问题留待其他法律法规作出规定。

       三、《征求意见稿》界定的需要进行出境安全评估的“数据”范围过于宽泛、所设定的判断标准并不统一严谨

从前两点的分析看，《征求意见稿》确立了宽泛的数据境内存储要求和出境安全评估要求，在这一思想下对于需要进行出境安全评估的“数据”范围也进行了宽泛界定。《征求意见稿》实际要求对所有网络经营者的所有出境数据都要进行评估，只不过区分了网络经营者自行安全评估（第7条）和报请主管部门安全评估（第9条）两种情形。对于报请主管部门安全评估的数据范围，界定为以下六种情形：（一）含有或累计含有50万人以上的个人信息；（二）数据量超过1000GB；（三）包含核设施、化学生物、国防军工、人口健康等领域数据，大型工程活动、海洋环境以及敏感地理信息数据等；（四）包含关键信息基础设施的系统漏洞、安全防护等网络安全信息；（五）关键信息基础设施运营者向境外提供个人信息和重要数据；（六）其他可能影响国家安全和社会公共利益，行业主管或监管部门认为应该评估。

从这些情形看，《征求意见稿》规定判断数据纳入“安全评估”范围的标准，在立法技术上，既有定量标准（含有或累计含有50万人以上的个人信息，数据量超过1000GB），也有定性标准，定性标准里又有“领域列举+抽象概括”，领域列举的有核设施、化学生物、国防军工、人口健康等领域、关键信息基础设施相关的数据等，抽象概括的表述有“敏感”、“可能影响国家安全和社会公共利益”。这些标准在逻辑上并不统一也不严谨，不可避免地会存在重复和交叉的现象，例如核设施的信息系统按照《网络安全法》第31条看，其实也应该属于“关键信息基础设施”、关键信息基础设施的系统漏洞、安全防护等网络安全信息也属于其“重要数据”。这种判断标准众多的规定，类似当初《网络安全法》草案一审稿第25条对关键信息基础设施的定义，该条定义采用了重要行业、公共服务、军事、政务、用户数量众多等多重标准，《网络安全法》从草案二审稿开始及时予以完善，统一了判断关键信息基础设施的标准，这个统一的标准就是“一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益”。既然“评估办法”是《网络安全法》的配套规定，建议《征求意见稿》将数据出境安全评估的范围仅限于“关键信息基础设施运营者”在我国境内收集和产生的“个人信息和重要数据”，即关键信息基础设施涉及的事关“国家安全、国计民生、公共利益”的个人信息和重要数据。

如果不局限于《国家安全法》《网络安全法》的规定，从域外立法经验来看跨境数据流动的监管，确实不仅限于关键信息基础设施的个人信息和重要数据，我国也应该考虑未来进行相关立法，但需要对纳入监管范围的数据进行类型化研究和相应制度设计。从笔者掌握的资料看，域外跨境数据流动监管的类型至少包括个人数据、重要的技术数据、敏感的政府数据、敏感的商业数据以及非法内容数据等。管制非法内容数据，如规制儿童色情、恐怖主义信息等。管制技术数据，如西方33国缔结的《瓦森纳协定》明确将与管制商品和技术清单内容直接相关的各类技术数据纳入受管控范围。管制敏感的政府数据，如澳大利亚《政府信息外包、离岸存储和处理ICT安排政策与风险管理指南》规定，为政府部门开发的云服务，属于安全分类的数据，不能储存在任何离岸公共云数据库中。对于其他类型的跨境数据监管，鉴于目前的研究尚不足以支撑相关立法，笔者建议通过后续研究和立法进一步解决，目前制定的“评估办法”仅作为《网络安全法》的配套规定。

小结：虽然我国《网络安全法》实施在即，作为配套规定的“评估办法”确有必要制定，但鉴于《网络安全法》规定的境内存储和出境安全评估义务仅适用于“关键信息基础设施运营者”在我国境内收集和产生的“个人信息和重要数据”，从另一方面讲，规定所涉及的个人信息和重要数据要境内存储和通过出境安全评估也是我国确立的关键信息基础设施保护制度的重要内容，笔者建议可以在正制定中的《关键信息基础设施保护条例》里规定此办法，或者至少在制定《关键信息基础设施保护条例》时通盘考虑制定专门办法。从具体的立法工作方法上讲，笔者建议可以先在摸底调研的基础上确定我国关键信息基础设施的行业领域，在此基础上明确划定分行业分领域的主管部门，在相应主管部门的领导下，广泛征求产业界的意见，制定充分反映不同行业领域实践的监管法规和国家标准，以更好地坚持安全与发展并重这一基本原则（见《网络安全法》起草说明），实现在切实维护网络安全的同时，也能保障相关产业的健康发展。

附：