数据出境流程操作指南｜iLaw

随着数据在全球范围内跨境流动率迅速增长，各国政府出于国家安全的考虑，均加强了对数据出境的监管并收紧法律对数据出境的规定，在保障本国个人信息和重要数据安全的前提下，促进网络信息依法有序自由流动。

那么，企业怎样保证在数据出境流程操作中均做到合规？在实际操作中又该严格遵守哪些数据出境的相关法律规范？

受监管的主体主要包括关键信息基础设施运营者（ CIIO ）和处理/传输个人信息量大的处理者。其中，处理/传输个人信息量大的处理者可以从以下几方面识别：

一类是数据的保有量，即处理个人信息达到 100 万人的；另一类是动态的数据处理，即自上一年度的1月1日起累计向境外提供达到 10 万人个人信息的或者自上一年度的1月1日起累计向境外提供达到 1 万人敏感个人信息的。

关于如何计算数据量的问题，可以拆解为如下几个部分：

（1）是不是出境

首先要理解数据出境到底是什么，要判断一个特定的场景是不是属于数据出境。以几个典型场景为例：

• 出境数据「无人可读」，算不算出境？

企业所收到的所有数据，虽然物理上出境了，但是无论是境外的供应商，还是其他任何的第三方，都无法读取数据的内容。这种场景到底属不属于中国数据出境的监管法律体系下的「出境」，是要画上问号的。

• 境外数据进来再出去，算不算出境？

一些企业把境外的个人数据或其他类型的数据收集到境内，进行分析或储存，然后再输出回境外的数据源，这算不算一种出境的行为？《数据出境安全评估办法》要求是境内产生和收集的数据，而在这种情况下，企业向外提供的数据不是境内收集和产生的，数据本身是在境外产生的。所以，这种情况可能不属于数据出境。

• 邮件服务器位于境外，算不算出境？

  
  

对于全球性的跨国公司，其邮件服务器一般不是部署在中国，而有可能部署在境外的某个数据中心。在邮件服务器位于境外的情况下，即使是坐在同一个中国办公室里的员工互发邮件，数据也是先到境外的邮件服务器，然后再被返回到中国境内的接收方的邮件服务器。这种情况下，如果数据在境外是可以被读取的，则有可能属于中国法律下的数据出境。

所以，「出境」的认定非常复杂，这也是企业履行数据出境义务的第一步。

（2）梳理出境场景

在理解什么是「出境」后，要根据企业的具体情况去梳理出境场景。建议企业通过业务渠道或者系统渠道去划分数据的处理场景。

比如可以看企业日常出境的技术方案是什么样的，到底是发邮件的形式，还是用系统的数据接口，还是把数据上传到服务器位于境外的云盘，还是通过 Teams 等办公软件。还有一些跨国企业，虽然它的数据通常存储在境内，但为了全球的数据管理，数据会定期备份到境外的服务器。

所以，为了更好地统计企业数据的出境量，建议去区分数据出境的场景。

（3）分场景统计出境数量

出境有标准化出境和非标准化出境之分。比如用系统做 API 接口，因为系统本身有日志、有记录，定向地去处理个人信息，出境量只要一拉系统记录就非常清楚，这是一种非常标准化的个人信息出境，比较好统计。比较难统计的是一些非标准化的场景，比如邮件、办公软件、云盘等，需要结合场景进行区分，具体地识别每个场景里出境了哪些数据，分场景去统计出境量。

（4）动态关注，提前计划

 10 万和 1 万的个人信息的出境量，是自上年度1月1日起算的，是一个累计的过程，对于企业来说是一个动态的过程。所以，企业要动态关注，提前计划。

3.  特定行业的受监管主体

如医药行业、金融行业、汽车行业、能源行业等。所以，即便这些特殊类型的行业没有达到上述标准，其仍然有可能成为受限制的主体。

（二）数据类型

数据出境受到限制主要是出于两个原因：第一，防止个人信息传输到境外之后遭到泄露，造成个人信息主体的权益、人格或财产的损害；第二，部分数据流入到境外之后，如果被非法利用，尤其是境外的一些不友好势力，会造成国家安全、经济安全、公共利益的损害。

所以，出境受到限制的数据有：第一，国家秘密；第二，重要数据，核心数据；第三，个人信息；第四，特定行业的受监管数据，包括医药行业的人遗资源，金融行业的金融交易数据等。

因为整个数据合规体系非常繁杂，前面讲的分类是相对而言的，有些数据无法完全归入某一类。最近上海有一个重要数据的案子，最后法院是按照非法刺探国家情报认定刑事责任。换句话说，重要数据、核心数据和国家情报的区别界限目前并不清晰。国家秘密是要经法定程序确定的，所谓绝密、机密、秘密，但是国家情报没有这样的要求。之所以强调这一点，是因为数据出境不仅仅可能给企业带来行政责任，处理不好甚至有可能带来刑事责任。

（三）《个人信息出境标准合同规定（征求意见稿）》对我国出境法律体系的影响

SCC 有自己非常多的特色。第一，明确了什么个人信息处理者和个人信息处理数量可以适用于标准合同。第二，给跨国公司内部的数据的移转，指明了一条相对可操作的比较明确和便捷的思路。总体而言，标准合同的制定对跨国经营的企业来讲，是一个非常大的利好。

（一）自评估

1. 评估前提

只要企业涉及数据出境的任何场景，都建议企业去做数据出境的自评估。但是在做自评估之前，要注意境内的出境方和境外的接收方之间的法律关系。

不管是《个人信息保护法》，还是《数据安全法》，里面都有「数据处理者」这个概念。数据处理者是指自己有权利去决定数据处理的方式和处理的目的。与「数据处理者」相对应的一个概念是「受托处理者」。「受托处理者」是接受数据处理者的委托，根据数据处理者的指示和要求去处理数据。

结合这两个概念，在数据出境的场景里，境内方和境外方至少有四种法律关系：境内的数据处理者把数据提供给境外的处理者；境内的处理者把数据提供给境外的受托方；境内的受托方把数据提供给境外的处理者；境内的受托方把数据提供给境外的受托方。

《数据出境安全评估办法》和《个人信息出境标准合同规定（征求意见稿）》都把评估的义务（不管是自评估还是网信办评估）放在了数据处理者身上。所以，在境内的处理者到境外的处理者和境内的处理者到境外的受托方这两种场景下，是比较明确的。境内的公司如果作为处理者来出境数据，要做自评估或者是网信办评估。

但如果境内的企业是数据的受托方，这时它要不要去做自评估，要不要去跟境外的数据接收方签订标准合同或其他数据出境的文件，目前的法律中其实是没有答案的，或者说法律的答案可能是否定的。

数据受托方处理数据的权利来源不是他本身，因为数据本身不是他收集的，他也没有获取个人主体的同意。他的权利来源完全在于数据处理者给他处理数据的授权和委托。但是在法律没有要求的情况下，仍然建议境内的受托方去做自评估。

原因在于法律虽然没有直接要求，但数据处理者做自评估和网信办评估时，有很大一部分的内容需要评估数据出境的具体情形和方式。在受托处理的情况下，直接出境方涉及了多方，所以处理者可能完全不了解受托方到底是以什么样的方式出境，出境的数据具体是什么样子。

这时候处理者做自评估只能依赖于受托方已经做了这样的评估，或者在合同中要求在做自评估时，受托方要配合提供数据出境的信息。如果受托方没有做过自评估，其实是提供不了相应的信息的。

即使是境内的处理者到境外的处理者，虽然理论上境外的处理者有权自己决定数据处理的方式和目的，但结合我国对数据出境的监管要求，显然不能放任其自己决定数据处理的方式和目的。

所以，企业仍然要充分地做好评估，根据法律的要求，在出境的合同中对境外的数据方怎样去保护数据、能不能把数据再提供给境外的第三方等明确清楚。

2. 评估重点

不管是自评估，还是网信办的评估，评估的重点内容在法规中都有明确的列出。以个人信息为例，评估的重点包括：

第一，是跟出境的个人信息本身相关的评估，如处理个人信息的目的、范围、方式是否合法、是否符合正当必要的原则，这是对数据本身合法性的评估。

第二，是关于数据出境的情况，如出境数据的数量、范围、类型、敏感程度，还有个人信息主体在数据出境之后可能遭受的侵害和风险。

第三，是关于境外方的评估，如境外方承诺的管理和技术措施是否能保障个人信息安全。

第四，数据出境后，是否有泄露、损毁、篡改、滥用以及未经授权提供给其他第三方的风险。

第五，个人信息主体的维权渠道是否通畅。如果是纯境内的个人信息收集，个人信息主体只需向境内的个人信息处理者去主张权利即可。但数据一旦出境，个人信息主体的权利主张要么需要同时向两方提出，要么通过境内的处理者向境外的接收方提出。比如如果要行使数据的删除权，可能两边都要删，那双方之间的配合是否通畅，也是一个要评估的比较重要的问题。

最后，接收方所在国的法律和制度对个人信息保护的影响，这个可能是将来做评估时比较复杂的一个问题。因为目前《个人信息出境标准合同规定（征求意见稿）》和《数据出境安全评估办法》的规定有一些出入。接收方所在国法律的影响，在个人信息的语境里，是放在企业的自评估环节，如果需要做网信办的评估，再把自评估的结果提交给网信办。

但是在《数据出境安全评估办法》中，这部分其实是放在网信办评估的模块里。把境外法律影响的评估义务加在境内企业身上，可能有点过重，也不一定能够做到充分的评估。所以，将其放在网信办的评估中，相对来说比较合适。

3. 企业应对

企业如果完全按照现有的法规，包括征求意见稿的要求去做，对企业的影响会比较大，甚至会涉及企业IT架构的重新设置。每个企业都要评估风险和成本，以及可能面临的违规后果，结合企业自身的特点做一个平衡。

但有两点需要强调。第一，不能将法律的不确定性或没有开始大规模执法作为等待的依据。第二，如果要做权衡，一定要做 calculated risk 。以两方面举例，一是重要数据，二是个人信息。

在重要数据方面，要考虑自己是不是关键信息基础设施运营者。至少可以从两个维度去考察：

第一，是不是各种法规列明的重点行业当中的企业。第二，如果不是列明的重点行业当中的企业，而且也没有被任何关键信息基础设施保护工作单位认定为关键信息基础设施运营者。

那么在这种情况下可以相对比较安全的认定，重要数据出境本身不能管辖到企业。当然，如果能够配合其他信息，比如信息系统受到破坏能造成的社会公共利益的影响是多大，信息系统在做等保时有没有被测评到三级等等，结合所有这些因素后，就能做出一个相对比较安全的判断。

个人信息方面，在自评估或网信办评估之前，有一个「摸家底」的前提性工作，即个人信息影响评价（PIA）。 PIA 除为个人信息出境奠定基础外，《个人信息保护法》明确规定在个人信息出境的情况下，做 PIA 是一项法定的义务。

做了 PIA 之后，能够大致判断已经处理的历史存量数据是否已经达到了 100 万，以及从上一年度的1月1日起，累计向境外提供了多少个人信息或敏感个人信息。

然后再来判断个人信息出境的合规途径。如果个人信息保护工作做得比较好，数据成熟度高，可能认证是最便捷的模式。或者个人信息出境主要是跨国公司和关联公司之间，可能可以走标准合同的途径。这也是做了 PIA 之后才能做的判断。

最后，中国的法律越来越考虑到实操性，比如刚刚颁布的《数据出境安全评估办法》明确规定，在9月1日生效之后，给6个月的宽限期，即对于违法违规数据出境，可以给6个月的整改期限。

（二）境外主体的配合

虽然法律把评估的要求都放在境内的出境方，但自评估包括网信办评估要提供的一份很重要的文件是双方签订的合同。所以，谈到境外机构的配合工作，第一点可能不是配合做评估，而可能是会不会配合签合同。这可能取决于双方的谈判地位，境外的弱势的接收方可能会比较容易接受境内机构签合同的要求，但我们遇到的境外接收方大部分是很大的软件或IT公司，它们可能会坚持用自己的标准的合同，或者说不会签自己合同签订流程以外的任何合同。

如果发现签合同是有难度的，可能要考虑一些替代的方案。

因为之前的法律没有特别多的要求，所以大家可能没有考虑过数据出境的必要性问题。在法律要求越来越明确和严格的前提下，企业要在数据出境和合规义务中做取舍：数据是不是一定要出境？如果不出境，在境内是不是有解决的方案？

另外还有关于数据处理量的问题。对于一些数据持有量包括传输量正好介于法律规定的门槛之上的出境方，可以考虑能不能通过减少一定数据量的方式来合法地避免数据出境的法律义务。

比如一些不活跃用户的信息，或者对于企业已经没有太大价值的个人信息，如果企业彻底地删除或者匿名化，是不是有可能让企业的数据总量降到门槛以下，或者控制传输的数据量。这种情况下企业要考虑数据出境的必要性问题，这个问题在境外主体不配合签合同或评估的时候尤其重要。

（三）网信办评估

数据出境的主管单位是网信办，不管是个人信息出境标准合同的备案，还是根据法律要做政府的数据出境评估，主管部门都是网信办。

1.级别和时限

数据出境的评估，是向省级的网信办提出申请，省级网信办要在 5 个工作日内完成初审，反馈材料是否齐全。

省级网信办受理申请后，会向国家网信办提交申请，国家网信办收到材料后， 7 个工作日内决定是否受理。然后开始正式审查数据出境的行为，在 45 个工作日内完成审查，特殊情形下可以延长。

所以，提交材料是在省级网信办，最终的评估结果是由国家网信办作出。

2.有效期

一旦做了网信办的评估，批准是两年内有效的。所以，企业只要确保出境的情况不发生重大变化，两年做一次评估就可以满足法律的要求。

但如果数据出境的情况发生了变化，则需要重新评估。比如出境数据的目的、方式、范围、类型的变化。

值得注意的是，接收方所在国法律环境发生变化和接收方发生控制权变化，这种情况下也需要重新评估。在跟境外接收方签订协议的时候，对于这些发生在接收方所在国的情况，境外接收方要履行及时告知境内方的义务。

3. 提交材料

• 申报书，会有政府的标准格式。

• 自评估报告。

• 数据出境「法律文件」，这是《数据出境安全评估办法》最新采用的表述，以前采用的是“合同”的表述。这意味着不再仅仅限于合同，这可能在一定程度上能够解决境外主体不配合签合同的情况。如果网信办不一定要求合同，那是不是可以提供能够证明数据出境安全的其他一些单方面的法律文件。比如境外接收方能够提供数据安全的内控制度；能够表示数据出境之后，会按照内部制度来保护数据；或者对于个人信息，境外方是否能提供隐私政策来说明个人信息会得到怎样的保护；或者能不能接受境内的出境方单方面出具的声明。

4. 结果异议

第一次结果不是最终的，可以在收到结果后15日申请复评，复评的结果就是最终的结果。

（四）内部制度不完善，但有出境需求的企业

第一，要界定到底是不是数据出境。首先要跟业务部门讲清楚出境评估侧重的是出境的部分，因为业务部门理解的「出境」和法律上认定的「出境」不一定是重合的。

第二，数据出境评估的重点是两部分。第一是出境行为本身是不是符合法律的要求？包括比如个人信息出境前有没有获得个人信息主体的单独同意，有没有做个人信息影响等。第二是出境之后数据怎么保护？这会涉及不同的一些合规措施，包括境外的受托处理方、共同处理方是否愿意接受合同的约束条款等。

换句话说，不能笼统地跟业务部门讲不遵守法律的规定会有什么样的后果，而要讲清楚每一阶段的义务在哪，现阶段能做到哪一部分。

（五）现阶段如何给企业做数据出境服务

首先要说明的问题是，目前还没有企业真正去做政府这一端的出境评估，政府部门本身也在准备和搭建监管包括申报的渠道的过程当中。但是，企业根据已有的法律体系，还是有很多的出境需求，其中也有很多的风险要去规避。

首先，要帮助识别企业的性质。很重要的一点就是企业是不是关键信息基础设施运营者，这主要根据行业主管部门的认定和通知。除此之外，要关注行业端是不是有对企业主体的特别要求。

其次，要判断出境的场景。第一，到底算不算出境。第二，以什么样的形式出境。

再次，要判断境外接收方的性质。重要数据出境之后是不是会有危险，主要是评估对国家安全的影响，那境外接收方到底是政府还是非政府组织，或者是被境外政府控制的企业，其性质的判断非常重要。

最后，是识别数据本身的性质。数据到底是个人信息还是重要数据，是否含有国家秘密甚至国家情报等。

上述步骤都完成后，会给企业整体做一个出境风险的评估，告诉企业有哪些受监管的数据，如果出境可能会有哪些风险，建议企业采取什么样的措施去规避风险。

这个体系主要是因为之前法律对于出境的规定还没有完全落地，在《数据出境安全评估办法》落地之后，会有比较大的调整。

第一，个人信息的出境路径和规则相对而言已经比较清楚，有些细节仍有待于将来通过颁布国家标准的形式来明确。

第二，对于非个人信息，重要数据的出境规则仍有待完善，最主要的是重要数据的识别。今年3月份，国标《重要数据识别指南》更名为《重要数据识别规则》，并做了一定细化。

但仍有待于主管部门和地方政府做出更加明确和详细的解释。一些国家标准对数据分类分级提出了所谓的自主原则，暗含的意思可能是无法期待主管部门做到非常明确和细致的重要数据的分类，企业仍要结合自己对行业的理解，根据指导原则做一定的分类。

个人信息和非个人信息在出境的场景下不是严格的区分。当出境的个人信息达到了一定的数量，而且出境的个人信息有一定的多样性，这些个人信息汇聚之后，有可能成为国家关注的重要数据。

第三，从整体上来看，国家在数据合规方面仍然朝着一个合理的方向在发展，兼顾企业经营和数据安全这两个目标。比如，标准合同是备案，不是审查。如果未来不进行实质性的审查，是一个真正的备案，那对企业的生产经营效率是一个非常大的帮助。

再比如，评估之后的两年内，除非出境的一些情形发生变化，出境方不用再做出境评估。

最后，一些特殊行业，比如金融行业，早在《网络安全法》生效之前，就已经有了个人金融信息出境的一些限制。企业要关注所在行业的一些行政法规、部门规章和执法实践。

第一，企业无论是有哪一种类型数据的出境，首先要做好“摸家底”的工作，要梳理数据类型、数据量、数据出境场景等。

第二，假设企业个人信息的处理量或者存量不达标，可以豁免进行评估，应该尽早和积极地和境外的接收方协商沟通，探讨标准合同条款适用的可能性。要强调的是，我们法规不是要求签订一模一样的模板合同，只是要求跟模板合同不相冲突，包含一些必要的要素。如果境外接收方不配合，就要考虑其他的途径。

第三，达标的企业或者关键信息基础设施运营者，要尽早地开始自评估，充分地利用六个月的宽限期，尽早地进行整改，以便能够顺利通过网信办的评估。

第四，数据合规不是一个数据法律团队能完成的工作。比如识别接收方的信息，是否为境外政府或者是境外政府控制，一般的数据律师团队无法做到判断是不是境外政府控制。在这方面，贸易制裁或者出口管制的团队会有丰富的经验。

（本文整理至通力律师事务所潘永建律师、朱晓阳律师于 iLaw 直播间讲授的公开课内容）