跨境数据合规 | 《网络数据安全管理条例（征求意见稿）》系列解读之数据跨境篇【走出去智库】

走出去智库 2022-11-22

The following article is from 金杜研究院 Author 宁宣凤吴涵赵天琦

走出去智库观察

国家互联网信息办公室于11月14日发布的《网络数据安全管理条例（征求意见稿）》（简称“《条例》”），已满一个月的征求意见期后即将施行。《条例》第五章——数据跨境安全管理对跨境数据安全提出具体要求。

走出去智库（CGGT）特约法律专家、金杜律师事务所合伙人宁宣凤指出，本次《条例》在跨境传输规则方面的细化和完善体现了对国家公共利益、个人信息主体利益与企业利益之间的平衡，其一方面通过数据处理者向境外提供数据的义务要求、年度数据出境安全评估报告等规则强化对数据跨境安全的合规监管，另一方面通过跨境传输合法性基础的豁免、告知同意的豁免等规则为企业在日常业务中的跨境传输义务进行适当减轻。

互联网企业如何做好跨境数据安全合规管理？今天，走出去智库（CGGT）刊发金杜律师事务所宁宣凤、吴涵、赵天琦的文章，供关注数据安全的读者参考。

要点

CGGT，CHINA GOING GLOBAL THINKTANK

1、《条例》除了对安全评估进行了一定程度的阐释外，还对数据跨境的其他具体规则进行了明确，其主要内容涵盖数据跨境传输的合法性基础、个人信息主体告知同意的相关要求、数据出境安全评估的具体场景、数据处理者向境外提供数据的义务要求、年度数据出境安全评估报告、数据跨境安全网关管控等。

2、《个人信息保护法》规定履行由专业机构进行个人信息保护认证义务的主体是个人信息处理者，但《条例》在《个人信息保护法》的基础之上明确指出“数据处理者和数据接收方”均需通过网信部门认定的专业机构进行的个人信息保护认证。

3、国家对于数据跨境传输的监管已经从规则层面逐渐深入至实践层面，监管可操作性也逐渐提升。虽然目前提及的“数据跨境安全网关”仅用于阻断非法数据入境，但是我们可以合理地认为，未来不排除国家可能也会利用网关对非法数据出境行为进行同样的监管。

正文

CGGT，CHINA GOING GLOBAL THINKTANK

文/宁宣凤吴涵 赵天琦

金杜律师事务所

引言

2021年11月14日下午，国家互联网信息办公室（“国家网信办”），发布《网络数据安全管理条例（征求意见稿）》（“《条例》”）。《条例》以《中华人民共和国网络安全法》（“《网络安全法》”）、《中华人民共和国数据安全法》（“《数据安全法》”）和《中华人民共和国个人信息保护法》（“《个人信息保护法》”）等法律法规作为上位法依据，以专章的形式对境内数据跨境传输的规则在行政法规层面进行了细化规定，同时也提出了若干项新增的要求。

本文作为团队就《条例》的规则理解与系列解读的数据跨境研讨篇，将以《条例》第五章为核心，在对比不同法律法规所提出的数据跨境规则的基础上，整体性梳理国内针对数据跨境传输的监管框架，同时从《条例》的立法目的及监管趋势出发，为企业提供数据跨境传输的合规思路，并协助企业做好相应的合规准备，落实相关义务，为企业安全合规地“走出去”打下坚实基础。

一、《条例》下的数据跨境规定概述

如我们在《<网络数据安全管理条例（征求意见稿）>系列解读之框架篇》中所述，《条例》是一部效力仅次于法律的行政法规，其制定与出台将有助于弥补和完善数据保护监管体系中的细化规则，体现出我国逐渐下沉的监管趋势。虽然近期发布的《数据出境安全评估办法（征求意见稿）》（“《评估办法》”）在《网络安全法》《数据安全法》《个人信息保护法》等法律的基础上对数据出境的规则进行了细化，但其细化内容主要集中于数据跨境安全评估规则本身。相比之下，《条例》除了对安全评估进行了一定程度的阐释外，还对数据跨境的其他具体规则进行了明确，其主要内容涵盖数据跨境传输的合法性基础、个人信息主体告知同意的相关要求、数据出境安全评估的具体场景、数据处理者向境外提供数据的义务要求、年度数据出境安全评估报告、数据跨境安全网关管控等。

《条例》及相关法律法规有关数据跨境的规则概览如下：

（点击查看大图）

应当说明的是，本次《条例》在跨境传输规则方面的细化和完善体现了对国家公共利益、个人信息主体利益与企业利益之间的平衡，其一方面通过数据处理者向境外提供数据的义务要求、年度数据出境安全评估报告等规则强化对数据跨境安全的合规监管，另一方面通过跨境传输合法性基础的豁免、告知同意的豁免等规则为企业在日常业务中的跨境传输义务进行适当减轻。我们理解，《条例》将全面搭建和完善我国关于数据跨境的规则体系，助力我国企业在全球一体化数字经济时代浪潮中高速、稳健的发展。

二、《条例》与其他法律法规规定之间的衔接

《网络安全法》《数据安全法》和《个人信息保护法》作为《条例》的上位法，均对数据的跨境传输提出统领性规定。《网络安全法》针对CIIO在境内收集和产生的个人信息和重要数据提出原则上应遵循本地化要求，并明确对于因业务需要确需向境外提供的情形，应当按规定进行跨境安全评估。《数据安全法》在《网络安全法》的基础之上规定除CIIO外的数据处理者所收集和产生的重要数据出境应遵守相关配套规定，目前而言我们理解已经发布的该等配套规定包括《评估办法》和《条例》。《个人信息保护法》在《网络安全法》基础上要求个人信息的出境应当具备网信部门组织的安全评估、专业机构的个人信息保护认证或与境外接收方签订标准合同的三种基础之一，或满足其他法律法规的规定。

本次《条例》第五章对个人信息和重要数据的出境要求均提出了进一步的细化要求，并在一定程度上与上位法的规定相衔接，但在某些场景下也存在细微差异。详情如下：

01、与《个人信息保护法》关于跨境传输合法性基础规定的衔接

《条例》第三十五条基本延续了《个人信息保护法》第三十八条的规定，要求数据出境应以安全评估、认证或标准合同三者之一作为基础，但是应当注意的是，《条例》对专业机构认证和单独同意这两方面提出了细化要求。

具体而言，《个人信息保护法》规定履行由专业机构进行个人信息保护认证义务的主体是个人信息处理者，但《条例》在《个人信息保护法》的基础之上明确指出“数据处理者和数据接收方”均需通过网信部门认定的专业机构进行的个人信息保护认证。我们理解，将数据接收方也纳入个人信息保护认证的范畴一方面体现了我国对数据安全的强化监管，即数据跨境安全的监管重点不仅在于境内数据处理者，也同样在于境外的数据接收方，对数据接收方的安全监管是确保数据流动至境外后依然安全可控的重要措施；另一方面，对境外接收方的认证要求也是我国对外输出数据安全保护标准的重要方式之一，即在国际社会上以互认的方式达成双边或多边合作，确保在安全合法合规的基础之上推进数据的有序跨境流通。

此外应当说明的是，《条例》第三十五条在《个人信息保护法》第三十八条的基础之上新增了“数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息”以及“为了保护个人生命健康和财产安全而必须向境外提供个人信息”的两项例外情形。我们理解，从文理解释及逻辑解释出发，该等条款豁免的应当是跨境传输的合法性基础，而非告知同意要求，即在该等例外情形下数据的跨境传输不需要以安全评估、认证以及标准合同作为合法性基础，并不意味着在个人信息跨境传输的场景下处理者不需要向个人信息主体告知并获得单独同意。但结合《个人信息保护法》第十三条的第二项“为订立、履行个人作为一方当事人的合同所必需”和第四项 “紧急情况下为保护自然人的生命健康和财产安全所必需”，我们理解上述《条例》所规定的例外情形在一定程度上也有可能落入《个人信息保护法》所规定的同意的例外情形，从而构成跨境传输合法性基础和告知同意的双豁免，这在一定程度上可以为企业提供减轻义务的依据，但企业应当保证豁免情形严格限制在必要范围内。

02、与《个人信息保护法》关于告知同意的衔接

《个人信息保护法》第三十九条要求个人信息处理者向境外提供个人信息时应当告知个人并取得个人的单独同意。《条例》第三十六条第一款作出与《个人信息保护法》类似的规定，但是在第二款新增了单独同意的豁免情形，即“收集个人信息时已单独就个人信息出境取得个人同意，且按照取得同意的事项出境的，无需再次取得个人单独同意”。我们理解，“按照取得同意的事项出境”指的是后续出境的数据范围、方式、目的、数据接收方、个人向境外数据接收方行使个人信息权利的方式等内容均与之前的告知同意事项相一致，并未超出原本的授权范围。这避免了企业在日常业务过程中出于同一业务目的向同一数据接收方传输相同类型的数据而需要多次、重复获得个人信息主体授权的情况。

03、与《数据安全法》及其配套规定的衔接

虽然《数据安全法》在《网络安全法》的基础之上进一步提出了重要数据跨境的要求，但是该要求为统领性规定，目的在于为后续的配套规定奠定合法性基础。《评估办法》的发布在一定程度上尝试对数据跨境评估规则进行细化，为企业的实践和落地提供参考，其重点内容详见《迎接个人信息保护法的正式生效：<数据出境安全评估办法（征求意见稿）>规则解读》。《条例》中跨境评估相关的内容基本与《评估办法》相协调，明确了数据处理者应当进行数据出境安全评估的情形。与《评估办法》相比，《条例》未明确规定累计向境外提供超过十万人以上个人信息或一万人以上敏感个人信息的需要向主管机关申报数据出境安全评估，但其通过“国家网信部门规定的其他需要申报数据出境安全评估的情况”这一兜底条款进行了适当保留，以实现法律法规之间规定的一致性。

三、《条例》新增重点内容解读

《条例》除与《数据安全法》《评估办法》就数据跨境评估规则进行衔接之外，也对数据处理者在数据跨境传输的其他方面提出了更加细化和明确的监管规则。我们将在本章节中对其中的重点内容进行梳理和解读，旨在为境内外企业提供数据跨境方面的实践性参考。

01、对已出境但被认定为不得出境数据的应对措施

根据《条例》第三十九条第八项的规定，数据处理者向境外提供数据应当履行特定义务，包括对于国家网信部门认定不得出境的数据，数据处理者应当停止数据出境，并采取有效措施对已出境数据的安全予以补救。

在此应当说明的是，虽然《条例》中并未提及《评估办法》第五条数据出境风险自评估的要求，但根据《数据安全法》第三十条的规定，我们理解数据跨境自评估将有较高概率成为企业的一项合规义务。同时结合上述《条例》的规定，我们理解，向主管机构申报数据跨境安全评估并非企业进行跨境传输的前置性条件，换言之，企业经自评估认为数据可以跨境传输与向主管机构申报跨境安全评估这两项工作可以同时开展。对于企业经自评估认定为可以向境外传输的数据，企业可以开展数据跨境传输活动。当主管机构对于申报的数据安全评估认定为企业不得传输相关数据出境，则企业应当立即停止拟跨境或正在跨境的数据传输活动，并对在此之前已传输出境的数据进行删除。相关说明的示意图如下：

（点击查看大图）

02、与个人事先约定再转移条件

根据《条例》第三十九条第九项的规定，个人信息出境后确需再转移的，应当事先与个人约定再转移的条件，并明确数据接收方履行的安全保护义务。在《条例》之前，相关法律法规并未对数据在跨境后再转移的情形进行明确规定，虽然在实践中可以将其解释为包含在“处理方式”中，从而认为数据处理者应当将是否再转移以及再转移的接收方等告知个人信息主体并获得其单独同意，但鉴于缺少明文规定，此种情形在实践中较难被企业贯彻和落地。本次《条例》对再转移情形的规定进一步体现了数据传输至境外后的安全保障已逐渐成为我国监管的重点关注内容，并已通过相关法规进行强化监管，因此企业应当在告知同意文本中加入再转移的相关内容，或与个人另行达成关于再转移的协议，以满足《条例》对再转移的相关要求。

03、通过跨境安全网关阻断非法数据入境

为了维护国内网络信息内容生态环境，《条例》第四十一条第一款首次提出，国家将建立“数据跨境安全网关”以阻断境外向境内传输“法律和行政法规禁止发布或者传输的信息”。其中，“数据跨境安全网关”是指“阻断访问境外反动网站和有害信息、防止来自境外的网络攻击、管控跨境网络数据传输、防范侦查打击跨境网络犯罪的重要安全基础设施”，“禁止发布或者传输的信息”的具体类型可以参考《网络信息内容生态治理规定》第六条和第七条规定的“违法信息”[1]与“不良信息”[2]。

从上述规则不难看出，国家对于数据跨境传输的监管已经从规则层面逐渐深入至实践层面，监管可操作性也逐渐提升。虽然目前提及的“数据跨境安全网关”仅用于阻断非法数据入境，但是我们可以合理地认为，未来不排除国家可能也会利用网关对非法数据出境行为进行同样的监管。

04、禁止为他人提供“翻墙”工具及服务的行为

“翻墙”通常是指绕过IP封锁、内容过滤、域名劫持、流量限制等，非法对境外网络内容的访问行为。《条例》第四十一条第二款规定，任何个人和组织不得提供穿透、绕过数据安全网关的程序、工具，也不得为前述程序提供从互联网接入到支付结算的全流程中的任何一项服务。从前述规定可以看出，提供非法“翻墙”工具和服务的行为属于违法行为，而无论是否营利。

由上述规定可知，《条例》仅就“翻墙”工具及服务提供者的违法行为进行了明确，但是对于“翻墙”工具及服务使用者却并没有明确规定。其实我国早在1997年就已在《计算机信息网络国际联网管理暂行规定》中对“翻墙”行为进行了明确禁止，其第六条规定“任何单位和个人不得自行建立或者使用其他信道进行国际联网”。同时，据不完全统计，2020年浙江省公安对个人“翻墙”行为实施行政处罚的案例已超过60起。鉴于此，我们理解不仅提供“翻墙”工具和服务行为属于违法行为，使用“翻墙”工具和服务的行为仍有可能构成违法行为。但是应当说明的是，在《关于清理规范互联网网络接入服务市场的通知》（“《通知》”）的答记者问中，监管官员曾指出外贸企业、跨国企业因办公自用等原因，需要通过专线等方式跨境联网时，可以向依法设置国际通信出入口局的电信业务经营者租用，《通知》的相关规定不会对其正常运转造成影响。

05、规制流量路由所触发的跨境场景

《条例》第四十一条第三款规定，境内用户访问境内网络的，其流量不得被路由至境外。其实，该要求并未由《条例》首次提出，几乎一致的条文最早出现在国家网信办于2019年颁布的《数据安全管理办法（征求意见稿）》内的第二十九条[3]。我们理解国家网信办之所以再次在《条例》中提出该规定，旨在明确个人在境内访问互联网所产生的流量数据并非被排除在国内数据跨境监管框架之外，其跨境行为依然要建立在满足相关监管要求之上。

2020年4月，有美国研究人员称某会议软件X公司在美国提供服务过程中会部分流量被路由到中国，引发了监管大量的不满。在当地监管机关对其进行安全审查过程中，X公司承认在提高服务器容量以应对超高负载的过程中，允许部分境外流量路由到中国境内的两个数据中心。当时，美国司法部的多位成员在一封信中称，此行为可能导致美国私人信息的泄漏，存在被监听的可能性。[4]由此可见，流量路由到境外还可能会引发流量被窃取、监听的风险，禁止流量路由到境外可以防止路由泄露、流量误导和流量劫持。

06、其他义务

除上述内容外，《条例》第三十九条还对数据处理者的数据跨境行为提出其他合规义务，包括接受和处理数据出境所涉及的用户投诉、留存相关日志记录和数据出境审批记录三年以上、主管机构核验向境外提供个人信息和重要数据的类型与范围时以明文可读方式予以展示等。该等义务一方面对个人信息主体的权利进行强化，另一方面也为主管机构的后续监管提供支持。企业应当在日常业务过程中注意留痕，将数据跨境传输活动进行详细记录和保存以供自证合规，并在主管机构核验、检查时积极配合，以降低潜在的合规风险。

结语

在全面推进全球数字经济化的时代，各方主体对于数据价值的认识日益增强。虽然数据跨境是全球数字经济发展的必由之路，但不加规制的数据跨境行为有可能导致国家安全与稳定受到影响。《条例》正式在这样的背景下，对现有数据跨境规则进行了细化及完善，同时其也分别站在监管机关、企业、个人的角度，分别提出了部分新增规定，旨在平衡国家、企业与个人之间的利益关系，形成更加稳固的数据跨境监管框架。

从定期提交年度数据安全评估报告，到建立“数据跨境安全网关”落地监管机制，不难看出，《条例》相比于以往的数据跨境监管规则，更加注重整体规则的衔接以及实施方式的可操作性。我们有理由期待数据跨境的具体规则逐渐明确并在实践中被贯彻和落实。

来源：金杜研究院

专家介绍

宁宣凤

走出去智库（CGGT）特约法律专家

金杜律师事务所合伙人

业务领域：反垄断与反不正当竞争，以及网络安全与数据合规

在反垄断领域，宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前，宁宣凤律师就曾积极参与政府起草该项法案的咨询工作，并在该法颁布后，继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域，宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一，宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。

吴涵

金杜律师事务所合伙人

合规业务部

业务领域：网络安全、数据合规与治理

吴律师主要协助企业在数字经济转型期发挥数据驱动力，实现数字化转型、数据商业化及智能化应用。具体包括协助客户制定修改隐私政策、算法可解释性声明，制定跨境数据传输计划，制定数据商业化合规方案，搭建算法治理体系，梳理企业数据（包括个人信息保护）合规体系，进行网络安全和数据合规自查，协助搭建数据融合的商业及合规框架，构建企业数据资产体系等。吴律师擅长从中国合规的角度为跨国企业在中国的分支机构提供网络安全、数据治理及智能合规意见。同时吴涵律师能够立足中国相关法律法规，为中国走出去企业建立符合欧盟（GDPR）及美国（CCPA）等跨司法辖区要求的网络安全、数据合规及智能化监管体系。项目覆盖金融、保险、健康医疗、人工智能、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。

赵天琦

律师助理

金杜律师事务所合规业务部

延展阅读