個(gè)人信息、重要數(shù)據(jù)等關(guān)乎個(gè)人信息權(quán)益,、國家安全和社會(huì)公共利益的數(shù)據(jù)出境將迎來監(jiān)管,。10月29日，國家互聯(lián)網(wǎng)信息辦公室（下稱“網(wǎng)信辦”）發(fā)布《數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》,，并向社會(huì)公開征求意見,。

　　南都記者梳理發(fā)現(xiàn)，這是網(wǎng)絡(luò)安全法審議通過以來,，網(wǎng)信辦第三次對(duì)數(shù)據(jù)出境安全相關(guān)的評(píng)估辦法征求意見,。征求意見稿擬對(duì)達(dá)到申報(bào)要求的個(gè)人信息規(guī)模劃出紅線，如處理個(gè)人信息達(dá)到一百萬人,，或累計(jì)向境外提供超過十萬人以上個(gè)人信息或者一萬人以上敏感個(gè)人信息,。

　　文 / 蔣琳 尤一煒

　　個(gè)人信息、重要數(shù)據(jù)等關(guān)乎個(gè)人信息權(quán)益,、國家安全和社會(huì)公共利益的數(shù)據(jù)出境將迎來監(jiān)管,。10月29日，國家互聯(lián)網(wǎng)信息辦公室（下稱“網(wǎng)信辦”）發(fā)布《數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》,，并向社會(huì)公開征求意見,。

　　南都記者梳理發(fā)現(xiàn)，這是網(wǎng)絡(luò)安全法審議通過以來,，網(wǎng)信辦第三次對(duì)數(shù)據(jù)出境安全相關(guān)的評(píng)估辦法征求意見,。征求意見稿擬對(duì)達(dá)到申報(bào)要求的個(gè)人信息規(guī)模劃出紅線，如處理個(gè)人信息達(dá)到一百萬人,，或累計(jì)向境外提供超過十萬人以上個(gè)人信息或者一萬人以上敏感個(gè)人信息,。

　　多位專家對(duì)南都記者表示，征求意見稿“解決了企業(yè)當(dāng)下迫切關(guān)注的問題”,，是網(wǎng)絡(luò)安全法,、數(shù)據(jù)安全法和個(gè)人信息保護(hù)法共同確立的數(shù)據(jù)出境安全評(píng)估制度的落地細(xì)則，而三次征求意見則反映了政策不斷完善的過程,。

　　網(wǎng)信辦三次對(duì)數(shù)據(jù)出境安全相關(guān)評(píng)估辦法征求意見

　　據(jù)了解,，《數(shù)據(jù)出境安全評(píng)估辦法》的制定目的是規(guī)范數(shù)據(jù)出境活動(dòng)，保護(hù)個(gè)人信息權(quán)益,，維護(hù)國家安全和社會(huì)公共利益,，促進(jìn)數(shù)據(jù)跨境安全、自由流動(dòng)。

　　“經(jīng)濟(jì)全球化條件下,，數(shù)據(jù)跨境流動(dòng)是常態(tài),，為全球經(jīng)濟(jì)活動(dòng)、人類社會(huì)發(fā)展提供了基礎(chǔ)支撐,。因此,，數(shù)據(jù)出境評(píng)估制度在世界各國的安全和發(fā)展戰(zhàn)略中，都是一個(gè)重要事項(xiàng),，也是近年來國際貿(mào)易規(guī)則,、協(xié)定以及多邊雙邊磋商的重大議題”，中國信息安全研究院副院長(zhǎng)左曉棟指出,。

　　南都記者注意到,，這是2016年網(wǎng)絡(luò)安全法通過審議以來，網(wǎng)信辦第三次對(duì)數(shù)據(jù)出境安全相關(guān)的評(píng)估辦法征求意見,。

　　早在2017年,，網(wǎng)信辦就會(huì)同相關(guān)部門起草發(fā)布了《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》。2019年,，網(wǎng)信辦又發(fā)布《個(gè)人信息出境安全評(píng)估辦法（征求意見稿）》。時(shí)隔兩年,，此次的《數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》出臺(tái),。

　　值得注意的是，三份征求意見稿對(duì)應(yīng)的數(shù)據(jù)類型并不相同——從最初的“個(gè)人信息和重要數(shù)據(jù)”,，到單獨(dú)的“個(gè)人信息”,，再到語義相對(duì)籠統(tǒng)的“數(shù)據(jù)”。其中此次征求意見稿中的“數(shù)據(jù)”包括了“數(shù)據(jù)處理者向境外提供在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)和依法應(yīng)當(dāng)進(jìn)行安全評(píng)估的個(gè)人信息”,。

　　左曉棟對(duì)南都記者表示,，第一次是為了與網(wǎng)絡(luò)安全法實(shí)施同步，但相關(guān)規(guī)定并不完善,；第二次考慮了重要數(shù)據(jù)與個(gè)人信息的不同,，擬對(duì)其分別制定出境安全評(píng)估辦法，所以先起草了《個(gè)人信息出境安全評(píng)估辦法（征求意見稿）》,，但該辦法并不能解決個(gè)人信息出境的所有問題,，而重要數(shù)據(jù)的定義當(dāng)時(shí)尚不明確?！斑@反映了政策不斷完善的過程,。”

　　“直到這一次,，在數(shù)據(jù)安全法和個(gè)人信息保護(hù)法的補(bǔ)充下,，數(shù)據(jù)出境安全評(píng)估制度已經(jīng)在法律上比較完善，制定具體落地辦法的條件終于成熟?！弊髸詶澱f,，“隨著《數(shù)據(jù)出境安全評(píng)估辦法》征求意見，《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》和《個(gè)人信息出境安全評(píng)估辦法（征求意見稿）》自然廢止,?！?/p>

　　中國人民大學(xué)未來法治研究院副院長(zhǎng)丁曉東補(bǔ)充指出，網(wǎng)絡(luò)安全法,、數(shù)據(jù)安全法和個(gè)人信息保護(hù)法構(gòu)建了完整的與數(shù)據(jù)安全相關(guān)的法律體系,。從健全法律、促進(jìn)法律落地的背景來說,，征求意見稿將關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者收集產(chǎn)生的數(shù)據(jù),、重要數(shù)據(jù)和個(gè)人信息等囊括其中，是一個(gè)整體性思考,。

　　另一個(gè)明顯的變化是,，前兩份評(píng)估辦法的規(guī)制主體都是“網(wǎng)絡(luò)運(yùn)營者”，與網(wǎng)絡(luò)安全法中的表述一致,；而此次征求意見稿的規(guī)制主體則是數(shù)據(jù)“處理者”,，與數(shù)據(jù)安全法和個(gè)人信息保護(hù)法表述一致。

　　資深數(shù)據(jù)法律師袁立志指出,，網(wǎng)絡(luò)運(yùn)營者是網(wǎng)絡(luò)安全法中的概念,，而數(shù)據(jù)出境評(píng)估辦法歸管的主體應(yīng)該遵從數(shù)據(jù)安全法和個(gè)人信息保護(hù)法中的相關(guān)規(guī)定，即數(shù)據(jù)處理者,?！半m然兩者在大部分情況下是同一個(gè)主體，但也有一些情況下是不同的,，使用數(shù)據(jù)處理者的表述會(huì)更加準(zhǔn)確,。”

　　“相較‘網(wǎng)絡(luò)運(yùn)營者’,，‘?dāng)?shù)據(jù)處理者’代表的范圍更大,，比如沒有實(shí)現(xiàn)網(wǎng)絡(luò)化、數(shù)字化的企業(yè)也包含在‘?dāng)?shù)據(jù)處理者’的范圍中,?！倍詵|說。

　　圖片

　　“一百萬”“十萬”適用于不同數(shù)據(jù)處理場(chǎng)景

　　多位專家對(duì)南都記者表示,，征求意見稿第四條是核心條款,。該條對(duì)數(shù)據(jù)處理者向境外提供數(shù)據(jù)時(shí)，哪些情形下需要申報(bào)數(shù)據(jù)出境安全評(píng)估做出了明確規(guī)定,。

　　第四條  數(shù)據(jù)處理者向境外提供數(shù)據(jù),，符合以下情形之一的，應(yīng)當(dāng)通過所在地省級(jí)網(wǎng)信部門向國家網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評(píng)估。

　?。ㄒ唬╆P(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù),；

　　（二）出境數(shù)據(jù)中包含重要數(shù)據(jù),；

　?。ㄈ┨幚韨€(gè)人信息達(dá)到一百萬人的個(gè)人信息處理者向境外提供個(gè)人信息；

　?。ㄋ模├塾?jì)向境外提供超過十萬人以上個(gè)人信息或者一萬人以上敏感個(gè)人信息,；

　　（五）國家網(wǎng)信部門規(guī)定的其他需要申報(bào)數(shù)據(jù)出境安全評(píng)估的情形,。

　　左曉棟指出,，網(wǎng)絡(luò)安全法第三十七條首次規(guī)定了數(shù)據(jù)出境安全評(píng)估制度，但范圍只限定在關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者在中國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù),?！笆聦?shí)上，很多數(shù)據(jù)出境行為未必同關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)”,，他說,，后來數(shù)據(jù)安全法從重要數(shù)據(jù)出境方面、個(gè)人信息保護(hù)法從個(gè)人信息出境方面進(jìn)行了彌補(bǔ),。

　　根據(jù)個(gè)人信息保護(hù)法,，處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者，確需向境外提供的,，應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評(píng)估。多位專家均表示,，征求意見稿中規(guī)定的100萬是對(duì)上述規(guī)定數(shù)量的明確,。

　　談及關(guān)于達(dá)到申報(bào)要求的個(gè)人信息規(guī)模的規(guī)定，丁曉東表示,，100萬不是一個(gè)絕對(duì)標(biāo)準(zhǔn),，并不代表擁有99.99萬用戶量的企業(yè)向境外傳輸數(shù)據(jù)時(shí)，就不需要進(jìn)行安全評(píng)估,。他認(rèn)為“這個(gè)紅線是為了區(qū)分小型商家和大型平臺(tái)”,。

　　左曉棟則提出，規(guī)定中的“一百萬”和“十萬”的條件值適用于不同的情況,，這反映了在信息技術(shù)廣泛應(yīng)用的情況下,，網(wǎng)絡(luò)運(yùn)營者、數(shù)據(jù)處理者的復(fù)雜性,、多樣性為立法工作帶來的挑戰(zhàn),。

　　“傳統(tǒng)互聯(lián)網(wǎng)企業(yè)動(dòng)輒處理幾十萬、上百萬的個(gè)人信息。如果把這個(gè)閾值定得過低,，會(huì)導(dǎo)致大量互聯(lián)網(wǎng)企業(yè)在數(shù)據(jù)出境時(shí)只能選擇網(wǎng)信部門安全評(píng)估方式,，無論對(duì)企業(yè)還是政府部門工作而言都帶來太高成本。但同時(shí)也要看到……有的時(shí)候幾萬,、幾十萬個(gè)人信息已經(jīng)達(dá)到了一個(gè)企業(yè)處理個(gè)人信息的天花板,，但這幾十萬的量卻影響十分巨大?！彼e例說,，一個(gè)車企一年賣十萬輛智能汽車是不錯(cuò)的成績(jī)了，如果把閾值定在一百萬,，一些可能存在嚴(yán)重國家安全,、數(shù)據(jù)安全隱患的智能汽車企業(yè)將被排除在外，“這顯然也是不合適的,?！?/p>

　　在袁立志看來，相對(duì)于中國市場(chǎng)的體量,，100萬是“比較低的標(biāo)準(zhǔn)”,，很容易觸發(fā)。將紅線劃在100萬,，可能是主管部門認(rèn)為當(dāng)前國際數(shù)據(jù)安全形勢(shì)比較嚴(yán)峻,，出于對(duì)國家數(shù)據(jù)安全、爭(zhēng)奪國際數(shù)據(jù)控制權(quán)等的考量,。另一方面,，該紅線會(huì)倒逼企業(yè)在本地存儲(chǔ)數(shù)據(jù)，減少數(shù)據(jù)出境的需求,。

　　南都記者注意到,，一百萬的“紅線”在今年7月公布的《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》中也被提及。上述文件擬規(guī)定,，掌握超過100萬用戶個(gè)人信息的運(yùn)營者赴國外上市,，必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查。

　　對(duì)此,，左曉棟認(rèn)為,，“處理個(gè)人信息達(dá)到一百萬人的個(gè)人信息處理者向境外提供個(gè)人信息”涵蓋了“掌握超過100萬用戶個(gè)人信息的運(yùn)營者赴國外上市”的情況。換言之,，后者是一種典型的數(shù)據(jù)出境行為,，既然達(dá)到了“100萬”，就自然進(jìn)入國家網(wǎng)信部門的安全評(píng)估程序,。

　　除了第四條,，征求意見稿的第五條和第九條也十分重要——它們分別針對(duì)數(shù)據(jù)處理者事先開展數(shù)據(jù)出境風(fēng)險(xiǎn)重點(diǎn)評(píng)估的事項(xiàng)和數(shù)據(jù)處理者與境外接收方訂立的合同應(yīng)包含的內(nèi)容做出規(guī)定,。

　　“《辦法》的第五條和第九條具有通用性?！弊髸詶澱J(rèn)為,，無論任何一種數(shù)據(jù)出境，至少要遵循兩類要求：一是出境前的自評(píng)估,，二是數(shù)據(jù)發(fā)送方與數(shù)據(jù)接收方的安全保護(hù)義務(wù),。

　　數(shù)據(jù)出境評(píng)估結(jié)果有效期為兩年

　　11月1日，個(gè)人信息保護(hù)法將正式實(shí)施,，而數(shù)據(jù)安全法也已于9月1日生效,。“隨著兩部法律的正式實(shí)施,，許多企業(yè)有數(shù)據(jù)出境評(píng)估的迫切需求,，如果不做，擔(dān)心被事后追責(zé),，而沒有這個(gè)評(píng)估辦法的話,，企業(yè)又不知道怎么做?！痹⒅菊J(rèn)為,，征求意見稿“解決了企業(yè)當(dāng)下迫切關(guān)注的問題”。

　　征求意見稿擬規(guī)定,，數(shù)據(jù)出境評(píng)估結(jié)果有效期為兩年,，如有效期屆滿需繼續(xù)開展數(shù)據(jù)出境活動(dòng)，數(shù)據(jù)處理者應(yīng)當(dāng)在有效期屆滿六十個(gè)工作日前重新申報(bào)評(píng)估,。

　　南都記者注意到,，上述條款基本延續(xù)了2019年《個(gè)人信息出境安全評(píng)估辦法（征求意見稿）》擬規(guī)定的“每2年或者個(gè)人信息出境目的、類型和境外保存時(shí)間發(fā)生變化時(shí)應(yīng)當(dāng)重新評(píng)估”,，并在其基礎(chǔ)上做出了更加具體的規(guī)定,。

　　如征求意見稿提到，在有效期內(nèi)出現(xiàn)以下情形之一的,，數(shù)據(jù)處理者應(yīng)當(dāng)重新申報(bào)評(píng)估：向境外提供數(shù)據(jù)的目的,、方式,、范圍,、類型和境外接收方處理數(shù)據(jù)的用途、方式發(fā)生變化,，或者延長(zhǎng)個(gè)人信息和重要數(shù)據(jù)境外保存期限的,；境外接收方所在國家或者地區(qū)法律環(huán)境發(fā)生變化，數(shù)據(jù)處理者或者境外接收方實(shí)際控制權(quán)發(fā)生變化,，數(shù)據(jù)處理者與境外接收方合同變更等可能影響出境數(shù)據(jù)安全的,；出現(xiàn)影響出境數(shù)據(jù)安全的其他情形的,。

　　丁曉東認(rèn)為，征求意見稿會(huì)對(duì)具有強(qiáng)數(shù)據(jù)出境需求的企業(yè)帶來合規(guī)壓力,，這是“毫無疑問的”,。與此同時(shí)，還會(huì)對(duì)個(gè)人帶來間接影響——根據(jù)個(gè)人信息保護(hù)法的要求,，企業(yè)在跨境傳輸數(shù)據(jù)時(shí),，需要經(jīng)過用戶的同意。

　　“歷經(jīng)四年,，我國終于在法律層面建立了數(shù)據(jù)出境安全評(píng)估制度,。” 左曉棟表示,，征求意見稿是網(wǎng)絡(luò)安全法,、數(shù)據(jù)安全法和個(gè)人信息保護(hù)法共同確立的數(shù)據(jù)出境安全評(píng)估制度的落地細(xì)則。根據(jù)法律的授權(quán),，網(wǎng)信辦制定征求意見稿,，使數(shù)據(jù)出境安全評(píng)估制度落地。

　　不過他同時(shí)指出,，當(dāng)前我國需要建立的不僅僅是數(shù)據(jù)出境安全評(píng)估制度,，而是完整的數(shù)據(jù)出境安全管理制度?！盁o論《辦法》多么重要,，其只能是我國數(shù)據(jù)出境安全管理制度的一部分，后續(xù)還需要制定出臺(tái)另外的法規(guī)政策文件,，共同構(gòu)建我國數(shù)據(jù)出境安全管理制度,。”