《個人信息和重要數據出境安全評估辦法（征求意見稿）》各方解讀

本刊編輯部

《個人信息和重要數據出境安全評估辦法（征求意見稿）》各方解讀

本刊編輯部

全球企業在邁向國際市場的同時，都將通過多國市場整合、統一分配來實現節約成本、提升業績的目的，其數據進行跨境流動是大勢所趨。本文從數據跨境流動的市場背景、立法背景和研究背景，綜合各方觀點評述解讀《個人信息和重要數據出境安全評估辦法（征求意見稿）》。

數據跨境流動；網絡安全法；個人信息

一、背景介紹

1.數據跨境流動市場背景：

隨著新一代信息通信技術的應用普及，人類社會正快速步入“信息隨心至，萬物觸手及”的萬物互聯時代，人與人、人與物、物與物呈現實時互聯，數據成為萬物互聯的中心，數據日趨多樣、復雜和龐大。數據天然具有全球化屬性，數據跨境流動是必然常態，全球經濟已經從物質貿易向數據貿易發生轉變。

根據麥肯錫的研究報告，2014年全球貨物流動、外國直接投資和數據使用為全球GDP總值增加了7.8萬億美元，其中跨境數據流動產生了2.8萬億的價值，并預測到2025年，跨境數據會產生11萬億美元的價值。

如果歐盟禁止跨境數據流動，可能對歐盟GDP產生0.8-1.3%的負面影響（經濟衰減幅度大約是歐洲在2012年經濟下行時的三至四倍）；歐盟向美國服務出口下跌6.7%，歐盟向美國制造業出口下跌11%；歐盟消費者福利損失1020億至1700億美元——相當于每一歐盟市民損失338美元。①數據來源：Information Technology Industry Council

目前，我國互聯網公司積極開拓海外市場，數據跨境是不可避免的。跨境數據流動對國際貿易的影響是非常顯而易見的，跨境數據流動的規則正逐漸成為一個核心規則。

2.立法背景：

為保障個人信息和重要數據安全，促進網絡信息依法有序自由流動，國家互聯網信息辦公室（以下簡稱國家網信辦）在4月11日發布了《個人信息和重要數據出境安全評估辦法（征求意見稿）》（以下簡稱“《辦法》”）。

《辦法》共有十八項條文，從立法宗旨、適用范圍、適用條件、評估對象、評估機制以及相應的法律責任等核心方面，對于《網絡安全法》（以下簡稱“《網安法》”）有關數據出境安全評估的要求作了進一步明確和細化，對《網安法》確立的針對“關鍵信息基礎設施”進行“本地信息部署+跨境傳輸評估”的管理模式做進一步解讀。

縱覽辦法全文，針對個人信息和重要數據出境的場景提出了明確的管理要求，辦法既是對《網安法》的一種延伸，又對《網安法》進行了相應的補充。辦法中，第八條對數據出境安全評估的重點內容進行了明確，第九條對必須由監管部門進行評估的情況進行了界定，此外，還對評估周期、評估時間等內容都做出詳細規定。辦法將網絡安全法對數據出境的條款進行了具體化，延伸成為可執行落地的規章。

此外，辦法的第十一條還對哪些特定情況下數據不得出境進行了說明。在網絡安全法中對不能出境的情況并沒有做出規定，因此，辦法的第十一條是對網絡安全法的一種補充，使得我國的網絡安全監管體系更加完善。

3.研究背景：

《辦法》甫一出臺，迅速成為了網絡安全行業討論的熱點話題，并引發了廣泛的研究和討論。為此，中國互聯網協會研究中心、互聯網實驗室聯合主辦了“網絡安全執法視野下的跨境數據風險防控研討會”，特邀政府主管領導、業內專家學者、企業代表圍繞萬物互聯時代下數據本地化立法的關鍵考量因素、執法將面臨的實務難點等數據跨境流動制度建設的重點問題進行深入探討，期冀為我國數據跨境流動的立法與執法工作提供建設性參考。

二、各方觀點評述

（一）各方關注的焦點問題

會議中各部門專家的研討主要集中在有關跨境數據的四個方面：1.實時追蹤的全球規則研究；2.圍繞價值的頂層設計建構；3.依據性質的差別規范設計；4.基于行業的利益平衡規則。

1.實時追蹤的全球規則研究

2011年3月29日，韓國頒布《個人信息保護法》，廢除了1999年《公共機關個人信息保護法》，新法適用范圍涵蓋公共與私人部門管理的所有個人數據信息。

國家網信辦網絡安全協調局副局長胡嘯指出，個人信息出境要經過個人同意，在國際上也是通行的做法，相關國家法律法規都有類似的要求。

在管理范圍上強調政府和公共部門數據的跨境管理，一些國家已經著手制定專門的制度。如：澳大利亞制定《政府信息外包、離岸存儲和處理ICT安排政策與管理指南》，對政府數據的離岸存儲及其風險管理作出了明確的規定。

大成律師事務所高級合伙人鄧志松表示，數據根據分類分為：①不可披露的數據；②不會影響到商業和個人的利益的數據，可以自由流動，沒有限制跨境傳輸的必要；③限制流動的數據。

而根據數據流動規制強度檔次，目前世界主要國家分為以下幾種類型：①強烈要求有關數據必須儲存在境內服務器上；②歐盟，相當于數據本地化。③限制傳輸遞減，主要是美國。中國的數據跨境傳輸還沒有清晰的界定，有關數據跨境傳輸的規制還不是非常系統，而且在整個法律體系中側重于限制數據的出境。

跨境數據流動對國際貿易的影響是顯而易見的，跨境數據流動的規則正逐漸成為一個核心規則。保護個人信息的隱私以及數據可以采取例外措施，是我國家跟其他國家交往中所提出跨境數據限制的一些主觀因素。國際規則和國內規則需要相互協同，需要平衡數據本地化的主權利益與跨境數據超主權的訴求，從而平衡貿易壁壘和貿易自由化的關系。

中國信息安全研究院副院長左曉棟認為，《辦法》能夠很好的平衡安全和發展的關系，以自評估為主，只有達到一定條件才由主管部門進行評估，這為促進數據的跨境流動提供了很大的支持，比歐洲的GDPR寬松很多。我們對于數據出境概念的理解應該更宏觀一些，出口管控的這些東西相當多的是以知識產權的形式體現，可以廣義理解為數據。

目前很難找到某個國家出臺專門文件針對非個人信息的重要數據或者其他數據的保護和流動。原因有二：其一，難以確定這些重要數據里面不包含個人信息。其二，很多國家對于非個人信息的數據管理是散見于各類規章制度的。

2.圍繞價值的頂層設計建構

國家網信辦網絡安全協調局副局長胡嘯表示,制定《辦法》是《網安法》的明確要求，是為了保護國家安全，保護公民、法人及其他組織的合法權益，促進網絡信息依法有序自由流動。

針對有專家提出，《辦法》第二條把《網安法》里面的關鍵信息基礎設施運營者改成了網絡運營者，①第二條 網絡運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據，應當在境內存儲。因業務需要，確需向境外提供的，應當按照本辦法進行安全評估。這樣的改動是不是擴大了評估對象范圍的問題，胡嘯回應說：《辦法》首先要考慮立法的初衷，立法的初衷都是為了保障個人信息和重要數據的安全。如果不把關鍵信息基礎設施運營者之外的其他網絡運營者控制的個人信息和重要數據出境納入評估范圍，可能因為運營者對數據的控制減弱難以保障個人信息和數據安全。

《辦法》第8條明確指出評估對象，重點評估以下內容，②第八條 數據出境安全評估應重點評估以下內容：(一)數據出境的必要性;(二)涉及個人信息情況，包括個人信息的數量、范圍、類型、敏感程度，以及個人信息主體是否同意其個人信息出境等;(三)涉及重要數據情況，包括重要數據的數量、范圍、類型及其敏感程度等;……第一個數據出境是不是必要，必要性怎么樣。第二個涉及個人信息情況，尤其是提到了個人信息主體是否同意其個人信息出境，也提到了要評估涉及重要數據的情況，還重點要去評估數據接收方安全保護措施、能力和水平，以及所在國家、地區網絡安全環境等等。還有數據出境及再轉移后被泄漏、損毀、篡改、濫用等風險。當然還有其他評估內容。

評估內容里面，個人信息怎么界定，重要數據怎么界定？政府正在做的還有兩項工作，一個是正在制定《個人信息安全規范》國家標準，還做了一個《重要數據識別指南》，是文件來指導，來識別有沒有重要數據。

國家創新與發展戰略研究會會長郝葉力強調，安全的問題最后落到實處是如何看待數據的跨境流動。在國家出臺了一項法律政策之后，有必要立刻引起官方的，體制內、體制外企業，甚至于國內外的上下互動。談論范圍不僅要有體制內的，還有更多體制外的，企業的，微軟的，美國的等。實際的跨境流動想要安全穩定的發展，就需要達到一個平衡，需要在一個大范圍內廣泛的交流、溝通。目的就是為了在全球化時代促進信息共享，促進數字經濟的發展，在安全的前提下不阻礙數據的流動、信息的流動。

3.依據性質的差別規范設計

西安交通大學信息安全法律研究中心主任馬民虎認為，各國根據自己不同的數據保障能力以及工業技術發展水平，針對本地化政策提出了三種主要模式：1.第一種是禁止數據離境；2.第二種模式是將數據中心建在境內，增加的國家對數據的控制力，便利執法；3.第三種是在數據傳輸前進行安全評估。

評估方式：1.可能侵害個人利益的個人信息或者是沒有經過數據主體同意，或是對于國家有一些危害的；2.數據離境前進行安全評估。

評估保障措施：1.行業主管部門定期進行安全檢查；2.網絡運營者至少每年一次的安全評估以及接收方發生重大變化的時候重新進行評估；3.安全評估辦法也賦予和公民和組織的舉報權。

中國人民大學網絡犯罪與安全研究中心秘書長謝君澤指出，建議采用《網絡法》原來的寫法，其他的運營者參照法律的技術性，或者法律解釋體系。數據評估后出境，國外的機構用以違法犯罪活動，我國是否有追究它的能力，這涉及到國家司法管轄權，如何基于傳統的管轄原則建立起數據的管轄原則。

簡單歸納有四種意義，第一，對于境外獲取或者購買者有約束力。第二是救濟。第三個是對數據主權的宣誓。最后，在學理上的意義，這是信息時代或者網絡時代非常有特色的，無論是國際法層面，還是國內法層面，非常值得探究，應該是中國首創的。

北京理工大學計算機學院院長助理、網絡與信息安全學科方向責任教授祝烈煌表示，數據共享交換帶來的好處是顯而易見的，所以數據分享是不可避免的，這種情況下將會帶來個人隱私泄漏或者是數據泄漏。

祝烈煌針對《辦法》中的評估機制提①第七條 網絡運營者應在數據出境前，自行組織對數據出境進行安全評估，并對評估結果負責。出兩點，一是網絡運營者自己有沒有能力進行評估，或是否意識到應該做評估。如果借助第三方，第三方的能力怎么認定。第二是數據出境后責任主體確認問題。比如泄露平臺與服務平臺責任主體如何界定。被動泄漏從法律上如何歸責。二是《辦法》提到數據出境可能要得到用戶主體的確認，②第八條 數據出境安全評估應重點評估以下內容：（一）數據出境的必要性；（二）涉及個人信息情況，包括個人信息的數量、范圍、類型、敏感程度，以及個人信息主體是否同意其個人信息出境等；]但實施過程中，存在效率低，或用戶未注意到的情況，這類問題該如何處理。在云服務里面出境的位置如何界定，以及數據在加密后處于何種地位。同時，區塊鏈本身是全球共享的技術，共享與數據安全該如何平衡。

4.基于行業的利益平衡規則

國家網信辦網絡安全協調局副局長胡嘯表示：

1.評估辦法由誰來評估的問題。除了網絡運營者自行評估之外，行業主管部門和監管部門在滿足一定情況下也要進行安全評估。當然這里面提了一些條件，不是所有數據出境都要由行業和主管部門進行評估。

2.如果含有或者累計含有50萬人以上的個人信息要報行業主管部門進行評估；數據超過一千GB的情況要報行業主管部門進行評估；包含核設施、化學生物、國防軍工、人口健康等領域數據，大型工程活動、海洋環境以及敏感地理信息數據等都要經過主管部門進行評估；③第九條 出境數據存在以下情況之一的，網絡運營者應報請行業主管或監管部門組織安全評估：（一）含有或累計含有50萬人以上的個人信息；（二）數據量超過1000GB；（三）包含核設施、化學生物、國防軍工、人口健康等領域數據，大型工程活動、海洋環境以及敏感地理信息數據等；（四）包含關鍵信息基礎設施的系統漏洞、安全防護等網絡安全信息；（五）關鍵信息基礎設施運營者向境外提供個人信息和重要數據；（六）其他可能影響國家安全和社會公共利益，行業主管或監管部門認為應該評估。行業主管和監管部門不明確的由國家網信部門來組織評估。很多專家都會對50萬人提出質疑，憑什么50萬人要報行業主管部門評估？我們認為這兩個數據都是為了提高可操作性，聽過專家、各方面意見的一個結果。如果沒有一個量的限制，沒有一個量的提法也很難操作，所以這是一個平衡之后的結果。

3.行業主管和監管部門做這個安全評估應當于60個工作日內完成，同時及時向網絡運營者反饋安全評估情況。④第十條 行業主管或監管部門組織的安全評估，應當于六十個工作日內完成，及時向網絡運營者反饋安全評估情況，并報國家網信部門。在這條上面立法時認真考慮到了企業的訴求。

4.如何進行評估？首先是自行評估，另外現在有很多專業服務機構，所以也可以委托別人來進行評估。

5.制定《辦法》過程中政府力圖平衡、保障個人信息和重要數據安全與保護網絡信息的合法有序自由流動，我們也力圖平衡部門、專家、企業各方面的關切。

微軟亞太研發集團總經理羅立凡表示，要形成一個平衡，如果限制跨境數據流動越強，雖然降低了個人數據被濫用的風險，外商一定要在境內投資，促進本國相關產業的發展，防止資源被外國控制等等，但是同樣也會影響新技術的引進，阻礙本國信息產業走向全世界。

美國科文頓柏靈律師事務所高級顧問羅嫣表示，數據跨境從法律上來講是一個全球的法律領域。首先，在技術層面，管理辦法的出臺并不足夠。立法的時候，效率和公平，以及效率和更高的立法目標的平衡其實是很重要的。指南應該提出一個較為客觀的細化標準。行業主管部門來評估數據出境是不是安全可控，但由于行業主管部門之間對于數據本身的跨境理解很可能會有參差不齊的情況，會造成在各個行業之間有一個不一樣的執法尺度。數據出境以后輸入方的保護水平，是不是足夠，每一個行業主管部門是否都有一個比較平均的執法水平，需要在實踐中得知。其次，安全評估辦法采用的是企業運營中產生的數據，數據是一個生態系統，在新興產業里，數據的歸屬很難判斷，會存有非常多的爭議。數據的主體會對處理方有不同的要求加以保證主體的合規義務，與此同時，主管部門的保護水平很難界定。

三、各方關注的其他問題

除了以上四個主要方面，研討會中還有各種意見涉及《辦法》的其他方面，主要包括：

有意見認為，數據的分類以及關鍵基礎設施的數據，是我們國家重點防范的對象，應逐步加強國家數據標準模式；制定內部傳輸，數據的交換協議、通信協議的標準；監管部門、安全部門逐步完善數據的評估、監測；逐步加強自身的安全意識；跟進諸如加密等相關工具技術手段。

有意見建議，可以在具體的某個行業、某個產品的落地問題放寬，多給企業一些空間。

有意見強調需要1.把握安全和自由之間的平衡度；2.設普通程序和簡易程序，具體情況具體分析；3.明確審查60日的起始點。

有意見認為，是否所有行業監管機構和監管部門都有這個能力去評估這件事情？如果經過了行業監管機構和行業主管評估之后如果真出了問題，這個行業主管機構要擔責任嗎？是不是可以考慮用民間的方式去解決？包括利用已有的認證、鑒證業務機構，以簡化政府職能。

還有意見指出，1.國際上對于數據出境大概有兩種理解，一種就是數據硬性出境，就是說數據傳輸到境外進行傳輸和處理。還有一種叫軟性出境，數據保存在境內，但是國外公司或者主體對我過境內儲存的數據進行訪問。從數據出境的概念上來看好像沒有明確說明除了硬性出境以外軟性出境是不是適用《評估辦法》。2.關于安全評估的時間和結果問題。60個工作日內完成，需要有一個申訴或者復議程序會在將來網絡評估辦法中有明確的規定。3.涉及到公司的用戶敏感信息時，我們怎么在安全評估過程中處理好一個國外政府和國外公民的要求和審查之間的關系？

《網安法》將于2017年6月1日正式實施，這是我國在互聯網立法上前進的重要一步，隨之互聯網涉及的個人信息保護、關鍵基礎設施、跨境數據流動等都將明確制度。立法需國家上層重視，更需要社會各界的共同參與，只有不斷的完善立法，明確規則，我國互聯網才能邁向輝煌。

（整理：石博元 責任編輯：鐘宇歡）

The Explain on the "Measures for the Assessment of Personal Information and Important Data Exit Security (Draft)"

Editorial Department

For the purpose of saving cost and improving performance,companies in the international market will inevitably integrated markets and unified distribution.Therefore,cross-border data fl ow will become the trend.Based on the market,legislative and research background of data cross-border flow,this paper reviewed and explained the "Measures for the Assessment of Personal Information and Important Data Exit Security (Draft)".

data cross-border fl ow,cybersecurity law,personal information

D922

A

1001-4225（2017）05-0074-05