原标题：欲知平直，则必准绳——《数据出境安全评估办法》十四个焦点问题的理解

  《数据出境安全评估办法》已正式出台，本文选取企业视角中所关注的十四个焦点问题进行讨论，以期为企业数据出境活动提供切实指引。

  自《网络安全法》于2017年生效以来，其所确立的数据出境安全评估制度就广受关注。历经多个版本和多轮征求意见之后，国家互联网信息办公室于2022年7月7日颁布《数据出境安全评估办法》（下称《办法》），并将于9月1日正式实施。本《办法》体现了监督管理的机构兼顾维护数据流动安全和促进数字化的经济发展的价值取向，为企业跨境数据合规义务的落地实施提供了更为确定的指引。我们选取企业视角中所关注的十四个焦点问题进行讨论。

  《办法》适用于数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人隐私信息的安全评估的情形。国家网信办就《办法》答记者问中进一步明确，《办法》所称数据出境活动最重要的包含：一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以访问或者调用。

  3）境外的含义：中华人民共和国大陆地区的以外的其他几个国家/地区，包括港澳台地区[1]；以及

  还有一个业界普遍关注的问题，即《个人隐私信息保护法》（下称《个保法》）第三条第二款所规定的在境外直接处理境内自然人个人隐私信息的活动是否适用《办法》，即，如果境外的数据处理者所收集境内自然人个人隐私信息的数量达到《办法》第四条规定的门槛，是否也要申请安全评估？之前业内普遍观点认为，《个保法》第三条第二款规定的处理活动，会导致《个保法》对境外的个人隐私信息处理者直接适用，但第三章规定的个人信息跨境提供的规则不适用。该观点的逻辑是，该处理活动中，仅存在适用《个保法》的个人信息处理者单方，并无境外接收方，也就没发生个人隐私信息处理者向境外（另一方）提供个人隐私信息的行为。GDPR在此问题上亦是这样的逻辑。但是，在全国信息安全标准化技术委员会6月24日发布的《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》中，将此场景纳入到安全认证机制的范围，就此引发了比较大的争议。

  从《办法》的文字逻辑看，比如，第二条规定的“数据处理者向境外提供”，第九条规定的“数据处理者应当在与境外接收方订立的法律文件…”,假如没有进一步的官方明确，我们倾向于认为《办法》的适用不包括《个保法》第三条第二款规定的处理活动。但是，如果未来监督管理的机构将境外个人隐私信息处理者在境内设立的专门机构或者指定代表拟制为境内的数据处理者，进而适用《办法》进行安全评估，亦非不可能。

  根据《办法》第五条，数据处理者在向境外提供数据前应当开展数据出境风险自评估，因此，风险自评估程序是开展数据跨境活动和申报安全评估的必备前置程序。风险自评估可以由数据处理者自己进行，也可以引入第三方专业机构协助进行，《办法》第五条规定了自评估的重点评估事项。

  根据《个保法》第五十五条规定，个人隐私信息处理者在向境外提供个人信息前需进行个人信息保护影响评估（“PIA”）。那么，《个保法》第五十五条规定的PIA与《办法》规定的自评估和申报评估三者间是啥关系呢？应该说，三个评估的目标和方法论是基本一致的，即通过对数据处理活动的梳理，发现潜在风险点，判断所采取的管理措施和技术措施是否充分。但是，三个评估程序所着重关注的风险因素又有明显的区别：

  PIA主要关注数据处理活动对个人权益造成的影响，比如，数据处理活动是否会对个人隐私信息主体依照《个保法》所享有的各项权益带来损害或者有所减损，但不会涉及重要数据；自评估属于自行发现风险的程序，除了PIA所关注的风险因素之外，还要着重关注跨境因素带来的风险，比如出境数据的状况、境外接收方的承诺、所采取的措施、安全能力等，以及跨境处理活动的技术风险，跨境行权渠道等；而对于申报评估程序，除了个人合法权益的保护外，该程序更加关注跨境数据活动对国家安全、公共利益带来的风险，比如要考察境外接收方所在国家或地区的政策法律环境、同等保护原则是否得到落实、各方遵守中国法律的情况等。申报评估程序一种原因是对数据处理者所提交的自评估报告进行核查，另一方面，站在国家更宏大的角度，审视数据出境活动对国家安全和公共利益的影响。

  根据《办法》第四条，结合《网络安全法》《数据安全法》及《个人隐私信息保护法》等法律和法规中的规定，以下情形会触发数据出境安全评估：

  （1）出境的数据包含重要数据，而不论数据处理者是否构成关键信息基础设施运营者（“CIIO”）；

  （2）数据处理者构成特殊主体：数据处理者是CIIO，向境外提供个人隐私信息；

  （3）数据处理者所处理的数据量超过门槛：①处理个人隐私信息达到100万人以上；或②自上年1月1日起累计向境外提供超过10万人个人信息或1万人敏感个人信息。

  综合各个层次立法的规定，对在境内运营中收集和产生的数据，有必要进行“本地存储”的，大体包括以下的情形：

  1） CIIO在境内运营中收集和产生的个人隐私信息和重要数据（《网络安全法》第三十七条，《数据安全法》第三十一条）；

  2） CIIO和处理个人隐私信息达到国家网信部门规定数量的个人隐私信息处理者，应当将在中华人民共和国境内收集和产生的个人隐私信息存储在境内(《个人信息保护法》第四十条）；

  4） 汽车数据构成重要数据的，应当依法在境内存储（《汽车数据安全管理若干规定（试行）》第十一条）；

  从以上的分析能够准确的看出，如果法律规定了数据本地存储的义务，一旦要实施跨境传输，必然会触发安全评估的要求。反过来，对于《办法》规定的需要申报安全评估的情形，是否一定会触发数据本地存储的义务？尤其是①处理个人隐私信息达到100万人以上；或②自上年1月1日起累计向境外提供超过10万人个人隐私信息或1万人敏感个人隐私信息的情形。虽然法律暂未明确，但我们倾向于认为本地存储和跨境安全评估是保障数据安全的一体两面。同时，结合《个保法》第四十条的规定，“处理个人隐私信息达到国家网信部门规定数量的个人隐私信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内”，而《办法》所规定的100万、10万和1万的门槛，构成《个保法》第四十条所指的“国家网信部门规定数量”，因此《办法》规定的需要申报安全评估的情形将触发数据本地存储的义务。

  b）计算主体：构成数据传输方的个人信息处理者。我们理解此处是指单个的个人信息处理者，如果某集团公司内涉及多个实体，假如没有数据混同或融合的情况，我们大家都认为应按照不同实体分别计算；

  c）计算范围：个人隐私信息处理者范围内所有个人隐私信息处理场景所涉及主体的总量，既包括外部客户、用户等，也包括内部员工。

  （2）自上年1月1日起累计向境外提供超过10万人个人隐私信息或1万人个人敏感信息

  计算时需注意以下几点：a）计算标准：10万个或1万个个人隐私信息主体，即涉及传输的个人隐私信息主体的数量累计为10万人（若传输的是个人敏感信息，涉及传输的个人隐私信息主体的数据量累计为1万人）；

  b）计算主体：构成数据传输方的个人隐私信息处理者。若同一个个人信息处理者涉及向不同的数据接收方提供个人信息，所涉及的个人信息主体的数量应当累计计算；

  c）累计标准：《办法》承接了《个人信息出境标准合同规定（征求意见稿）》的累计起算点，初次明晰了起算点为自上年1月1日起，与此对应的可能存在的清零和重新计算的制度设计，某些特定的程度打消了企业关于“只要我有跨境业务，迟早会落入本地化和安全评估范围”的疑虑。

  依据2021年颁布的《关键信息基础设施安全保护条例》（以下简称《关基条例》）第二条，关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。依据《关基条例》第十条，由保护工作部门依据其制定的认定规则负责组织认定本行业、本领域的关键信息基础设施，并将认定结果通知运营者。基于此，企业一旦被认定为关键信息基础设施的运营者将会收到相关主管部门的通知。能够理解，企业如未收到主管部门的认定关键信息基础设施的运营者的通知，公司能够暂时觉得自身不是CIIO。

  从企业自评估实践方面出发，企业存在判断难度。我们提议企业采取定性与定量相结合的方式，重视立法实践，适时征求相应主管部门的意见。

  按照《办法》第六条要求，申报出境安全评估，要提交数据处理者与境外接受方“拟订立的法律文件”。其与《个保法》第三十八条所规定的跨境传输机制之一——标准合同条款在数据出境语境下，对于保护个人隐私信息主体权益的价值取向和内容设置或有重合，但是法律效果不同。标准合同是与安全评估并列的跨境传输机制，企业在无需安全评估的前提下可以再一次进行选择签署标准合同条款。此外，与标准合同条款最大的不同之处在于还应包含对于重要数据保护的内容（如涉及重要数据出境）。

  （1）若向境外提供的数据仅包括个人隐私信息，数据处理者与境外接收方所订立的法律文件可以借鉴标准合同的内容或直接将标准合同作为“拟订立的法律文件”；

  （2）若向境外提供的数据还包括重要数据，标准合同中对于传输双方的权利义务的约定同样具有参考意义。

  《办法》第七条规定，省级网信部门接受来自数据处理者的申报材料，申报材料齐全的，报送给国家网信部门。第十条规定，国家网信部门将在受理申报后，组织国务院有关部门、省级网信部门、专门机构做评估。从实务角度来看，出境安全评估可能与现存相关审批制度相竞合。如在出口管制领域，企业涉及美国实体清单移除程序时需向商务部申报批准。

  （2）评估有效期内，①出境活动事实变化：包括出境活动本身的目的、方式、范围、类型以及接收方的使用、存储等发生明显的变化；或②境外环境变化：主要指数据接收方所在国家/地区数据安全保护政策法规或网络安全环境发生变化导致可能影响数据安全；③或出境双方变化：包括出境双方的变更、实际控制权变化以及双方的合同改变导致可能影响数据安全。

  在申报安全评估前，企业应已完成内部的安全自评估，对拟出境数据的类型、影响程度（含对个人隐私信息主体的影响、对企业的影响、对社会公共利益及国家安全的影响）作出了初步的判断，形成了数据清单。但是结合实务经验，该等清单的具体程度可能会依据数据敏感性和出境活动的敏感性有所区别，若企业仅提供笼统的数据清单做申报，国家网信部门可能会要求企业进一步补充信息以进行具体评估。

  针对企业的保密信息保护，一方面，企业可在自评估时，在不影响业务实际开展的前提下对相关拟出境数据来进行处理（如采取掩码、遮盖措施等），将已处理后的数据递交评估、向国家网信部门说明采取的预处理方式。另一方面，《办法》第十五条明确规定，参与安全评估工作的相关机构和人员对在履行职责中知悉的国家秘密、个人隐私、个人隐私信息、商业机密、保密商务信息等数据将依法予以保密，不得泄漏或非法向他人提供。

  《办法》规定了6个月的过渡期，要求在《办法》实施前已经开展的数据出境活动，不符合《办法》规定的，应当在《办法》施行之日起6个月内完成整改。基于此，我们理解：

  （1）对于已完成传输、且数据接收方已经删除或匿名化处理数据的数据出境活动，《办法》不溯及既往。

  （2）对于已完成传输、但数据接收方仍继续在存储或处理数据的数据出境活动：由于数据处理活动是一个连续的行为，数据接收方的后续处理行为仍可能对国家安全、社会安全及个人权益等产生一定的影响，我们倾向于认为《办法》适用于此种情形。

  （3）对于正在进行中的数据出境活动：在过渡期内，企业因业务需要需进行数据跨境传输的，仍可接着来进行，但应同时完成对现有数据出境行为的风险自评估，若触发数据出境安全评估申报的，应当在过渡期内完成安全评估。

  根据《办法》第十六条、第十七条，国家网信部门能采用主动检查与接受举报监督的方式，核实企业出境活动与申报评估的情况是否一致、是不是满足数据出境安全管理要求。一经发现不符合数据出境安全管理要求的，国家网信部门可以书面通知企业停止数据出境活动。企业违反《办法》规定进行数据出境活动的，将面临《网络安全法》《数据安全法》《个保法》等法律和法规规定的处罚。

  [1]参考《中华人民共和国出境入境管理法》第八十九条的定义，出境是指中国内地前往其他几个国家或者地区，由中国内地前往香港特别行政区、澳门特别行政区，由中国大陆前往台湾地区。因此，我们大家都认为将大陆地区境内收集和产生的重要数据和个人隐私信息提供至港澳台地区也属于数据出境。

  《知而慎行，防患于先——从首起数据合规不起诉案论数据合规体系价值与构建》

  《 个人信息保护法正式生效，我们聊聊合规落地中的“五六七”》

  《 欧盟个人数据传输的两项新工具（SCCs）：历史演变、法律影响和应对策略》

  以上所刊登的文章仅代表作者本人观点，不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。