隨著國際數(shù)字貿(mào)易的飛速發(fā)展，數(shù)據(jù)跨境流動成為各國和地區(qū)數(shù)據(jù)信息交流和經(jīng)貿(mào)往來的重要形式和通路。數(shù)據(jù)跨境流動的爆炸式增長在促進國際數(shù)字貿(mào)易繁榮的同時，也對個人信息安全、數(shù)據(jù)產(chǎn)業(yè)發(fā)展甚至國家數(shù)據(jù)安全帶來了挑戰(zhàn)，諸如個人信息泄露、商業(yè)數(shù)據(jù)違規(guī)披露、國家數(shù)據(jù)主權(quán)沖突等層見疊出，如何規(guī)范數(shù)據(jù)出境活動，促進數(shù)據(jù)跨境安全、自由流動，維護個人信息權(quán)益、國家安全和社會公共利益成為社會各界關(guān)注的熱點與難點。

數(shù)據(jù)出境合規(guī)體系更加完善

10月29日，國家互聯(lián)網(wǎng)信息辦公室(下稱“網(wǎng)信辦”)就《數(shù)據(jù)出境安全評估辦法(征求意見稿)》(下稱《征求意見稿》)向社會公開征求意見。《征求意見稿》共十八條，內(nèi)容囊括了數(shù)據(jù)處理者應當申報數(shù)據(jù)出境安全評估的具體情形、申報數(shù)據(jù)出境安全評估應當提交的材料、數(shù)據(jù)處理者風險自評估與監(jiān)管部門安全評估、數(shù)據(jù)處理者與境外接收方訂立合同要求、數(shù)據(jù)出境安全評估主管部門、重新申報評估情形以及相關(guān)法律責任等，對數(shù)據(jù)出境安全評估提供了明確的規(guī)則指引。

在《征求意見稿》)發(fā)布前，《中華人民共和國網(wǎng)絡安全法》(下稱《網(wǎng)絡安全法》)《中華人民共和國數(shù)據(jù)安全法》(下稱《數(shù)據(jù)安全法》)和《中華人民共和國個人信息保護法》(下稱《個人信息保護法》)從法律層面建立了數(shù)據(jù)出境合規(guī)機制，構(gòu)建了科學系統(tǒng)的網(wǎng)絡空間數(shù)據(jù)出境合規(guī)法律體系。

具體而言，《網(wǎng)絡安全法》第37條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運營者在我國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)原則上應當遵循本地化儲存原則，確需進行跨境傳輸時應當履行數(shù)據(jù)出境安全評估義務。

《數(shù)據(jù)安全法》第30條和第31條規(guī)定了重要數(shù)據(jù)處理者的風險評估義務，以及關(guān)鍵信息基礎(chǔ)設(shè)施運營者和其他數(shù)據(jù)處理者在我國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的數(shù)據(jù)出境安全評估義務。

《個人信息保護法》第36條和第40條規(guī)定了國家機關(guān)處理的個人信息在向境外提供時，應當進行安全評估，以及關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達到規(guī)定數(shù)量的個人信息處理者，在向境外提供個人信息時，應當進行安全評估。然而，上述法律并未對數(shù)據(jù)出境評估規(guī)范進行細化規(guī)定，導致實踐中對數(shù)據(jù)出境進行安全評估時缺乏具體實施規(guī)則，不利于依法規(guī)范開展數(shù)據(jù)出境安全評估，維護個人信息權(quán)益、國家安全和社會公共利益。

本次《征求意見稿》在遵循上述法律基本要求的前提下，對數(shù)據(jù)出境安全評估規(guī)范進行了細致的規(guī)定。《征求意見稿》第2條明確規(guī)定：數(shù)據(jù)處理者向境外提供在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)和依法應當進行安全評估的個人信息，應當按照本辦法的規(guī)定進行安全評估。

在適用對象上，《征求意見稿》并未采用《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》有關(guān)“關(guān)鍵信息基礎(chǔ)設(shè)施運營者”“重要數(shù)據(jù)處理者”“其他數(shù)據(jù)處理者”的表述，而是統(tǒng)一采用“數(shù)據(jù)處理者”，在適用對象上更具廣泛性和包容性。當然，也存在與現(xiàn)有法律如何銜接的問題，可能會引發(fā)對“數(shù)據(jù)處理者”這一概念的不同理解，不利于對數(shù)據(jù)出境活動中負有核心義務的數(shù)據(jù)處理者做規(guī)范化、系統(tǒng)化及法治化的認定。

《征求意見稿》重要內(nèi)容解析

一是堅持事前評估和持續(xù)監(jiān)督相結(jié)合、風險自評估與安全評估相結(jié)合。《征求意見稿》第3條明確指出“數(shù)據(jù)出境安全評估堅持事前評估和持續(xù)監(jiān)督相結(jié)合、風險自評估與安全評估相結(jié)合”，對數(shù)據(jù)出境評估流程進行了清晰的制度構(gòu)建。其中，事前評估具體體現(xiàn)為風險自評估與安全評估制度，通過數(shù)據(jù)處理者對風險自評估與監(jiān)管部門所做的外部安全評估，可及時發(fā)現(xiàn)并預判數(shù)據(jù)出境可能存在的潛在風險或已知風險，及時采取措施化解風險，降低數(shù)據(jù)泄露對個人信息權(quán)益、社會公共利益和國家利益的影響。

持續(xù)監(jiān)督具體體現(xiàn)為數(shù)據(jù)出境評估結(jié)果有效期制度，根據(jù)《征求意見稿》第12條，數(shù)據(jù)出境評估結(jié)果有效期兩年，如在有效期內(nèi)出現(xiàn)本條規(guī)定的特定情形，數(shù)據(jù)處理者需要向監(jiān)管部門重新申報數(shù)據(jù)出境安全評估。通過事前評估與持續(xù)監(jiān)督“雙管齊下”，《征求意見稿》建立了全流程、全鏈條、全周期的數(shù)據(jù)出境風險防范與化解機制，有助于靈活高效應對數(shù)據(jù)跨境流動中可能存在的治理難題，提升數(shù)據(jù)出境安全評估治理效能。

二是明確應當申報數(shù)據(jù)出境安全評估的具體情形。《征求意見稿》第4條明晰了數(shù)據(jù)處理者應當申報數(shù)據(jù)出境安全評估的具體情形，內(nèi)容涵蓋關(guān)鍵信息基礎(chǔ)設(shè)施運營者、重要數(shù)據(jù)處理者、處理個人信息達到規(guī)定數(shù)量的個人信息處理者以及其他數(shù)據(jù)處理者等，并將規(guī)定數(shù)量確定為“處理個人信息達到一百萬人”或“累計向境外提供超過十萬人以上或者一萬人以上敏感個人信息”。該規(guī)定立足個人信息跨境流動的客觀風險來源與我國個人信息保護制度的具體要求，契合實踐中對個人數(shù)據(jù)(信息)跨境流動風險防范的現(xiàn)實需求。當然，如該條得以施行，仍需遵循《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》等上位法的規(guī)范，維護法律法規(guī)間的統(tǒng)一性與系統(tǒng)性。

三是明確規(guī)定數(shù)據(jù)出境安全自評估與數(shù)據(jù)出境安全評估。《征求意見稿》規(guī)定了數(shù)據(jù)處理者向境外提供數(shù)據(jù)滿足規(guī)定情形時的兩類評估義務，即數(shù)據(jù)出境安全自評估與監(jiān)管部門數(shù)據(jù)出境安全評估。第5條明確規(guī)定了數(shù)據(jù)出境風險自評估的具體事項，有助于數(shù)據(jù)處理者全面分析和預測數(shù)據(jù)安全風險，形成系統(tǒng)的數(shù)據(jù)出境風險自評估報告，為監(jiān)管部門進行數(shù)據(jù)安全評估提供參考，形成政府與企業(yè)數(shù)據(jù)出境安全評估交流的互動機制。第8條對監(jiān)管部門數(shù)據(jù)出境安全評估的事項進行了細化規(guī)定，填補了《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》對數(shù)據(jù)出境安全評估事項的規(guī)定空白。且第8條規(guī)定的數(shù)據(jù)出境安全評估事項在范圍上大于第5條數(shù)據(jù)出境風險自評估事項，這將對監(jiān)管部門全方位審查數(shù)據(jù)出境活動的安全風險程度以及數(shù)據(jù)處理者相應安全保障措施的適當性，提供更加全面客觀的指南。

四是要求數(shù)據(jù)處理者與境外接收方訂立合同應當充分約定數(shù)據(jù)安全保護責任。境外數(shù)據(jù)接收方的技術(shù)安全能力，處理數(shù)據(jù)的用途、方式，以及出境數(shù)據(jù)是否會再轉(zhuǎn)移等因素，均會影響數(shù)據(jù)保護水平，對數(shù)據(jù)跨境流動安全產(chǎn)生挑戰(zhàn)。故在與境外接受方訂立合同時，充分約定數(shù)據(jù)安全保護責任，是強化境外接收方按照我國法律履行數(shù)據(jù)安全保護義務的重要保障，有助于提供具有約束力的行權(quán)條款和爭議解決條款，在境外接收方出現(xiàn)違約情形時，便于我國數(shù)據(jù)出境企業(yè)和權(quán)益受損的個人依法進行維權(quán)。

同時，數(shù)據(jù)安全保護責任也是監(jiān)管部門數(shù)據(jù)出境安全評估以及重新申報數(shù)據(jù)出境安全評估的重要內(nèi)容或影響因素，隨著《征求意見稿》對境外接收方數(shù)據(jù)安全保護責任的規(guī)定，數(shù)據(jù)出境安全將迎來更加系統(tǒng)的安全保障體系，在日趨激烈的國際數(shù)據(jù)爭奪戰(zhàn)中，為維護我國數(shù)據(jù)主權(quán)、安全和發(fā)展利益提供強有力的法治保障作用。

五是明確重新申報數(shù)據(jù)出境安全評估的情形。實踐中數(shù)據(jù)出境安全保護環(huán)境復雜多變，譬如，數(shù)據(jù)出境目的、方式、范圍變化，境外接受方改變數(shù)據(jù)用途、使用方式，境外接收方所在國家或地區(qū)法律環(huán)境變化，數(shù)據(jù)出境合同變更等因素，均會從實質(zhì)上改變數(shù)據(jù)出境安全環(huán)境。根據(jù)《征求意見稿》第20條對重新申報數(shù)據(jù)出境安全評估的規(guī)定，數(shù)據(jù)出境評估結(jié)果有效期兩年，除非出現(xiàn)本條規(guī)定的特定情形，否則無需重新申報數(shù)據(jù)出境安全評估。作為數(shù)據(jù)出境評估結(jié)果有效期制度的重要組成部分，重新申報規(guī)定在保持數(shù)據(jù)出境安全穩(wěn)定性的同時，有助于靈活應對數(shù)據(jù)出境安全保護環(huán)境變化，實現(xiàn)全場景、全鏈條、全周期防范數(shù)據(jù)出境安全風險。

保障數(shù)據(jù)出境安全需多措并舉

數(shù)據(jù)的價值在于流動，只有在持續(xù)高質(zhì)量的流動中才能充分發(fā)揮和挖掘數(shù)據(jù)價值，最大效能釋放數(shù)據(jù)紅利。作為數(shù)據(jù)出境安全評估的重要價值目標之一，《征求意見稿》第3條明確指出“保障數(shù)據(jù)依法有序自由流動”，然而，數(shù)據(jù)流動本身便意味著風險存在，在促進數(shù)據(jù)自由流動的同時，也應妥善應對和防范數(shù)據(jù)出境安全風險，實現(xiàn)數(shù)據(jù)流動與數(shù)據(jù)保護的平衡。故立足于我國數(shù)據(jù)出境流動治理的現(xiàn)實情況，建議多措并舉保障數(shù)據(jù)出境安全，維護我國在全球數(shù)據(jù)經(jīng)濟活動中的合法權(quán)益。

第一，在制度建構(gòu)層面，根據(jù)《數(shù)據(jù)安全法》《信息安全技術(shù)數(shù)據(jù)出境安全評估指南(征求意見稿)》等法律、國家標準的規(guī)定，盡快建立數(shù)據(jù)分類分級制度。根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權(quán)益造成的危害程度，對數(shù)據(jù)實行分類分級保護。對不同安全層級的數(shù)據(jù)采取不同層次的保護水平，降低數(shù)據(jù)出境對國家安全、社會公共利益的影響，最大限度避免數(shù)據(jù)安全事件的發(fā)生。

第二，在國際合作層面，加強我國在數(shù)據(jù)跨境流動治理領(lǐng)域的國際合作。一方面，加緊推進國際合作渠道尤其是區(qū)域性合作渠道的建立，9月16日，中國正式申請加入《全面與進步跨太平洋伙伴關(guān)系協(xié)定》(CPTPP)，CPTPP針對互聯(lián)網(wǎng)規(guī)則和數(shù)字經(jīng)濟設(shè)定了較高標準，其中涉及數(shù)據(jù)跨境流動與數(shù)據(jù)本地化存儲等問題，在正式加入后可能成為溝通我國與世界各國數(shù)據(jù)合作的紐帶;另一方面，可以嘗試將國際協(xié)定與國內(nèi)治理進行銜接，率先與已經(jīng)構(gòu)建起良好協(xié)作關(guān)系的國家或地區(qū)進行數(shù)據(jù)跨境流通的先行先試，逐漸推動國內(nèi)治理機制與國際規(guī)則的雙向交互發(fā)展。

第三，在監(jiān)管層面，完善數(shù)據(jù)跨境流動行業(yè)監(jiān)管體系，建立數(shù)據(jù)安全監(jiān)管平臺。當前，數(shù)據(jù)安全風險更多地來源于數(shù)據(jù)運行周期的不可控性，數(shù)據(jù)安全風險存在于數(shù)據(jù)收集、存儲、分析、加工、共享到銷毀的每一環(huán)節(jié)。故有必要借助數(shù)據(jù)交易中心的建設(shè)，建立數(shù)據(jù)安全監(jiān)管平臺，做到對數(shù)據(jù)跨境流動全周期監(jiān)控和實時預警，維護市場交易穩(wěn)定與安全，推動數(shù)據(jù)市場健康發(fā)展。

第四，在行業(yè)自律和企業(yè)合規(guī)層面，切實發(fā)揮行業(yè)協(xié)會與企業(yè)的積極性與能動性，減輕政府對數(shù)據(jù)跨境流動風險審查的壓力。在行業(yè)自律方面，應充分發(fā)揮行業(yè)協(xié)會自身優(yōu)勢，積極參與到維護數(shù)據(jù)安全、促進數(shù)據(jù)競爭的治理中，推動建立行業(yè)內(nèi)部懲戒機制、健全行業(yè)自律規(guī)則、完善數(shù)據(jù)跨境流動規(guī)范，形成公平有序、開放競爭、安全可靠的數(shù)據(jù)跨境流動治理行業(yè)標準。

在企業(yè)合規(guī)方面，除積極引導企業(yè)開展合規(guī)工作外，還應建設(shè)企業(yè)合規(guī)的新工具，譬如，構(gòu)建企業(yè)資質(zhì)認證制度，對企業(yè)的數(shù)據(jù)保護能力及專門從事數(shù)據(jù)跨境傳遞業(yè)務的水平等資質(zhì)進行考核評定，做好事前資質(zhì)審查，避免等待審查、重復審查的情況出現(xiàn)。同時，針對數(shù)據(jù)出境不可逆的特性，企業(yè)應充分重視境外合規(guī)工作，通過加強與高校、科研機構(gòu)的深入合作，準確把握境外接收方所在國家或者地區(qū)的數(shù)據(jù)治理法律制度，靈活應對域外法律環(huán)境的變化，采取有效措施避免或降低域外相應制度對我國數(shù)據(jù)利益的不當影響。