数据出境如何确保安全合规？

数据出境主要指在中国境内的数据处理者通过网络及其他方式（如物理携带），将其在中国境内运营中收集和产生的数据，通过直接提供或开展业务、提供服务和产品等方式提供给境外组织或个人的一次性活动或连续性活动。

数据出境的主要情形

　　数据出境主要有以下三类情形：一是向本国境内机构提供数据，但该机构不属于本国司法管辖，如大使馆就属于使馆所在国的国家领土，不属于派遣国的国家领土；二是数据未转移存储至本国以外的地方，但可以被境外的组织、个人访问查看，不包括公开的数据和通过网页访问的数据；三是数据处理者集团内部数据由境内转移至境外，其中涉及其在境内运营中收集和产生的数据。

　　但是以下两种情形不属于数据出境：一是非在境内运营中收集和产生的数据经由本国出境，且数据未经任何加工处理；二是非在境内运营中收集和产生的数据，但在境内存储、加工处理后出境，不涉及境内运营中收集和产生的数据。

我国数据出境的主要法律规则

　　目前，我国数据出境的法律规则主要源于《网络安全法》《数据安全法》《个人信息保护法》这三大基础性法律。

　　2017年6月1日正式施行的《网络安全法》第三十七条规定了向境外提供数据的法律规则，即“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定”。这是我国首条以法律的形式确立数据出境需要进行安全评估的规定，该规定有两层含义，一是关键信息基础设施的运营者在国内收集和产生的个人信息和重要数据应当在境内存储；二是因业务需要，确需向境外提供的，应当依法进行安全评估。

　　2021年9月1日施行的《数据安全法》是我国首部数据安全领域的基础性立法，该法第三十一条确立了数据出境的基本法律规则，即“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定”。该条对数据出境的法律适用做了分工：一是关键信息基础设施的运营者收集和产生的重要数据确需出境的，适用《网络安全法》第三十七条的规定；二是关键信息基础设施运营者以外的“其他数据处理者”在国内收集和产生的重要数据出境，适用国家网信办制定的相关出境安全管理办法。

　　2021年10月，国家网信办公布了《数据出境安全评估办法（征求意见稿）》，其上位法包括：《网络安全法》《数据安全法》《个人信息保护法》。根据《数据出境安全评估办法（征求意见稿）》的要求，数据处理者向境外提供数据，符合以下五种情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：一是关键信息基础设施的运营者收集和产生的个人信息和重要数据；二是出境数据中包含重要数据；三是处理个人信息达到一百万人的个人信息处理者向境外提供个人信息；四是累计向境外提供十万人以上个人信息或者一万人以上敏感个人信息；五是国家网信部门规定的其他需要申报数据出境安全评估的情形。

　　2021年11月1日施行的《个人信息保护法》详细确立了个人信息跨境提供的重要规则，个人信息处理者因业务等需要，确需向境外提供个人信息的，应当具备下列四项条件之一：一是通过国家网信部门组织的安全评估，即关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在境内收集和产生的个人信息存储在境内，确需向境外提供的，应当通过国家网信部门组织的安全评估；二是按照国家网信部门的规定经专业机构进行个人信息保护认证，根据《网络数据安全管理条例（征求意见稿）》第三十五条（二）的规定，数据处理者和数据接收方均要通过国家网信部门认定的专业机构进行的个人信息保护认证；三是按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；四是法律、行政法规或者国家网信部门规定的其他条件。

我国数据出境安全评估的要点

　　目前，我国数据和个人信息出境实施阶梯式评估模式，即“自评估”﹢“国家安全评估”，企业应重点掌握一个“前提”和一个“保障”，即以企业数据出境自评估为前提，以数据出境的国家安全审查为保障的数据出境安全评估机制。

　　自评估的合规要点包括：数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；出境数据的数量、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险；境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；数据出境和转移后泄露、毁损、篡改、滥用等的风险，个人维护个人信息权益的渠道是否畅通等；与境外接收方订立的数据出境合同是否充分约定了数据安全保护责任和义务。

　　国家安全评估的审查要点包括：数据出境的目的、范围、方式等的合法性、正当性、必要性；境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响；境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规规定和强制性国家标准的要求；出境数据的数量、范围、种类、敏感程度，出境中和出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险；数据安全和个人信息权益是否能够得到充分有效保障；数据处理者与境外接收方订立的合同中是否充分约定了数据安全保护责任和义务；遵守中国法律、行政法规、部门规章情况；国家网信办认为需要评估的其他事项。

　　（王春晖 作者系浙江大学教授、南京邮电大学教授）