隨著國際數(shù)字貿(mào)易的飛速發(fā)展，數(shù)據(jù)跨境流動(dòng)成為各國和地區(qū)數(shù)據(jù)信息交流和經(jīng)貿(mào)往來的重要形式和通路。數(shù)據(jù)跨境流動(dòng)的爆炸式增長在促進(jìn)國際數(shù)字貿(mào)易繁榮的同時(shí)，也對(duì)個(gè)人信息安全、數(shù)據(jù)產(chǎn)業(yè)發(fā)展甚至國家數(shù)據(jù)安全帶來了挑戰(zhàn)，諸如個(gè)人信息泄露、商業(yè)數(shù)據(jù)違規(guī)披露、國家數(shù)據(jù)主權(quán)沖突等層見疊出，如何規(guī)范數(shù)據(jù)出境活動(dòng)，促進(jìn)數(shù)據(jù)跨境安全、自由流動(dòng)，維護(hù)個(gè)人信息權(quán)益、國家安全和社會(huì)公共利益成為社會(huì)各界關(guān)注的熱點(diǎn)與難點(diǎn)。

數(shù)據(jù)出境合規(guī)體系更加完善

10月29日，國家互聯(lián)網(wǎng)信息辦公室(下稱“網(wǎng)信辦”)就《數(shù)據(jù)出境安全評(píng)估辦法(征求意見稿)》(下稱《征求意見稿》)向社會(huì)公開征求意見。《征求意見稿》共十八條，內(nèi)容囊括了數(shù)據(jù)處理者應(yīng)當(dāng)申報(bào)數(shù)據(jù)出境安全評(píng)估的具體情形、申報(bào)數(shù)據(jù)出境安全評(píng)估應(yīng)當(dāng)提交的材料、數(shù)據(jù)處理者風(fēng)險(xiǎn)自評(píng)估與監(jiān)管部門安全評(píng)估、數(shù)據(jù)處理者與境外接收方訂立合同要求、數(shù)據(jù)出境安全評(píng)估主管部門、重新申報(bào)評(píng)估情形以及相關(guān)法律責(zé)任等，對(duì)數(shù)據(jù)出境安全評(píng)估提供了明確的規(guī)則指引。

在《征求意見稿》)發(fā)布前，《中華人民共和國網(wǎng)絡(luò)安全法》(下稱《網(wǎng)絡(luò)安全法》)《中華人民共和國數(shù)據(jù)安全法》(下稱《數(shù)據(jù)安全法》)和《中華人民共和國個(gè)人信息保護(hù)法》(下稱《個(gè)人信息保護(hù)法》)從法律層面建立了數(shù)據(jù)出境合規(guī)機(jī)制，構(gòu)建了科學(xué)系統(tǒng)的網(wǎng)絡(luò)空間數(shù)據(jù)出境合規(guī)法律體系。

具體而言，《網(wǎng)絡(luò)安全法》第37條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者在我國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)原則上應(yīng)當(dāng)遵循本地化儲(chǔ)存原則，確需進(jìn)行跨境傳輸時(shí)應(yīng)當(dāng)履行數(shù)據(jù)出境安全評(píng)估義務(wù)。

《數(shù)據(jù)安全法》第30條和第31條規(guī)定了重要數(shù)據(jù)處理者的風(fēng)險(xiǎn)評(píng)估義務(wù)，以及關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和其他數(shù)據(jù)處理者在我國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)的數(shù)據(jù)出境安全評(píng)估義務(wù)。

《個(gè)人信息保護(hù)法》第36條和第40條規(guī)定了國家機(jī)關(guān)處理的個(gè)人信息在向境外提供時(shí)，應(yīng)當(dāng)進(jìn)行安全評(píng)估，以及關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個(gè)人信息達(dá)到規(guī)定數(shù)量的個(gè)人信息處理者，在向境外提供個(gè)人信息時(shí)，應(yīng)當(dāng)進(jìn)行安全評(píng)估。然而，上述法律并未對(duì)數(shù)據(jù)出境評(píng)估規(guī)范進(jìn)行細(xì)化規(guī)定，導(dǎo)致實(shí)踐中對(duì)數(shù)據(jù)出境進(jìn)行安全評(píng)估時(shí)缺乏具體實(shí)施規(guī)則，不利于依法規(guī)范開展數(shù)據(jù)出境安全評(píng)估，維護(hù)個(gè)人信息權(quán)益、國家安全和社會(huì)公共利益。

本次《征求意見稿》在遵循上述法律基本要求的前提下，對(duì)數(shù)據(jù)出境安全評(píng)估規(guī)范進(jìn)行了細(xì)致的規(guī)定。《征求意見稿》第2條明確規(guī)定：數(shù)據(jù)處理者向境外提供在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)和依法應(yīng)當(dāng)進(jìn)行安全評(píng)估的個(gè)人信息，應(yīng)當(dāng)按照本辦法的規(guī)定進(jìn)行安全評(píng)估。

在適用對(duì)象上，《征求意見稿》并未采用《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》有關(guān)“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者”“重要數(shù)據(jù)處理者”“其他數(shù)據(jù)處理者”的表述，而是統(tǒng)一采用“數(shù)據(jù)處理者”，在適用對(duì)象上更具廣泛性和包容性。當(dāng)然，也存在與現(xiàn)有法律如何銜接的問題，可能會(huì)引發(fā)對(duì)“數(shù)據(jù)處理者”這一概念的不同理解，不利于對(duì)數(shù)據(jù)出境活動(dòng)中負(fù)有核心義務(wù)的數(shù)據(jù)處理者做規(guī)范化、系統(tǒng)化及法治化的認(rèn)定。

《征求意見稿》重要內(nèi)容解析

一是堅(jiān)持事前評(píng)估和持續(xù)監(jiān)督相結(jié)合、風(fēng)險(xiǎn)自評(píng)估與安全評(píng)估相結(jié)合。《征求意見稿》第3條明確指出“數(shù)據(jù)出境安全評(píng)估堅(jiān)持事前評(píng)估和持續(xù)監(jiān)督相結(jié)合、風(fēng)險(xiǎn)自評(píng)估與安全評(píng)估相結(jié)合”，對(duì)數(shù)據(jù)出境評(píng)估流程進(jìn)行了清晰的制度構(gòu)建。其中，事前評(píng)估具體體現(xiàn)為風(fēng)險(xiǎn)自評(píng)估與安全評(píng)估制度，通過數(shù)據(jù)處理者對(duì)風(fēng)險(xiǎn)自評(píng)估與監(jiān)管部門所做的外部安全評(píng)估，可及時(shí)發(fā)現(xiàn)并預(yù)判數(shù)據(jù)出境可能存在的潛在風(fēng)險(xiǎn)或已知風(fēng)險(xiǎn)，及時(shí)采取措施化解風(fēng)險(xiǎn)，降低數(shù)據(jù)泄露對(duì)個(gè)人信息權(quán)益、社會(huì)公共利益和國家利益的影響。

持續(xù)監(jiān)督具體體現(xiàn)為數(shù)據(jù)出境評(píng)估結(jié)果有效期制度，根據(jù)《征求意見稿》第12條，數(shù)據(jù)出境評(píng)估結(jié)果有效期兩年，如在有效期內(nèi)出現(xiàn)本條規(guī)定的特定情形，數(shù)據(jù)處理者需要向監(jiān)管部門重新申報(bào)數(shù)據(jù)出境安全評(píng)估。通過事前評(píng)估與持續(xù)監(jiān)督“雙管齊下”，《征求意見稿》建立了全流程、全鏈條、全周期的數(shù)據(jù)出境風(fēng)險(xiǎn)防范與化解機(jī)制，有助于靈活高效應(yīng)對(duì)數(shù)據(jù)跨境流動(dòng)中可能存在的治理難題，提升數(shù)據(jù)出境安全評(píng)估治理效能。

二是明確應(yīng)當(dāng)申報(bào)數(shù)據(jù)出境安全評(píng)估的具體情形。《征求意見稿》第4條明晰了數(shù)據(jù)處理者應(yīng)當(dāng)申報(bào)數(shù)據(jù)出境安全評(píng)估的具體情形，內(nèi)容涵蓋關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者、重要數(shù)據(jù)處理者、處理個(gè)人信息達(dá)到規(guī)定數(shù)量的個(gè)人信息處理者以及其他數(shù)據(jù)處理者等，并將規(guī)定數(shù)量確定為“處理個(gè)人信息達(dá)到一百萬人”或“累計(jì)向境外提供超過十萬人以上或者一萬人以上敏感個(gè)人信息”。該規(guī)定立足個(gè)人信息跨境流動(dòng)的客觀風(fēng)險(xiǎn)來源與我國個(gè)人信息保護(hù)制度的具體要求，契合實(shí)踐中對(duì)個(gè)人數(shù)據(jù)(信息)跨境流動(dòng)風(fēng)險(xiǎn)防范的現(xiàn)實(shí)需求。當(dāng)然，如該條得以施行，仍需遵循《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等上位法的規(guī)范，維護(hù)法律法規(guī)間的統(tǒng)一性與系統(tǒng)性。

三是明確規(guī)定數(shù)據(jù)出境安全自評(píng)估與數(shù)據(jù)出境安全評(píng)估。《征求意見稿》規(guī)定了數(shù)據(jù)處理者向境外提供數(shù)據(jù)滿足規(guī)定情形時(shí)的兩類評(píng)估義務(wù)，即數(shù)據(jù)出境安全自評(píng)估與監(jiān)管部門數(shù)據(jù)出境安全評(píng)估。第5條明確規(guī)定了數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估的具體事項(xiàng)，有助于數(shù)據(jù)處理者全面分析和預(yù)測(cè)數(shù)據(jù)安全風(fēng)險(xiǎn)，形成系統(tǒng)的數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估報(bào)告，為監(jiān)管部門進(jìn)行數(shù)據(jù)安全評(píng)估提供參考，形成政府與企業(yè)數(shù)據(jù)出境安全評(píng)估交流的互動(dòng)機(jī)制。第8條對(duì)監(jiān)管部門數(shù)據(jù)出境安全評(píng)估的事項(xiàng)進(jìn)行了細(xì)化規(guī)定，填補(bǔ)了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》對(duì)數(shù)據(jù)出境安全評(píng)估事項(xiàng)的規(guī)定空白。且第8條規(guī)定的數(shù)據(jù)出境安全評(píng)估事項(xiàng)在范圍上大于第5條數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估事項(xiàng)，這將對(duì)監(jiān)管部門全方位審查數(shù)據(jù)出境活動(dòng)的安全風(fēng)險(xiǎn)程度以及數(shù)據(jù)處理者相應(yīng)安全保障措施的適當(dāng)性，提供更加全面客觀的指南。

四是要求數(shù)據(jù)處理者與境外接收方訂立合同應(yīng)當(dāng)充分約定數(shù)據(jù)安全保護(hù)責(zé)任。境外數(shù)據(jù)接收方的技術(shù)安全能力，處理數(shù)據(jù)的用途、方式，以及出境數(shù)據(jù)是否會(huì)再轉(zhuǎn)移等因素，均會(huì)影響數(shù)據(jù)保護(hù)水平，對(duì)數(shù)據(jù)跨境流動(dòng)安全產(chǎn)生挑戰(zhàn)。故在與境外接受方訂立合同時(shí)，充分約定數(shù)據(jù)安全保護(hù)責(zé)任，是強(qiáng)化境外接收方按照我國法律履行數(shù)據(jù)安全保護(hù)義務(wù)的重要保障，有助于提供具有約束力的行權(quán)條款和爭議解決條款，在境外接收方出現(xiàn)違約情形時(shí)，便于我國數(shù)據(jù)出境企業(yè)和權(quán)益受損的個(gè)人依法進(jìn)行維權(quán)。

同時(shí)，數(shù)據(jù)安全保護(hù)責(zé)任也是監(jiān)管部門數(shù)據(jù)出境安全評(píng)估以及重新申報(bào)數(shù)據(jù)出境安全評(píng)估的重要內(nèi)容或影響因素，隨著《征求意見稿》對(duì)境外接收方數(shù)據(jù)安全保護(hù)責(zé)任的規(guī)定，數(shù)據(jù)出境安全將迎來更加系統(tǒng)的安全保障體系，在日趨激烈的國際數(shù)據(jù)爭奪戰(zhàn)中，為維護(hù)我國數(shù)據(jù)主權(quán)、安全和發(fā)展利益提供強(qiáng)有力的法治保障作用。

五是明確重新申報(bào)數(shù)據(jù)出境安全評(píng)估的情形。實(shí)踐中數(shù)據(jù)出境安全保護(hù)環(huán)境復(fù)雜多變，譬如，數(shù)據(jù)出境目的、方式、范圍變化，境外接受方改變數(shù)據(jù)用途、使用方式，境外接收方所在國家或地區(qū)法律環(huán)境變化，數(shù)據(jù)出境合同變更等因素，均會(huì)從實(shí)質(zhì)上改變數(shù)據(jù)出境安全環(huán)境。根據(jù)《征求意見稿》第20條對(duì)重新申報(bào)數(shù)據(jù)出境安全評(píng)估的規(guī)定，數(shù)據(jù)出境評(píng)估結(jié)果有效期兩年，除非出現(xiàn)本條規(guī)定的特定情形，否則無需重新申報(bào)數(shù)據(jù)出境安全評(píng)估。作為數(shù)據(jù)出境評(píng)估結(jié)果有效期制度的重要組成部分，重新申報(bào)規(guī)定在保持?jǐn)?shù)據(jù)出境安全穩(wěn)定性的同時(shí)，有助于靈活應(yīng)對(duì)數(shù)據(jù)出境安全保護(hù)環(huán)境變化，實(shí)現(xiàn)全場(chǎng)景、全鏈條、全周期防范數(shù)據(jù)出境安全風(fēng)險(xiǎn)。

保障數(shù)據(jù)出境安全需多措并舉

數(shù)據(jù)的價(jià)值在于流動(dòng)，只有在持續(xù)高質(zhì)量的流動(dòng)中才能充分發(fā)揮和挖掘數(shù)據(jù)價(jià)值，最大效能釋放數(shù)據(jù)紅利。作為數(shù)據(jù)出境安全評(píng)估的重要價(jià)值目標(biāo)之一，《征求意見稿》第3條明確指出“保障數(shù)據(jù)依法有序自由流動(dòng)”，然而，數(shù)據(jù)流動(dòng)本身便意味著風(fēng)險(xiǎn)存在，在促進(jìn)數(shù)據(jù)自由流動(dòng)的同時(shí)，也應(yīng)妥善應(yīng)對(duì)和防范數(shù)據(jù)出境安全風(fēng)險(xiǎn)，實(shí)現(xiàn)數(shù)據(jù)流動(dòng)與數(shù)據(jù)保護(hù)的平衡。故立足于我國數(shù)據(jù)出境流動(dòng)治理的現(xiàn)實(shí)情況，建議多措并舉保障數(shù)據(jù)出境安全，維護(hù)我國在全球數(shù)據(jù)經(jīng)濟(jì)活動(dòng)中的合法權(quán)益。

第一，在制度建構(gòu)層面，根據(jù)《數(shù)據(jù)安全法》《信息安全技術(shù)數(shù)據(jù)出境安全評(píng)估指南(征求意見稿)》等法律、國家標(biāo)準(zhǔn)的規(guī)定，盡快建立數(shù)據(jù)分類分級(jí)制度。根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度，對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)。對(duì)不同安全層級(jí)的數(shù)據(jù)采取不同層次的保護(hù)水平，降低數(shù)據(jù)出境對(duì)國家安全、社會(huì)公共利益的影響，最大限度避免數(shù)據(jù)安全事件的發(fā)生。

第二，在國際合作層面，加強(qiáng)我國在數(shù)據(jù)跨境流動(dòng)治理領(lǐng)域的國際合作。一方面，加緊推進(jìn)國際合作渠道尤其是區(qū)域性合作渠道的建立，9月16日，中國正式申請(qǐng)加入《全面與進(jìn)步跨太平洋伙伴關(guān)系協(xié)定》(CPTPP)，CPTPP針對(duì)互聯(lián)網(wǎng)規(guī)則和數(shù)字經(jīng)濟(jì)設(shè)定了較高標(biāo)準(zhǔn)，其中涉及數(shù)據(jù)跨境流動(dòng)與數(shù)據(jù)本地化存儲(chǔ)等問題，在正式加入后可能成為溝通我國與世界各國數(shù)據(jù)合作的紐帶;另一方面，可以嘗試將國際協(xié)定與國內(nèi)治理進(jìn)行銜接，率先與已經(jīng)構(gòu)建起良好協(xié)作關(guān)系的國家或地區(qū)進(jìn)行數(shù)據(jù)跨境流通的先行先試，逐漸推動(dòng)國內(nèi)治理機(jī)制與國際規(guī)則的雙向交互發(fā)展。

第三，在監(jiān)管層面，完善數(shù)據(jù)跨境流動(dòng)行業(yè)監(jiān)管體系，建立數(shù)據(jù)安全監(jiān)管平臺(tái)。當(dāng)前，數(shù)據(jù)安全風(fēng)險(xiǎn)更多地來源于數(shù)據(jù)運(yùn)行周期的不可控性，數(shù)據(jù)安全風(fēng)險(xiǎn)存在于數(shù)據(jù)收集、存儲(chǔ)、分析、加工、共享到銷毀的每一環(huán)節(jié)。故有必要借助數(shù)據(jù)交易中心的建設(shè)，建立數(shù)據(jù)安全監(jiān)管平臺(tái)，做到對(duì)數(shù)據(jù)跨境流動(dòng)全周期監(jiān)控和實(shí)時(shí)預(yù)警，維護(hù)市場(chǎng)交易穩(wěn)定與安全，推動(dòng)數(shù)據(jù)市場(chǎng)健康發(fā)展。

第四，在行業(yè)自律和企業(yè)合規(guī)層面，切實(shí)發(fā)揮行業(yè)協(xié)會(huì)與企業(yè)的積極性與能動(dòng)性，減輕政府對(duì)數(shù)據(jù)跨境流動(dòng)風(fēng)險(xiǎn)審查的壓力。在行業(yè)自律方面，應(yīng)充分發(fā)揮行業(yè)協(xié)會(huì)自身優(yōu)勢(shì)，積極參與到維護(hù)數(shù)據(jù)安全、促進(jìn)數(shù)據(jù)競爭的治理中，推動(dòng)建立行業(yè)內(nèi)部懲戒機(jī)制、健全行業(yè)自律規(guī)則、完善數(shù)據(jù)跨境流動(dòng)規(guī)范，形成公平有序、開放競爭、安全可靠的數(shù)據(jù)跨境流動(dòng)治理行業(yè)標(biāo)準(zhǔn)。

在企業(yè)合規(guī)方面，除積極引導(dǎo)企業(yè)開展合規(guī)工作外，還應(yīng)建設(shè)企業(yè)合規(guī)的新工具，譬如，構(gòu)建企業(yè)資質(zhì)認(rèn)證制度，對(duì)企業(yè)的數(shù)據(jù)保護(hù)能力及專門從事數(shù)據(jù)跨境傳遞業(yè)務(wù)的水平等資質(zhì)進(jìn)行考核評(píng)定，做好事前資質(zhì)審查，避免等待審查、重復(fù)審查的情況出現(xiàn)。同時(shí)，針對(duì)數(shù)據(jù)出境不可逆的特性，企業(yè)應(yīng)充分重視境外合規(guī)工作，通過加強(qiáng)與高校、科研機(jī)構(gòu)的深入合作，準(zhǔn)確把握境外接收方所在國家或者地區(qū)的數(shù)據(jù)治理法律制度，靈活應(yīng)對(duì)域外法律環(huán)境的變化，采取有效措施避免或降低域外相應(yīng)制度對(duì)我國數(shù)據(jù)利益的不當(dāng)影響。