走出去智庫觀察

9月1日，《中華人民共和國數據安全法》和《關鍵信息基礎設施安全保護條例》正式施行，均對數據跨境做出相關規定。新出臺的《個人信息保護法》更是對數據跨境流動的規則作出了較為具體的規定。企業如何做好出境數據合規，成為關注的主要問題。

走出去智庫（CGGT）特約法律專家、金誠同達律師事務所高級合伙人彭凱指出，《數據安全法》將“重要數據”的出境安全管理進行了二分監管，即對于“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據”出境，直接援引《網絡安全法》的規定；但對于“其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據”，則需進一步由國家網信部門會同國務院有關部門制定出境安全管理辦法，這也填補了非關鍵信息基礎設施運營者的其他主體在向境外提供重要數據時的監管空白。

如何做好數據出境的合規管理？今天，走出去智庫（CGGT）刊發金誠同達律師事務所彭凱、周晨黠、宋海新主編的《數據安全法合規指引》白皮書中涉及數據出境的內容，供關注跨境數據合規的讀者參考。

要 點

CGGT，CHINA GOING GLOBAL THINKTANK

1、《個人信息保護法》進一步規定了個人信息的境內存儲原則，規定“國家機關處理的個人信息”和“關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者在中華人民共和國境內收集和產生的個人信息”需要以境內存儲為原則。

2、重要數據出境，對于關鍵信息基礎設施的運營者，需按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；對于一般的數據處理企業，需進一步由國家網信部門會同國務院有關部門制定出境安全管理辦法。

3、需要注意的是，此處的數據出境問題并未包含關于數據對外共享的討論，但是考慮到數據出境往往伴隨著集團數據融合共享、公司對外共享數據等場景，因此亦很可能涉及到數據共享的相關規制，并進而引發新的合規要求。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

文/彭凱 周晨黠 宋海新

金誠同達律師事務所

自《網絡安全法》實施以來，數據的本地化存儲要求與出境合規就一直備受關注，也是眾多跨國公司合規工作中的難點，《數據安全法》第三十一條，則自草案二審稿開始，加入了關于重要數據出境的相關管理要求。

此前關于這一問題的相關規定，主要以《網絡安全法》為總領，輔以《GB/T35273—2020信息安全技術個人信息安全規范》等國家標準作為規范參考。在相關規范尚不健全的情況下，還存在《個人信息保護法》《個人信息和重要數據出境安全評估辦法（征求意見稿）》《信息安全技術數據出境安全評估指南（草案）》《個人信息出境安全評估辦法（征求意見稿）》《數據安全管理辦法（征求意見稿）》等一系列尚未生效的法規、指南和標準，一定程度上也代表監管部門對這一問題的看法。

也正是因為相關規范尚不健全，而尚未生效的法規、指南和標準又將相應的合規要求進行了提升，實踐中對于哪些數據需要境內存儲、數據出境需要履行什么手續等問題存在較大的爭議。

1、原則上需要本地化存儲的數據

在《網絡安全法》框架下，以境內存儲為原則的數據主要系指“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據”。

作為《網絡安全法》的初期配套文件，《個人信息和重要數據出境安全評估辦法（征求意見稿）》將境內存儲為原則的數據擴張為“網絡運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據”。

在重要數據與個人信息分軌監管后，《個人信息出境安全評估辦法（征求意見稿）》取代了上述《個人信息和重要數據出境安全評估辦法（征求意見稿）》，其中對于個人信息的出境，不再以本地化存儲為原則，而是以安全評估先于個人信息出境為原則。但在辦法未落地的情況下，相關的安全評估亦無法實際開展，因此我們認為實質上并未改變以本地化存儲為原則的現狀。

《個人信息保護法》進一步規定了個人信息的境內存儲原則，規定“國家機關處理的個人信息”和“關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者在中華人民共和國境內收集和產生的個人信息”需要以境內存儲為原則。在上述復雜規定之下，《數據安全法》更進一步，將以境內存儲為原則的數據擴展為所有的“在中華人民共和國境內運營中收集和產生的重要數據”。

結合上述法律、法規和文件，我們總結了現階段必須以境內本地化存儲為原則的數據，具體包括：

1）在中華人民共和國境內運營中收集和產生的重要數據；

2）在中華人民共和國境內運營中收集和產生的個人信息；

3）國家機關處理的個人信息。

2、數據出境的前提與手續

在《網絡安全法》框架下，“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據”如需向境外提供的，需按照“國家網信部門會同國務院有關部門制定的辦法”進行安全評估。

《個人信息和重要數據出境安全評估辦法（征求意見稿）》則對“網絡運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據”向境外提供的行為設置了安全評估的要求，并對“含有或累計含有50萬人以上的個人信息”“數據量超過1000GB”“包含核設施、化學生物、國防軍工、人口健康等領域數據，大型工程活動、海洋環境以及敏感地理信息數據等”“包含關鍵信息基礎設施的系統漏洞、安全防護等網絡安全信息”“關鍵信息基礎設施運營者向境外提供個人信息和重要數據”等情形下的數據出境附加了“報請行業主管或監管部門組織安全評估”的要求。另外對于個人信息的出境，也提出了“同意”這一前置要求。

而后《個人信息出境安全評估辦法（征求意見稿）》將個人信息的出境評估義務變更為由網絡運營者向所在地省級網信部門申報個人信息出境安全評估，但因為該辦法未生效，也尚不存在報請省級網信部門進行出境安全評估的渠道。

《個人信息保護法》進一步將安全評估劃分為，如屬于“國家機關處理的個人信息”出境，需進行安全評估（未規定主體，從文義而言應由出境的國家機關自行評估）；如屬于“關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者在中華人民共和國境內收集和產生的個人信息”出境，則需通過國家網信部門組織的安全評估。此外，對于個人信息出境行為，除了通過國家網信部門組織的安全評估外，還設置了“按照國家網信部門的規定經專業機構進行個人信息保護認證”“按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務，并監督其個人信息處理活動達到本法規定的個人信息保護標準”等可選方案，一定程度上放寬了個人信息出境問題的監管態勢。

《數據安全法》將“重要數據”的出境安全管理同樣進行了二分監管，即對于“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據”出境，直接援引《網絡安全法》的規定；但對于“其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據”，則需進一步由國家網信部門會同國務院有關部門制定出境安全管理辦法，這也填補了非關鍵信息基礎設施運營者的其他主體在向境外提供重要數據時的監管空白。

結合上述法律、法規和文件，我們梳理了針對企業不同類型數據在出境時的不同前提與手續，具體包括：

1）個人信息出境，在告知并征得信息主體個人的同意、經個人信息保護影響評估并記錄出境情況后，對于關鍵信息基礎設施的運營者，需按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；對于一般的網絡運營者，可能選擇“按照國家網信部門的規定經專業機構進行個人信息保護認證”或“按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務”，并監督其個人信息處理活動達到本法規定的個人信息保護標準等其他方式；

2）重要數據出境，對于關鍵信息基礎設施的運營者，需按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；對于一般的數據處理企業，需進一步由國家網信部門會同國務院有關部門制定出境安全管理辦法。

同時需要注意的是，此處的數據出境問題并未包含關于數據對外共享的討論，但是考慮到數據出境往往伴隨著集團數據融合共享、公司對外共享數據等場景，因此亦很可能涉及到數據共享的相關規制，并進而引發新的合規要求。

3、數據出境安全評估

考慮到目前國家網信部門尚未發布標準合同，個人信息保護認證機構也未設立，相應的網信部門安全評估制度亦未成型，為了滿足日益趨嚴的監管要求，結合參考包括《信息安全技術數據出境安全評估指南（草案）》《GB/T 39335-2020 信息安全技術 個人信息安全影響評估指南》等在內的眾多草案、指南、標準，我們建議有數據出境需求的企業可自行組織數據出境安全評估，一方面可以作為向監管部門證明履行相關數據保護義務的重要參考資料，另一方面也可以為未來的合規工作做好鋪墊，未雨綢繆。

針對具體的數據出境場景，企業可從數據出境的合法正當、風險可控兩方面展開數據出境安全評估，具體而言：

1）合法正當，包括數據合法性、授權同意的合法性，業務活動、履行合同的正當性等維度；

2）風險可控，包括數據屬性（類型、敏感度、數量、范圍、技術處理情況等維度）、收發雙方的技術和管理能力、數據接收方所在國家或地區的整體法律環境等維度。

如評估結果顯示數據出境的安全風險為極高或高的，企業可進一步修正數據出境計劃，并對修正后的數據出境計劃重新進行評估。

4、違法向境外提供重要數據的法律責任

從上述歷次版本變更對比可以看出，《數據安全法》在正式稿增加了違法向境外提供重要數據的法律責任的規定，這里的法律責任主要適用于關鍵信息基礎設施運營者之外的數據處理者。

對于關鍵信息基礎設施的運營者而言，因為《數據安全法》第三十一條明確關鍵信息基礎設施的運營者的重要數據出境安全管理適用《網絡安全法》的規定，其法則亦主要指向《網絡安全法》第六十六條的規定。

對于關鍵信息基礎設施運營者之外的數據處理者，如果違反后續國家網信部門會同國務院有關部門制定的重要數據出境安全管理辦法的規定，需要承擔責令改正、警告、罰款的法律責任，情節嚴重的，除罰款額度提高外，還可以一并責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照。

延展閱讀

數據合規觀察 | 面臨新一輪數據監管浪潮，如何做好個保法、數安法與網安法三法合規聯動

跨境數據合規 | 合規創造價值：新經濟領域（擬）上市企業的若干合規要點分析

跨境數據合規 |《數據安全法》亮點解讀：明確重要數據出境安全管理制度

跨境合規實務 | 美國又將7家中國超算實體列入清單，中企如何防范具體業務相關風險

反壟斷觀察 | “一分規，九分合”：從史上最高罰單看企業反壟斷合規的重要性

專家簡介

彭凱

執業領域：網絡安全與數據合規、金融科技、公司治理與合規、收并購

走出去智庫（CGGT）特約法律專家，金誠同達律師事務所高級合伙人，兼任復旦大學法律碩士專業學位實務導師，復旦大學法學院實務課程講師，廈門市地方金融協會調解員，多家機構簽約講師，浪巔Shairk Intelligence 創始人，十字財經聯合創始人。

執業以來為多家大型互聯網公司、跨國企業、知名金融科技企業、金融機構、初創公司等提供常年及各類專項法律服務，深諳國內網絡安全、數據治理、個人信息保護、互聯網、金融領域法律法規，個人研究領域聚焦于網絡安全、金融科技、大數據及人工智能，正持續圍繞該等新興領域進行研究及寫作。

周晨黠

執業領域：網絡安全與數據合規、爭議解決、破產重整及保險

金誠同達律師事務所資深律師，畢業于上海交通大學法學院，先后獲學士學位（法學及經濟學）、碩士學位（法律）。自執業以來為多家金融科技公司、互聯網企業、科技公司等提供有關網絡安全、數據合規、個人信息與隱私保護等內容的咨詢與專項法律服務。

曾代理包括建設工程施工合同糾紛、保險合同糾紛、融資租賃合同糾紛、股權回購糾紛等在內的眾多商事爭議解決案件，并在多個房地產建設工程項目、破產重整項目、內部調查項目中提供全流程專業法律服務，目前聚焦于個人信息保護與數據合規、人工智能、大數據、網絡安全等多個新興領域開展研究工作。

宋海新

執業領域：網絡安全與數據合規、金融科技、公司治理與合規、爭議解決

金誠同達律師事務所資深律師，畢業于上海交通大學凱原法學院，先后獲學士學位、碩士學位。自執業以來為數十家互聯網巨頭、持牌金融機構、金融科技企業、大數據企業、初創公司等提供網絡安全與數據合規、金融科技、公司治理與合規方面的常年及專項法律服務，并代理/負責包括軟件開發糾紛、服務合同糾紛、民間借貸糾紛等在內的近十起爭議解決案件。

主筆撰寫數據合規專著1本，參與撰寫金融科技專著1本，主筆撰寫并公開發布數據合規文章30余篇，主筆撰寫并公開發布金融科技文章10余篇。深諳國內數據合規和金融科技領域法律法規，個人研究領域聚焦于網絡安全、大數據、人工智能及金融科技。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。