前言

　　1980年，經(jīng)合組織（OECD）提出了“數(shù)據(jù)跨境流動”（Trans-border Data Flow）的概念，其被界定為個人信息的跨越國界流動。但隨著技術的發(fā)展,，國際上對跨境數(shù)據(jù)流動的理解已經(jīng)完全超越了個人信息的范疇。巨量的數(shù)據(jù)資源不僅只涉及個人信息了,，尤其是跨國企業(yè)經(jīng)營中涉及的數(shù)據(jù)跨境,，既存在個人信息，也包括商品數(shù)據(jù),、支付數(shù)據(jù),、物流數(shù)據(jù)、地理位置等非個人信息,，且其中相當一部分數(shù)據(jù)涉及國家安全,、公共安全。我國此前監(jiān)管重心多側重于“個人信息”的出境規(guī)制（《個人信息出境安全評估辦法（征求意見稿）》）,，實務中對于“個人信息”出境合規(guī)應對也較為成熟,，而對于“重要數(shù)據(jù)”的出境規(guī)制則存在立法空白。

　　2021年6月10日,，我國《數(shù)據(jù)安全法》正式出臺,，在《網(wǎng)絡安全法》第37條的基礎上，進一步建構數(shù)據(jù)出境安全管理框架,?！稊?shù)據(jù)安全法》在鼓勵跨境數(shù)據(jù)流動（第10條）的基礎上，對數(shù)據(jù)出境安全管理（第31條）,、主管機關批準（第36條）以及法律責任承擔（第46條）等方面進行規(guī)定,，為跨國企業(yè)盡快開展數(shù)據(jù)出境合規(guī)工作提供了方向參考。

　　本文將以《數(shù)據(jù)安全法》為基礎,，結合《網(wǎng)絡安全法》,、《信息安全技術 數(shù)據(jù)出境安全評估指南（征求意見稿）》（下文簡稱《評估指南》）等規(guī)定，對于跨國企業(yè)數(shù)據(jù)傳輸存在的常見問題進行回答,，以期為跨國企業(yè)的數(shù)據(jù)出境合規(guī)提供法律幫助,。

　　一、《數(shù)據(jù)安全法》對于數(shù)據(jù)出境的監(jiān)管要求

　　《數(shù)據(jù)安全法》第三十一條規(guī)定,，關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理,，適用《中華人民共和國網(wǎng)絡安全法》的規(guī)定；其他數(shù)據(jù)處理者在中華人民共和國境內運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法,，由國家網(wǎng)信部門會同國務院有關部門制定,。

　　（ 一 ） 數(shù)據(jù)出境的主體：關鍵信息基礎設施的運營者 & 其他數(shù)據(jù)處理者

　　1.關鍵信息基礎設施的運營者

　　關鍵信息基礎設施的運營者并非《數(shù)據(jù)安全法》創(chuàng)設的新主體,，早在《網(wǎng)絡安全法》與《網(wǎng)絡安全審查辦法》便已對關鍵信息基礎設施進行了定義,。

　　《網(wǎng)絡安全法》第三十一條規(guī)定，國家對公共通信和信息服務,、能源,、交通、水利,、金融,、公共服務、電子政務等重要行業(yè)和領域,，以及其他一旦遭到破壞,、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全,、國計民生,、公共利益的關鍵信息基礎設施，在網(wǎng)絡安全等級保護制度的基礎上,，實行重點保護,。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。

　　根據(jù)該條,，國家互聯(lián)網(wǎng)信息辦公室（下文簡稱“網(wǎng)信辦”）制定了《關鍵信息基礎設施安全保護條例（征求意見稿）》,，其中第十八條規(guī)定了應當納入關鍵信息基礎設施保護范圍，包括：

　　1,、政府機關和能源,、金融、交通,、水利,、衛(wèi)生醫(yī)療、教育,、社保,、環(huán)境保護,、公用事業(yè)等行業(yè)領域的單位；

　　2,、電信網(wǎng),、廣播電視網(wǎng)、互聯(lián)網(wǎng)等信息網(wǎng)絡,，以及提供云計算,、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡服務的單位；

　　3,、國防科工,、大型裝備、化工,、食品藥品等行業(yè)領域科研生產(chǎn)單位,；

　　4、廣播電臺,、電視臺,、通訊社等新聞單位；

　　5,、其他重點單位,。

　　而根據(jù)《關鍵信息基礎設施安全保護條例（征求意見稿）》第二條，在中華人民共和國境內規(guī)劃,、建設,、運營、維護,、使用上述關鍵信息基礎設施,，以及開展關鍵信息基礎設施的安全保護，適用本條例,。

　　2.其他數(shù)據(jù)處理者

　　我國此前針對個人信息與數(shù)據(jù)的收集,、處理活動的主體，多采用“網(wǎng)絡運營者/網(wǎng)絡運營商”的概念,。

　　《個人信息出境安全評估辦法（征求意見稿）》第二條將“個人信息出境”界定為網(wǎng)絡運營者向境外提供在中華人民共和國境內運營中收集的個人信息的行為,；《信息安全技術 數(shù)據(jù)出境安全評估指南（征求意見稿）》將“數(shù)據(jù)出境”界定為網(wǎng)絡運營商通過網(wǎng)絡等方式，將其在中華人民共和國境內運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù),，通過直接提供或開展業(yè)務以及提供服務,、產(chǎn)品等方式提供給境外的機構、組織或個人的一次性活動或連續(xù)活動,。

　　而最新的《數(shù)據(jù)安全法》將數(shù)據(jù)的收集,、存儲、使用、加工,、傳輸,、提供、公開等活動明確界定為“數(shù)據(jù)處理”,，而實施上述活動的主體則為“數(shù)據(jù)處理者”,。但此“數(shù)據(jù)處理者”從其內涵和法律意義來看不同于GDPR項下的“數(shù)據(jù)處理者”。

　　綜上,，實施收集、存儲,、使用,、加工、傳輸,、提供,、公開數(shù)據(jù)等行為的跨國公司，無論其是否建設,、運營,、維護、使用上述關鍵信息基礎設施,，均因其實施數(shù)據(jù)處理行為而落入《數(shù)據(jù)安全法》第三十一條的規(guī)制主體范疇,。

　　（ 二 ） 數(shù)據(jù)出境的對象：重要數(shù)據(jù)

　　《數(shù)據(jù)安全法》并非要求所有數(shù)據(jù)出境均應進行審查,，而是針對企業(yè)在中華人民共和國境內運營中收集和產(chǎn)生的重要數(shù)據(jù)進行數(shù)據(jù)出境安全管理,。對于“重要數(shù)據(jù)”的范疇，《數(shù)據(jù)安全法》第二十一條在概念界定的基礎之上提出了“重要數(shù)據(jù)目錄”,，該目錄則是由國家數(shù)據(jù)安全工作協(xié)調機制統(tǒng)籌協(xié)調有關部門制定,。

　　《數(shù)據(jù)安全法》第二十一條規(guī)定，國家建立數(shù)據(jù)分類分級保護制度,，根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度,，以及一旦遭到篡改、破壞,、泄露或者非法獲取,、非法利用，對國家安全,、公共利益或者個人,、組織合法權益造成的危害程度，對數(shù)據(jù)實行分類分級保護,。國家數(shù)據(jù)安全工作協(xié)調機制統(tǒng)籌協(xié)調有關部門制定重要數(shù)據(jù)目錄,，加強對重要數(shù)據(jù)的保護。

　　關系國家安全、國民經(jīng)濟命脈,、重要民生,、重大公共利益等數(shù)據(jù)屬于國家核心數(shù)據(jù)，實行更加嚴格的管理制度,。

　　各地區(qū),、各部門應當按照數(shù)據(jù)分類分級保護制度，確定本地區(qū),、本部門以及相關行業(yè),、領域的重要數(shù)據(jù)具體目錄，對列入目錄的數(shù)據(jù)進行重點保護,。

　　目前《數(shù)據(jù)安全法》的相關配套法律法規(guī)還未出臺,，尤其是最核心的“重要數(shù)據(jù)目錄”，但跨國公司數(shù)據(jù)出境需求并不會因為政策尚未落定而停止,。在此期間,，我們建議跨國公司可以參照現(xiàn)有分類分級規(guī)范對“重要數(shù)據(jù)”界定開展工作，部分規(guī)范和行業(yè)標準仍處于征求意見階段,，但并不意味其內容毫無參考價值,。

　　《信息安全技術 數(shù)據(jù)出境安全評估指南（征求意見稿）》附錄A“重要數(shù)據(jù)識別指南”中對27個重點行業(yè)的重要數(shù)據(jù)做了概括性的描述，如石油,、電力,、金融等。

　　《汽車數(shù)據(jù)安全管理若干規(guī)定（征求意見稿）》首次明確界定汽車行業(yè)重要數(shù)據(jù)的范圍,，具體包括：

　　1,、軍事管理區(qū)、國防科工等涉及國家秘密的單位,、縣級以上黨政機關等重要敏感區(qū)域的人流車流數(shù)據(jù),；

　　2、高于國家公開發(fā)布地圖精度的測繪數(shù)據(jù),；

　　3,、汽車充電網(wǎng)的運行數(shù)據(jù)；

　　4,、道路上車輛類型,、車輛流量等數(shù)據(jù),；

　　5,、包含人臉、聲音,、車牌等的車外音視頻數(shù)據(jù),；

　　6,、國家網(wǎng)信部門和國務院有關部門明確的其他可能影響國家安全、公共利益的數(shù)據(jù)。

　?。?三 ） 數(shù)據(jù)出境的內容：“出境”

　　《信息安全技術 數(shù)據(jù)出境安全評估指南（征求意見稿）》將“數(shù)據(jù)出境”（data cross-boder transfer）界定為網(wǎng)絡運營者將在中華人民共和國境內收集和產(chǎn)生的電子形式的個人信息和重要數(shù)據(jù),，提供給境外機構、組織,、個人的一次性活動或連續(xù)性活動,。并且注明，未經(jīng)任何變動或加工處理的數(shù)據(jù)中轉情形不屬于數(shù)據(jù)出境,。

　　并將“提供”（provide）界定為網(wǎng)絡運營者主動向境外機構,、組織或個人提供數(shù)據(jù)，或通過其他途徑發(fā)布數(shù)據(jù)的行為,，包括其用戶使用網(wǎng)絡運營者提供的產(chǎn)品或服務的功能,，向境外機構、組織或個人提供數(shù)據(jù)的行為,。但排除了網(wǎng)絡運營者提供已經(jīng)被依法公開披露的數(shù)據(jù),。

　　從立法原意看,，之所以要求網(wǎng)絡運營者應當對向境外提供重要數(shù)據(jù)進行安全評估,，是為了防范國家數(shù)據(jù)安全風險，維護國家安全,，保障公共利益,，因此《評估指南》排除了單純的數(shù)據(jù)中轉行為，而是強調網(wǎng)絡運營者提供行為的主動性,。這也與《數(shù)據(jù)安全法》第十條的立法意相符合,。

　　二、數(shù)據(jù)出境自評估工作

　　圖片圖源 《信息安全技術 數(shù)據(jù)出境安全評估指南（征求意見稿）》

　?。?一 ） 什么時候需要進行數(shù)據(jù)出境自評估

　　根據(jù)《信息安全技術 數(shù)據(jù)出境安全評估指南（征求意見稿）》4.2.2 條,，存在下列情況時，需要進行數(shù)據(jù)出境自評估：

　　涉及數(shù)據(jù)出境的,；

　　關鍵信息基礎設施運營者進行數(shù)據(jù)出境之前的,；

　　已完成數(shù)據(jù)出境安全自評估的產(chǎn)品或業(yè)務所涉及的個人信息和重要數(shù)據(jù)出境，在目的,、范圍,、類型、數(shù)量等方面發(fā)生較大變化,、數(shù)據(jù)接收方變更或發(fā)生重大安全事件的,；

　　按照行業(yè)主管或者監(jiān)管部門要求啟動的。

　?。?二 ） 如何開展數(shù)據(jù)出境自評估工作

　　1.成立安全自評估工作組,，制定數(shù)據(jù)出境計劃

　　開展數(shù)據(jù)出境自評估工作應當建立數(shù)據(jù)出境安全自評估工作組，工作組主要包含法務、政策,、安全,、技術、管理相關專業(yè)人員,。數(shù)據(jù)出境安全自評估工作組應負責審查業(yè)務部門提交的數(shù)據(jù)出境計劃,，并定期對數(shù)據(jù)出境情況開展檢查、抽查,。而有數(shù)據(jù)出境需求的業(yè)務部門應制定數(shù)據(jù)出境計劃,，該計劃是開展評估工作的重要依據(jù)。

　　數(shù)據(jù)出境計劃的內容包括但不限于：

　　涉及個人信息情況,，包括個人信息的類型,、數(shù)量、范圍和敏感程度等,；

　　涉及重要數(shù)據(jù)情況,，包括重要數(shù)據(jù)的類型、數(shù)量和范圍等,；

　　涉及的信息系統(tǒng)情況,；

　　數(shù)據(jù)發(fā)送方安全保護能力；

　　數(shù)據(jù)接收方安全保護能力及其所在的國家或地區(qū)的基本情況,。

　　2.評估數(shù)據(jù)出境計劃的合法性和正當性

　　數(shù)據(jù)出境安全自評估首先應當考慮本次數(shù)據(jù)出境計劃的合法性和正當性,，如果數(shù)據(jù)出境活動不具有合法性和正當性，則禁止出境,。在此基礎上再評估數(shù)據(jù)出境計劃是否風險可控,，有效避免數(shù)據(jù)出境及再轉移后被泄露、損毀,、篡改,、濫用等風險。

　　自評估但評估要點可以參考《評估指南》第5章,，評估方法可以參考《評估指南》附錄 B,。安全評估但結果為出境安全風險為極高或高的，則禁止出境,。

　　圖片根據(jù)《信息安全技術 數(shù)據(jù)出境安全評估指南（征求意見稿）》制作

　　3.形成評估報告,，進行相應調整

　　數(shù)據(jù)出境安全自評估工作組在完成對數(shù)據(jù)出境計劃的評估后，應形成安全自評估報告,。安全自評估報告內容應包括但不限于：

　　安全自評估對象基本情況,；

　　安全自評估組織實施情況；

　　安全自評估結果,；

　　數(shù)據(jù)出境安全風險點,；

　　檢查修正建議,。

　　安全自評估報告應至少保存2年，并在如下情況下將安全自評估報告上報行業(yè)主管部門,，行業(yè)主管部門不明確的,，報國家網(wǎng)信部門。

　　關鍵信息基礎設施運營者開展的安全自評估,；

　　一年內出境的個人信息數(shù)量達到國家網(wǎng)信部門,、行業(yè)主管部門上報要求的；

　　包含核設施,、生物化學,、國防軍工、人口健康等領域數(shù)據(jù),，大型工程活動,、海洋環(huán)境敏感地理信息數(shù)據(jù)，以及其他重要數(shù)據(jù)的,；

　　涉及關鍵信息基礎設施的安全缺陷,、具體安全防護措施等網(wǎng)絡安全信息的；

　　其他可能影響國家安全,、經(jīng)濟發(fā)展和社會公共利益的,。

　　如果安全自評估結果為禁止出境的，網(wǎng)絡運營者應采用相關措施降低數(shù)據(jù)出境安全風險,，并修正數(shù)據(jù)出境計劃,，重新開展安全自評估,。

　　可用于降低數(shù)據(jù)出境安全風險的措施包括但不限于：

　　精簡出境數(shù)據(jù)內容,；

　　使用技術措施處理數(shù)據(jù)降低敏感程度；

　　提升數(shù)據(jù)發(fā)送方安全保障能力,；

　　限定數(shù)據(jù)接收方的處理活動,；

　　更換數(shù)據(jù)保護水平更高的接收方；

　　選擇政治法律環(huán)境保障能力較高地區(qū)的數(shù)據(jù)接收方等,。

　　在企業(yè)進行相應調整后,，可重新對數(shù)據(jù)出境進行安全風險評估。

　　三,、常見問題回應

　?。?一 ） 跨國企業(yè)是否必須在中國境內設立用于存儲數(shù)據(jù)的服務器？

　　《數(shù)據(jù)安全法》并未直接對數(shù)據(jù)本地化存儲進行規(guī)制,。對于此問題可以參考此前已實施生效對《網(wǎng)絡安全法》第三十七條,。

　　《網(wǎng)絡安全法》第三十七條規(guī)定，關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內存儲,。因業(yè)務需要,，確需向境外提供的,，應當按照國家網(wǎng)信部門會同國務院有關部門制定的辦法進行安全評估；法律,、行政法規(guī)另有規(guī)定的,，依照其規(guī)定。

　　簡言之,，如果“關鍵信息基礎設施的運營者”直接在境外服務器上存儲境內重要數(shù)據(jù),，將違反本地化存儲的相關規(guī)定，導致企業(yè)和相關直接責任人員面臨被予以行政處罰的風險,。

　　《網(wǎng)絡安全法》僅對“關鍵信息基礎設施對運營者”提出了數(shù)據(jù)本地化要求,，但由于此前僅對“關鍵信息基礎設施對運營者”進行了行業(yè)和程度的界定，實踐中跨國企業(yè)的落實情況并不理想,。而本次《數(shù)據(jù)安全法》擴大了數(shù)據(jù)出境的被監(jiān)管主體——從“關鍵信息基礎設施對運營者”到“其他數(shù)據(jù)處理者”均被納入監(jiān)管范疇,。同時，結合近期監(jiān)管趨勢來看,，監(jiān)管部門對于關涉國家安全的行業(yè)相繼出臺法規(guī)政策,，如針對智能汽車領域的《汽車數(shù)據(jù)安全管理若干規(guī)定（征求意見稿）》，首次明確界定汽車行業(yè)重要數(shù)據(jù)的范圍,。

　　可以見得,，對于從事《信息安全技術 數(shù)據(jù)出境安全評估指南（征求意見稿）》附錄A“重要數(shù)據(jù)識別指南”中對27個重點行業(yè)的跨國企業(yè)，如果其在境內收集,、使用的數(shù)據(jù)有涉及國家安全的潛在可能,，那么對于“跨國企業(yè)是否必須在中國境內設立用于存儲數(shù)據(jù)的服務器？”這個問題的回答是,，是的,，為了應對監(jiān)管趨勢，設立用于數(shù)據(jù)存儲的服務器是有必要的,。

　?。?二 ） 境外遠程訪問是否屬于數(shù)據(jù)出境？

　　上文已經(jīng)對“數(shù)據(jù)出境”內涵進行闡述,，在此基礎上,，我們可以討論“境外遠程訪問是否屬于數(shù)據(jù)出境”問題。

　　首先,，如何理解“境外遠程訪問”,，即“境外遠程訪問”一般包括那些情形。

　　狹義層面的“遠程訪問”（remote access）一般是指遠端用戶通過其他設備訪問該計算機及其存儲資源的行為,，比較常見的是通過在計算機上安裝遠程訪問軟件的方式來達到在遠端操控計算機的目的,。

　　而法律所規(guī)制的“數(shù)據(jù)出境”行為要求網(wǎng)絡運營者的“提供”行為具有主動性。筆者認為主動性在“遠程訪問”中體現(xiàn)為此訪問行為是否受權限控制,。如果境外主體獲得權限后訪問境內數(shù)據(jù)庫,，則該行為應當落入《評估指南》的規(guī)制范疇,，屬于“數(shù)據(jù)出境”行為。

　　如果網(wǎng)絡運營商在中華人民共和國境內收集和產(chǎn)生的重要數(shù)據(jù)是因為被惡意攻擊者竊取數(shù)據(jù)從而導致重要數(shù)據(jù)被傳輸至境外的,，不屬于數(shù)據(jù)出境行為,。

　　而從訪問對象看，境外主體所訪問的計算機或其資源不存在權限要求,，即任何主體在任何時間地點均可對其進行訪問,，與排除“依法公開披露”立法意相同，也不屬于“數(shù)據(jù)出境”行為,。

　?。?三 ） 境外接收重要數(shù)據(jù)的母公司是否也存在合規(guī)要求？

　　——是的

　　在跨國企業(yè)的業(yè)務中,，收集,、傳輸數(shù)據(jù)的主體多為跨國公司的境內公司（外商投資企業(yè)），其承擔了主要的合規(guī)義務,，而境外母公司作為接受者也存在一定的監(jiān)管要求,。網(wǎng)信辦在2019年發(fā)布的《個人信息出境安全評估辦法（征求意見稿）》對“個人信息接收者”規(guī)定了相應的法律義務，該辦法主要是針對個人信息出境,，但由于其內容具有一定實操性和規(guī)范性,，因此我們建議在《數(shù)據(jù)安全法》配套法規(guī)尚未出臺前，有出境需求的跨國企業(yè)可以參照該辦法規(guī)定開展數(shù)據(jù)傳輸合規(guī)工作,，力求盡可能規(guī)避監(jiān)管風險,。

　　該辦法第十三條規(guī)定網(wǎng)絡運營者（跨國公司的境內公司）與個人信息接收者（境外母公司）應當簽訂合同或者其他有法律效力的文件，并對合同所應當約定的內容進行了規(guī)定,。

　　該辦法第十五條,、第十六條明確規(guī)定接收者（境外母公司）所應承擔的責任和義務，包括：

　　為個人信息主體提供訪問其個人信息的途徑,，個人信息主體要求更正或者刪除其個人信息時,，應在合理的代價和時限內予以響應,、更正或者刪除,。

　　按照合同約定的目的使用個人信息，個人信息的境外保存期限不得超出合同約定的時限,。

　　確認簽署合同及履行合同義務不會違背接收者所在國家的法律要求,，當接收者所在國家和地區(qū)法律環(huán)境發(fā)生變化可能影響合同執(zhí)行時，應當及時通知網(wǎng)絡運營者,，并通過網(wǎng)絡運營者報告網(wǎng)絡運營者所在地省級網(wǎng)信部門,。

　　除非滿足一定條件，接收者不得將接收到的個人信息傳輸給第三方,。

　　對于“重要數(shù)據(jù)”而言,，其對于“知情同意”的要求力度不如“個人信息”（個人信息自決權的體現(xiàn)）,，因此第一點對“重要數(shù)據(jù)”而言參照性較低。但第2,、3,、4點的制定邏輯均適用于“個人信息”和“重要數(shù)據(jù)”，跨國企業(yè)可以參照,。

　　總結

　　此前,，國家網(wǎng)信辦官網(wǎng)發(fā)布了《網(wǎng)絡安全審查辦法（修訂草案征求意見稿）》并向社會公開征集意見。該辦法對赴國外上市公司作了特殊規(guī)定,，要求掌握超過 100 萬用戶個人信息的運營者赴國外上市,，必須向網(wǎng)絡安全審查辦公室申報網(wǎng)絡安全審查，且在申報材料中應提供擬提交的 IPO 材料,。且在審查關注的國家安全風險方面,，針對赴國外上市行為提出了新的規(guī)制措施?？梢砸姷?，在未來一段期限內，關涉國家安全對數(shù)據(jù)跨境流通將面對更進一步對監(jiān)管要求,。尤其是日常業(yè)務涉及高頻數(shù)據(jù)跨境流動對跨國企業(yè),，對此問題應當有所應對。