前后歷經(jīng)四年三易其稿，合合分分合合,，國家網(wǎng)信辦于2021年10月29日發(fā)布了最新一版《數(shù)據(jù)出境安全評估辦法》公開征求意見（下稱“2021版”），業(yè)界終于迎來了《個(gè)人信息保護(hù)法》生效前臨門一稿,，數(shù)據(jù)合規(guī)三大“玄學(xué)”之一的“數(shù)據(jù)出境規(guī)則”即將掀開神秘面紗,。

　　結(jié)合立法沿革、監(jiān)管意見及近期項(xiàng)目經(jīng)驗(yàn),，匯業(yè)律師事務(wù)所黃春林律師團(tuán)隊(duì)簡要解讀如下,，僅供參考。正式法律建議及場景化落地,，還請正式咨詢律師意見,。

　　問題一：2021版還會(huì)大改嗎？

　　自《網(wǎng)絡(luò)安全法》第37條“開天辟地”以來,，數(shù)據(jù)出境規(guī)則每兩年一變,，先后經(jīng)歷了三個(gè)大版本：

　　時(shí)間

　　名稱牽頭部門

　　2017年4月11日個(gè)人信息和重要數(shù)據(jù)出境安全評估辦法（下稱“2017版”）

　　網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局

　　2019年6月13日個(gè)人信息出境安全評估辦法（下稱“2019版”）網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局

　　2021年10月29日數(shù)據(jù)出境安全評估辦法（下稱“2021版”）網(wǎng)信辦網(wǎng)絡(luò)數(shù)據(jù)管理局

　　從題目就看得出來，正是應(yīng)了《三國演義》開篇之詞,，“分久必合合久必分”,，開始是“個(gè)人信息”與“重要數(shù)據(jù)”合并規(guī)范的2017版，后來分道揚(yáng)鑣才有了2019版,，最新版握手言和又“在一起”,，統(tǒng)稱為“數(shù)據(jù)出境”。

　　二龍湖浩哥說過“事不過三”,。江湖上普遍預(yù)測,，這一版已經(jīng)是綜合考慮了立法基礎(chǔ)及國內(nèi)外形勢，兼顧了各方意見后的相對成熟的一個(gè)版本,?？紤]到《個(gè)人信息保護(hù)法》生效在即， “奉子成婚”已是必然之選,，因此,，不出意外，《2021版》將在2021年11月28日征求意見到期后盡快發(fā)布,，畢竟江湖上各大廠已經(jīng)“苦秦久矣”,。否則，真是一鼓作氣再而衰三而竭,，“狼來了”效應(yīng)會(huì)大大削弱立法的威嚴(yán)性,。

　　若是如此，2022年1月1日估計(jì)是一個(gè)比較好的時(shí)點(diǎn),。但是,，我們建議正式版本設(shè)立一個(gè)三個(gè)月左右的過渡期，否則按照要求應(yīng)“事先評估”,，而“事先評估”的依據(jù)和基礎(chǔ)是“法律生效”,。因此,，企業(yè)顯然無法在法律生效的同時(shí)完成評估、申報(bào)等工作,。到時(shí)是選擇“暫停傳輸”損害業(yè)務(wù)連續(xù)性,，還是選擇“消極違法”損害企業(yè)合規(guī)性，必然是兩難的選擇,。墨子說,，法不“逼良為娼”，這是底限,。

　　問題二：哪些企業(yè)會(huì)落入,？

　　數(shù)據(jù)出境安全評估的落入門檻，也是符合歷史發(fā)展的“單擺規(guī)律”,，先右（2017版有門檻）再左（2019版無門檻）后右（2021版有門檻）,，具體如下表：

　　版本落入門檻頻率

　　2017版

　　CIIO；特殊行業(yè),；

　　50萬人,；1000G

　　1年

　　2019版無門檻2年

　　2021版

　　關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)；

　　出境數(shù)據(jù)中包含重要數(shù)據(jù),；

　　處理PI達(dá)到100萬人的個(gè)人信息處理者向境外提供PI,；

　　累計(jì)向境外提供超過10萬人以上PI或者1萬人以上SPI

　　2年

　　不過，相較于2017版的落入門檻,，2021版邏輯更加嚴(yán)密,，所謂“法網(wǎng)恢恢疏而不漏”，具體從兩個(gè)維度設(shè)立了門檻：

　?。?）兩類主體需要評估：CIIO + 處理個(gè)人信息達(dá)到100萬人,；出境數(shù)量在所不問，理論上哪怕1條也需要,。

　?。?）兩類數(shù)據(jù)需要評估：出境涉及重要數(shù)據(jù) + 數(shù)據(jù)量超過10萬（PI）或1萬（SPI）；主體類型在所不問,，理論上哪怕個(gè)人也需要,。

　　而以上兩個(gè)維度只要符合任何一個(gè)就需要，因此,，考慮到中國網(wǎng)民基數(shù)及當(dāng)前互聯(lián)網(wǎng)及數(shù)字化發(fā)展程度,，絕大多數(shù)跨境經(jīng)營的企業(yè)都會(huì)落入需要出境安全評估的范疇，進(jìn)而極大的“彌補(bǔ)”了《網(wǎng)絡(luò)安全法》第37條了適用范圍,。

　　反過來可能更好理解,，只有一種企業(yè)可能不需要出境安全評估，即用戶數(shù)＜100萬,，且跨境傳輸?shù)腜I＜10萬（且含有的SPI＜1萬,，且含有的重要數(shù)據(jù)＜0）,。這種情形，是不是本身就可以適用《個(gè)人信息保護(hù)法》第六十二條第2款來構(gòu)建制度,？

　　問題三：什么叫“跨境提供”,？

　　遠(yuǎn)的不說,，《個(gè)人信息保護(hù)法》上叫“跨境提供”,，2021版叫“出境”，法條內(nèi)部叫“向境外提供”,。如何理解這三個(gè)術(shù)語,，確實(shí)很多企業(yè)都很懵逼。我們理解,，立法者的原意應(yīng)該是沒有差別對待的意圖,，都是一個(gè)意思。

　　但從《個(gè)人信息保護(hù)法》的內(nèi)部關(guān)系理解,，又犯迷糊了,，即第三章的跨境提供的“提供”含義和第23條的“提供”是不是一個(gè)含義？匯業(yè)律師事務(wù)所黃春林律師團(tuán)隊(duì)理解,，這兩個(gè)“提供”的含義（或稱“場景范圍”）是不一樣的,，即跨境提供的“提供”實(shí)質(zhì)上是包含了第20條至23條的幾種可能發(fā)生“客觀轉(zhuǎn)移”的情形，尤其包括委托處理和對外提供中可能涉及個(gè)人信息出境的情形,，舉例而言：

　　適用情形場景舉例

　　因委托處理而出境例如境內(nèi)主體直接使用服務(wù)器位于境外的Oracle,、SAP、Salesforce,、Workday等系統(tǒng)或服務(wù)商,。

　　因?qū)ν馓峁┒鼍忱缦蚓惩饧瘓F(tuán)公司、關(guān)聯(lián)公司提供,。

　　有人會(huì)問,，那么第一種情況，為什么需要,？你去想想出境安全評估規(guī)則的立法目的就知道了,，否則這些系統(tǒng)也不會(huì)考慮本地化的問題了。那么,，和誰簽出境合同呢,？當(dāng)然是和受托方簽啊。對方不同意簽怎么辦,？那是你公司的談判能力不夠啊,，放心，有人在給你開路,。

　　此外,，另外幾個(gè)被廣泛關(guān)注的問題匯總?cè)缦拢海?）境外鏡像,、遠(yuǎn)程訪問也是出境；（2）去標(biāo)識化（如MD5加密）和ID轉(zhuǎn)化（例如openID,、jdID,、VIN、各種封閉ID）后的個(gè)人信息出境仍然算,；（3）員工（含外籍員工）信息出境也算,；（4）用戶根據(jù)國內(nèi)公司指引（例如跳轉(zhuǎn)、通知）或基于國內(nèi)公司的信賴（例如購買國內(nèi)產(chǎn)品）向境外網(wǎng)站或系統(tǒng)直接提供（例如投遞簡歷等）還是算,；（5）用戶直接（國內(nèi)公司沒有任何參與）向境外提供（例如注冊,、打電話、發(fā)郵件等）的不算……

　　問題四：如何理解“因業(yè)務(wù)需要,，確需”,？

　　無論是《網(wǎng)絡(luò)安全法》還是《個(gè)人信息保護(hù)法》，法條規(guī)定的數(shù)據(jù)出境都有個(gè)前提,，即“因業(yè)務(wù)需要,，確需”，只不過后者多了一個(gè)“等”字,，兼顧了業(yè)務(wù),、技術(shù)等多樣化需求。這個(gè)前提非常重要,，只有滿足這個(gè)“需要”的前提才能出境,，否則不能出境，就更不考慮38條的路徑選擇問題和39條的單獨(dú)同意問題了,。

　　如何理解“因業(yè)務(wù)需要,，確需”？首先,，《個(gè)人信息保護(hù)法》第六條規(guī)定了處理個(gè)人信息應(yīng)“合理”,、“相關(guān)”， 大家很能理解顆粒度,、范圍等的合理,、相關(guān)；但是,，針對不同處理行為也應(yīng)分別開展合理,、相關(guān)性判斷，這是很多人容易忽視的判斷點(diǎn),。即,，收集、使用行為你可能滿足合理、相關(guān)（例如收集生日信息為了發(fā)放生日禮物）,，但并不代表你的“對外提供”,、“跨境提供”（生日信息）的行為也滿足合理、相關(guān)性,。也正是因此,，歷次版本的出境安全評估規(guī)則中安全評估的重點(diǎn)內(nèi)容之一就是“正當(dāng)性”、“必要性”,，以及《個(gè)人信息保護(hù)法》第五十五條設(shè)置了個(gè)人信息保護(hù)影響評估制度,，評估的一個(gè)重要內(nèi)容也是正當(dāng)性、合理性,。所以,，不能用收集、使用環(huán)節(jié)的合理,、相關(guān)性，去解釋38條出境環(huán)節(jié)的合理,、相關(guān)性,。

　　其次，《個(gè)人信息保護(hù)法》確立了一套“需要等級”,，“必需”＞“需要”,。例如第13條要求的“必需”是最強(qiáng)的，因此可以不經(jīng)同意（例如跨境電商）,；但是,，《網(wǎng)絡(luò)安全法》37條和《個(gè)人信息保護(hù)法》38條都沒有用“必需”，只是說“需要”（可以是業(yè)務(wù)上合理需要,，例如全球聯(lián)保,；也可以技術(shù)上的合理需要，例如國內(nèi)沒有替代技術(shù)）,，因此才有39條的單獨(dú)同意,。

　　最后，對“需要”的判斷不是企業(yè)一廂情愿的“單方價(jià)值判斷”（例如為了節(jié)約成本,、境外集團(tuán)不放權(quán)等）,，而應(yīng)當(dāng)從用戶、監(jiān)管的視角來客觀評價(jià)“需要”的合理性,，進(jìn)而滿足“確（實(shí)）需（要）”,，否則這套制度的價(jià)值將蕩然無存。

　　問題五：“本地化”有依據(jù)嗎,？

　　不同于2017版,、2019版，2021版全篇沒提“應(yīng)當(dāng)在境內(nèi)存儲(chǔ)”，是不是說就沒有“本地化”的要求了,？事實(shí)上,，這僅僅是個(gè)立法技術(shù)問題。

　　回到《個(gè)人信息保護(hù)法》第40條的條文結(jié)構(gòu),，即大前提是“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者”,，滿足這個(gè)大前提后導(dǎo)致兩個(gè)法律后果，即應(yīng)當(dāng)“存儲(chǔ)在境內(nèi)”和觸發(fā)“出境安全評估”,。

　　在2021版發(fā)布前,，至于“國家網(wǎng)信部門規(guī)定數(shù)量”，可能有多個(gè)參考維度,，包括2017版,、《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》等。2021版發(fā)布后,，這個(gè)數(shù)量實(shí)質(zhì)上比較明確了,，且與已經(jīng)生效的《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》基本一致。

　　但是,，有人認(rèn)為2021版第4條的數(shù)據(jù)僅是《個(gè)人信息保護(hù)法》第40條后半句“出境安全評估”觸發(fā)的參照標(biāo)準(zhǔn),，不能套用到前半句應(yīng)當(dāng)“存儲(chǔ)在境內(nèi)”。匯業(yè)黃春林律師團(tuán)隊(duì)認(rèn)為,，這種理解實(shí)質(zhì)上是人為割裂了數(shù)據(jù)跨境流動(dòng)安全管理制度的“本地化”和“出境安全評估”的“一體兩面”,，這兩點(diǎn)實(shí)際上是同一個(gè)立法目的，一個(gè)有機(jī)的,、完整的制度整體,，不能割裂開來。我們也很難理解,，網(wǎng)信辦會(huì)再出一個(gè)辦法叫《數(shù)據(jù)境內(nèi)存儲(chǔ)辦法》來單獨(dú)規(guī)定應(yīng)當(dāng)境內(nèi)存儲(chǔ)的“規(guī)定數(shù)量”,。

　　問題六：如何做“單獨(dú)同意”？

　　“明示同意”還沒完全搞明白,，《個(gè)人信息保護(hù)法》規(guī)定的這個(gè)“單獨(dú)同意”,，導(dǎo)致整個(gè)數(shù)據(jù)合規(guī)圈 “花樣百出”、“雞飛狗跳”,，這樣形容一點(diǎn)都不為過,，要不各位看官等11月1日后看各大廠的個(gè)保規(guī)則和交互界面就明白了。

　　首先,，“同意”和“單獨(dú)同意”是平行關(guān)系還是包含關(guān)系,，各方爭論激烈，似乎都有道理,，但我個(gè)人認(rèn)為這個(gè)是“語文作業(yè)”,，最多也就算個(gè)“數(shù)學(xué)作業(yè)”,，認(rèn)為是平行關(guān)系的可以去補(bǔ)補(bǔ)課。哦對,，學(xué)科教育“雙減”了,，沒地方。

　　其次,，單獨(dú)同意怎么搞,？坦誠的說，這個(gè)問題我覺得要開賬單,，這里僅表一二：

　?。?）5種單獨(dú)同意可以歸納為兩類：敏感度可能提高（T26、29）,，需要增強(qiáng)同意,；處理者可能發(fā)生轉(zhuǎn)移（T23、25,、39）,，需要個(gè)人自決。

　?。?）收集敏感個(gè)人信息,，主要無外有兩種情況：一種是用戶自己主動(dòng)填寫、提交,、口述、配合等,，這當(dāng)然是單獨(dú)同意了,；另一種系統(tǒng)權(quán)限自動(dòng)采集，現(xiàn)在開啟系統(tǒng)權(quán)限都有彈框授權(quán),、撤回授權(quán)和狀態(tài)提示,，當(dāng)然也滿足單獨(dú)同意了。其他的一些特殊的小場景,，不是單獨(dú)同意的問題,，是你連有效的同意都沒做到問題。

　?。?）極少企業(yè)有純粹的公開或?qū)ν馓峁﹤€(gè)人信息的場景（畢竟數(shù)據(jù)是企業(yè)的競爭力和生命線,，誰愿意對外提供啊）,，例如把個(gè)人信息“賣”或“贈(zèng)”給接收方（“不用還回來”,，現(xiàn)在很多風(fēng)控業(yè)務(wù)也僅僅是“通道模式”）；大多數(shù)情況下是委托處理（“要還回來的”）或者“合同必需”的提供（例如物流,、支付等）或“法定義務(wù)”的提供（例如不良申報(bào)）,。目前真正意義的對外提供，最多的其實(shí)是關(guān)聯(lián)公司之間的提供，嚴(yán)格意義來說也是對外提供,，只不過（非法利用,、泄露或被發(fā)現(xiàn)的）風(fēng)險(xiǎn)相對可控。

　?。?）跨境提供其實(shí)才是“單獨(dú)同意”的主戰(zhàn)場,，因?yàn)榇罅客赓Y企業(yè)存在（用戶或員工）個(gè)人信息跨境提供的情況。這種情況怎么做落地,？說實(shí)話,，由于業(yè)務(wù)復(fù)雜性、系統(tǒng)多樣性以及各公司的管理架構(gòu)和合規(guī)文化差異較大,，很難有絕對合規(guī),、放之四海而皆準(zhǔn)的落地做法，只能根據(jù)各公司的實(shí)際情況單獨(dú)討論（說人話就是要開賬單）,，并分步推進(jìn)合規(guī)建設(shè),，不斷探索風(fēng)險(xiǎn)與成本的平衡點(diǎn)。

　　此外,，“單獨(dú)同意”絕對不是簡單的增加一個(gè)勾選框或彈窗那么簡單,，是必選嗎？用戶不同意怎么辦,？用戶只同意部分?jǐn)?shù)據(jù)出境可以嗎,？數(shù)據(jù)庫表是不是要加字段？系統(tǒng)怎么改造,？這些問題都要配套解決,。SayNO，誰不會(huì),？

　　最后一點(diǎn),，整個(gè)行業(yè)實(shí)踐及用戶習(xí)慣，需要一個(gè)養(yǎng)成過程,，當(dāng)年我們提出來必須彈窗權(quán)限,、主動(dòng)勾選隱私政策的時(shí)候，業(yè)務(wù)和技術(shù)的不也跳出來咆哮,，這樣會(huì)搞死“用戶體驗(yàn)”嗎,？

　　問題七：“標(biāo)準(zhǔn)合同”不需要了？

　　2021版第9條“怎么還在教我們做合同”,？《個(gè)人信息保護(hù)法》不是說“按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同”簽署嗎,？那么是不是意味著“標(biāo)準(zhǔn)合同”跳票了呢？

　　不是的,。不管采取《個(gè)人信息保護(hù)法》第38條的哪種路徑出境,，都需要與接收方簽訂合同（參考第21,、23條）。只不過,，如果按照第38條第3款路徑出境的,，需要簽“按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同”；而如果第38條第1款路徑（安全評估）出境需要簽訂的合同,，可以不用標(biāo)準(zhǔn)合同,，但是內(nèi)容需要涵蓋2021版第9條規(guī)定的內(nèi)容。

　　這也就是為什么,，我們沒有等國家的法定標(biāo)準(zhǔn)合同出來,，已經(jīng)幫很多企業(yè)草擬非標(biāo)版數(shù)據(jù)出境協(xié)議先用起來滿足形式合規(guī)要求。相比較于2019版對合同內(nèi)容的各方責(zé)任的詳細(xì)規(guī)定,，2021版規(guī)定更加原則,，但增加了“具有約束力且可執(zhí)行的爭議解決條款”等內(nèi)容，匯業(yè)黃春林律師團(tuán)隊(duì)建議約定為境內(nèi)法院管轄或香港仲裁,。

　　問題八：現(xiàn)在要做什么,？

　　我們已經(jīng)完成的外企數(shù)據(jù)合規(guī)項(xiàng)目中，在提示政策大趨勢后,，大多數(shù)都是把數(shù)據(jù)跨境合規(guī)模塊放在第二階段的,，原因是當(dāng)時(shí)網(wǎng)信辦細(xì)則還沒出來，避免重復(fù)合規(guī)建設(shè),。目前,，2021版基本成型，政策路徑相對清晰,，建議符合“落入門檻”的企業(yè)盡快推進(jìn)數(shù)據(jù)跨境合規(guī)模塊,，以避免辦法生效后要么“停業(yè)”要么“違法”的艱難抉擇。匯業(yè)黃春林律師團(tuán)隊(duì)建議,，企業(yè)應(yīng)當(dāng)著手準(zhǔn)備包括但不限于工作：

　　（1）組建項(xiàng)目團(tuán)隊(duì),，調(diào)研數(shù)據(jù)出境情況（第一階段已經(jīng)完成的除外）,；

　　（2）項(xiàng)目宣導(dǎo),，以及境外集團(tuán),、供應(yīng)商溝通、討論,；

　?。?）必要的系統(tǒng)改造、改進(jìn)機(jī)制（例如系統(tǒng)遷移,、本地備份,、字段限制與脫敏,、訪問控制等等）方案評審、解釋及談判等,；

　?。?）制定數(shù)據(jù)出境協(xié)議，審核涉及數(shù)據(jù)出境相關(guān)產(chǎn)品或服務(wù)的個(gè)保規(guī)則/條款以及交互界面文案（第一階段已經(jīng)完成的除外）,；

　?。?）結(jié)合個(gè)人信息保護(hù)影響評估制度，制定數(shù)據(jù)出境風(fēng)險(xiǎn)自評估制度及機(jī)制,，包括但不限于評估范圍,、評估組織、評估流程,、評估指標(biāo),、評估標(biāo)準(zhǔn)、評估申報(bào),、標(biāo)準(zhǔn)模板及配套表格等,；

　　（6）關(guān)鍵入境地法律政策環(huán)境及安全環(huán)境調(diào)研,；

　?。?）根據(jù)公司資源情況，選擇全域或關(guān)鍵模塊（例如CRM系統(tǒng)）開展數(shù)據(jù)出境風(fēng)險(xiǎn)自評估,，并撰寫自評估報(bào)告（初稿）備用,；

　　（8）持續(xù)跟進(jìn)政策及行業(yè)實(shí)踐變化,；等等,。