邓勇 | 关于数据出境的几个理解问题

2021年10月29日,国家互联网信息办公室发布《数据出境安全评估办法(征求意见稿)》向社会公开征求意见;2021年11月14日,国家互联网信息办公室又发布《网络数据安全管理条例(征求意见稿)》向社会公开征求意见。这两份文件均聚焦于数据出境问题。本文拟从理论层面谈谈对于数据出境的几个关键问题的理解。

一、哪些数据会受到出境的规制?

在上述两份征求意见稿的第一条,均明文规定了“根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律(法规),制定本办法(条例)”,该条款明确了上位法依据。从这三部上位法中,可以查找到如下关于数据出境的相关条文:

已于2017年6月1日正式施行的《网络安全法》第三十七条规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”;

已于2021年9月1日正式施行的《数据安全法》第三十一条规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。”

已于2021年11月1日正式施行的《个人信息保护法》第三十六条规定“国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。”、第四十条规定“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。”,《个人信息保护法》还在第三章专章规定了“个人信息跨境提供的规则”。

而在《数据出境安全评估办法(征求意见稿)》第二条中,也已明确将“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息”纳入到了安全评估范围以内。根据上述规定,可概括认为“重要数据”和“个人信息”均属于出境的规制对象。

刚刚施行的《个人信息保护法》已经对“个人信息”进行了明确定义,那什么是“重要数据”呢?《网络安全法》和《数据安全法》都没有给出明确规定。但在全国信息安全标准化技术委员会于2017年8月30日发布的国家标准《信息安全技术 数据出境安全评估指南》征求意见稿(以下简称《安全评估指南》)中可以发现,对重要数据定义为是“相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)”;

安全评估指南》的附录A重要数据识别指南还特别列举了27个行业(领域)重要数据的具体范围,同时还明确了其它重要数据的识别判断规则。值得注意的是,该《安全评估指南》规定“经政府信息公开渠道合法公开的,不再属于重要数据”

如果仔细甄别,会发现《网络安全法》和《数据安全法》均只对“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据”需要进行出境安全评估进行了明确规定,而对于不是由关键信息基础设施运营者在境内收集和产生的重要数据出境时是否需要进行安全评估的问题,《数据安全法》则规定“……由国家网信部门会同国务院有关部门制定。”

由国家互联网信息办公室发布的《数据出境安全评估办法(征求意见稿)》则明确回应了上述规定,该办法第四条所列举的需要申报数据出境安全评估的情形共有五项,其中涉及“重要数据”的有两项,分别是“关键信息基础设施的运营者收集和产生的个人信息和重要数据”和“出境数据中包含重要数据”,该两项实际上规定了只要是“重要数据”出境都要进行安全评估,而无论其来源是否是“关键信息基础设施的运营者”。

对于“个人信息”而言,除了“关键信息基础设施的运营者收集和产生的个人信息”外,还有“处理个人信息达到一百万人的个人信息处理者向境外提供个人信息”和“累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息”等两种情形,这里需要注意的是“处理一百万人的个人信息处理者”所规定的并不是指出境的数据需要达到一百万人的量级,而是用来标定个人信息处理者的特征,即只要是处理过一百万人个人信息的处理者,无论其出境的个人信息体量有多大,都是需要安全评估的。当然该条还设置了“国家网信部门规定的其他需要申报数据出境安全评估的情形”这一兜底条款,为今后可能出现的例外情形预留了规制空间。

二、哪些行为属于数据出境?

对于数据出境这一关键行为而言,无论是《网络安全法》、《数据安全法》还是《个人信息保护法》都只有表述而未做出明确界定。那什么行为会被认为属于“数据出境”?目前并无权威解答,但有两份文件可以提供解读线索:

一是国家互联网信息办公室在2017年4月11日发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》,该《安全评估办法》对“数据出境”定义为“是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人。”;

另一份则是上文提到过由全国信息安全标准化技术委员会在2017年8月30日发布的《信息安全技术 数据出境安全评估指南》征求意见稿,该《安全评估指南》对“数据出境”的定义则是“网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动”,在这一定义的基础上,《安全评估指南》还对数据出境行为进行了列举:

a)向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据;

b)数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);

c)网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。

对比上述两份文件的表述不难看出,《个人信息和重要数据出境安全评估办法(征求意见稿)》对数据出境的界定流于字面意义且过于狭隘,由于互联网易于传输分享的特征轻易就能打破物理意义上的国别限制,电子数据通过网络很容易传播到世界上的任意一个角落,如果只是把“出境”理解成是数据越过物理意义国境的传输行为,那么可用来规避的方法恐怕数不胜数,所以《安全评估指南》拓宽了边界,将数据位于国境以内但却应被视为数据出境的情形进行了列举,对此可解读如下:

(1) 虽然数据提供行为发生在我国境内,但接受主体只要是外籍主体,这一行为即属于数据出境。换句话说,只要是外籍主体即使是在国内接触到了个人信息和重要数据就可被视为数据出境;

(2) 个人信息和重要数据一直存储在境内,但却可以被境外的机构、组织及个人查看访问的,这种行为也属于数据出境;

(3) 虽然提供方和接收方同属于一个网络运营集团,但其内部数据中涉及个人信息和重要数据发生了从境内到境外的转移,这一行为同样属于数据出境。

由此可见,对数据出境的理解不宜流于表面,需要结合《安全评估指南》的定义和列举来把握“出境”的覆盖范围,审慎行动。

三、哪些行为不属于数据出境?

《安全评估指南》在对“数据出境”的行为进行列举的同时,也从反面确定了不属于“数据出境”的两种数据中转行为:

注2:非在境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动或加工处理的,不属于数据出境。

注3:非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的,不属于数据出境。

从上述列举中可以看出,即便是属于个人信息和重要数据的范畴,但只要不是在我国境内收集产生的,也没在境内有过变动或加工处理(包括个人信息和重要数据的收集、存储、访问、修改、转让、披露、匿名化、去标识化、恢复、删除、销毁等)的行为;或是在我国境内经过了加工处理,但不涉及在境内收集产生的个人信息和重要数据的,那么这些数据即使经由我国出境,也不会被视为“数据出境”。

由此可见,对于“数据出境”的理解,至少存在以下特征:

1. 受到规制的“数据”至少应当是在我国境内收集产生的个人信息和重要数据;

2. 如果不是在我国境内收集产生的个人信息和重要数据,但在国内经过变动或加工处理且涉及在境内收集产生的个人信息和重要数据的,也会受到规制;

3. “出境”的行为既包括数据越过物理意义上的国境进行传输,同时也包括数据在我国境内能被外籍主体接触或访问到的情形;

4. 港澳台地区作为不属于我国司法管辖的特殊地区,在“数据出境”这件事情上应当参考“境外”来处理。

四、哪些数据不能出境?

国家互联网信息办公室于2017年4月11日发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》里规定了以下情形不得出境:

(一)个人信息出境未经个人信息主体同意,或可能侵害个人利益;

(二)数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益;

(三)其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。

而在《安全评估指南》里,遇有以下情形的数据也不得出境:

4.1数据出境目的不具有合法性、正当性和必要性,不得出境;

4.2.5网络运营者需按照本标准第5章中的评估要点及附录B中的评估方法进行安全自评估。经评估,数据出境计划不满足出境目的评估中合法性、正当性和必要性要求的或数据出境安全风险评估中的出境安全风险为高或极高的,个人信息和重要数据不得出境;

4.3.5主管部门评估工作组可参考本标准第5章中的评估要点及附录B中的评估方法进行主管部门评估。经评估,数据出境计划不满足出境目的评估中合法性、正当性和必要性要求的或数据出境安全风险评估中的出境安全风险为高或极高的,个人信息和重要数据不得出境。

5.1 国家网信部门、公安部门、安全部门等有关部门认定不能出境的。

综上,我国现行法律在针对网络安全数据出境等问题上构建了包括法律、行政法规和国家标准在内的多层次规制架构,在理解相关核心问题时需要将不同层级、不同时间及不同部门发布的不同文件结合起来综合考量。

在针对上述文件的相关规定进行列举和解读的同时,需要强调的是,无论是国家互联网信息办公室发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》、《数据出境安全评估办法(征求意见稿)》还是全国信息安全标准化技术委员会发布的《信息安全技术 数据出境安全评估指南》征求意见稿均未正式生效,截至本文发布之日仍处于征求意见阶段,故本文仅能从理论层面为理解相关重要概念提供参考,待正式颁布施行后再根据正式规定内容予以修正调整。

作者:邓勇

编辑:Sharon

分享到微博
分享到微信
    分享到领英