本刊編輯部

《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》各方解讀

本刊編輯部

全球企業(yè)在邁向國際市場的同時，都將通過多國市場整合、統(tǒng)一分配來實現(xiàn)節(jié)約成本、提升業(yè)績的目的，其數(shù)據(jù)進行跨境流動是大勢所趨。本文從數(shù)據(jù)跨境流動的市場背景、立法背景和研究背景，綜合各方觀點評述解讀《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》。

數(shù)據(jù)跨境流動；網(wǎng)絡安全法；個人信息

一、背景介紹

1.數(shù)據(jù)跨境流動市場背景：

隨著新一代信息通信技術(shù)的應用普及，人類社會正快速步入“信息隨心至，萬物觸手及”的萬物互聯(lián)時代，人與人、人與物、物與物呈現(xiàn)實時互聯(lián)，數(shù)據(jù)成為萬物互聯(lián)的中心，數(shù)據(jù)日趨多樣、復雜和龐大。數(shù)據(jù)天然具有全球化屬性，數(shù)據(jù)跨境流動是必然常態(tài)，全球經(jīng)濟已經(jīng)從物質(zhì)貿(mào)易向數(shù)據(jù)貿(mào)易發(fā)生轉(zhuǎn)變。

根據(jù)麥肯錫的研究報告，2014年全球貨物流動、外國直接投資和數(shù)據(jù)使用為全球GDP總值增加了7.8萬億美元，其中跨境數(shù)據(jù)流動產(chǎn)生了2.8萬億的價值，并預測到2025年，跨境數(shù)據(jù)會產(chǎn)生11萬億美元的價值。

如果歐盟禁止跨境數(shù)據(jù)流動，可能對歐盟GDP產(chǎn)生0.8-1.3%的負面影響（經(jīng)濟衰減幅度大約是歐洲在2012年經(jīng)濟下行時的三至四倍）；歐盟向美國服務出口下跌6.7%，歐盟向美國制造業(yè)出口下跌11%；歐盟消費者福利損失1020億至1700億美元——相當于每一歐盟市民損失338美元。①數(shù)據(jù)來源：Information Technology Industry Council

目前，我國互聯(lián)網(wǎng)公司積極開拓海外市場，數(shù)據(jù)跨境是不可避免的?？缇硵?shù)據(jù)流動對國際貿(mào)易的影響是非常顯而易見的，跨境數(shù)據(jù)流動的規(guī)則正逐漸成為一個核心規(guī)則。

2.立法背景：

為保障個人信息和重要數(shù)據(jù)安全，促進網(wǎng)絡信息依法有序自由流動，國家互聯(lián)網(wǎng)信息辦公室（以下簡稱國家網(wǎng)信辦）在4月11日發(fā)布了《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》（以下簡稱“《辦法》”）。

《辦法》共有十八項條文，從立法宗旨、適用范圍、適用條件、評估對象、評估機制以及相應的法律責任等核心方面，對于《網(wǎng)絡安全法》（以下簡稱“《網(wǎng)安法》”）有關(guān)數(shù)據(jù)出境安全評估的要求作了進一步明確和細化，對《網(wǎng)安法》確立的針對“關(guān)鍵信息基礎(chǔ)設施”進行“本地信息部署+跨境傳輸評估”的管理模式做進一步解讀。

縱覽辦法全文，針對個人信息和重要數(shù)據(jù)出境的場景提出了明確的管理要求，辦法既是對《網(wǎng)安法》的一種延伸，又對《網(wǎng)安法》進行了相應的補充。辦法中，第八條對數(shù)據(jù)出境安全評估的重點內(nèi)容進行了明確，第九條對必須由監(jiān)管部門進行評估的情況進行了界定，此外，還對評估周期、評估時間等內(nèi)容都做出詳細規(guī)定。辦法將網(wǎng)絡安全法對數(shù)據(jù)出境的條款進行了具體化，延伸成為可執(zhí)行落地的規(guī)章。

此外，辦法的第十一條還對哪些特定情況下數(shù)據(jù)不得出境進行了說明。在網(wǎng)絡安全法中對不能出境的情況并沒有做出規(guī)定，因此，辦法的第十一條是對網(wǎng)絡安全法的一種補充，使得我國的網(wǎng)絡安全監(jiān)管體系更加完善。

3.研究背景：

《辦法》甫一出臺，迅速成為了網(wǎng)絡安全行業(yè)討論的熱點話題，并引發(fā)了廣泛的研究和討論。為此，中國互聯(lián)網(wǎng)協(xié)會研究中心、互聯(lián)網(wǎng)實驗室聯(lián)合主辦了“網(wǎng)絡安全執(zhí)法視野下的跨境數(shù)據(jù)風險防控研討會”，特邀政府主管領(lǐng)導、業(yè)內(nèi)專家學者、企業(yè)代表圍繞萬物互聯(lián)時代下數(shù)據(jù)本地化立法的關(guān)鍵考量因素、執(zhí)法將面臨的實務難點等數(shù)據(jù)跨境流動制度建設的重點問題進行深入探討，期冀為我國數(shù)據(jù)跨境流動的立法與執(zhí)法工作提供建設性參考。

二、各方觀點評述

（一）各方關(guān)注的焦點問題

會議中各部門專家的研討主要集中在有關(guān)跨境數(shù)據(jù)的四個方面：1.實時追蹤的全球規(guī)則研究；2.圍繞價值的頂層設計建構(gòu)；3.依據(jù)性質(zhì)的差別規(guī)范設計；4.基于行業(yè)的利益平衡規(guī)則。

1.實時追蹤的全球規(guī)則研究

2011年3月29日，韓國頒布《個人信息保護法》，廢除了1999年《公共機關(guān)個人信息保護法》，新法適用范圍涵蓋公共與私人部門管理的所有個人數(shù)據(jù)信息。

國家網(wǎng)信辦網(wǎng)絡安全協(xié)調(diào)局副局長胡嘯指出，個人信息出境要經(jīng)過個人同意，在國際上也是通行的做法，相關(guān)國家法律法規(guī)都有類似的要求。

在管理范圍上強調(diào)政府和公共部門數(shù)據(jù)的跨境管理，一些國家已經(jīng)著手制定專門的制度。如：澳大利亞制定《政府信息外包、離岸存儲和處理ICT安排政策與管理指南》，對政府數(shù)據(jù)的離岸存儲及其風險管理作出了明確的規(guī)定。

大成律師事務所高級合伙人鄧志松表示，數(shù)據(jù)根據(jù)分類分為：①不可披露的數(shù)據(jù)；②不會影響到商業(yè)和個人的利益的數(shù)據(jù)，可以自由流動，沒有限制跨境傳輸?shù)谋匾?；③限制流動的?shù)據(jù)。

而根據(jù)數(shù)據(jù)流動規(guī)制強度檔次，目前世界主要國家分為以下幾種類型：①強烈要求有關(guān)數(shù)據(jù)必須儲存在境內(nèi)服務器上；②歐盟，相當于數(shù)據(jù)本地化。③限制傳輸遞減，主要是美國。中國的數(shù)據(jù)跨境傳輸還沒有清晰的界定，有關(guān)數(shù)據(jù)跨境傳輸?shù)囊?guī)制還不是非常系統(tǒng)，而且在整個法律體系中側(cè)重于限制數(shù)據(jù)的出境。

跨境數(shù)據(jù)流動對國際貿(mào)易的影響是顯而易見的，跨境數(shù)據(jù)流動的規(guī)則正逐漸成為一個核心規(guī)則。保護個人信息的隱私以及數(shù)據(jù)可以采取例外措施，是我國家跟其他國家交往中所提出跨境數(shù)據(jù)限制的一些主觀因素。國際規(guī)則和國內(nèi)規(guī)則需要相互協(xié)同，需要平衡數(shù)據(jù)本地化的主權(quán)利益與跨境數(shù)據(jù)超主權(quán)的訴求，從而平衡貿(mào)易壁壘和貿(mào)易自由化的關(guān)系。

中國信息安全研究院副院長左曉棟認為，《辦法》能夠很好的平衡安全和發(fā)展的關(guān)系，以自評估為主，只有達到一定條件才由主管部門進行評估，這為促進數(shù)據(jù)的跨境流動提供了很大的支持，比歐洲的GDPR寬松很多。我們對于數(shù)據(jù)出境概念的理解應該更宏觀一些，出口管控的這些東西相當多的是以知識產(chǎn)權(quán)的形式體現(xiàn)，可以廣義理解為數(shù)據(jù)。

目前很難找到某個國家出臺專門文件針對非個人信息的重要數(shù)據(jù)或者其他數(shù)據(jù)的保護和流動。原因有二：其一，難以確定這些重要數(shù)據(jù)里面不包含個人信息。其二，很多國家對于非個人信息的數(shù)據(jù)管理是散見于各類規(guī)章制度的。

2.圍繞價值的頂層設計建構(gòu)

國家網(wǎng)信辦網(wǎng)絡安全協(xié)調(diào)局副局長胡嘯表示,制定《辦法》是《網(wǎng)安法》的明確要求，是為了保護國家安全，保護公民、法人及其他組織的合法權(quán)益，促進網(wǎng)絡信息依法有序自由流動。

針對有專家提出，《辦法》第二條把《網(wǎng)安法》里面的關(guān)鍵信息基礎(chǔ)設施運營者改成了網(wǎng)絡運營者，①第二條 網(wǎng)絡運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)，應當在境內(nèi)存儲。因業(yè)務需要，確需向境外提供的，應當按照本辦法進行安全評估。這樣的改動是不是擴大了評估對象范圍的問題，胡嘯回應說：《辦法》首先要考慮立法的初衷，立法的初衷都是為了保障個人信息和重要數(shù)據(jù)的安全。如果不把關(guān)鍵信息基礎(chǔ)設施運營者之外的其他網(wǎng)絡運營者控制的個人信息和重要數(shù)據(jù)出境納入評估范圍，可能因為運營者對數(shù)據(jù)的控制減弱難以保障個人信息和數(shù)據(jù)安全。

《辦法》第8條明確指出評估對象，重點評估以下內(nèi)容，②第八條 數(shù)據(jù)出境安全評估應重點評估以下內(nèi)容：(一)數(shù)據(jù)出境的必要性;(二)涉及個人信息情況，包括個人信息的數(shù)量、范圍、類型、敏感程度，以及個人信息主體是否同意其個人信息出境等;(三)涉及重要數(shù)據(jù)情況，包括重要數(shù)據(jù)的數(shù)量、范圍、類型及其敏感程度等;……第一個數(shù)據(jù)出境是不是必要，必要性怎么樣。第二個涉及個人信息情況，尤其是提到了個人信息主體是否同意其個人信息出境，也提到了要評估涉及重要數(shù)據(jù)的情況，還重點要去評估數(shù)據(jù)接收方安全保護措施、能力和水平，以及所在國家、地區(qū)網(wǎng)絡安全環(huán)境等等。還有數(shù)據(jù)出境及再轉(zhuǎn)移后被泄漏、損毀、篡改、濫用等風險。當然還有其他評估內(nèi)容。

評估內(nèi)容里面，個人信息怎么界定，重要數(shù)據(jù)怎么界定？政府正在做的還有兩項工作，一個是正在制定《個人信息安全規(guī)范》國家標準，還做了一個《重要數(shù)據(jù)識別指南》，是文件來指導，來識別有沒有重要數(shù)據(jù)。

國家創(chuàng)新與發(fā)展戰(zhàn)略研究會會長郝葉力強調(diào)，安全的問題最后落到實處是如何看待數(shù)據(jù)的跨境流動。在國家出臺了一項法律政策之后，有必要立刻引起官方的，體制內(nèi)、體制外企業(yè)，甚至于國內(nèi)外的上下互動。談論范圍不僅要有體制內(nèi)的，還有更多體制外的，企業(yè)的，微軟的，美國的等。實際的跨境流動想要安全穩(wěn)定的發(fā)展，就需要達到一個平衡，需要在一個大范圍內(nèi)廣泛的交流、溝通。目的就是為了在全球化時代促進信息共享，促進數(shù)字經(jīng)濟的發(fā)展，在安全的前提下不阻礙數(shù)據(jù)的流動、信息的流動。

3.依據(jù)性質(zhì)的差別規(guī)范設計

西安交通大學信息安全法律研究中心主任馬民虎認為，各國根據(jù)自己不同的數(shù)據(jù)保障能力以及工業(yè)技術(shù)發(fā)展水平，針對本地化政策提出了三種主要模式：1.第一種是禁止數(shù)據(jù)離境；2.第二種模式是將數(shù)據(jù)中心建在境內(nèi)，增加的國家對數(shù)據(jù)的控制力，便利執(zhí)法；3.第三種是在數(shù)據(jù)傳輸前進行安全評估。

評估方式：1.可能侵害個人利益的個人信息或者是沒有經(jīng)過數(shù)據(jù)主體同意，或是對于國家有一些危害的；2.數(shù)據(jù)離境前進行安全評估。

評估保障措施：1.行業(yè)主管部門定期進行安全檢查；2.網(wǎng)絡運營者至少每年一次的安全評估以及接收方發(fā)生重大變化的時候重新進行評估；3.安全評估辦法也賦予和公民和組織的舉報權(quán)。

中國人民大學網(wǎng)絡犯罪與安全研究中心秘書長謝君澤指出，建議采用《網(wǎng)絡法》原來的寫法，其他的運營者參照法律的技術(shù)性，或者法律解釋體系。數(shù)據(jù)評估后出境，國外的機構(gòu)用以違法犯罪活動，我國是否有追究它的能力，這涉及到國家司法管轄權(quán)，如何基于傳統(tǒng)的管轄原則建立起數(shù)據(jù)的管轄原則。

簡單歸納有四種意義，第一，對于境外獲取或者購買者有約束力。第二是救濟。第三個是對數(shù)據(jù)主權(quán)的宣誓。最后，在學理上的意義，這是信息時代或者網(wǎng)絡時代非常有特色的，無論是國際法層面，還是國內(nèi)法層面，非常值得探究，應該是中國首創(chuàng)的。

北京理工大學計算機學院院長助理、網(wǎng)絡與信息安全學科方向責任教授祝烈煌表示，數(shù)據(jù)共享交換帶來的好處是顯而易見的，所以數(shù)據(jù)分享是不可避免的，這種情況下將會帶來個人隱私泄漏或者是數(shù)據(jù)泄漏。

祝烈煌針對《辦法》中的評估機制提①第七條 網(wǎng)絡運營者應在數(shù)據(jù)出境前，自行組織對數(shù)據(jù)出境進行安全評估，并對評估結(jié)果負責。出兩點，一是網(wǎng)絡運營者自己有沒有能力進行評估，或是否意識到應該做評估。如果借助第三方，第三方的能力怎么認定。第二是數(shù)據(jù)出境后責任主體確認問題。比如泄露平臺與服務平臺責任主體如何界定。被動泄漏從法律上如何歸責。二是《辦法》提到數(shù)據(jù)出境可能要得到用戶主體的確認，②第八條 數(shù)據(jù)出境安全評估應重點評估以下內(nèi)容：（一）數(shù)據(jù)出境的必要性；（二）涉及個人信息情況，包括個人信息的數(shù)量、范圍、類型、敏感程度，以及個人信息主體是否同意其個人信息出境等；]但實施過程中，存在效率低，或用戶未注意到的情況，這類問題該如何處理。在云服務里面出境的位置如何界定，以及數(shù)據(jù)在加密后處于何種地位。同時，區(qū)塊鏈本身是全球共享的技術(shù)，共享與數(shù)據(jù)安全該如何平衡。

4.基于行業(yè)的利益平衡規(guī)則

國家網(wǎng)信辦網(wǎng)絡安全協(xié)調(diào)局副局長胡嘯表示：

1.評估辦法由誰來評估的問題。除了網(wǎng)絡運營者自行評估之外，行業(yè)主管部門和監(jiān)管部門在滿足一定情況下也要進行安全評估。當然這里面提了一些條件，不是所有數(shù)據(jù)出境都要由行業(yè)和主管部門進行評估。

2.如果含有或者累計含有50萬人以上的個人信息要報行業(yè)主管部門進行評估；數(shù)據(jù)超過一千GB的情況要報行業(yè)主管部門進行評估；包含核設施、化學生物、國防軍工、人口健康等領(lǐng)域數(shù)據(jù)，大型工程活動、海洋環(huán)境以及敏感地理信息數(shù)據(jù)等都要經(jīng)過主管部門進行評估；③第九條 出境數(shù)據(jù)存在以下情況之一的，網(wǎng)絡運營者應報請行業(yè)主管或監(jiān)管部門組織安全評估：（一）含有或累計含有50萬人以上的個人信息；（二）數(shù)據(jù)量超過1000GB；（三）包含核設施、化學生物、國防軍工、人口健康等領(lǐng)域數(shù)據(jù)，大型工程活動、海洋環(huán)境以及敏感地理信息數(shù)據(jù)等；（四）包含關(guān)鍵信息基礎(chǔ)設施的系統(tǒng)漏洞、安全防護等網(wǎng)絡安全信息；（五）關(guān)鍵信息基礎(chǔ)設施運營者向境外提供個人信息和重要數(shù)據(jù)；（六）其他可能影響國家安全和社會公共利益，行業(yè)主管或監(jiān)管部門認為應該評估。行業(yè)主管和監(jiān)管部門不明確的由國家網(wǎng)信部門來組織評估。很多專家都會對50萬人提出質(zhì)疑，憑什么50萬人要報行業(yè)主管部門評估？我們認為這兩個數(shù)據(jù)都是為了提高可操作性，聽過專家、各方面意見的一個結(jié)果。如果沒有一個量的限制，沒有一個量的提法也很難操作，所以這是一個平衡之后的結(jié)果。

3.行業(yè)主管和監(jiān)管部門做這個安全評估應當于60個工作日內(nèi)完成，同時及時向網(wǎng)絡運營者反饋安全評估情況。④第十條 行業(yè)主管或監(jiān)管部門組織的安全評估，應當于六十個工作日內(nèi)完成，及時向網(wǎng)絡運營者反饋安全評估情況，并報國家網(wǎng)信部門。在這條上面立法時認真考慮到了企業(yè)的訴求。

4.如何進行評估？首先是自行評估，另外現(xiàn)在有很多專業(yè)服務機構(gòu)，所以也可以委托別人來進行評估。

5.制定《辦法》過程中政府力圖平衡、保障個人信息和重要數(shù)據(jù)安全與保護網(wǎng)絡信息的合法有序自由流動，我們也力圖平衡部門、專家、企業(yè)各方面的關(guān)切。

微軟亞太研發(fā)集團總經(jīng)理羅立凡表示，要形成一個平衡，如果限制跨境數(shù)據(jù)流動越強，雖然降低了個人數(shù)據(jù)被濫用的風險，外商一定要在境內(nèi)投資，促進本國相關(guān)產(chǎn)業(yè)的發(fā)展，防止資源被外國控制等等，但是同樣也會影響新技術(shù)的引進，阻礙本國信息產(chǎn)業(yè)走向全世界。

美國科文頓柏靈律師事務所高級顧問羅嫣表示，數(shù)據(jù)跨境從法律上來講是一個全球的法律領(lǐng)域。首先，在技術(shù)層面，管理辦法的出臺并不足夠。立法的時候，效率和公平，以及效率和更高的立法目標的平衡其實是很重要的。指南應該提出一個較為客觀的細化標準。行業(yè)主管部門來評估數(shù)據(jù)出境是不是安全可控，但由于行業(yè)主管部門之間對于數(shù)據(jù)本身的跨境理解很可能會有參差不齊的情況，會造成在各個行業(yè)之間有一個不一樣的執(zhí)法尺度。數(shù)據(jù)出境以后輸入方的保護水平，是不是足夠，每一個行業(yè)主管部門是否都有一個比較平均的執(zhí)法水平，需要在實踐中得知。其次，安全評估辦法采用的是企業(yè)運營中產(chǎn)生的數(shù)據(jù)，數(shù)據(jù)是一個生態(tài)系統(tǒng)，在新興產(chǎn)業(yè)里，數(shù)據(jù)的歸屬很難判斷，會存有非常多的爭議。數(shù)據(jù)的主體會對處理方有不同的要求加以保證主體的合規(guī)義務，與此同時，主管部門的保護水平很難界定。

三、各方關(guān)注的其他問題

除了以上四個主要方面，研討會中還有各種意見涉及《辦法》的其他方面，主要包括：

有意見認為，數(shù)據(jù)的分類以及關(guān)鍵基礎(chǔ)設施的數(shù)據(jù)，是我們國家重點防范的對象，應逐步加強國家數(shù)據(jù)標準模式；制定內(nèi)部傳輸，數(shù)據(jù)的交換協(xié)議、通信協(xié)議的標準；監(jiān)管部門、安全部門逐步完善數(shù)據(jù)的評估、監(jiān)測；逐步加強自身的安全意識；跟進諸如加密等相關(guān)工具技術(shù)手段。

有意見建議，可以在具體的某個行業(yè)、某個產(chǎn)品的落地問題放寬，多給企業(yè)一些空間。

有意見強調(diào)需要1.把握安全和自由之間的平衡度；2.設普通程序和簡易程序，具體情況具體分析；3.明確審查60日的起始點。

有意見認為，是否所有行業(yè)監(jiān)管機構(gòu)和監(jiān)管部門都有這個能力去評估這件事情？如果經(jīng)過了行業(yè)監(jiān)管機構(gòu)和行業(yè)主管評估之后如果真出了問題，這個行業(yè)主管機構(gòu)要擔責任嗎？是不是可以考慮用民間的方式去解決？包括利用已有的認證、鑒證業(yè)務機構(gòu)，以簡化政府職能。

還有意見指出，1.國際上對于數(shù)據(jù)出境大概有兩種理解，一種就是數(shù)據(jù)硬性出境，就是說數(shù)據(jù)傳輸?shù)骄惩膺M行傳輸和處理。還有一種叫軟性出境，數(shù)據(jù)保存在境內(nèi)，但是國外公司或者主體對我過境內(nèi)儲存的數(shù)據(jù)進行訪問。從數(shù)據(jù)出境的概念上來看好像沒有明確說明除了硬性出境以外軟性出境是不是適用《評估辦法》。2.關(guān)于安全評估的時間和結(jié)果問題。60個工作日內(nèi)完成，需要有一個申訴或者復議程序會在將來網(wǎng)絡評估辦法中有明確的規(guī)定。3.涉及到公司的用戶敏感信息時，我們怎么在安全評估過程中處理好一個國外政府和國外公民的要求和審查之間的關(guān)系？

《網(wǎng)安法》將于2017年6月1日正式實施，這是我國在互聯(lián)網(wǎng)立法上前進的重要一步，隨之互聯(lián)網(wǎng)涉及的個人信息保護、關(guān)鍵基礎(chǔ)設施、跨境數(shù)據(jù)流動等都將明確制度。立法需國家上層重視，更需要社會各界的共同參與，只有不斷的完善立法，明確規(guī)則，我國互聯(lián)網(wǎng)才能邁向輝煌。

（整理：石博元 責任編輯：鐘宇歡）

The Explain on the "Measures for the Assessment of Personal Information and Important Data Exit Security (Draft)"

Editorial Department

For the purpose of saving cost and improving performance,companies in the international market will inevitably integrated markets and unified distribution.Therefore,cross-border data fl ow will become the trend.Based on the market,legislative and research background of data cross-border flow,this paper reviewed and explained the "Measures for the Assessment of Personal Information and Important Data Exit Security (Draft)".

data cross-border fl ow,cybersecurity law,personal information

D922

A

1001-4225（2017）05-0074-05