《數(shù)據(jù)安全法》下數(shù)據(jù)跨境合規(guī)新要求

2021年6月10日，《數(shù)據(jù)安全法》（下稱“《數(shù)安法》”）正式頒布，作為國家安全重要組成部分之一，以總體國家安全觀為主線，首次提出“國家核心數(shù)據(jù)”概念，構建數(shù)據(jù)分級分類保護等基本制度，正式確立了我國數(shù)據(jù)保護領域頂層立法架構。

數(shù)據(jù)跨境與國家安全緊密相關，無疑是本次《數(shù)安法》最值得關注的重點之一?！稊?shù)安法》構建的數(shù)據(jù)跨境制度與《網(wǎng)絡安全法》建構關鍵信息基礎運營者數(shù)據(jù)跨境規(guī)定相銜接，與正在審議的《個人信息保護法》（第二次審議稿）》（下稱“《個保法（二稿）》關于個人信息跨境規(guī)定共同構建起我國數(shù)據(jù)跨境的基本制度。本文繼續(xù)結合前期探討個人信息保護法系列文章，結合新頒布的《數(shù)安法》和《個保法（二稿）》等規(guī)定探討數(shù)據(jù)跨境問題，以期為企業(yè)數(shù)據(jù)跨境合規(guī)工作提供思路和參考。

一、如何認定是否屬于數(shù)據(jù)跨境？

把握數(shù)據(jù)跨境準確含義是合規(guī)的首要前提，但數(shù)據(jù)跨境本身不是一個法律概念，跨境更多是事實判斷，理解數(shù)據(jù)是否跨境需要結合具體國家的法律規(guī)定和具體場景。

《數(shù)安法》出臺前，法律層面除了個別個人信息類型出境有明確監(jiān)管規(guī)定外，數(shù)據(jù)跨境規(guī)定主要由國家網(wǎng)信辦牽頭制定，其中，《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》規(guī)定數(shù)據(jù)出境是指網(wǎng)絡運營者將在我國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)，提供給位于境外的機構、組織、個人，《個人信息出境安全評估辦法（征求意見稿）》規(guī)定數(shù)據(jù)出境是指向境外提供在我國境內(nèi)運營中收集的個人信息。

《數(shù)安法》延續(xù)和完善上述規(guī)定，第31條規(guī)定“數(shù)據(jù)出境安全管理”，明確將數(shù)據(jù)出境從主體上分為兩個體系，即關鍵信息基礎設施運營者和其他數(shù)據(jù)處理者的數(shù)據(jù)出境制度。其中關鍵信息基礎設施的運營者在我國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理，適用《網(wǎng)絡安全法》的規(guī)定，其他數(shù)據(jù)處理者在我國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法，由國家網(wǎng)信部門會同國務院有關部門制定。

從上述規(guī)定來看，并非任何數(shù)據(jù)從我國跨境都要受到監(jiān)管限制，《數(shù)安法》界定范圍是在我國境內(nèi)運營中收集和產(chǎn)生的數(shù)據(jù)，換言之，在境外收集和產(chǎn)生的數(shù)據(jù)不在此列，進一步來說，國外收集和產(chǎn)生數(shù)據(jù)但經(jīng)我國境內(nèi)處理后出境是否受到限制？從《數(shù)安法》規(guī)定來看，沒有明確。

但是，對于個人信息類型的數(shù)據(jù)，根據(jù)《個保法（二稿）》，個保法調(diào)整的是在我國境內(nèi)個人信息處理活動，第38條規(guī)定個人信息處理者因業(yè)務等需要，確需向境外提供個人信息的，應當至少具備一定條件，也就是說，除我國境內(nèi)收集和產(chǎn)生的個人信息，境外收集和產(chǎn)生的個人信息在我國境內(nèi)處理后，出境也要滿足我國關于個人信息出境的相關規(guī)定。但是境外收集和產(chǎn)生的個人信息短時間同步到我國境內(nèi)服務器未經(jīng)處理后出境并不受個保法限制。

從事實來看，數(shù)據(jù)跨境并非單純地理意義上跨越國境，也不僅指物理意義上攜帶出境，向境外提供數(shù)據(jù)的方式有很多，只要境外主體能夠訪問、檢索存儲在我國境內(nèi)數(shù)據(jù)即可，數(shù)據(jù)跨境更多指的是數(shù)據(jù)在不同數(shù)據(jù)保護法律制度的國家或地區(qū)之間轉移事實。

二、不同類型數(shù)據(jù)跨境的不同要求

《數(shù)安法》規(guī)定數(shù)據(jù)分級分類保護，基于總體國家安全觀下，建立了不同類型和層級的數(shù)據(jù)跨境體系，允許數(shù)據(jù)跨境流動，但要在國家監(jiān)管規(guī)定下有序進行。具體而言：

1.可能影響國家安全的數(shù)據(jù)不得出境。根據(jù)《數(shù)安法》第24條，對于影響或者可能影響國家安全的數(shù)據(jù)處理，國家實施安全審查。《數(shù)安法》首次提出關系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等數(shù)據(jù)是國家核心數(shù)據(jù)，建立數(shù)據(jù)安全審查制度就是為了嚴格管控國家核心數(shù)據(jù)的安全，數(shù)據(jù)安全審查是全新的制度，后續(xù)需要進一步細化，具體實施尚待觀察。而國家網(wǎng)信辦《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》規(guī)定，經(jīng)過評估，數(shù)據(jù)出境給國家政治、經(jīng)濟、科技、國防等安全帶來風險，可能影響國家安全、損害社會公共利益，不得出境?？梢?，安全評估實質(zhì)上也是一種事前審查機制，安全審查是由國家安全相關部門針對特定數(shù)據(jù)類型進行安全審查，包括數(shù)據(jù)跨境安全審查，而安全評估則可能成為數(shù)據(jù)跨境常規(guī)操作。

2.對維護國家安全和利益、履行國際義務的數(shù)據(jù)出境進行管制。根據(jù)《數(shù)安法》第25條，國家對與維護國家安全和利益、履行國際義務相關的屬于管制物項的數(shù)據(jù)依法實施出口管制。從規(guī)定來看，國家安全審查與數(shù)據(jù)出口管制是相互銜接的，后續(xù)國家可能進一步細化需要審查和管制的數(shù)據(jù)名錄。

3.未經(jīng)主管機關批準不得向境外司法或執(zhí)法機構提供境內(nèi)存儲的數(shù)據(jù)。《數(shù)安法》36條對國際司法協(xié)助調(diào)取數(shù)據(jù)進行了規(guī)定，明確規(guī)定了境內(nèi)任何數(shù)據(jù)處理者在未經(jīng)主管機關批準的情況下，不得對外提供，強調(diào)了國家數(shù)據(jù)主權和安全?！秱€保法（二稿）》也進行了類似規(guī)定。

4.關鍵信息基礎設施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者的數(shù)據(jù)本地化存儲。關鍵信息基礎設施運營者本地化存儲義務是開展信息處理活動的前提，從《網(wǎng)絡安全法》規(guī)定來看，公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域?qū)儆陉P鍵信息基礎運營者。

《關鍵信息基礎設施安全保護條例（征求意見稿）》進一步將以下單位列為關鍵信息基礎實施運營者：（1）政府機關和能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護、公用事業(yè)等行業(yè)領域的單位；（2）電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)等信息網(wǎng)絡，以及提供云計算、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡服務的單位；（3）國防科工、大型裝備、化工、食品藥品等行業(yè)領域科研生產(chǎn)單位；（4）廣播電臺、電視臺、通訊社等新聞單位。

普通企業(yè)被識別為關鍵信息基礎設施運營者可能性較低，處理個人信息達到一定數(shù)量的個人信息處理者目前尚待后續(xù)規(guī)定予以明確。就目前而言，不屬于關鍵信息基礎設施運營者的數(shù)據(jù)處理者或小規(guī)模個人信息處理者數(shù)據(jù)跨境并無明確本地化存儲義務的規(guī)定。

5.個人信息類型的數(shù)據(jù)跨境合規(guī)要求將有明確規(guī)定。《個保法（二稿）》第38條明確個人信息因業(yè)務需要跨境向境外提供的要選擇以下三種其中一種：（1）通過網(wǎng)信部門的安全評估；（2）經(jīng)專業(yè)機構進行個人信息保護認證；（3）按照國家網(wǎng)信部門制定的標準合同與境外接收方訂立合同。在此基礎上，個人信息處理者還應當向個人告知境外接收方的身份、聯(lián)系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法律規(guī)定權利的方式等事項，并取得個人的單獨同意。

可見，《個保法（二稿）》建立的個人信息跨境的辦法借鑒了歐盟《通用數(shù)據(jù)保護條例》（GDPR），但沒有規(guī)定個人信息保護水平充分性認定機制，并且規(guī)定即便采取了安全評估、認證或標準合同條款任一機制跨境傳輸個人信息也必須獲得個人信息主體的單獨同意，該單獨同意的合規(guī)要求相較很多國家和地區(qū)而言是比較嚴格的。

6.不得向被我國列入限制或者禁止個人信息提供清單的境外個人、組織提供個人信息。該負面清單措施是《個保法（二稿）》第42條規(guī)定針對境外的組織、個人從事?lián)p害我國公民的個人信息權益，或者危害我國國家安全、公共利益的個人信息處理活動的一種懲罰措施?！稊?shù)安法》沒有作詳細相關規(guī)定，但第2條規(guī)定了境外開展數(shù)據(jù)處理活動，損害我國國家安全、公共利益或者公民、組織合法權益的，依法追究法律責任。負面清單屬于法律后果之一。

三、新法下數(shù)據(jù)跨境合規(guī)的思路

《數(shù)安法》于2021年9月1日起施行，《個保法》預計也很快出臺，新法頒布后，企業(yè)個人信息保護和數(shù)據(jù)安全的合規(guī)工作上必須以新法為依據(jù)進行梳理，數(shù)據(jù)跨境合規(guī)方面的工作應該是企業(yè)應該關注的重點內(nèi)容之一。本文結合前述數(shù)據(jù)跨境含義和目前監(jiān)管規(guī)定基礎，梳理了企業(yè)和其他數(shù)據(jù)處理者數(shù)據(jù)跨境合規(guī)工作的思路和路徑，企業(yè)可以結合自身實際開展相應合規(guī)落地工作。

1.對數(shù)據(jù)進行分級分類。《數(shù)安法》總體上把數(shù)據(jù)劃分為國家核心數(shù)據(jù)、重要數(shù)據(jù)和一般數(shù)據(jù)。有關國家、地方相關部門陸續(xù)會制定本地區(qū)、本部門以及相關行業(yè)、領域的重要數(shù)據(jù)具體目錄。建議企業(yè)對照數(shù)據(jù)目錄結合自身處理數(shù)據(jù)進行分類和細化。

2.識別數(shù)據(jù)來源。識別并非指數(shù)據(jù)來源是否合法、數(shù)據(jù)處理是否正當?shù)?，而是識別所處理的數(shù)據(jù)來自于境內(nèi)還是境外，包括從其他數(shù)據(jù)處理者獲取的數(shù)據(jù)來源情況。

3.進行本地化存儲安排。企業(yè)根據(jù)識別和數(shù)據(jù)分類情況，如涉及重要數(shù)據(jù)和一定數(shù)量個人信息處理業(yè)務的，需進行數(shù)據(jù)本地化存儲。

4.定期進行數(shù)據(jù)安全評估。建議企業(yè)在安全評估中增加可能影響國家安全、社會公共利益等考量因素。安全評估有助于識別企業(yè)在運營中存在的安全風險，在數(shù)據(jù)跨境情況下，可以有效降低企業(yè)法律風險。

5.加強數(shù)據(jù)分級授權與使用審批。數(shù)據(jù)訪問控制方面，企業(yè)要逐漸建立根據(jù)“業(yè)務需要”和“最小權限”原則，進行數(shù)據(jù)使用相關的權限管理，嚴格控制和分配訪問權限。對我國境外機構申請調(diào)取或傳輸數(shù)據(jù)的，需格外注意，特別是境外執(zhí)法機構數(shù)據(jù)調(diào)取，要得到我國主管機關的批準。

6.區(qū)分個人信息、重要數(shù)據(jù)和其他類型數(shù)據(jù)跨境安排。個人信息和重要數(shù)據(jù)跨境規(guī)定已有《個人信息保護法》和《網(wǎng)絡安全法》的規(guī)定，個人信息可以通過標準合同條款、認證機制和國家安全評估任一機制進行跨境傳輸，其他數(shù)據(jù)跨境也將會由網(wǎng)信辦等相關部門制定。

四、結?語

與歐盟通過GDPR及細化規(guī)定希望建立單一數(shù)字市場的戰(zhàn)略相似，我國通過《數(shù)據(jù)安全法》和《個人信息保護法》以及《網(wǎng)絡安全法》共同構建我國統(tǒng)一有序自由流動的數(shù)字市場，其中《數(shù)據(jù)安全法》以安全為底色，為我國數(shù)字市場發(fā)展提供基礎制度保障，標志著我國數(shù)據(jù)行業(yè)較為野蠻發(fā)展時代將成為歷史，行業(yè)監(jiān)管將趨于規(guī)范和嚴格，而數(shù)據(jù)跨境是國家安全重要內(nèi)容，也是我國數(shù)字市場與國際數(shù)字市場對接的重要工具，不僅可為我國企業(yè)“出?！北ｑ{護航，也有利于我國參與制定數(shù)據(jù)跨境流動相關國際規(guī)則爭取更多主動權。