我国数据出境制度2.0时代下的企业合规应对（上篇）

2024-04-11

以下文章来源于CNCERT国家工程研究中心。

关于CNCERT国家工程研究中心

网络安全应急技术国家工程研究中心是由国家互联网应急中心运营的国家级研究中心。研究中心致力于工控物联网和数据跨境方面的基础理论研究、关键技术研发与实验验证，并为国家关键基础设施的安全建设和运行提供保障，为数据跨境安全提供监测和预警。

一、我国数据出境安全管理制度的发展历程涵

数据出境作为安全风险较高的数据处理活动之一，近年来受到越来越多国家的重视。在2016年至2021年期间，我国网络和数据安全法律体系的“三大基本法”——《网络安全法》（“网安法”）、《数据安全法》（“数安法”）、《个人信息保护法》（“个保法”）对数据出境活动做出了框架性的安全管理规定，主要围绕关键信息基础设施运营者、重要数据、个人信息三个主要要素进行制度设计。

为了具体落实上述框架性规定，国家互联网信息办公室（“国家网信办”）在2022年至2023年期间先后公布了《数据出境安全评估办法》（“安评办法”）和《个人信息出境标准合同办法》（“备案办法”），联合国家市场监督管理总局公布了《关于实施个人信息保护认证的公告》，完成数据出境安全管理制度的初步搭建。同时，国家网信办也公布了配套文件《数据出境安全评估申报指南》和《个人信息出境标准合同备案指南》（合称“第一版指南”），对安全评估申报和标准合同备案的具体操作要求进行了说明。随后，安全评估申报和标准合同备案等工作陆续实施落地，通过的案例不断增多，标志着我国数据出境安全管理制度步入1.0时代。

2024年3月22日，国家互联网信息办公室公布《促进和规范数据跨境流动规定》（“数据跨境新规”）并于公布之日施行，同日也公布了《数据出境安全评估申报指南（第二版）》和《个人信息出境标准合同备案指南（第二版）》（合称“第二版指南”）。在结合前期制度落地的实践基础上，《数据跨境新规》及其配套文件《第二版指南》对现有数据出境制度的实施和衔接作出进一步明确，放宽了数据跨境流动条件，标志着我国数据出境安全管理制度正式步入2.0时代。

二、数据出境制度2.0的主要变化

《数据跨境新规》及《第二版指南》对《安评办法》、《备案办法》、《第一版指南》的部分内容进行了删除、修改、增补，实际上构成了对后者的修订。为了方便企业准确理解数据出境安全管理制度2.0版本的主要变化，我们将选取修订内容中几个比较主要的方面进行解读和分析。

（一）“数据出境”范围的“一增两减”

关于具体哪些行为构成“数出境”，无论是在“三大基本法”，还是在《安评办法》和《备案办法》中都未明确，而仅概括性地描述为“境内处理者向境外提供”。直到《第一版指南》的发布，“境内处理者向境外提供”行为才被细化为如下两个具体情形：

（1）数据处理者将在境内运营中收集和产生的数据传输、存储至境外；

（2）数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；

对于以上范围，《数据跨境新规》及其配套文件进行一个“增加”和两个“减少”：（1）《第二版指南》增加了一个场景，即《个保法》第三条第二款情形；（2）《第二版指南》减少了一个“存储至境外”的情形；（3）《数据跨境新规》第四条将“数据过境”情形排除在外。

1.增加的《个保法》第三条第二款情形

《个保法》第三条第二款规定：“……在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法：（一）以向境内自然人提供产品或者服务为目的；（二）分析、评估境内自然人的行为；（三）法律、行政法规规定的其他情形。”

该条款的法理逻辑系国内法域外适用，即一国在其行使域外管辖权之时，将其具有域外效力的法律适用于其管辖领域之外的人、物或行为的过程。《个保法》第三条第二款在数据合规领域的主要场景之一是某境外电商为了吸引中国消费者采取了一系列措施，如将其网站增加中文版本、在中国境内投放线上推广、将人民币作为支付货币或者接入我国境内支付工具等，将中国设定为目标市场。其因此在境外处理中国消费者个人信息的行为因该条款受中国法律管辖，即使其在中国没有任何商业存在（参见杨合庆著《个人信息保护法释义》第17页）。

但如果将这种行为纳入“数据出境”范围，将面临如下几个问题：（1）在条文上，中国境内处理者缺位，因为这里的个人信息由中国消费者自己直接向境外接收方提供，因而不符合“三大基本法”、《安评办法》、《备案办法》中所要求的“境内处理者向境外提供”；（2）在实践中，如果境内处理者缺位，无论是安全评估申报还是标准合同备案或认证的合规义务，都缺少相对应的履行主体，甚至标准合同的签署都因此无法完成；（3）在理论上，我国“数据出境”的监管逻辑是“通过直接监管境内主体来间接实现本来管不到的境外主体”，而《个保法》第三条第二款的逻辑是“在境外主体与中国已经建立起足够的连结前提下，我国法律据此可以直接适用境外主体”。

当然，有一种说法是《个保法》第五十三条要求境外处理者在“境内设立专门机构或者指定代表”，而上文所缺位的“境内处理者”可以由这个“专门机构或者指定代表”来担任。不过，《个保法》第五十三条将“专门机构或者指定代表”的职责定位为“负责处理个人信息保护相关事务”，即协助境外处理者承担与境内个人信息主体或监管部门之间沟通对接等工作，因此为了配合该项职责，《个保法》第五十三条进一步要求境外处理者“将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门”。而且实践中这些“专门机构或者指定代表”在大多数情况下不经手向境外传输的个人信息，所以也无法构成实际的境内处理者；当然，如果他们的确经手了个人信息，则也无需由《第二版指南》将其纳入“数据出境”范围，可以直接适用“数据出境”的最原始定义“境内处理者向境外提供”。

还有另外一种说法是上文所缺位的“境内处理者”可以由境外处理者在境内设立的子公司或代表处来担任。同上，这些境内子公司或代表处大多数情况下不经手向境外传输的个人信息，即使经手也可以直接适用“境内处理者向境外提供”。

2.减少的“存储至境外”的情形

《第二版指南》将《第一版指南》项下细化的一个数据出境情形“数据处理者将在境内运营中收集和产生的数据传输、存储至境外”中的“存储”删除，意味着境内处理者如果将数据存储在境外自己管理的存储空间将不再视为“数据出境”。

虽然在理论上数据存储在境外也会面临境外政府调取等风险，但是不涉及境外处理者滥用、泄露、盗取等情况，所以主观因素导致的风险大大降低。《第二版指南》将这种情形剔除“数据出境”范围体现了促进数据自由流动的价值判断。

不过，在实践中并非所有境内处理者都有能力或意愿完全独立管理境外的存储空间，可能雇佣境外承包商来管理自己购买的服务器，也可能租用境外供应商的服务器，或者直接使用境外云服务商提供的存储空间等等。这些是否都能构成境外“存储”，进而无需“数据出境”制度制约，有待监管部门进一步明确。

3.减少的“数据过境”的情形

《数据跨境新规》第四条明确“数据过境”情形无需通过“数据出境”的事前监管机制（安全评估、标准合同、认证“三条路径”），即“数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供，处理过程中没有引入境内个人信息或者重要数据的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。”这样可以使监管手段与目的具有更高的的匹配度，因为这些数据并非在境内收集和产生，不涉及境内任何数据，不构成对我国国家、社会、个人的安全威胁。

实际上，《安评办法》第二条和《第一版指南》已经将需要规制的出境数据限定在“境内运营中收集和产生的”，因此引发对“数据过境”情形所对应合规义务的两种不同理解：

（1）一种理解是《数据跨境新规》第四条仅是将“数据过境”情形从“数据出境”范围中排除的进一步明确，并未对原有制度进行实质性调整。但是该排除规定被归类在《数据跨境新规》的豁免情形之一，而非《第二版指南》下“数据出境”范围，这与该理解存在一定出入。事实上，以上两个归类并非没有区别：《数据跨境新规》的豁免情形是指该情形虽然已经构成“数据出境”，但出于某种考虑然后将其排除在事前监管机制之外；而如果该情形未纳入《第二版指南》的“数据出境”范围，则其从根本上不构成“数据出境”，不仅无需通过事前监管机制，而且无需满足一般数据出境的最低线要求（以个人信息为例，如果构成“数据出境”，即使豁免评估或备案也需要满足单独同意等条件）。简而言之，前者是“先进门，再出门”，后者是“未进门”，虽然两者都在“门外”但法律项下的合规义务有所不同。因此，按照该种理解，“数据过境”情形下境内处理者无需履行任何与数据出境相关任何义务，甚至单独同意（下文将详述）。

（2）另外一种理解是，基于《数据跨境新规》和《第二版指南》的现有行文逻辑，“数据过境”属于事前监管机制的豁免情形，即“先进门，再出门”。按照该种理解，“数据过境”情形下境内处理者则需要履行数据出境相关的最低义务，例如国内某大数据服务商在对境外非敏感个人信息（十万以下）进行加工处理后再出境则需要满足告知、单独同意、个人信息影响评估报告等义务。

从实践角度来看，我们认为以上第一种理解更加有利于促进我国数字产业的发展。

（二）数据出境路径的增加和调整

《数据跨境新规》的核心条款是第五至八条，其实质是增加和调整了现有的三条数据出境路径。

1.第五条创建了第四条数据出境路径

根据《个保法》第三十八条，个人信息处理者向境外提供个人信息必须在如下四个路径中择一：“（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；（四）法律、行政法规或者国家网信部门规定的其他条件。”而《数据跨境新规》第五条规定某几个向境外提供个人信息的情形可以不走安全评估、标准合同、认证这“三条路径”，由此推导出《数据跨境新规》第五条走的是《个保法》第三十八条的第四条路径，即“法律、行政法规或者国家网信部门规定的其他条件”。需要强调的是个人信息处理者在走这第四条路径时并非无需履行任何合规义务，而仍然需要满足《个保法》对数据出境的最基本义务，如告知、单独同意、个人信息保护影响评估报告等，《数据跨境新规》第十条和第十一条也强调了这一点。《数据跨境新规》第五条创建的这第四条路径与安全评估、标准合同、认证这“三条路径”的区别是：前者主要关注的是事中事后监管，而“三条路径”是出境行为的前置程序，属于事前监管机制。因此，《数据跨境新规》第五条情形与前文讨论的“存储至境外”不同，后者不受数据出境制度约束，因为其根本不构成数据出境行为。

2.第六条也创建了第四条数据出境路径

《数据跨境新规》第六条赋予了自由贸易试验区设立数据出境负面清单的权利。同第五条一样，其间接创建了第四条数据出境路径，且也属于事中事后监管机制。

3.第七条适度收窄数据出境安全评估范围

《数据跨境新规》第七条通过重新起草《安评办法》第四条将安全评估的适用范围缩小：（1）删除“处理100万人以上个人信息的数据处理者向境外提供个人信息”情形，（2）将非敏感个人信息触发安全评估的门槛从“十万”提高到一百万，（3）将个人信息数量门槛的起算点从“自上年”缩短到“自当年”。

4.第八条适度收窄标准合同备案范围

同七条一样，《数据跨境新规》第八条通过重新起草《备案办法》第四条将个人信息出境标准合同备案的适用范围缩小：（1）将非敏感个人信息触发标准合同备案的门槛从“十万以下”提高到“十万至一百万”，（2）将个人信息数量门槛的起算点从“自上年”缩短到“自当年”。

本文作者：

声明：

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。