数安条例百问62、63：关于数据出境的概念

数据安全君

小贝案语
11月14日，国家互联网信息办公布了《网络数据安全管理条例（征求意见稿）》。为此，小贝说安全设立《网络数据安全管理条例（征求意见稿）》（后文简称《条例》）解读专栏，以百问百答的形式对《条例》进行系列解读。

需要指出，这些解读只是专家个人观点，不代表官方意见；且这些解读针对的是征求意见稿，未来条文本身可能会发生变化，不排除会有新增和删除。

对应条款
网络数据安全管理条例
第一章 总则
第二章 一般规定
第三章 个人信息保护
第四章 重要数据安全
第五章 数据跨境安全管理
第六章 互联网平台运营者义务
第七章 监督管理
第八章 法律责任
第九章 附则

解读
为什么《条例》要设立“数据跨境安全管理”一章？为什么是“安全管理”而不是“安全评估”？为什么是“跨境”而不是“出境”？这可以从以下几个角度去理解。
  
一、《网络安全》《数据安全法》《个人信息保护法》之中的数据出境安全要求是什么关系？
  
《网络安全法》第三十七条首次规定了数据出境安全评估制度，但范围只限定在“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据”。事实上，很多数据出境行为未必同关键信息基础设施相关，因此《网络安全法》的规定是不完善的，大量应当规范的数据出境行为没有得到规范，为国家安全留下了漏洞。
  
这一缺憾后来靠《数据安全法》和《个人信息保护法》进行了弥补。逻辑是，《数据安全法》从重要数据出境方面进行弥补，《个人信息保护法》从个人信息出境方面进行弥补。
  
《数据安全法》第三十一条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。即，除了关键信息基础设施收集和产生的重要数据在出境时要进行安全管理（按《网络安全法》）外，非关键信息基础设施收集和产生的重要数据在出境时也要进行安全管理。

《个人信息保护法》第四十条规定，关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估。即，除了关键信息基础设施收集和产生的个人信息在出境时要进行安全管理（按《网络安全法》）外，非关键信息基础设施收集和产生的个人信息在达到一定量时，出境也要进行安全管理。

通过以上规定，扩充了对非关键信息基础设施的数据出境安全要求，弥补了国家安全漏洞。

至于《个人信息保护法》提出的“达到国家网信部门规定数量”是多少，《条例》已经明确，数量到达“一百万人以上”时，要接受国家网信部门组织的数据出境安全评估；不到“一百万人”时，可通过《条例》第三十五条规定的第（二）、（三）等项条件出境；为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的，或者为了保护个人生命健康和财产安全而必须向境外提供个人信息的则可直接出境，即不必进行评估或通过认证、标准合同等途径出境。

二、为什么《个人信息保护法》要对数据跨境问题单列一章，而《网络安全法》和《数据安全法》却未单独设章？

《网络安全法》只在第三十七条规定了关键信息基础设施领域的数据出境安全评估制度，故未单独设章，只是放在了“关键信息基础设施的运行安全”一节。需要指出，恰恰是这种处理，使得数据出境安全评估制度只限于面向关键信息基础设施运营者实施，造成了数据出境安全管理制度的漏洞。

如前所述，《数据安全法》在第三十一条补充了《网络安全法》第三十七条的规定。且还在第三十六条规范了外国司法或者执法机构获取境内数据的行为。严格而言，该法第三十六条并不属于常规的数据出境安全事项，其立法目的是反制外国政府的“长臂管辖”（“百问百答”后文将详述），但在技术层面上，外国司法或者执法机构获取境内数据也属于一种数据出境。

即使如此，《数据安全法》仅以两条也难以单独形成一个独立的章节。

但《个人信息保护法》不同，由于个人信息在不同场景下可以通过不同方式出境，故需要对此分别规定条件。对于应当由国家网信部门组织出境安全评估的，有必要设立专门条款予以规定。此外，个人信息出境前还应当征得个人同意，这是个人信息保护所特有的，也需要提出要求。而且，根据国际惯例，很多国家和地区都在签订数据出境协议，不排除今后我国也会签订类似国际协定，那么有必要说明这些国际协定同已有数据出境条件的关系。鉴于此，《个人信息保护法》需要设立单独的章节，以集中处理上述问题。

三、为什么《条例》要对数据出境安全管理进行单独设章？

虽然《网络安全》《数据安全法》《个人信息保护法》都对数据出境安全评估提出了要求，但这些规定是远远不够的。主要原因在于，数据出境看似是一个时间点或一段时间内的行为，但其安全保护绝非仅限于“事中”阶段。

例如，无论数据采用何种方式出境，之前都需要进行自评估，个人信息尤其需要进行个人信息安全影响评估；出境过程中要履行安全保护责任；出境后要监督数据接收方履行义务，防范数据出境安全风险；每到年末时需要编制年度数据出境报告；出现纠纷后，还涉及到跨境追责问题。这些事项已经超出了数据出境安全评估制度的范畴，客观上需要对数据出境的事前、事中、事后均作出规定。

因此，《条例》专门设置独立的一章，旨在全面建立我国数据出境安全管理制度。该制度已经超出了此前人们熟悉的“数据出境安全评估”制度。毕竟，“评估”只是数据出境安全管理制度的其中一个环节。

四、为什么使用“跨境”而不是“出境”？

《条例》第五章名称之所以使用“跨境”而不是“出境”，原因在于两个方面。

一是国际上讨论该问题时，往往是对等的多个国家和地区签订协议、达成规则，不存在“进”或“出”的方向问题，故一概使用“数据跨境传输/流动”（cross border data transfer/flow）。故“数据跨境”是国际通行表达方式。

二是《条例》在第四十一条提出了“国家建立数据跨境安全网关”的要求。该网关涉及到对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播，这属于“由外到内”的数据传输，已经不再是“出境”问题。故只有“跨境”可以涵盖。

对应条款
第三十五条 数据处理者因业务等需要，确需向中华人民共和国境外提供数据的，应当具备下列条件之一：
（一）通过国家网信部门组织的数据出境安全评估；
（二）数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证；
（三）按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同，约定双方权利和义务；
（四）法律、行政法规或者国家网信部门规定的其他条件。
数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的，或者为了保护个人生命健康和财产安全而必须向境外提供个人信息的除外。

解读
数据出境安全管理制度的核心，是为了防范因境内数据被境外组织不当访问而对国家安全、公民权益带来的风险。因此，在讨论这一制度时，必然要回答两个问题：什么是境内数据？什么是被境外组织访问？即，被保护的对象是什么、在哪里？侵害被保护对象的活动是谁实施的、发生在哪里？

最一般的数据出境场景是，境内的数据被发送到了境外。
  
但也有特殊的情形存在。例如，境内数据处理者仅向境外提供服务，且数据不涉及境内组织或个人时，如将相关数据认定为需要保护的“境内”数据，并无实际意义。再例如，外国人到境内高校担任访问学者，如其未经授权接触了高校的敏感科研数据，这显然属于需要防范的数据出境风险。
  
因此，有必要从设立数据出境安全管理制度的本意（防范来自国外的对国家安全、公民权益造成侵害的数据安全风险）出发，准确定义“境内运营”和“数据出境”。
  
2017年，中国信通院立项编制的国家标准《信息安全技术 数据出境安全评估指南》对以上两个概念作了研究，其结论目前已基本形成共识：
  
一是关于境内运营。这是指数据处理者在中华人民共和国境内开展业务，提供产品或服务的活动。未在中华人民共和国境内注册，但在中华人民共和国境内开展业务，或向中华人民共和境内提供产品或服务的，属于境内运营。判断数据处理者是否在中华人民共和国境内开展业务，或向中华人民共和境内提供产品或服务的参考因素包括但不限于：使用中文；以人民币作为结算货币；向中国境内配送物流等。但是，如属中华人民共和国境内的数据处理者仅向境外组织或个人开展业务、提供商品或服务，且不涉及境内组织和个人的数据的，不视为境内运营。
  
二是关于数据出境。这是指数据处理者通过网络等方式，将其在中华人民共和国境内运营中收集和产生的数据，通过直接提供或开展业务、提供服务、产品等方式提供给境外的组织或个人的一次性活动或连续性活动。以下情形属于数据出境：a）向本国境内，但不属于本国司法管辖或未在境内注册的主体提供数据；b）数据未转移存储至本国以外的地方，但被境外的组织、个人访问查看的（公开信息、网页访问除外）；c）数据处理者集团内部数据由境内转移至境外，涉及其在境内运营中收集和产生的数据的。但是，非在境内运营中收集和产生的数据经由本国出境，未经任何变动或加工处理的，不属于数据出境；非在境内运营中收集和产生的数据在境内存储、加工处理后出境，不涉及境内运营中收集和产生的数据的，不属于数据出境。
  
当然，数据出境的内涵比较深刻，以上概念是否全部可以被《条例》所接受？将来是否能在《条例》中增加这些概念，或对特殊的数据出境场景进行专门规定？这则可以进一步讨论。

【下期预告】
64、为什么在数据出境的“认证”条件中，要求数据接收方也要经过个人信息保护认证？
65、如何理解个人信息出境的例外要求？

【往期链接】
0、条例正文
1、《条例》的定位及其同《数据安全法》和《个人信息保护法》的关系是什么？
2、如何理解《条例》的结构？
3、如何理解《条例》名称中使用的是“网络数据”？
4、如何理解数据处理者？
5、如何理解《条例》的域外效力？
6、如何理解《条例》的不适用范围？
7、如何理解数据分类分级保护制度？
8、如何理解数据分类分级管理？
9、如何理解重要数据？
10、如何理解重要数据与个人信息的关系？
11、如何组织识别重要数据和核心数据？
12、如何理解重要数据和核心数据目录？
13、如何理解数据开发利用？
14、如何理解数据交易管理制度？
15、如何理解数据处理者的安全保护义务？
16、如何理解等级保护、关键信息基础设施安全保护与数据安全的关系？
17、如何理解对发现安全缺陷、漏洞、风险时提出的补救措施要求？
18、如何理解数据处理者的应急处置义务？
19、如何理解重要数据或者十万人以上个人信息事件的处置义务？
20、如何理解向第三方提供个人信息或发送重要数据的安全要求？
21、如何理解“单独同意”？
22、为什么要求留存个人同意记录？
23、如何理解《条例》提出的网络安全审查要求？
24、《条例》规定的网络安全审查与《数据安全法》规定的数据安全审查是什么关系？
25、为什么对数据处理者赴国外上市和赴香港上市分别提出不同的审查要求？
26、为什么对大型互联网平台运营者在境外设立总部或者运营中心、研发中心提出安全要求？
27、为什么对合并、重组、分立或解散、破产提出数据安全要求？
28、为什么要对国家机关专门提出数据安全要求？
29、如何理解对自动化工具访问、收集数据的安全要求？
30、《条例》提出数据安全情况披露要求是基于什么考虑？
31、如何理解对“合法、正当、必要”提出的要求？
32、为什么增加了对处理个人信息“频次”“时机”的要求？
33、为什么要细化对个人信息处理规则的要求？
34、如何理解对个人信息处理规则提出的“清单形式”？
35、为什么要在个人信息处理规则中对第三方代码、插件提出要求？
36、无法对掌握开源第三方代码的个人信息处理规则怎么办？
37、为什么要细化对“同意”的要求？
38、为什么规定不得以改善服务质量等为由强迫要求用户同意处理个人信息？
39、什么叫做“频繁”征求同意？
40、对个人同意行为有效性存在争议时如何处理？
41、如何理解“十五个”工作日的删除个人信息要求？
42、如何理解“无法避免采集”场景？
43、《条例》从哪些方面保障个人行使查询、复制等权利？
44、如何理解个人信息转移请求？
45、如何理解个人请求直接对外转移个人信息的条件？
46、《条例》对生物特征应用的规定是基于什么考虑？
47、如何理解对生物特征识别的必要性、安全性评估？
48、如何理解重要数据处理者的要求适用于一百万人以上个人信息处理者？
49、如何理解《条例》对建立对个人信息保护制度和重要数据安全制度的侧重点不同？
50、如何理解对数据安全负责人和数据安全管理机构的要求？
51、为什么要求数据安全负责人有权直接向网信部门反映情况？
52、如何理解重要数据处理者的备案要求？
53、如何理解对重要数据处理者的培训要求？
54、如何理解重要数据处理者采购网络产品和服务的要求？
55、如何理解对重要数据处理者和赴境外上市数据处理者的年度数据安全评估要求？
56、如何理解对外提供数据的风险评估要求？
57、对外提供数据前由谁实施风险评估？
58、对外提供数据前所作的风险评估报告怎么使用？
59、《条例》提出的数据安全风险评估与以前的风险评估有什么区别？
60、共享、交易、委托处理重要数据前需要遵循什么规定？
61、如何理解云计算安全评估制度？

  总编辑|小贝