数安条例百问64、65：关于数据出境的几种条件和例外情况

数据安全君

小贝案语
11月14日，国家互联网信息办公布了《网络数据安全管理条例（征求意见稿）》。为此，小贝说安全设立《网络数据安全管理条例（征求意见稿）》（后文简称《条例》）解读专栏，以百问百答的形式对《条例》进行系列解读。

需要指出，这些解读只是专家个人观点，不代表官方意见；且这些解读针对的是征求意见稿，未来条文本身可能会发生变化，不排除会有新增和删除。

对应条款
第三十五条 数据处理者因业务等需要，确需向中华人民共和国境外提供数据的，应当具备下列条件之一：
（一）通过国家网信部门组织的数据出境安全评估；
（二）数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证；
（三）按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同，约定双方权利和义务；
（四）法律、行政法规或者国家网信部门规定的其他条件。
数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的，或者为了保护个人生命健康和财产安全而必须向境外提供个人信息的除外。

解读
《条例》第三十五条规定了数据出境的几种条件。其中，第二个条件是数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证。对此，一些人提出，如要求数据接收方也通过认证，这恐难实现，故建议只保留对境内数据发送方的认证。这一建议很难被采纳，现从几个角度分析如下：
一、认证与数据安全认证

“认证”是一个严肃的话题。我们常见到一些机构声称开展认证、颁发证书，但很多都是违法的，不能写个报告盖个章就叫“认证”。认证来自于社会化大生产时代的商品流通需求。买方对于卖方的产品或服务天然不信任，最初由卖方自己证明，这称为一方认证，但如此便有“王婆卖瓜自卖自夸”之嫌；此后发展成了由买方对卖方的产品或服务进行证明，这称为二方认证，此时买方肯定是放心了，但如果每个买方都这么干，显然会带来极高的社会成本，而且买方也未必具有相应的技术和能力；于是三方认证应用而生，即由买方和卖方都认可的第三方机构对产品和服务给出证明，这就是现代认证制度的由来。现如今人们所说的“认证”，都是指第三方认证。

显然，既然认证机构要对产品和服务作背书，颁发的证书要供商品流通过程采信，其自身必须很靠谱，故认证活动必然要处于严格监管之下。为此，我国在2003年9月颁布了《中华人民共和国认证认可条例》，目前正在修订。

《中华人民共和国认证认可条例》规定，取得认证机构资质，应当经国务院认证认可监督管理部门批准，并在批准范围内从事认证活动。未经批准，任何单位和个人不得从事认证活动。这里的“国务院认证认可监督管理部门”是指国家认证认可监督管理委员会（国家认监委），目前设置在国家市场监管总局。

那么，什么是认证呢？根据《中华人民共和国认证认可条例》，是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。这一定义说明，认证的对象分为三种：产品、服务、管理体系。但并不是获得认证机构资格后，就可以对任何对象颁发证书了，其只能在国家认监委批准的范围内从事认证。即，批准你只对木材产品进行认证，便不得对软件产品进行认证。

《中华人民共和国认证认可条例》还要求，从事产品认证活动的认证机构，还应当具备与从事相关产品认证活动相适应的检测、检查等技术能力。那么认证机构的能力由谁评价呢？这便引出了“认可”的概念，即由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格，予以承认的合格评定活动。这里的“认可机构”是指中国合格评定国家认可委员会。所以，认证机构除必须由国家认监委审批成立外，其能力还要经过国家认可委的验证。

既然要颁发证书，标准是什么？《中华人民共和国认证认可条例》规定，认证机构应当按照认证基本规范、认证规则从事认证活动。认证基本规范、认证规则由国务院认证认可监督管理部门制定；涉及国务院有关部门职责的，国务院认证认可监督管理部门应当会同国务院有关部门制定。属于认证新领域，前款规定的部门尚未制定认证规则的，认证机构可以自行制定认证规则，并报国务院认证认可监督管理部门备案。这意味着，一般要首先有明确的标准，基于标准制定认证基本规范和认证规则后，认证机构据此作出认证决定。

数据安全认证是认证的一种，也要符合以上的管理框架。而且，数据安全认证涵盖全部三种认证类型：产品认证，服务认证，管理体系认证。

二、欧盟的数据安全认证

欧盟《通用数据保护条例》（GDPR）在设计之初便考虑了数据安全认证问题。其提供了多种途径帮助企业证明其合规性。其中，第42条和第43条引入了对数据控制者或处理者的数据处理行为进行认证的制度，规定了各参与方的作用和要求，以及认证和认可过程的总体原则。

GDPR第42条（1）款要求：成员国、监管机构、欧盟数据保护委员会和欧盟委员会应鼓励建立数据保护认证机制，设立数据保护印章、标识，特别是欧盟整体级别的印章和标识，以便证明数据控制者和处理者的数据处理操作符合本条例要求。应考虑中小微型企业的特定需求。这便是GDPR数据安全认证的由来。

GDPR数据安全认证制度的特点是：其不限定具体的对象，即针对产品、服务、管理体系开展数据安全认证均可；也不限制具体的认证品牌和数量，即某个认证机构可以颁发全欧洲承认的数据安全认证证书，也可以颁发某个国家或某几个国家承认的认证证书，区别在于由谁对其进行认可。这意味着，全欧洲可以有上百种数据安全认证证书，类型不一样，有效范围也不一样。

既然GDPR允许成员国和监管机构采用多种方式实施数据安全认证制度，但这种新颖和灵活的机制所带来的不确定因素也不可忽视。为此，自2018年起，欧盟委员会、欧盟数据保护委员会和第29条工作组内的国家监管机构进行了大量研究，发布了一系列指南和报告，力图为GDPR创建便捷的合规环境。

2018年5月，EDPB发布了《针对GDPR第42、43条认证规定的指南》，并于2019年6月4日发布第三版，对认证制度的可重复性原则、问责工具作用、关键概念和认证范围等进行了更加详细的阐释。指南的附录部分《认证标准评估指南（第1/2018号指南附录，关于认证和根据GDPR第42、43条确定认证标准）》经修改于2021年4月14日至5月26日公开征求意见。

2018年12月4日，EDPB发布了《依据GDPR第43条要求的数据保护认证机构的认可指南》，对成员国的角色职责、国家认可机构的职责、监管机构的职责、监管机构自行开展认证的情况以及对认证机构的认可要求提出指导。

2019年5月，欧盟委员会发布了研究报告《数据保护认证机制——对欧盟第2016/679号条例（GDPR）第42、43条的研究》。具体目的是：在认证领域语义下，解释GDPR第42、43条的各种术语；了解成员国现有的数据安全认证方案和相关技术标准，了解欧盟主要贸易伙伴中现有的数据安全认证方案和相关技术标准；分析选定的15个认证方案（包括其实质性和程序性要求）和相关技术标准；为欧盟委员会提出建议。

三、数据安全认证监管体系

GDPR第43条（1）款规定，成员国应确保数据安全认证组织获得以下组织（至少其中一类）的认可：
(a)数据保护监管机构；
(b)国家认可机构。

即，欧盟既考虑了认证认可制度的一般规定，也考虑了数据安全认证制度的特殊性。数据安全认证机构既可以按照传统渠道，由认可机构进行资质评估，也可由各国数据保护监管机构进行批准。

但相对于传统的国家认可机构对认证机构的监管，GDPR赋予了各国数据保护监管机构很重要的任务和很大的权力。如图所示

GDPR数据安全认证监管框架如下图所示。

这对我国建立数据安全认证制度带来了很好的启示。将来中国的数据安全认证也会分很多种（产品、服务、管理体系），国内会成立一批数据安全认证机构。但这些机构由谁来批准呢？批准机构的职责是什么呢？从欧盟经验看，可以由国家认监委批准，也可以由中央网信办批准。但客观看，仅由国家认监委批准可能还不够，毕竟数据安全的专业性太强，欧盟也是打破惯例允许由各国数据保护监管机构（数据保护委员会）批准。因此，将来我国数据安全认证的监管模式很可能是国家认监委（或其上级单位国家市场监管总局）与中央网信办联合监管。

四、数据安全认证与数据出境

我国《个人信息保护法》第三十八条规定，个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；（四）法律、行政法规或者国家网信部门规定的其他条件。

其中，第（二）项将认证制度引入到了数据出境安全管理中来。但这不是我国的首创，其借鉴了GDPR的规定。GDPR第42（2）款及第46（2）款共同提出了可将数据保护认证作为数据跨境传输合法依据的方法。即，位于未获得充分性认定的第三国的数据处理者或控制者申请并获得认证，并与数据传输方或认证机构做出有约束力的承诺（如合同条款等），即可合法接收欧盟的个人数据。

其原文表述如下：除了本条例规范的数据控制者和处理者外，数据保护认证机制、印章或标识可用于证明，不受GDPR第3条规范的数据控制者和处理者提供了适宜的保障措施，符合本条例第46条(2)(f)项提出的个人信息转移至第三国或国际组织的框架。此类数据控制者和处理者应通过合约或其他具有法律约束力的文件，做出有约束力且可强制执行的承诺，以便应用这些保障措施，包括有关数据主体权利的保障措施。

在对跨境传输认证机制的描述中，GDPR非常明确地指出：申请者是位于欧盟外、且不具备充分性认定的国家/地区的数据控制者或处理者（数据接收方），接收方还需要与认证机构和/或数据传输方签订有约束力的承诺。
  
欧盟还指出，在GDPR提出的几种数据出境机制中，当事机构可以自由选择不同的机制，但相比于其他机制，认证的优势在于，没有与欧盟达成充分性认定协议的第三国企业不必与欧盟境内企业形成数据跨境合作就可申请数据保护认证（即，在没有数据跨境传输场景的时候就可以申请认证）。而且，其他机制更适合于具体行业的企业，而认证机制可以不考虑行业的特殊性，更加灵活，适用于更广泛的数据控制者和处理者。
  
欧盟委员会在《数据保护认证机制——对欧盟第2016/679号条例（GDPR）第42、43条的研究》中，提出了数据跨境传输认证机制应确定的数据处理操作保障措施最低要求：
  
1）关于处理条件的认证标准：应关注数据处理原则（第5条）和法律依据（第6条）。认证方案应研究数据接收方如何在其处理过程中应用数据最小化原则、目的限制，以及GDPR第5条的其他原则。认证标准应包括对每项标准意图的定义和简要说明，不提出实现标准的方法。
2）关于数据主体权利的认证标准：认证方案应检查数据接收方如何实现实质性和程序性的数据主体权利（获得有效救济的权利）。
3）关于各方责任的认证标准：认证方案还应包括针对数据控制者、处理者责任的标准，如通过设计和默认实现数据保护（第25条），数据安全（第32条），数据处理活动记录（第30条），数据泄露（第33、34条），数据保护影响评估（第35条）等。
4）认证机构评估：认证机构负责评估数据接收方是否符合GDPR第42（2）款所述数据保护认证机制中的认证标准。评估的内容可以包括：

l 文档，例如策略，商业和雇佣合同，条款和条件，用户手册，文件管理和/或存档系统，同意书，隐私声明和隐私政策等；
l IT安全措施，例如假名化和加密，IT软件和基础设施（包括备份系统和存储系统）；
l 工作流程和程序，例如雇员对包含个人数据的文档的访问权和授权，投诉处理和争议解决，行使数据主体权利的流程，审查和帮助达成数据主体的诉求等。

不仅如此，《数据保护认证机制——对欧盟第2016/679号条例（GDPR）第42、43条的研究》还对境外数据接收方的承诺作了进一步规定。理论上，数据接收方有义务承诺执行认证方案中要求的适当保护措施（第42条第2款）。这是因为，在第三国（或国际组织）中缺乏基于监管机构对数据传输进行特定授权或充分性保护认定而形成的义务，故GDPR要求位于第三国的控制者或处理者做出额外的承诺，来为认证所规定的保障措施提供可执行性和约束力。

1）承诺的内容：执行认证方案中要求的适当保护措施，应包括保护数据主体相关条款。通常，认证协议会包含所授予认证的维持条件。实践中，通常是承诺继续遵守认证标准并向认证机构报告可能影响认证的任何变更。在跨境传输认证的语境下，认证机构和位于欧盟外数据控制者/处理者之间的认证协议可能还要包括数据接收方承诺遵守认证机制的标准和总体条件（例如，如何使用认证标记等）。认证机构还应要求数据传输方也做出承诺，或要求数据接收方在提供有关认证的证据外，还承诺要求数据传输方实施保护措施。

2）承诺的形式：合同或其他具有法律约束力的文书，主要包括合同（双边合同或多边合同）和条约。使用合同手段来加强认证机制在数据跨境传输方面的效果时，以下两个合同极为关键：

l 认证机构与数据接收方之间的认证合同。可通过在认证合同中加入适当的保证、罚则（撤销或暂停认证等）和其他制裁措施，来强化承诺。
l 位于欧盟境内的数据控制者/处理者与位于欧盟外的数据控制者/处理者之间的数据处理合同。可以规定获得/维持有效证书的义务，并通过担保和制裁（罚金、违约责任、终止协议）条款来保障此类义务的履行，从而增强认证合同的效力。为了确保获得经济补偿（罚款、赔偿损失等）的效力，可以使用诸如银行担保之类的途径。条约在国家之间建立义务，例如承认法院的判决，也可以赋予个人权利。2017年，欧盟委员会宣布将研究GDPR第50条的可能应用，具体来说，是制定欧盟数据保护机构与第三国执法机构之间合作框架协议。

毫无疑问，在跨境传输认证机制下，重点是对境外的数据接收方进行认证，欧盟已经多次表达了这一观点。这一点没有任何疑义，否则认证机制对于跨境传输还有什么意义呢？借鉴欧盟经验，《条例》第三十五条提出，数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证后，数据可以出境。因此，只对数据处理者进行认证是完全不够的。至于有人担心，如何到国外对数据接收者进行认证？这当然有赖于国家间合作。如国外机构申请认证确实有困难，则完全可以通过其他机制实施数据出境，数据出境的大门并未关死。事实上，GDPR规定的几种数据出境条件中，也是各有利弊，需当事机构根据具体情况权衡。

对应条款
第三十五条 数据处理者因业务等需要，确需向中华人民共和国境外提供数据的，应当具备下列条件之一：

（一）通过国家网信部门组织的数据出境安全评估；
（二）数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证；
（三）按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同，约定双方权利和义务；
（四）法律、行政法规或者国家网信部门规定的其他条件。
数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的，或者为了保护个人生命健康和财产安全而必须向境外提供个人信息的除外。

解读
随着全球化的深入推进，更多的中国人在走出国门、开展国际交往活动，与之伴随的是越来越频繁的个人信息出境。如果不考虑这一情况，而对所有的个人信息出境都进行严格管理，则必然对个人的正常生活带来严重干扰。为此，《条例》列出了个人信息出境的例外情形。
  
具体分两大类。
  
一是《条例》第三条规定了整部《条例》的豁免：自然人因个人或者家庭事务开展数据处理活动，不适用本条例。自然，自然人因个人或者家庭事务开展数据处理活动也就不适用于数据出境的要求。即，个人打长途电话、买国际机票、定国外宾馆，不必受制于数据出境安全管理。
  
二是《条例》在第三十五条规定，数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的，或者为了保护个人生命健康和财产安全而必须向境外提供个人信息的除外。
  
第三十五条的规定考虑了两种情况：
  
（一）当数据处理者为订立、履行个人作为一方当事人的合同，必需向境外提供当事人个人信息时。此时个人作为当事人肯定是同意的，因此责任自负，没有必要由国家对这种个人信息出境活动进行管理；
  
（二）当为了保护个人生命健康和财产安全而必须向境外提供个人信息时。例如，当事人已经昏迷，此时要赴国外治病，如将其弄醒、请其同意对个人病例进行跨境传输，那简直是荒谬的。

【下期预告】
66、如何理解向境外提供个人信息的“单独同意”要求？
67、什么情况下需要通过网信部门评估后数据才可出境？
68、为什么要对国际条约、协定规定例外？

【往期链接】
0、条例正文
1、《条例》的定位及其同《数据安全法》和《个人信息保护法》的关系是什么？
2、如何理解《条例》的结构？
3、如何理解《条例》名称中使用的是“网络数据”？
4、如何理解数据处理者？
5、如何理解《条例》的域外效力？
6、如何理解《条例》的不适用范围？
7、如何理解数据分类分级保护制度？
8、如何理解数据分类分级管理？
9、如何理解重要数据？
10、如何理解重要数据与个人信息的关系？
11、如何组织识别重要数据和核心数据？
12、如何理解重要数据和核心数据目录？
13、如何理解数据开发利用？
14、如何理解数据交易管理制度？
15、如何理解数据处理者的安全保护义务？
16、如何理解等级保护、关键信息基础设施安全保护与数据安全的关系？
17、如何理解对发现安全缺陷、漏洞、风险时提出的补救措施要求？
18、如何理解数据处理者的应急处置义务？
19、如何理解重要数据或者十万人以上个人信息事件的处置义务？
20、如何理解向第三方提供个人信息或发送重要数据的安全要求？
21、如何理解“单独同意”？
22、为什么要求留存个人同意记录？
23、如何理解《条例》提出的网络安全审查要求？
24、《条例》规定的网络安全审查与《数据安全法》规定的数据安全审查是什么关系？
25、为什么对数据处理者赴国外上市和赴香港上市分别提出不同的审查要求？
26、为什么对大型互联网平台运营者在境外设立总部或者运营中心、研发中心提出安全要求？
27、为什么对合并、重组、分立或解散、破产提出数据安全要求？
28、为什么要对国家机关专门提出数据安全要求？
29、如何理解对自动化工具访问、收集数据的安全要求？
30、《条例》提出数据安全情况披露要求是基于什么考虑？
31、如何理解对“合法、正当、必要”提出的要求？
32、为什么增加了对处理个人信息“频次”“时机”的要求？
33、为什么要细化对个人信息处理规则的要求？
34、如何理解对个人信息处理规则提出的“清单形式”？
35、为什么要在个人信息处理规则中对第三方代码、插件提出要求？
36、无法对掌握开源第三方代码的个人信息处理规则怎么办？
37、为什么要细化对“同意”的要求？
38、为什么规定不得以改善服务质量等为由强迫要求用户同意处理个人信息？
39、什么叫做“频繁”征求同意？
40、对个人同意行为有效性存在争议时如何处理？
41、如何理解“十五个”工作日的删除个人信息要求？
42、如何理解“无法避免采集”场景？
43、《条例》从哪些方面保障个人行使查询、复制等权利？
44、如何理解个人信息转移请求？
45、如何理解个人请求直接对外转移个人信息的条件？
46、《条例》对生物特征应用的规定是基于什么考虑？
47、如何理解对生物特征识别的必要性、安全性评估？
48、如何理解重要数据处理者的要求适用于一百万人以上个人信息处理者？
49、如何理解《条例》对建立对个人信息保护制度和重要数据安全制度的侧重点不同？
50、如何理解对数据安全负责人和数据安全管理机构的要求？
51、为什么要求数据安全负责人有权直接向网信部门反映情况？
52、如何理解重要数据处理者的备案要求？
53、如何理解对重要数据处理者的培训要求？
54、如何理解重要数据处理者采购网络产品和服务的要求？
55、如何理解对重要数据处理者和赴境外上市数据处理者的年度数据安全评估要求？
56、如何理解对外提供数据的风险评估要求？
57、对外提供数据前由谁实施风险评估？
58、对外提供数据前所作的风险评估报告怎么使用？
59、《条例》提出的数据安全风险评估与以前的风险评估有什么区别？
60、共享、交易、委托处理重要数据前需要遵循什么规定？
61、如何理解云计算安全评估制度？
62、为什么要单设“数据跨境安全管理”一章？
63、如何理解数据出境？

  总编辑|小贝