数安条例百问69、70：关于数据出境安全管理义务与安全报告

数据安全君

小贝案语
11月14日，国家互联网信息办公布了《网络数据安全管理条例（征求意见稿）》。为此，小贝说安全设立《网络数据安全管理条例（征求意见稿）》（后文简称《条例》）解读专栏，以百问百答的形式对《条例》进行系列解读。

需要指出，这些解读只是专家个人观点，不代表官方意见；且这些解读针对的是征求意见稿，未来条文本身可能会发生变化，不排除会有新增和删除。

对应条款
第三十九条 数据处理者向境外提供数据应当履行以下义务：

（一）不得超出报送网信部门的个人信息保护影响评估报告中明确的目的、范围、方式和数据类型、规模等向境外提供个人信息；
（二）不得超出网信部门安全评估时明确的出境目的、范围、方式和数据类型、规模等向境外提供个人信息和重要数据；
（三）采取合同等有效措施监督数据接收方按照双方约定的目的、范围、方式使用数据，履行数据安全保护义务，保证数据安全；
（四）接受和处理数据出境所涉及的用户投诉；
（五）数据出境对个人、组织合法权益或者公共利益造成损害的，数据处理者应当依法承担责任；
（六）存留相关日志记录和数据出境审批记录三年以上；
（七）国家网信部门会同国务院有关部门核验向境外提供个人信息和重要数据的类型、范围时，数据处理者应当以明文、可读方式予以展示；
（八）国家网信部门认定不得出境的，数据处理者应当停止数据出境，并采取有效措施对已出境数据的安全予以补救；
（九）个人信息出境后确需再转移的，应当事先与个人约定再转移的条件，并明确数据接收方履行的安全保护义务。
非经中华人民共和国主管机关批准，境内的个人、组织不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

解读
《条例》第三十九条规定了数据处理者向境外提供数据时应当履行的义务。该条的设置非常重要。因为在《数据安全法》《个人信息保护法》等上位法规定中，重点是对数据出境的条件予以明确，并建立数据出境安全评估制度。但仅出境条件和出境安全评估制度并不能构成完整的数据出境安全管理制度，还需要明确数据出境过程中相关的责任义务，这是《条例》第三十九条的立法目的。

对于《条例》第三十九条的规定，可以从以下方面去理解：
  
第一，该条适用于不同条件下的数据出境。即，无论数据经国家网信部门评估出境，还是通过认证方式、标准合同方式出境，均需满足第三十九条规定的相关义务。
  
第二，该条进一步明确了“个人信息保护影响评估报告”与数据出境的关系。《个人信息保护法》第五十五条规定，有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：（一）处理敏感个人信息；（二）利用个人信息进行自动化决策；（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；（四）向境外提供个人信息；（五）其他对个人权益有重大影响的个人信息处理活动。即，个人信息出境前，应当进行个人信息保护影响评估。但这个评估报告如何使用呢？如果数据处理者所作个人信息保护影响评估不准确呢？从《条例》第三十九条第（一）项规定看，这份个人信息保护影响评估报告应当报网信部门，其合理性应当由网信部门判断。至于报送的方式，可以在出境评估、认证、标准合同等方式中分别具体明确。例如，在“认证”方式中，个人信息保护影响评估报告便有可能需要提交给网信部门前期指定的认证机构。
  
第三，该条明确了数据处理者应当诚信，不得采取虚假方式实施数据出境。网信部门组织的数据出境评估实际上是个“事前”的活动，数据处理者是否真正按照申报和网信办的批复向境外传输数据呢？目前尚缺乏直接的事中、事后监督措施，故原则上要求，不得超出网信部门安全评估时明确的出境目的、范围、方式和数据类型、规模等向境外提供个人信息和重要数据。且一旦被网信部门发现数据违规出境，数据处理者应当停止数据出境，并采取有效措施对已出境数据的安全予以补救。这样的规定也是防止数据出境安全评估制度成为虚设。
  
第四，该条强调了数据出境后对数据接收方的监督。普遍认为，数据出境后，政府便对境外的数据“望尘莫及”，如发生数据安全事件，只能在境内“干瞪眼”。这种情况显然是不可接受的，客观上有必要强调出境后数据的安全保护责任。从全球实践看，这也是基本共识，且一般通过合同方式实现。《通用数据保护条例》（GDPR）第42条第（2）项规定，数据控制者和处理者应通过合约或其他具有法律约束力的文件，做出有约束力且可强制执行的承诺，以便应用这些保障措施，包括有关数据主体权利的保障措施。特别是，此后欧盟在数据出境的“认证”模式中进一步强调，由于在第三国（或国际组织）中缺乏基于监管机构对数据传输进行特定授权或充分性保护认定而形成的义务，故位于第三国的控制者或处理者应当做出额外的承诺，来为认证所规定的保障措施提供可执行性和约束力。承诺的内容包括：执行认证方案中要求的适当保护措施，应包括保护数据主体相关条款，且位于欧盟外数据控制者/处理者之间的认证协议可能还要包括数据接收方承诺遵守认证机制的标准和总体条件（例如，如何使用认证标记等）。需要强调，数据出境无论是否采用“标准合同”方式，发送方和接收方之间都应当有合同。
  
第五，该条强调了追责问题。数据出境后，一旦出现因数据接收方责任引发的数据安全事件，境内利害关系人很难对境外数据接收方进行追责。这种情况下怎么办？《条例》规定，此时要由数据发送方接受和处理数据出境所涉及的用户投诉。此外，《条例》还指出，数据出境对个人、组织合法权益或者公共利益造成损害的，数据处理者应当依法承担责任。当然，这个责任不是无限大，不是要求数据发送方代接收方受过，具体责任大小应根据实际情况进行判定。
  
第六，该条为今后网信部门实施监管和检查提供了支持。除了规定一系列管理措施外，必要时应当对数据处理者的数据出境活动进行监督检查。当前很多数据处理者采用加密方式向境外传输数据，这本身也是保护数据安全的一种手段，并不禁止，但客观上也的确为监管部门发现违规数据出境行为增加了难度。故《条例》规定，国家网信部门会同国务院有关部门核验向境外提供个人信息和重要数据的类型、范围时，数据处理者应当以明文、可读方式予以展示。
  
第七，该条考虑了在数据出境活动中保护个人权益的方式。数据出境应当征得个人单独同意（例外情形除外），但出境的个人信息发生再转移怎么办？境外数据接收方可能再费周折找到境内的个人去征得同意吗？从现实看，此时很难生搬硬套“同意”原则。故《条例》规定，个人信息出境后确需再转移的，应当事先与个人约定再转移的条件，并明确数据接收方履行的安全保护义务。即，数据发送方、接收方应当在合同中明确个人信息再转移事项，并在出境前征得个人单独同意时，一并将再转移条件征得个人同意。
  
第八，该条继承了上位法对外国司法或者执法机构调取数据的相关规定。《数据安全法》和《个人信息保护法》都规定，非经中华人民共和国主管机关批准，境内的个人、组织不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。该规定是为了反制美等国家实施的“长臂管辖”“域外执法”行为。如2018年3月，美国颁布《云法案》（全称《澄清境外数据的合法使用法》），规定如美国政府索取，所有美企必须将储存在境内外的数据提交给政府。为此，我国在几部数据安全法律法规中都设立了相应条款予以反制。但实践中发现，当前有必要对上位法的规定进一步澄清。例如，境内组织或个人主动到国外打官司，因诉讼需要而向国外法院提交证据，这显然不是反制《云法案》的情况，则此时还需要主管机关批准吗？如有可能，建议《条例》在后续修改中适当考虑这一问题。

对应条款
第四十条 向境外提供个人信息和重要数据的数据处理者，应当在每年1月31日前编制数据出境安全报告，向设区的市级网信部门报告上一年度以下数据出境情况：

（一）全部数据接收方名称、联系方式；
（二）出境数据的类型、数量及目的；
（三）数据在境外的存放地点、存储期限、使用范围和方式；
（四）涉及向境外提供数据的用户投诉及处理情况；
（五）发生的数据安全事件及其处置情况；
（六）数据出境后再转移的情况；
（七）国家网信部门明确向境外提供数据需要报告的其他事项。

解读
数据出境情况报告是《条例》规定的一系列报告中的一种。为什么提出对这种报告的要求呢？主要原因是数据出境的几种条件的适用性由数据发送方自行判断（例如，发送方如认为不必进行出境评估，则其便不会向网信部门提交出境评估申请），且数据实际出境情况不可能通过技术手段全面掌握（即使监测到了出境的数据，也难以判断是否合规）。这种情况下，有必要通过企业自我声明的方式，汇总报告全年度的数据出境情况，便于网信部门充分掌握情况。

除了要反映数据发送方一侧的情况外，《条例》还要求报送数据出境后再转移的情况。这意味着，即使数据已经完成出境，数据发送方也不能当“甩手掌柜”，其仍需关注数据接收方对数据的使用情况，尤其是再转移情况。为确保这一目的能够实现，发送方宜在合同中与接收方就此作出约定。

【下期预告】
71、如何理解数据跨境安全网关？
72、为什么要求境内用户访问境内网络时，流量不得被路由至境外？
73、为什么要求数据处理者按照国家数据跨境安全监管要求，建立健全相关技术和管理措施？

【往期链接】
0、条例正文
1、《条例》的定位及其同《数据安全法》和《个人信息保护法》的关系是什么？
2、如何理解《条例》的结构？
3、如何理解《条例》名称中使用的是“网络数据”？
4、如何理解数据处理者？
5、如何理解《条例》的域外效力？
6、如何理解《条例》的不适用范围？
7、如何理解数据分类分级保护制度？
8、如何理解数据分类分级管理？
9、如何理解重要数据？
10、如何理解重要数据与个人信息的关系？
11、如何组织识别重要数据和核心数据？
12、如何理解重要数据和核心数据目录？
13、如何理解数据开发利用？
14、如何理解数据交易管理制度？
15、如何理解数据处理者的安全保护义务？
16、如何理解等级保护、关键信息基础设施安全保护与数据安全的关系？
17、如何理解对发现安全缺陷、漏洞、风险时提出的补救措施要求？
18、如何理解数据处理者的应急处置义务？
19、如何理解重要数据或者十万人以上个人信息事件的处置义务？
20、如何理解向第三方提供个人信息或发送重要数据的安全要求？
21、如何理解“单独同意”？
22、为什么要求留存个人同意记录？
23、如何理解《条例》提出的网络安全审查要求？
24、《条例》规定的网络安全审查与《数据安全法》规定的数据安全审查是什么关系？
25、为什么对数据处理者赴国外上市和赴香港上市分别提出不同的审查要求？
26、为什么对大型互联网平台运营者在境外设立总部或者运营中心、研发中心提出安全要求？
27、为什么对合并、重组、分立或解散、破产提出数据安全要求？
28、为什么要对国家机关专门提出数据安全要求？
29、如何理解对自动化工具访问、收集数据的安全要求？
30、《条例》提出数据安全情况披露要求是基于什么考虑？
31、如何理解对“合法、正当、必要”提出的要求？
32、为什么增加了对处理个人信息“频次”“时机”的要求？
33、为什么要细化对个人信息处理规则的要求？
34、如何理解对个人信息处理规则提出的“清单形式”？
35、为什么要在个人信息处理规则中对第三方代码、插件提出要求？
36、无法对掌握开源第三方代码的个人信息处理规则怎么办？
37、为什么要细化对“同意”的要求？
38、为什么规定不得以改善服务质量等为由强迫要求用户同意处理个人信息？
39、什么叫做“频繁”征求同意？
40、对个人同意行为有效性存在争议时如何处理？
41、如何理解“十五个”工作日的删除个人信息要求？
42、如何理解“无法避免采集”场景？
43、《条例》从哪些方面保障个人行使查询、复制等权利？
44、如何理解个人信息转移请求？
45、如何理解个人请求直接对外转移个人信息的条件？
46、《条例》对生物特征应用的规定是基于什么考虑？
47、如何理解对生物特征识别的必要性、安全性评估？
48、如何理解重要数据处理者的要求适用于一百万人以上个人信息处理者？
49、如何理解《条例》对建立对个人信息保护制度和重要数据安全制度的侧重点不同？
50、如何理解对数据安全负责人和数据安全管理机构的要求？
51、为什么要求数据安全负责人有权直接向网信部门反映情况？
52、如何理解重要数据处理者的备案要求？
53、如何理解对重要数据处理者的培训要求？
54、如何理解重要数据处理者采购网络产品和服务的要求？
55、如何理解对重要数据处理者和赴境外上市数据处理者的年度数据安全评估要求？
56、如何理解对外提供数据的风险评估要求？
57、对外提供数据前由谁实施风险评估？
58、对外提供数据前所作的风险评估报告怎么使用？
59、《条例》提出的数据安全风险评估与以前的风险评估有什么区别？
60、共享、交易、委托处理重要数据前需要遵循什么规定？
61、如何理解云计算安全评估制度？
62、为什么要单设“数据跨境安全管理”一章？
63、如何理解数据出境？
64、为什么在数据出境的“认证”条件中，要求数据接收方也要经过个人信息保护认证？
65、如何理解个人信息出境的例外要求？
66、如何理解向境外提供个人信息的“单独同意”要求？
67、什么情况下需要通过网信部门评估后数据才可出境？
68、为什么要对国际条约、协定规定例外？

  总编辑|小贝