上班了，网信办数据跨境流动新政的重要信号，接收到了吗？

数据安全君

｜小贝案语｜
■ “念负重於春冰，怀御奔於秋驾”，这句诗常常用来形容加班的辛苦。今天节后第一天上班，很适合送给数据安全行业的同仁们。因为咱们国家网信办最近又留作业了，而且依然延续以前的风格，要么是半夜，要么是节前的最后一天。这次又是在中秋国庆双节前发布了《规范和促进数据跨境流动规定（征求意见稿）》（以下简称《规定》）。得！大家的“御奔”都牵回来吧。
但这个作业做的值！《规定》虽然只是个征求意见稿，情况却有些特殊，因为它的信息量太大了，大到可能会对今后一些涉及数据的工作产生深远影响。特别是，这个文件发布于数据跨境流动安全管理制度实施的关键时刻。时逢政策环境变化迅速，很多问题通过这个文件得到了澄清。
老规矩，小贝说安全本次还是采取问答的形式进行解读，我们走起。



一、如何看待《规定》的发布时机？何如看待《规定》的定位？
来吧，先说背景。《规定》发布于我国数据出境安全评估制度正式实施的1年后。这个时候发布《规定》，充分体现了数据流动与经济发展的关系。信息流引领技术流、资金流、人才流、物资流，没有数据的流动就没有经济社会的发展。跨境数据流动更是如此，其直接支撑了跨国贸易。可以这么说，数据跨境流动看似是个技术问题，实质上是个贸易问题，是经济发展问题（当然，从另一层面说，也是国家安全问题），所以这个问题带有全局性。
我国于2022年9月1日起实施《数据出境安全评估办法》，并随后发布了关于个人信息保护的认证文件和个人信息出境标准合同模板，即《网络安全法》《数据安全法》和《个人信息保护法》这三部法律共同建立的数据跨境流动安全管理政策已全面落地。
一段时间以来，这项制度对规范数据出境、提升全社会数据安全合规意识发挥了显著作用，数据无序出境的趋势得到了遏制，但也存在着细则不明确、执行标准不一致不透明等问题。此外，巨大的数据出境需求和监管部门有限的行政资源之间构成了突出矛盾。这导致某些企业的业务受到了不同程度的影响，甚至产生了一些对中国营商环境的质疑，国外对此也有一些炒作。
对于上述情况，我国政府是非常重视的。一个月之内，李强总理两次表态，要求探索跨境数据管理新模式，国务院也印发了《关于进一步优化外商投资环境 加大吸引外商投资力度的意见》，提出“探索便利化的数据跨境流动安全管理机制”。

《规定》便是对上述形势的回应。《规定》最后一条指出，《数据出境安全评估办法》《个人信息出境标准合同办法》等相关规定与本规定不一致的，按照本规定执行。这时，可能有人会认为，中国的数据跨境流动安全管理制度做了比较大的调整。但实际上，本次的《规定》没有变更我国的数据跨境流动安全管理制度，而是主要对既有政策做了澄清，在个别处对既有政策作了细化，这是《规定》的实质。
这种澄清与细化是操作层面的，但极为重要，它使得很多数据出境行为豁免于评估或通过认证、签订标准合同，从而极大便利了数据出境，对经济发展是重大利好。

二、《规定》第一条是否调整了原有政策？


这一条的象征意义大于实际意义。我国数据跨境流动安全管理制度的本质就是只规范个人信息和重要数据，如果既不是个人信息也不是重要数据，当然不用受这一制度的约束。故《规定》的第一条并无任何新增信息量，其目的在于重申了我国数据跨境流动安全管理制度的规范对象，厘清了很多人对于这一制度的误解（自始至终，我国数据跨境流动安全管理制度只管重要数据和个人信息）。至于“国际贸易、学术合作、跨国生产制造和市场营销等活动”云云，也无实际意义，因为所有的活动都是这样的。这么写主要是为了表态，说明我国的数据跨境流动安全管理制度支持国际贸易、学术合作、跨国生产制造和市场营销等活动。
我们推测，有可能是文件或领导同志讲话中对这些活动特别提及，故此处予以强调，以表明我国的开放态度。

三、怎么理解《规定》第二条？

第二条非常短，却石破天惊。因为其背后涉及的是重要数据的识别流程，而这一问题此前从未在公开场合进行过讨论。该条的走向，极有可能对今后的工作产生重大影响。
众所周知，我国通过《数据安全法》等法律法规，正在构建重要数据保护制度。无论是数据跨境流动安全管理，还是网络安全审查、数据安全评估等，都绕不开“重要数据”。这是监管的重点，重要数据处理者需履行十分繁重的法律义务。
那么，怎么确定重要数据处理者呢？对此类问题，有两个制度可以参考。
一个是国家秘密的确定。根据《保守国家秘密法》第十四条，机关、单位对所产生的国家秘密事项，应当按照国家秘密及其密级的具体范围的规定确定密级，同时确定保密期限和知悉范围。同时第二十条也规定，机关、单位对是否属于国家秘密或者属于何种密级不明确或者有争议的，由国家保密行政管理部门或者省、自治区、直辖市保密行政管理部门确定。很显然，这是各单位自主确定国家秘密，但主管部门可以调整。。
另一个是关键信息基础设施的确定。根据《关键信息基础设施安全保护条例》第十条，保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知运营者，并通报国务院公安部门。即，关键信息基础设施不能由各单位自己说了算，而是由主管监管部门确定。因此在实践中，一个单位如果没有被通知是关键信息基础设施运营者，那它就不是，由此便不必承担关键信息基础设施运营者的义务。
那么问题来了，重要数据的识别由谁负责呢？是采用以上的第一种还是第二种？理论上，重要数据和国家秘密信息有很大的相似性，理应采用第一种。但与国家秘密信息不同的是，重要数据广泛分布于商业领域，天然脱离国家的管控，所以需要在第一种方法的基础上，加以政府的强管控手段。即，重要数据的识别的流程应当是自主识别+政府审定。
但《规定》第二条却指出，未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。这实际上是说，是否属于重要数据，要由相关部门、地区告知。这一思路完全采用了上述第二种方法，即官方指定。
但这种方法在理论上面临挑战。关键信息基础设施总计有多少？重要数据又有多少？关键信息基础设施基础设施可以靠主管部门“先知先觉”且“运筹帷幄”，但重要数据是自上而下能搞清楚的吗？时至今日，有哪个行业或地方的重要数据识别指南是清单制的？不都是需要数据处理者根据非常原则性的标准去研判吗？
就安全工作而言，评价一个制度的实施效果，关键要看其能否应对主要威胁。
我们为什么要建立数据跨境流动安全管理制度？首要的目的是为了维护国家安全。但重要数据和个人信息，谁对国家安全的影响大呢？
答案不言而喻。
所以在数据跨境流动安全管理制度的实施中不能只聚焦于个人信息。但从目前的实践看，企业申报的基本都是个人信息出境，重要数据基本不提。这固然有重要数据识别规则不明确的因素在，但解决方法不能是“撤退”。按照《规定》第二条的办法，至少很长一段时间内不会有重要数据的出境申报，这显然不合理。
但我们认为，国家网信部门在征求意见稿中如此规定，可能有其不得已的苦衷。
根据《数据安全法》，建立重要数据目录的职责并不在国家网信办。亦即，国家网信办牵头实施的数据跨境流动安全管理制度，要去管重要数据；但重要数据的识别又不归国家网信办管，甚至国家网信部门可能并不知道各单位的重要数据识别结果。这就尴尬了。
因此，《规定》第二条虽然不尽合理，但却反映出了我国数据安全工作中的一个深层次挑战。鉴于重要数据的影响绝不限于数据跨境流动安全管理，这个问题宜早日解决。
四、《规定》第三条的意思是说，外面进来的数据再出去时不属于监管对象吗？

《规定》第三条的澄清非常有意义。当年在研究数据出境的定义时，专家们就曾经提到过两种特殊情况。
一种是境内的数据没有流出境外，但是被境外人士在境内访问到了，这算数据出境。另一种是境外来的数据在境内处理又流出境外，这不算数据出境。第二种情况对应于《规定》的第三条，这在外包服务中比较普遍，很多外贸企业在从事这类业务。
既然不算数据出境，当然就不必受数据跨境流动安全管理制度的约束。但此前尚未有正式文件对此进行确认，所以《规定》要进行强调，这也是大力支持来自海外的信息技术服务外包业务之举。
但在实践中，问题往往不是这么简单。从境外来的数据，真的就是在原封不动出去吗？如果数据仅仅是做一次跨国旅行，那有什么意义呢？很多情况下，这些数据是要在境内进行处理的。既然如此，就会产生两个问题：
一是，这些数据的处理，是否需要境内数据的参与？如果需要，就不能简单地认为这不是数据出境。
二是，这些数据的处理，是否涉及敏感的数据处理技术？如果数据本身没什么，但是加工后的数据能够反映出我们某项敏感技术的状况，这当然也要进行保护。典型的是，境外的原始视频数据委托国内处理，高清晰的画质可能是军用级视频处理技术应用的结果，那么数据处理结果显然不能轻易出境。
所以实践中落实《规定》第三条时，也依然需要进行自评估，以判断境外数据在境内的处理情况。当然，如果的确属于“不是在境内收集产生的个人信息”，即未进行任何处理，那当然可以直接出境。
五、《规定》第四条对部分个人信息做了豁免，这符合上位法的规定吗？

一些人认为《规定》第四条的豁免条件以前没有，这是对原有制度的重大调整。其实不然。
《个人信息保护法》第七十二条指出，自然人因个人或者家庭事务处理个人信息的，不适用本法。这里的“不适用”，当然包括对《个人信息保护法》第三章“个人信息跨境提供的规则”的不适用。为什么要这么规定呢？这又回到了数据跨境流动安全管理制度的初衷了。
对重要数据出境进行安全管理，是为了维护国家安全；
对批量个人信息出境进行安全管理，也是为了国家安全和公共利益；
对非批量的个人信息出境进行安全管理，是为了保护当事人的合法权益。
但如果当事人按照自己的意愿主动发起（而不是由别人把自己的个人信息传出境外），或者自己同意呢？显然国家就可以不管了。“自然人因个人或者家庭事务处理个人信息的”，便是属于这种情况。跨境购物、跨境汇款、机票酒店预订、签证办理等，其实都可归于此类。
如前所述，在单条个人信息的情况下，数据是否可以出境，与数据是否可以合法处理具有相同的性质。那么，《个人信息保护法》所确立的数据处理的合法性基础是什么呢？这集中在《个人信息保护法》的第十三条。

《个人信息保护法》第十三条第一款第（二）至（六）项规定了不需取得个人同意的场景，其中有三种场景与个人信息出境有关。
第一种是第（二）项中的“为订立、履行个人作为一方当事人的合同所必需”，
第二种是第（二）项中的“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”；
第三种是第（四）项中的“紧急情况下为保护自然人的生命健康和财产安全所必需”。
这便是《规定》第四条的出处。因此，《规定》第四条并没有调整现有制度，而是在上位法的指导下，对需要豁免的具体场景做了澄清。
当然，“跨境购物、跨境汇款、机票酒店预订、签证办理”等情况更应适用《个人信息保护法》第七十二条，将其列为第十三条第一款第（二）项的情况略有牵强，但瑕不掩瑜。
《规定》第四条很有意义，使得一大批对人力资源数据经常有跨境传输需求的跨国公司松了口气。
六、《规定》第五条、第六条中的“一万人”同以前常说的“一百万人”“十万人”是什么关系？

《规定》第五条、第六条是亮点，充分体现了网信办从善如流的务实之举。
在原有的政策中，处理100万人以上个人信息的数据处理者向境外提供个人信息，或者自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息，便需要申报个人信息出境安全评估。问题是，已处理100万人以上个人信息，或者自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息，这都是过去时，同本次出境的个人信息有必然联系吗？
不一定。
如果某“处理100万人以上个人信息”的“数据处理者”本次只出境一条个人信息，难道也需要经过评估吗？这显然不必要。
所以说，原《数据出境安全评估办法》在这个问题上的处理是有待完善的。
本次的《规定》则通过第五条、第六条对此作了补充规定，从而实现了纠偏的效果。
有人问，既然原文件留有尾巴，为什么不去做修订，而要单独发布一个《规定》呢？原因有两个。
一是，《规定》的多数内容是对已有政策的澄清与细化，有些属于解释性的，不宜在《数据出境安全评估办法》中体现。

二是，本次《规定》涉及全面的数据跨境流动安全管理制度，不仅仅是数据出境安全评估，只修订《数据出境安全评估办法》不能解决全部问题。
七、《规定》第七条中的“负面清单”是怎么回事？如何理解其与国务院文件中的“正面清单”的关系？
《规定》是一个非常及时、非常好的文件，但第二条和第七条值得商榷，第二条如前已述。

第七条的制定有一个背景，即国务院11号文《关于进一步优化外商投资环境 加大吸引外商投资力度的意见》第十四条提出了“试点探索形成可自由流动的一般数据清单”。

国务院文件的这一规定值得商榷。因为从原理上说，数据出境是常态，禁止出境、受限出境是例外。这从根本上决定了，数据出境绝不可能是“正面清单”制度（“自由流动的数据清单”就是正面清单）。更何况，在我国数据分级管理制度中，一般数据本来就是自由流动的，只有重要数据才需要出境评估，没有制定“一般数据清单”的必要性。
政策文件的制定本来就是一个不断完善的过程，这个过程也伴随着人们对客观事物发展规律认识的持续深化。数据跨境安全管理是个新事物，在不同时期有不同的规定实属正常。国务院11号文在今年8月份发布时，有特定的历史背景，这可以理解。但关于“正面清单”的规定确实不科学。
为此，本次《规定》第七条不再提正面名单，而是负面清单，这是回到了正确的轨道上来，因为这符合数据跨境流动的规律。
制定负面清单将大大提高政策的可操作性，充分体现开放的宗旨，必将受到全社会的广泛欢迎。但第七条的争议在于，是否有必要放得太开，由各自由贸易试验区自行制定？而且，仅是“经省级网络安全和信息化委员会批准后，报国家网信部门备案”如何保证操作尺度的一致性？诚然，各个自贸区因为业务不完全一致，负面清单的内容可能会有所差别，但研判尺度应该是一样的。这个过程中，应当由国家有关主管部门强力介入。否则，又会导致重要数据的识别出现混乱。而如前所述，重要数据是个全局性概念。
这里需要指出，国务院11号文发布后，一些地方正在研究落实政策，但照搬11号文的第十四条恐有问题。例如，北京便迅速起草了《北京市外商投资条例》，目前正在征求意见。该条例的第三十一条沿袭11号文，也提出了“制定可自由流动的一般数据清单”，我们认为其应借鉴《规定》第七条，调整为“负面清单”制度。
八、《规定》第八条提到敏感信息与敏感个人信息，这是为什么？核心数据为什么没提？

数据的分类分级有多个维度，而且一般、重要和核心数据是在国家秘密信息之外。之所以数据跨境流动安全管理制度只规范个人信息和重要数据，是因为国家秘密信息的管理已由《保守国家秘密法》进行规范，核心数据则由于其特殊性，原则上禁止出境。
因此，需要意识到，《规定》的规范对象不含国家秘密信息和核心数据，所谓的“其他数据”当然不含国家秘密信息和核心数据，文件对此不需要反复强调。
至于“敏感信息”，的确不是法律用语。这主要是考虑到了数据的敏感度还有其他分级方法，特别是对于政府部门和特定行业而言。不同的分级方法往往都有对应的法律、行政法规、部门规章，故以“敏感信息”以盖之。

｜小贝结语｜
■ 无论是在姿态上表明中国政府的开放决心，还是在实操上推动数据跨境流动安全管理制度的完善，《规定》都具有十分重要的意义，也充分体现了国家网信部门务实的工作作风。该文件目前正在征求意见阶段，故我们在解读时没有回避对其中一些问题的讨论。

以上观点均是小贝说安全团队的一孔之见，仅供各方参考。
  总编辑|小贝




微信公众号
微信号｜xiaobeisaq
长按二维码关注


官方微信
长按二维码关注
了解更多信息