官方公众号企业安全新浪微博

FreeBuf+小程序把安全装进口袋

• 数据安全

随着经济全球化和全球数字化的进一步发展，跨境数据成为促进各国经贸增长的新要素，同时也给个人隐私与国家安全带来新威胁，加强跨境数据管理已成为各国网络安全治理的重点。自2017年以来，我国颁布的系列网络安全法律法规几乎都对数据出境进行了相关规定，体现了党和国家对数据出境安全问题的高度重视。

厘清监管对象是基础

《网络安全法》第三十七条规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”

《数据出境安全评估办法（征求意见稿）》第二条中，也已明确将“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息”纳入到了安全评估范围。

根据上述规定，“重要数据”和“个人信息”均属于数据出境的监管对象。

关于重要数据的出境监管，《数据出境安全评估办法》明确回应了《数据安全法》的相关规定，第四条规定了只要是“重要数据”出境都要进行安全评估，而无论其来源是否是“关键信息基础设施的运营者”。

对于“个人信息”，除了“关键信息基础设施的运营者收集和产生的个人信息”外，还有“处理个人信息达到一百万人的个人信息处理者向境外提供个人信息”和“累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息”等两种情形。

确认出境行为是前提

《个人信息和重要数据出境安全评估办法（征求意见稿）》对“数据出境”定义为“是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据，提供给位于境外的机构、组织、个人。”《信息安全技术 数据出境安全评估指南》(征求意见稿)对“数据出境”的定义则是“网络运营者通过网络等方式，将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据，通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动”。

网络运营者包括所有者、管理者和网络服务提供者，可能是内资公司、外资公司、合资公司等。数据出境有多种形式，不局限于数据境外存储。

另一方面，即便是属于个人信息和重要数据的范畴，但只要不是在我国境内收集产生的，也没在境内有过变动或加工处理的行为，不会被视为“数据出境”。

综上，被认定为数据出境行为至少应具有下列特征。

• 受到规制的“数据”至少应当是在我国境内收集产生的个人信息和重要数据；
• 如果不是在我国境内收集产生的个人信息和重要数据，但在国内经过聚合或加工处理且聚合或者加工与在境内收集产生的个人信息和重要数据的有关的，也会受到规制；
• “出境”的行为既包括数据越过物理意义上的国境进行传输，同时也包括数据在我国境内能被外籍主体接触或访问到的情形；
• 港澳台地区作为不属于我国司法管辖的特殊地区，在“数据出境”这件事情上应当参考“境外”来处理。

明确监管要求是关键

《数据出境安全管理办法（征求意见稿）》第三条规定“数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合”。《网络数据安全管理条例（征求意见稿）》第三十五条对个人信息的出境监管要求扩展到个人信息保护认证制度，对数据出境的监管策略扩展到通过“国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同，约定双方权利和义务”，第三十八条规定扩展到“中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行”。

国家建立数据跨境安全网关，对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播，国家层面的数据跨境安全的大局在《网络数据安全管理条例》中得到了体现。

总结

我国现行法律法规在数据出境安全问题上构建了包括法律、行政法规和国家标准在内的多层次规制体系，在理解相关问题时需要将不同层级、不同时间及不同部门发布的不同文件结合起来综合考虑。在针对相关文件的规定进行全面理解时，需要关注的是，无论是国家网信办发布的《数据出境安全评估办法》《网络数据安全管理条例》还是信安标委发布的《信息安全技术 数据出境安全评估指南》征求意见稿均未正式生效，截至目前仍处于征求意见阶段。但是，数据出境业务却因经济发展需要正在实实在在开展着，本文仅从监管视角试图阐述数据出境安全的重点，希望可以为开展数据出境业务的网络运营者守住安全底线提供一些帮助。