所谓数据出境,是指数据处理者将在国内收集、产生的重要数据和个人信息,提供给境外主体的行为。[1]鉴于数据信息特有的科技属性与流动隐蔽性,不论是数据的主动出境还是被动出境,数据营商自由与数据安全保护之间的博弈都会给国家安全治理带来挑战。
为应对跨境流动数据数量飙升以及逐步扩张的信息全球化趋势,经济合作与发展组织于1980年发布了《隐私保护和个人数据跨境流动指南》(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)并将“数据跨境流动”纳入法律议题,在世界范围内掀起了关于数据跨境流动监管的立法热潮。[2]例如欧盟于2018年5月25日出台的《通用数据保护条例》(General Data Protection Regulation)规定,在判断相关第三国或国际组织符合充分保护认定或适当安全措施前提下,可将正在处理或计划进行处理的个人数据向第三国传输;如第三国或国际组织不具备前述条件的,个人数据的控制者或处理者应当进行安全评估并采取合适的安全措施。 [3]
2021年6月10日,第十三届全国人民代表大会常务委员会通过《中华人民共和国数据安全法》,将数据安全提升到国家安全高度,明确规定“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。”2021年7月上旬,我国网络安全审查办公室接连宣布对“滴滴出行”“运满满”“货车帮”“BOSS 直聘”等在美国上市的互联网公司进行网络安全审查,进一步引发了数据出境背景下国家安全的维护问题。2022年7月7日,国家互联网信息办公室(以下简称“国家网信办”)颁布《数据出境安全评估办法》,并计划于2022年9月1日起正式施行。《数据出境安全评估办法》进一步明确了我国将对数据出境采取事前评估和持续监督相结合、风险自评估与安全评估相结合的审慎评估方式,从而进一步规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动。
2 我国关于数据跨境流动监管的法律规范
在《数据出境安全评估办法》颁布前,我国已颁布、施行数据信息安全保护的法律规范若干,其中关于数据跨境流动监管与安全评估的相关规定如下:
法律法规名称 | 具体规定 |
中华人民共和国网络安全法 | 第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。 |
中华人民共和国个人信息保护法 | 第三十六条 国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。 |
第三十八条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一: (一)依照本法第四十条的规定通过国家网信部门组织的安全评估; (二)按照国家网信部门的规定经专业机构进行个人信息保护认证; (三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务; (四)法律、行政法规或者国家网信部门规定的其他条件。 中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。 个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。 | |
第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。 | |
第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。 | |
第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录: (一)处理敏感个人信息; (二)利用个人信息进行自动化决策; (三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息; (四)向境外提供个人信息; (五)其他对个人权益有重大影响的个人信息处理活动。 |
同时,除已颁布的《数据出境安全评估办法》外,我国关于数据出境安全保护尚有1部行政法规、4部部门规章以及2项标准/行业指南正在立法意见征求过程中。具体情况如下表所示:
规范名称 | |
行政法规 | 网络数据安全管理条例 |
部门规章/部门规范文件 | 数据安全管理办法 |
个人信息和重要数据出境安全评估办法 | |
个人信息出境安全评估办法 | |
个人信息出境标准合同规定 | |
标准/行业指南 | 信息安全技术数据出境安全评估指南 |
网络安全标准个人信息跨境处理活动认证技术规范 |
3 数据出境安全评估的适用对象
根据《数据出境安全评估办法》第四条、第十九条,数据处理者向境外提供数据,有下列情形之一的,应当申报数据出境安全评估:
(一)数据处理者向境外提供重要数据(指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据);
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。
4 数据出境安全评估的申报材料
需要办理数据出境安全评估的数据处理者,应当根据《数据出境安全评估办法》第五条规定,制作、准备以下申报材料:
(一)申报书
(二)数据出境风险自评估报告
根据《数据出境安全评估办法》第五条,数据处理者在申报数据出境安全评估前,应当就以下重点评估项目开展数据出境风险自评估,并制作《数据出境风险自评估报告》。
申报前自评估的重点评估项目 | |
1 | 数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性 |
2 | 出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险 |
3 | 境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全 |
4 | 数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等 |
5 | 与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等是否充分约定了数据安全保护责任义务 |
6 | 其他可能影响数据出境安全的事项 |
(三)数据处理者与境外接收方拟订立的法律文件
数据处理者与境外接收方拟订立的法律文件(例如数据处理协议),既是数据跨境流动的业务活动依据,也是有关部门重点审查的重点。
根据《数据出境安全评估办法》第九条规定,数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,并至少包括以下六项内容:
拟订立法律文件的必备内容 | |
1 | 数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等 |
2 | 数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施 |
3 | 对于境外接收方将出境数据再转移给其他组织、个人的约束性要求 |
4 | 境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施 |
5 | 违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式 |
6 | 出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式 |
(四)安全评估工作需要的其他材料
5 数据出境安全评估的办理流程
根据《数据出境安全评估办法》相关规定,数据处理者备齐申报材料后,应当向其所在地省级网信部门提交申报材料。申报材料齐全的,省级网信部门将转递国家网信部门;国家网信部门自受理之日起45个工作日内将给予评估结果。评估结果通过的,该评估结果的有效期为2年,到期后需予以重新评估。
数据处理者对评估结果有异议的,可以自收到评估结果15个工作日内向国家网信部门申请复评,复评结果为最终结论。
整体流程具体如下图所示:

6 数据出境安全评估的评估内容
国家网信部门受理申报后,根据申报情况组织国务院有关部门、省级网信部门、专门机构,对数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险等项目进行重点评估。
根据《数据出境安全评估办法》第八条规定,国家网信部门进行数据出境安全评估的重点项目主要包括:
数据出境安全评估的重点评估项目 | |
1 | 数据出境的目的、范围、方式等的合法性、正当性、必要性 |
2 | 境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求 |
3 | 出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险 |
4 | 数据安全和个人信息权益是否能够得到充分有效保障 |
5 | 数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务 |
6 | 遵守中国法律、行政法规、部门规章情况 |
7 | 国家网信部门认为需要评估的其他事项 |
7 数据出境的重新申报评估
根据《数据出境安全评估办法》第十四条规定,在数据出境安全评估结果有效期内出现以下情形之一的,数据处理者应当重新申报评估:
(一)向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的;
(二)境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的;
(三)出现影响出境数据安全的其他情形。
有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。
8 结语
大国数据竞争背景下,数据跨境流动频繁,由于不同国家和地区法律制度、保护水平等的差异,数据出境安全风险也相应凸显。数据跨境活动既影响个人信息权益,又关系国家安全和社会公共利益。如何有效开展数据信息跨境流动(尤其是数据出境)的风险防控是信息全球化时代提出的“考题”。《数据出境安全评估办法》在宏观把握“数据流动两端合规性评估”和“数据出境风险评估”两个维度的同时,强调对“处理者与接收者的数据处理措施合规性”、“处理者与接收者的数据安全保障措施充分性”以及“处理者与接收者签署法律文件合规性”等数据出境合规性的评估。
在实践视角,《数据出境安全评估办法》的出台落地势必会在很大程度上增加数据处理者、网信部门以及相关主体的工作负荷。同时,数据出境评估过程中所涉法律文件(例如数据处理协议)如何在法律框架下合理合宜地处理业务背景、明晰各方权利义务、界定术语及技术方法以及风险预见与规避等内容安排,仍然是今后有待细化探讨的重点。但从长远来看,《数据出境安全评估办法》施行以后,不单能够落实于数据出境项目的具体实践中,更能够成为有关企业开展合规运营、合规整改等活动的重要指引,在数据营商环境中探得“数据自由”与“数据安全”之间的衡平,促成我国数据跨境流动监管制度升级、数据营商环境优化的良好局面,寻求新型国际化发展渠道。
[1]马其家、刘飞虎:
《数据出境中的国家安全治理探讨》,载《理论探索》2022年第2期。
[2]Martina F. Ferracane, Restrictions on Cross-Border Data Flows: A Taxonomy, ECIPE Working Paper, No.1, 2017, p.2.
[3]详见《通用数据保护条例》(General Data Protection Regulation)第44条、第45条、第46条以及第49条规定。
