引言
近来经常被问到数据出境相关的问题。提问者有在校的同学(想写这方面的论文),也有不同执业领域的律师,包括资产管理(跨国金融机构经营数据传输)、投融资(拟投资标的数据出境合规尽调)甚至争议解决(国际仲裁提交证据)。似乎大多数业务领域都不可避免地会涉及数据出境,遂决定梳理一下。
由于很多相关配套法规尚待正式颁布,仅基于现行生效的法律法规先抛出三个结论:
一、既不是重要数据也不是个人信息的数据,出境暂无限制。
二、大部分数据不是重要数据。
三、个人信息能不出境就不出,确需出境则先履行自身义务。
接下来简单论证一下。若有不妥之处,欢迎评论区讨论。

数据出境相关法规
既不是重要数据也不是个人信息的数据,出境暂无限制。
在法律层面,相关的条文并不多。首先是《网络安全法》,其次是《个人信息保护法》(“《个保法》”)。而《数据安全法》第31条的大意为:关键信息基础设施运营者(“CIIO”)的重要数据出境,适用《网络安全法》的规定。
关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
《网络安全法》第37条
《网络安全法》其实管得非常窄,首先得是CIIO,这个只要现在没有被有关部门通知,就不是CIIO。其次只管个人信息和重要数据,一般数据不管。不过,《网络安全法》还留了个口子:“法律、行政法规另有规定的,依照其规定。”所以还得看其他的法规。对于CIIO的数据出境规则,《数据安全法》直接引用了《网络安全法》,没有扩展。而对于其他数据处理者的重要数据出境规则,《数据安全法》则授权给网信办制定。
个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
《个保法》第38条第1款
《个保法》对所有个人信息处理者的个人信息出境均予以规范。对于CIIO和处理个人信息超一定数量的处理者,则要求做安全评估。其余的个人信息处理者可以选择个人信息保护认证或签订标准合同。当然本处仅讨论国家审查层面的个人信息出境程序。
还有另一部尚在征求意见的《网络数据安全管理条例》(“《网数条例》”)值得重点关注。根据征求意见稿的内容,未来数据出境的监管将不仅限于重要数据而是溯及于所有数据。
数据处理者因业务等需要,确需向中华人民共和国境外提供数据的,应当具备下列条件之一:
(一)通过国家网信部门组织的数据出境安全评估;
(二)数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证;
(三)按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同,约定双方权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
《网数条例》第35条第1款
综上,根据现行有效的法律,国家审查层面的数据出境监管暂时限于:(1)CIIO的重要数据;(2)所有个人信息。
但是根据近期各征求意见稿透露的监管趋势,重要数据之所以重要是因为被非法利用则会威胁国家安全,这并不会因控制其处理者身份不同(如是否是CIIO)而发生变化。因此几乎可以确定,所有重要数据的出境都必将受到监管。只是对于非CIIO的重要数据出境规则尚在制定过程中。
所以,目前只有既不是重要数据也不是个人信息的数据,出境才不受限制。
但也不排除未来所有数据出境均受到监管的可能性。
大部分数据不是重要数据。
既然重要数据出境都将受到监管,那么何为重要数据?《数据安全法》其实并未对重要数据予以定义,而是要求相关地区、相关行业制定重要数据目录。理论上在未来,我们只需要根据公司所在地区及行业的重要数据目录进行对照识别即可。但可惜的是,相关重要数据目录尚未出台。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
《数据安全法》第21条第3款
那如果等不急,当下我们有没有重要数据的判断标准呢?不幸的是,生效的,一个都没有。征求意见中的,倒是有挺多。下图是法律层级最高的征求意见稿——《网数条例》,第73条的规定。

看完上图文本基本上心中有数。一般的经营者是很难拥有重要数据的。如果还不放心,不妨再去看一看《重要数据识别指南》的征求意见稿。这个国标曾在2021年9月和2022年1月两次征求意见(点击链接即可跳转),后者的文本更简洁些。若二者均详细阅读一遍,也就基本有底了:大部分数据,都不属于重要数据。
若非常不幸地,识别出确有重要数据且需出境,那也只能缓一缓。因为如何进行数据出境安全评估,网信办没有任何生效文件。如果出境不可避免,就从文首图中的各种征求意见稿中找一些思路吧。比如,《数据出境安全评估办法(征求意见稿)》第5条要求的出境前自评估。
个人信息能不出境就不出,确需出境则先履行自身义务。
个人信息跨境提供方面,《个保法》的要求可以分为:国家审批、个人信息主体告知同意、个人信息处理者其他义务三个层面。
一、国家审批
如第一部分引用的《个保法》第38条所述,个人信息出境国家层面的审批分为三条路:①评估、②认证、③签订标准合同。
然而,评估办法,网信办还在征求意见。认证机构,网信办还没有指定。标准合同,网信办也尚未发布。因此,现在个人信息出境完全合法是做不到的,《个保法》毕竟已经生效了,但是实践中并没有能走通的路径。这也是呼吁个人信息能不出境就不出的原因所在。
除CIIO外,若相关个人信息处理者:(1)处理个人信息达100万以上;或(2)累积向境外提供10万以上个人信息或1万以上敏感个人信息的,则更加不建议在现阶段将个人信息出境。因为根据《数据出境安全评估办法(征求意见稿)》第4条,这些情况出境是要做安全评估的。尽管该办法尚未正式生效,但也在一定程度上代表了官方的最新态度:上述个人信息处理者的个人信息出境行为风险较高,需重点监管。
二、个人信息主体告知同意
需取得个人的单独同意且进行增强告知。当然如果具备《个保法》第13条的其他合法性基础则可以豁免单独同意,如为履行跨境快递合同所必需出境的个人信息。履行相关增强告知与单独同意的义务对于个人信息处理者而言,是必做也能够做到的。
个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
《个保法》第39条
三、个人信息处理者其他义务
(一)同等保护。个人信息处理者需要督促境外接收方达到《个保法》要求的个人信息保护要求。具体怎么落实呢?可以考虑:签订数据保护协议、现场尽调、建立向境外行使个人信息权利的机制、督促接收方尽快指定境内代表、告知对方《个保法》相关要求。被监管部门检查,至少得能拿些留痕的材料吧。此外也要扪心自问:如果发生纠纷,这些材料能否在举证时说服法官呢?
个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
《个保法》第38条第3款
(二)自评估。根据《个保法》第55条要求,向境外提供个人信息前,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录,并将相关记录保存至少3年。
个人信息保护影响评估应当包括下列内容:
(一)个人信息的处理目的、处理方式等是否合法、正当、必要;
(二)对个人权益的影响及安全风险;
(三)所采取的保护措施是否合法、有效并与风险程度相适应。
《个保法》第56条第2款
至于如何做这个事前的评估该如何做,可以参考上述法条。此外,还可以参考《个人信息安全影响评估指南》(GB/T 39335-2020),其中有更加细致的规定。也可以看看这篇推送:PIA&DPIA实践。
(三)其他。《个保法》第5章中的各项个人信息处理者义务,尽管不只针对个人信息出境,但也需要覆盖出境的相关内容。如:数据分类分级、个人信息保护负责人职责范围、定期审计范围、建立相关制度等等。
此外,还有两个法宝需要额外提示一下:匿名化和去标识化。匿名化后的个人信息就不再是个人信息,自然也就不受个人信息出境规则的限制。尽管去标识化后的个人信息仍为个人信息,但由于其在不借助额外信息的情况下无法识别特定自然人,这样也可以大大降低个人信息出境的风险。
结语
现阶段而言。既不是重要数据又不是个人信息的数据,出境暂不受限制。而大部分数据,都不属于重要数据。个人信息的出境,能不出就不出。确需出境时,至少先履行好个人信息处理者的自身义务,如告知同意、影响评估、确保境外接收方达到《个保法》同等保护要求等等。
愿配套规则尽快出台,让数据出境有规可依。
近来经常被问到数据出境相关的问题。提问者有在校的同学(想写这方面的论文),也有不同执业领域的律师,包括资产管理(跨国金融机构经营数据传输)、投融资(拟投资标的数据出境合规尽调)甚至争议解决(国际仲裁提交证据)。似乎大多数业务领域都不可避免地会涉及数据出境,遂决定梳理一下。
由于很多相关配套法规尚待正式颁布,仅基于现行生效的法律法规先抛出三个结论:
一、既不是重要数据也不是个人信息的数据,出境暂无限制。
二、大部分数据不是重要数据。
三、个人信息能不出境就不出,确需出境则先履行自身义务。
接下来简单论证一下。若有不妥之处,欢迎评论区讨论。

数据出境相关法规
既不是重要数据也不是个人信息的数据,出境暂无限制。
在法律层面,相关的条文并不多。首先是《网络安全法》,其次是《个人信息保护法》(“《个保法》”)。而《数据安全法》第31条的大意为:关键信息基础设施运营者(“CIIO”)的重要数据出境,适用《网络安全法》的规定。
关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
《网络安全法》第37条
《网络安全法》其实管得非常窄,首先得是CIIO,这个只要现在没有被有关部门通知,就不是CIIO。其次只管个人信息和重要数据,一般数据不管。不过,《网络安全法》还留了个口子:“法律、行政法规另有规定的,依照其规定。”所以还得看其他的法规。对于CIIO的数据出境规则,《数据安全法》直接引用了《网络安全法》,没有扩展。而对于其他数据处理者的重要数据出境规则,《数据安全法》则授权给网信办制定。
个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
《个保法》第38条第1款
《个保法》对所有个人信息处理者的个人信息出境均予以规范。对于CIIO和处理个人信息超一定数量的处理者,则要求做安全评估。其余的个人信息处理者可以选择个人信息保护认证或签订标准合同。当然本处仅讨论国家审查层面的个人信息出境程序。
还有另一部尚在征求意见的《网络数据安全管理条例》(“《网数条例》”)值得重点关注。根据征求意见稿的内容,未来数据出境的监管将不仅限于重要数据而是溯及于所有数据。
数据处理者因业务等需要,确需向中华人民共和国境外提供数据的,应当具备下列条件之一:
(一)通过国家网信部门组织的数据出境安全评估;
(二)数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证;
(三)按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同,约定双方权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
《网数条例》第35条第1款
综上,根据现行有效的法律,国家审查层面的数据出境监管暂时限于:(1)CIIO的重要数据;(2)所有个人信息。
但是根据近期各征求意见稿透露的监管趋势,重要数据之所以重要是因为被非法利用则会威胁国家安全,这并不会因控制其处理者身份不同(如是否是CIIO)而发生变化。因此几乎可以确定,所有重要数据的出境都必将受到监管。只是对于非CIIO的重要数据出境规则尚在制定过程中。
所以,目前只有既不是重要数据也不是个人信息的数据,出境才不受限制。
但也不排除未来所有数据出境均受到监管的可能性。
大部分数据不是重要数据。
既然重要数据出境都将受到监管,那么何为重要数据?《数据安全法》其实并未对重要数据予以定义,而是要求相关地区、相关行业制定重要数据目录。理论上在未来,我们只需要根据公司所在地区及行业的重要数据目录进行对照识别即可。但可惜的是,相关重要数据目录尚未出台。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
《数据安全法》第21条第3款
那如果等不急,当下我们有没有重要数据的判断标准呢?不幸的是,生效的,一个都没有。征求意见中的,倒是有挺多。下图是法律层级最高的征求意见稿——《网数条例》,第73条的规定。

看完上图文本基本上心中有数。一般的经营者是很难拥有重要数据的。如果还不放心,不妨再去看一看《重要数据识别指南》的征求意见稿。这个国标曾在2021年9月和2022年1月两次征求意见(点击链接即可跳转),后者的文本更简洁些。若二者均详细阅读一遍,也就基本有底了:大部分数据,都不属于重要数据。
若非常不幸地,识别出确有重要数据且需出境,那也只能缓一缓。因为如何进行数据出境安全评估,网信办没有任何生效文件。如果出境不可避免,就从文首图中的各种征求意见稿中找一些思路吧。比如,《数据出境安全评估办法(征求意见稿)》第5条要求的出境前自评估。
个人信息能不出境就不出,确需出境则先履行自身义务。
个人信息跨境提供方面,《个保法》的要求可以分为:国家审批、个人信息主体告知同意、个人信息处理者其他义务三个层面。
一、国家审批
如第一部分引用的《个保法》第38条所述,个人信息出境国家层面的审批分为三条路:①评估、②认证、③签订标准合同。
然而,评估办法,网信办还在征求意见。认证机构,网信办还没有指定。标准合同,网信办也尚未发布。因此,现在个人信息出境完全合法是做不到的,《个保法》毕竟已经生效了,但是实践中并没有能走通的路径。这也是呼吁个人信息能不出境就不出的原因所在。
除CIIO外,若相关个人信息处理者:(1)处理个人信息达100万以上;或(2)累积向境外提供10万以上个人信息或1万以上敏感个人信息的,则更加不建议在现阶段将个人信息出境。因为根据《数据出境安全评估办法(征求意见稿)》第4条,这些情况出境是要做安全评估的。尽管该办法尚未正式生效,但也在一定程度上代表了官方的最新态度:上述个人信息处理者的个人信息出境行为风险较高,需重点监管。
二、个人信息主体告知同意
需取得个人的单独同意且进行增强告知。当然如果具备《个保法》第13条的其他合法性基础则可以豁免单独同意,如为履行跨境快递合同所必需出境的个人信息。履行相关增强告知与单独同意的义务对于个人信息处理者而言,是必做也能够做到的。
个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
《个保法》第39条
三、个人信息处理者其他义务
(一)同等保护。个人信息处理者需要督促境外接收方达到《个保法》要求的个人信息保护要求。具体怎么落实呢?可以考虑:签订数据保护协议、现场尽调、建立向境外行使个人信息权利的机制、督促接收方尽快指定境内代表、告知对方《个保法》相关要求。被监管部门检查,至少得能拿些留痕的材料吧。此外也要扪心自问:如果发生纠纷,这些材料能否在举证时说服法官呢?
个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
《个保法》第38条第3款
(二)自评估。根据《个保法》第55条要求,向境外提供个人信息前,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录,并将相关记录保存至少3年。
个人信息保护影响评估应当包括下列内容:
(一)个人信息的处理目的、处理方式等是否合法、正当、必要;
(二)对个人权益的影响及安全风险;
(三)所采取的保护措施是否合法、有效并与风险程度相适应。
《个保法》第56条第2款
至于如何做这个事前的评估该如何做,可以参考上述法条。此外,还可以参考《个人信息安全影响评估指南》(GB/T 39335-2020),其中有更加细致的规定。也可以看看这篇推送:PIA&DPIA实践。
(三)其他。《个保法》第5章中的各项个人信息处理者义务,尽管不只针对个人信息出境,但也需要覆盖出境的相关内容。如:数据分类分级、个人信息保护负责人职责范围、定期审计范围、建立相关制度等等。
此外,还有两个法宝需要额外提示一下:匿名化和去标识化。匿名化后的个人信息就不再是个人信息,自然也就不受个人信息出境规则的限制。尽管去标识化后的个人信息仍为个人信息,但由于其在不借助额外信息的情况下无法识别特定自然人,这样也可以大大降低个人信息出境的风险。
结语
现阶段而言。既不是重要数据又不是个人信息的数据,出境暂不受限制。而大部分数据,都不属于重要数据。个人信息的出境,能不出就不出。确需出境时,至少先履行好个人信息处理者的自身义务,如告知同意、影响评估、确保境外接收方达到《个保法》同等保护要求等等。
愿配套规则尽快出台,让数据出境有规可依。
