【法评】数据出境系列文章之一——数据出境的立法历程、基本逻辑及合规路径概述

数据跨境流通对于维持全球商业运转、跨国公司的运营以及促进全球贸易、发展高新科技、运用科技改善人类的生活具有重要的意义。但同时，公民的财产信息、行踪轨迹、政府数据、重要数据、核心数据等如果不经监管自由出境流通，可能会造成数据泄露甚至导致危害国家安全的事件发生。因此大多数国家在其立法体系内对数据的跨境流通做出了一定程度的调整和限制。

我国对数据出境的立法也在近年来不断地变化发展。随着《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》（征求意见稿）》《数据出境安全评估办法》《关于实施个人信息保护认证的公告》《网络安全标准实践指南——个人信息跨境处理活动安全认证规范V2.0》和《个人信息出境标准合同规定（征求意见稿）》等一系列法律法规、国家标准的出台，逐渐形成了数据出境的合规路径体系。

本文回顾了我国关于数据出境的立法进程，并在近期实践的基础上，概述了立法思路的转变、现行立法的基本逻辑和体系架构，作为本数据出境系列文章的序文，供相关人士参考！

一、中国数据出境的立法进程

2017年6月1日，《网络安全法》正式实施。《网络安全法》首次规定了数据出境的安全评估制度，随后配套法规《个人信息和重要数据出境安全评估办法（征求意见稿）》（以下简称“2017年配套法规征求意见稿”）和配套标准《信息安全技术数据出境安全评估指南（草案）》（以下简称“2017年配套标准草案”），相继出台。

根据《网络安全法》[1]，关键信息基础设施的运营者（以下简称“CIIO”）在我国境内运营中收集和产生的个人信息和重要数据应当在境内存储；因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。据此，《网络安全法》规定的安全评估应仅限于CIIO处理的个人信息和重要数据的出境，对于不属于CIIO的数据出境未作出规定。2017年配套法规征求意见稿扩大了安全评估的范围，规定所有网络运营者[2]收集的个人信息和重要数据，只要符合该稿第九条的情形（含有或累计50万人个人信息、数据量超过1000GB等），均需进行安全评估；2017年配套法规征求意见稿对安全评估的内容、数据不得出境的情形等均做出了规定。2017年配套法规征求意见稿规定，网络运营者在数据出境前自行进行安全评估并对结果负责；此外，行业主管或监管部门负责安全评估工作并定期开展安全检查。2017年配套标准草案对上述安全自评估内容、数据出境计划的制定等内容做出了详细规定并在附录中列示了重要数据识别指南、个人信息和重要数据出境安全风险评估方法。但2017年配套法规征求意见稿和2017年配套标准草案均未正式公布实施。

2019年国家互联网信息办公室（以下简称“国家网信办”）就《个人信息出境安全评估办法（征求意见稿）》（以下简称“2019年配套法规征求意见稿”）向社会公开征求意见。2019年配套法规征求意见稿中没有对重要数据出境的安全评估作出规定，并且删除了2017年配套法规征求意见稿中的自评估制度。按照该稿规定，网络运营者处理个人信息不区分处理的人数等情况，凡是要将个人信息出境均需报请省级网信部门进行安全评估。这体现了当时强化个人信息出境的管制和数据本地化存储的价值取向，较为严格。但加强管制必然意味着数据流通便利的减弱，因为种种原因该稿也并未正式实施。

2021年9月1日，《数据安全法》施行。《数据安全法》[3]在规定CIIO在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理适用《网络安全法》的基础上，进一步对其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理进行了授权性立法。此外，《数据安全法》[4]对向境外司法和执法机构提供数据做出了限制，要求境内的组织、个人向外国司法或者执法机构提供存储于中华人民共和国境内的数据必须获得主管机关批准。

2021年11月1日，《个人信息保护法》施行。《个人信息保护法》第三十八条[5]以及《网络数据安全管理条例》（征求意见稿）[6]第三十五条，对数据出境的几种主要方式做出了清晰的描述，即：（一）通过国家网信部门组织的数据出境安全评估；（二）数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证；（三）按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同，约定双方权利和义务；（四）法律、行政法规或者国家网信部门规定的其他条件。

2022年，相关主管机关、标准制定组织等陆续出台了《数据出境安全评估办法》（包括各级主管机关发布的实施指南）《关于实施个人信息保护认证的公告》《网络安全标准实践指南——个人信息跨境处理活动安全认证规范V2.0》和《个人信息出境标准合同规定（征求意见稿）》，数据出境主要的三种路径逐渐落地。逐渐成型的法规体系既强调监管又方便数据流通，为涉及数据出境的市场主体提供了可供执行的指引。当然，实务中仍然存在大量的问题需要各方共同探讨解决。本文仅做体系性的概述，我们在后续系列文章中也将对三种路径做进一步的解读，并对部分境外数据出境规则做简要的分析和评述。

二、中国数据出境的基本逻辑与合规路径

（一）基本逻辑

中国数据出境的基本逻辑是建构在数据类型和规模的基础之上的。目前中国法对数据的分类大致包括如下几种：国家秘密、核心数据、重要数据、个人信息（包括敏感个人信息）、企业数据、一般数据等。这些数据的分类标准各不相同，相互之间存在包含、交叉关系。

（二）合规路径

相关法规针对不同类型、不同规模的数据创设了不同的出境路径。如果我们所在的实体涉及到数据出境，那么通常我们的思路是首先判断拟出境数据的类型，根据类型初步判断相应的出境路径，然后在类型的基础上再判断拟出境数据的规模，根据规模（如需）进一步判断相应的出境路径。基本判断方式及合规路径如下：

（点击查看大图）

1.关于国家秘密、重要数据和核心数据的出境

如果拟出境数据为国家秘密，则应当报国务院有关主管部门或者省、自治区、直辖市人民政府有关主管部门批准，并与对方签订保密协议[7]。如果拟出境数据为重要数据，则根据《数据出境安全评估办法》和《网络数据安全管理条例（征求意见稿）》的要求，重要数据的出境应当通过网信部门组织的数据出境安全评估。关于核心数据的出境，《工业和信息化领域数据安全管理办法（试行）》规定，法律、行政法规有境内存储要求的，应当在境内存储，确需向境外提供的，应当依法依规进行数据出境安全评估。我们理解，虽然目前就核心数据出境规定不多，但是按照立法的基本逻辑，核心数据的管控要求应是高于重要数据的，或者至少应等同于重要数据，因此核心数据的出境至少应进行数据出境安全评估。

2.关于个人信息的出境

如果拟出境数据为个人信息，根据《个人信息保护法》《数据出境安全评估办法》等法律法规的要求，个人信息的出境目前主要有三种路径，即：安全评估路径、安全认证路径和标准合同路径。根据《数据出境安全评估办法》，CIIO和处理100万人以上个人信息的数据处理者以及自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息的，应申报数据出境安全评估。对于不属于需要申请网信部门进行安全评估的个人信息出境情形，数据处理者可以选择安全认证或签订标准合同的方式实现个人信息出境。安全认证的方式适用于跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动；在不需要进行安全评估的情况下，个人信息处理者也可以选择签订标准合同的方式作为个人信息出境的合规方式。

3.关于其他数据的出境

对于其他数据，根据《数据出境安全评估办法》第四条第（四）项，如存在国家网信部门规定的其他需要申报数据出境安全评估的情形，仍应进行安全评估。此外，如果其他法律法规就相关数据规定了出境相关要求的，亦应遵守该等要求。例如，《生物安全法》第五十六条规定，利用我国人类遗传资源开展国际科学研究合作、将我国人类遗传资源材料运送、邮寄、携带出境、保藏我国人类遗传资源等行为，应当经国务院科学技术主管部门批准；同法第五十七条规定，将我国人类遗传资源信息向境外组织、个人及其设立或者实际控制的机构提供或者开放使用的，应当向国务院科学技术主管部门事先报告并提交信息备份；《测绘法》第三十四条规定，如果需要对外提供测绘成果的，应按照国务院和中央军事委员会规定的审批程序执行。

而对于法律、行政法规没有特别规定的其他一般数据，例如企业一般的经营信息、商业秘密等则可以根据数据处理者的需要自由出境。

三、结语

现阶段，我国数据出境的法律框架已初步建构起来，相关企业如果涉及数据出境，可以根据拟出境数据的类型选择适当的数据出境路径。但是，《数据出境安全评估办法》设置的6个月过渡期很快将届满，如果拟出境数据需要进行安全评估，则大家应抓紧时间推进安全评估的进程。

注释：

[1]《网络安全法》第37条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

[2]《网络安全法》仅规定了CIIO处理的个人信息和重要数据的出境需要进行安全评估，2017年配套法规征求意见稿将适用主体扩展到了所有网络运营者。这一点在当时的理论界和实务界均引起了较多的讨论。

[3]《数据安全法》第31条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。

[4]《数据安全法》第36条中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

[5]《个人信息保护法》第38条个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；（四）法律、行政法规或者国家网信部门规定的其他条件。中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

[6]《网络数据安全管理条例》（征求意见稿）由网信办于2021年11月14日向社会公开征求意见。依据该条例第35条，数据处理者因业务等需要，确需向中华人民共和国境外提供数据的，应当具备下列条件之一：（一）通过国家网信部门组织的数据出境安全评估；（二）数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证；（三）按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同，约定双方权利和义务；（四）法律、行政法规或者国家网信部门规定的其他条件。数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的，或者为了保护个人生命健康和财产安全而必须向境外提供个人信息的除外。

[7]《保守国家秘密法》第30规定，机关、单位对外交往与合作中需要提供国家秘密事项，或者任用、聘用的境外人员因工作需要知悉国家秘密的，应当报国务院有关主管部门或者省、自治区、直辖市人民政府有关主管部门批准，并与对方签订保密协议。

关于作者

实习生赵辰宇对本文亦有贡献。

特别声明：