前言

　　1980年，經(jīng)合組織（OECD）提出了“數(shù)據(jù)跨境流動(dòng)”（Trans-border Data Flow）的概念，其被界定為個(gè)人信息的跨越國(guó)界流動(dòng)。但隨著技術(shù)的發(fā)展，國(guó)際上對(duì)跨境數(shù)據(jù)流動(dòng)的理解已經(jīng)完全超越了個(gè)人信息的范疇。巨量的數(shù)據(jù)資源不僅只涉及個(gè)人信息了，尤其是跨國(guó)企業(yè)經(jīng)營(yíng)中涉及的數(shù)據(jù)跨境，既存在個(gè)人信息，也包括商品數(shù)據(jù)、支付數(shù)據(jù)、物流數(shù)據(jù)、地理位置等非個(gè)人信息，且其中相當(dāng)一部分?jǐn)?shù)據(jù)涉及國(guó)家安全、公共安全。我國(guó)此前監(jiān)管重心多側(cè)重于“個(gè)人信息”的出境規(guī)制（《個(gè)人信息出境安全評(píng)估辦法（征求意見稿）》），實(shí)務(wù)中對(duì)于“個(gè)人信息”出境合規(guī)應(yīng)對(duì)也較為成熟，而對(duì)于“重要數(shù)據(jù)”的出境規(guī)制則存在立法空白。

　　2021年6月10日，我國(guó)《數(shù)據(jù)安全法》正式出臺(tái)，在《網(wǎng)絡(luò)安全法》第37條的基礎(chǔ)上，進(jìn)一步建構(gòu)數(shù)據(jù)出境安全管理框架。《數(shù)據(jù)安全法》在鼓勵(lì)跨境數(shù)據(jù)流動(dòng)（第10條）的基礎(chǔ)上，對(duì)數(shù)據(jù)出境安全管理（第31條）、主管機(jī)關(guān)批準(zhǔn)（第36條）以及法律責(zé)任承擔(dān)（第46條）等方面進(jìn)行規(guī)定，為跨國(guó)企業(yè)盡快開展數(shù)據(jù)出境合規(guī)工作提供了方向參考。

　　本文將以《數(shù)據(jù)安全法》為基礎(chǔ)，結(jié)合《網(wǎng)絡(luò)安全法》、《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南（征求意見稿）》（下文簡(jiǎn)稱《評(píng)估指南》）等規(guī)定，對(duì)于跨國(guó)企業(yè)數(shù)據(jù)傳輸存在的常見問題進(jìn)行回答，以期為跨國(guó)企業(yè)的數(shù)據(jù)出境合規(guī)提供法律幫助。

　　一、《數(shù)據(jù)安全法》對(duì)于數(shù)據(jù)出境的監(jiān)管要求

　　《數(shù)據(jù)安全法》第三十一條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理，適用《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的規(guī)定；其他數(shù)據(jù)處理者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法，由國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定。

　?。?一 ） 數(shù)據(jù)出境的主體：關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者 & 其他數(shù)據(jù)處理者

　　1.關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者

　　關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者并非《數(shù)據(jù)安全法》創(chuàng)設(shè)的新主體，早在《網(wǎng)絡(luò)安全法》與《網(wǎng)絡(luò)安全審查辦法》便已對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行了定義。

　　《網(wǎng)絡(luò)安全法》第三十一條規(guī)定，國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國(guó)務(wù)院制定。

　　根據(jù)該條，國(guó)家互聯(lián)網(wǎng)信息辦公室（下文簡(jiǎn)稱“網(wǎng)信辦”）制定了《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》，其中第十八條規(guī)定了應(yīng)當(dāng)納入關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)范圍，包括：

　　1、政府機(jī)關(guān)和能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護(hù)、公用事業(yè)等行業(yè)領(lǐng)域的單位；

　　2、電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)，以及提供云計(jì)算、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡(luò)服務(wù)的單位；

　　3、國(guó)防科工、大型裝備、化工、食品藥品等行業(yè)領(lǐng)域科研生產(chǎn)單位；

　　4、廣播電臺(tái)、電視臺(tái)、通訊社等新聞單位；

　　5、其他重點(diǎn)單位。

　　而根據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》第二條，在中華人民共和國(guó)境內(nèi)規(guī)劃、建設(shè)、運(yùn)營(yíng)、維護(hù)、使用上述關(guān)鍵信息基礎(chǔ)設(shè)施，以及開展關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)，適用本條例。

　　2.其他數(shù)據(jù)處理者

　　我國(guó)此前針對(duì)個(gè)人信息與數(shù)據(jù)的收集、處理活動(dòng)的主體，多采用“網(wǎng)絡(luò)運(yùn)營(yíng)者/網(wǎng)絡(luò)運(yùn)營(yíng)商”的概念。

　　《個(gè)人信息出境安全評(píng)估辦法（征求意見稿）》第二條將“個(gè)人信息出境”界定為網(wǎng)絡(luò)運(yùn)營(yíng)者向境外提供在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集的個(gè)人信息的行為；《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南（征求意見稿）》將“數(shù)據(jù)出境”界定為網(wǎng)絡(luò)運(yùn)營(yíng)商通過網(wǎng)絡(luò)等方式，將其在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)，通過直接提供或開展業(yè)務(wù)以及提供服務(wù)、產(chǎn)品等方式提供給境外的機(jī)構(gòu)、組織或個(gè)人的一次性活動(dòng)或連續(xù)活動(dòng)。

　　而最新的《數(shù)據(jù)安全法》將數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等活動(dòng)明確界定為“數(shù)據(jù)處理”，而實(shí)施上述活動(dòng)的主體則為“數(shù)據(jù)處理者”。但此“數(shù)據(jù)處理者”從其內(nèi)涵和法律意義來看不同于GDPR項(xiàng)下的“數(shù)據(jù)處理者”。

　　綜上，實(shí)施收集、存儲(chǔ)、使用、加工、傳輸、提供、公開數(shù)據(jù)等行為的跨國(guó)公司，無論其是否建設(shè)、運(yùn)營(yíng)、維護(hù)、使用上述關(guān)鍵信息基礎(chǔ)設(shè)施，均因其實(shí)施數(shù)據(jù)處理行為而落入《數(shù)據(jù)安全法》第三十一條的規(guī)制主體范疇。

　?。?二 ） 數(shù)據(jù)出境的對(duì)象：重要數(shù)據(jù)

　　《數(shù)據(jù)安全法》并非要求所有數(shù)據(jù)出境均應(yīng)進(jìn)行審查，而是針對(duì)企業(yè)在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)進(jìn)行數(shù)據(jù)出境安全管理。對(duì)于“重要數(shù)據(jù)”的范疇，《數(shù)據(jù)安全法》第二十一條在概念界定的基礎(chǔ)之上提出了“重要數(shù)據(jù)目錄”，該目錄則是由國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定。

　　《數(shù)據(jù)安全法》第二十一條規(guī)定，國(guó)家建立數(shù)據(jù)分類分級(jí)保護(hù)制度，根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度，對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)。國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄，加強(qiáng)對(duì)重要數(shù)據(jù)的保護(hù)。

　　關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國(guó)家核心數(shù)據(jù)，實(shí)行更加嚴(yán)格的管理制度。

　　各地區(qū)、各部門應(yīng)當(dāng)按照數(shù)據(jù)分類分級(jí)保護(hù)制度，確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄，對(duì)列入目錄的數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)。

　　目前《數(shù)據(jù)安全法》的相關(guān)配套法律法規(guī)還未出臺(tái)，尤其是最核心的“重要數(shù)據(jù)目錄”，但跨國(guó)公司數(shù)據(jù)出境需求并不會(huì)因?yàn)檎呱形绰涠ǘＶ埂Ｔ诖似陂g，我們建議跨國(guó)公司可以參照現(xiàn)有分類分級(jí)規(guī)范對(duì)“重要數(shù)據(jù)”界定開展工作，部分規(guī)范和行業(yè)標(biāo)準(zhǔn)仍處于征求意見階段，但并不意味其內(nèi)容毫無參考價(jià)值。

　　《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南（征求意見稿）》附錄A“重要數(shù)據(jù)識(shí)別指南”中對(duì)27個(gè)重點(diǎn)行業(yè)的重要數(shù)據(jù)做了概括性的描述，如石油、電力、金融等。

　　《汽車數(shù)據(jù)安全管理若干規(guī)定（征求意見稿）》首次明確界定汽車行業(yè)重要數(shù)據(jù)的范圍，具體包括：

　　1、軍事管理區(qū)、國(guó)防科工等涉及國(guó)家秘密的單位、縣級(jí)以上黨政機(jī)關(guān)等重要敏感區(qū)域的人流車流數(shù)據(jù)；

　　2、高于國(guó)家公開發(fā)布地圖精度的測(cè)繪數(shù)據(jù)；

　　3、汽車充電網(wǎng)的運(yùn)行數(shù)據(jù)；

　　4、道路上車輛類型、車輛流量等數(shù)據(jù)；

　　5、包含人臉、聲音、車牌等的車外音視頻數(shù)據(jù)；

　　6、國(guó)家網(wǎng)信部門和國(guó)務(wù)院有關(guān)部門明確的其他可能影響國(guó)家安全、公共利益的數(shù)據(jù)。

　?。?三 ） 數(shù)據(jù)出境的內(nèi)容：“出境”

　　《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南（征求意見稿）》將“數(shù)據(jù)出境”（data cross-boder transfer）界定為網(wǎng)絡(luò)運(yùn)營(yíng)者將在中華人民共和國(guó)境內(nèi)收集和產(chǎn)生的電子形式的個(gè)人信息和重要數(shù)據(jù)，提供給境外機(jī)構(gòu)、組織、個(gè)人的一次性活動(dòng)或連續(xù)性活動(dòng)。并且注明，未經(jīng)任何變動(dòng)或加工處理的數(shù)據(jù)中轉(zhuǎn)情形不屬于數(shù)據(jù)出境。

　　并將“提供”（provide）界定為網(wǎng)絡(luò)運(yùn)營(yíng)者主動(dòng)向境外機(jī)構(gòu)、組織或個(gè)人提供數(shù)據(jù)，或通過其他途徑發(fā)布數(shù)據(jù)的行為，包括其用戶使用網(wǎng)絡(luò)運(yùn)營(yíng)者提供的產(chǎn)品或服務(wù)的功能，向境外機(jī)構(gòu)、組織或個(gè)人提供數(shù)據(jù)的行為。但排除了網(wǎng)絡(luò)運(yùn)營(yíng)者提供已經(jīng)被依法公開披露的數(shù)據(jù)。

　　從立法原意看，之所以要求網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)對(duì)向境外提供重要數(shù)據(jù)進(jìn)行安全評(píng)估，是為了防范國(guó)家數(shù)據(jù)安全風(fēng)險(xiǎn)，維護(hù)國(guó)家安全，保障公共利益，因此《評(píng)估指南》排除了單純的數(shù)據(jù)中轉(zhuǎn)行為，而是強(qiáng)調(diào)網(wǎng)絡(luò)運(yùn)營(yíng)者提供行為的主動(dòng)性。這也與《數(shù)據(jù)安全法》第十條的立法意相符合。

　　二、數(shù)據(jù)出境自評(píng)估工作

　　圖片圖源 《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南（征求意見稿）》

　?。?一 ） 什么時(shí)候需要進(jìn)行數(shù)據(jù)出境自評(píng)估

　　根據(jù)《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南（征求意見稿）》4.2.2 條，存在下列情況時(shí)，需要進(jìn)行數(shù)據(jù)出境自評(píng)估：

　　涉及數(shù)據(jù)出境的；

　　關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者進(jìn)行數(shù)據(jù)出境之前的；

　　已完成數(shù)據(jù)出境安全自評(píng)估的產(chǎn)品或業(yè)務(wù)所涉及的個(gè)人信息和重要數(shù)據(jù)出境，在目的、范圍、類型、數(shù)量等方面發(fā)生較大變化、數(shù)據(jù)接收方變更或發(fā)生重大安全事件的；

　　按照行業(yè)主管或者監(jiān)管部門要求啟動(dòng)的。

　?。?二 ） 如何開展數(shù)據(jù)出境自評(píng)估工作

　　1.成立安全自評(píng)估工作組，制定數(shù)據(jù)出境計(jì)劃

　　開展數(shù)據(jù)出境自評(píng)估工作應(yīng)當(dāng)建立數(shù)據(jù)出境安全自評(píng)估工作組，工作組主要包含法務(wù)、政策、安全、技術(shù)、管理相關(guān)專業(yè)人員。數(shù)據(jù)出境安全自評(píng)估工作組應(yīng)負(fù)責(zé)審查業(yè)務(wù)部門提交的數(shù)據(jù)出境計(jì)劃，并定期對(duì)數(shù)據(jù)出境情況開展檢查、抽查。而有數(shù)據(jù)出境需求的業(yè)務(wù)部門應(yīng)制定數(shù)據(jù)出境計(jì)劃，該計(jì)劃是開展評(píng)估工作的重要依據(jù)。

　　數(shù)據(jù)出境計(jì)劃的內(nèi)容包括但不限于：

　　涉及個(gè)人信息情況，包括個(gè)人信息的類型、數(shù)量、范圍和敏感程度等；

　　涉及重要數(shù)據(jù)情況，包括重要數(shù)據(jù)的類型、數(shù)量和范圍等；

　　涉及的信息系統(tǒng)情況；

　　數(shù)據(jù)發(fā)送方安全保護(hù)能力；

　　數(shù)據(jù)接收方安全保護(hù)能力及其所在的國(guó)家或地區(qū)的基本情況。

　　2.評(píng)估數(shù)據(jù)出境計(jì)劃的合法性和正當(dāng)性

　　數(shù)據(jù)出境安全自評(píng)估首先應(yīng)當(dāng)考慮本次數(shù)據(jù)出境計(jì)劃的合法性和正當(dāng)性，如果數(shù)據(jù)出境活動(dòng)不具有合法性和正當(dāng)性，則禁止出境。在此基礎(chǔ)上再評(píng)估數(shù)據(jù)出境計(jì)劃是否風(fēng)險(xiǎn)可控，有效避免數(shù)據(jù)出境及再轉(zhuǎn)移后被泄露、損毀、篡改、濫用等風(fēng)險(xiǎn)。

　　自評(píng)估但評(píng)估要點(diǎn)可以參考《評(píng)估指南》第5章，評(píng)估方法可以參考《評(píng)估指南》附錄 B。安全評(píng)估但結(jié)果為出境安全風(fēng)險(xiǎn)為極高或高的，則禁止出境。

　　圖片根據(jù)《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南（征求意見稿）》制作

　　3.形成評(píng)估報(bào)告，進(jìn)行相應(yīng)調(diào)整

　　數(shù)據(jù)出境安全自評(píng)估工作組在完成對(duì)數(shù)據(jù)出境計(jì)劃的評(píng)估后，應(yīng)形成安全自評(píng)估報(bào)告。安全自評(píng)估報(bào)告內(nèi)容應(yīng)包括但不限于：

　　安全自評(píng)估對(duì)象基本情況；

　　安全自評(píng)估組織實(shí)施情況；

　　安全自評(píng)估結(jié)果；

　　數(shù)據(jù)出境安全風(fēng)險(xiǎn)點(diǎn)；

　　檢查修正建議。

　　安全自評(píng)估報(bào)告應(yīng)至少保存2年，并在如下情況下將安全自評(píng)估報(bào)告上報(bào)行業(yè)主管部門，行業(yè)主管部門不明確的，報(bào)國(guó)家網(wǎng)信部門。

　　關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者開展的安全自評(píng)估；

　　一年內(nèi)出境的個(gè)人信息數(shù)量達(dá)到國(guó)家網(wǎng)信部門、行業(yè)主管部門上報(bào)要求的；

　　包含核設(shè)施、生物化學(xué)、國(guó)防軍工、人口健康等領(lǐng)域數(shù)據(jù)，大型工程活動(dòng)、海洋環(huán)境敏感地理信息數(shù)據(jù)，以及其他重要數(shù)據(jù)的；

　　涉及關(guān)鍵信息基礎(chǔ)設(shè)施的安全缺陷、具體安全防護(hù)措施等網(wǎng)絡(luò)安全信息的；

　　其他可能影響國(guó)家安全、經(jīng)濟(jì)發(fā)展和社會(huì)公共利益的。

　　如果安全自評(píng)估結(jié)果為禁止出境的，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)采用相關(guān)措施降低數(shù)據(jù)出境安全風(fēng)險(xiǎn)，并修正數(shù)據(jù)出境計(jì)劃，重新開展安全自評(píng)估。

　　可用于降低數(shù)據(jù)出境安全風(fēng)險(xiǎn)的措施包括但不限于：

　　精簡(jiǎn)出境數(shù)據(jù)內(nèi)容；

　　使用技術(shù)措施處理數(shù)據(jù)降低敏感程度；

　　提升數(shù)據(jù)發(fā)送方安全保障能力；

　　限定數(shù)據(jù)接收方的處理活動(dòng)；

　　更換數(shù)據(jù)保護(hù)水平更高的接收方；

　　選擇政治法律環(huán)境保障能力較高地區(qū)的數(shù)據(jù)接收方等。

　　在企業(yè)進(jìn)行相應(yīng)調(diào)整后，可重新對(duì)數(shù)據(jù)出境進(jìn)行安全風(fēng)險(xiǎn)評(píng)估。

　　三、常見問題回應(yīng)

　?。?一 ） 跨國(guó)企業(yè)是否必須在中國(guó)境內(nèi)設(shè)立用于存儲(chǔ)數(shù)據(jù)的服務(wù)器？

　　《數(shù)據(jù)安全法》并未直接對(duì)數(shù)據(jù)本地化存儲(chǔ)進(jìn)行規(guī)制。對(duì)于此問題可以參考此前已實(shí)施生效對(duì)《網(wǎng)絡(luò)安全法》第三十七條。

　　《網(wǎng)絡(luò)安全法》第三十七條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。

　　簡(jiǎn)言之，如果“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者”直接在境外服務(wù)器上存儲(chǔ)境內(nèi)重要數(shù)據(jù)，將違反本地化存儲(chǔ)的相關(guān)規(guī)定，導(dǎo)致企業(yè)和相關(guān)直接責(zé)任人員面臨被予以行政處罰的風(fēng)險(xiǎn)。

　　《網(wǎng)絡(luò)安全法》僅對(duì)“關(guān)鍵信息基礎(chǔ)設(shè)施對(duì)運(yùn)營(yíng)者”提出了數(shù)據(jù)本地化要求，但由于此前僅對(duì)“關(guān)鍵信息基礎(chǔ)設(shè)施對(duì)運(yùn)營(yíng)者”進(jìn)行了行業(yè)和程度的界定，實(shí)踐中跨國(guó)企業(yè)的落實(shí)情況并不理想。而本次《數(shù)據(jù)安全法》擴(kuò)大了數(shù)據(jù)出境的被監(jiān)管主體——從“關(guān)鍵信息基礎(chǔ)設(shè)施對(duì)運(yùn)營(yíng)者”到“其他數(shù)據(jù)處理者”均被納入監(jiān)管范疇。同時(shí)，結(jié)合近期監(jiān)管趨勢(shì)來看，監(jiān)管部門對(duì)于關(guān)涉國(guó)家安全的行業(yè)相繼出臺(tái)法規(guī)政策，如針對(duì)智能汽車領(lǐng)域的《汽車數(shù)據(jù)安全管理若干規(guī)定（征求意見稿）》，首次明確界定汽車行業(yè)重要數(shù)據(jù)的范圍。

　　可以見得，對(duì)于從事《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南（征求意見稿）》附錄A“重要數(shù)據(jù)識(shí)別指南”中對(duì)27個(gè)重點(diǎn)行業(yè)的跨國(guó)企業(yè)，如果其在境內(nèi)收集、使用的數(shù)據(jù)有涉及國(guó)家安全的潛在可能，那么對(duì)于“跨國(guó)企業(yè)是否必須在中國(guó)境內(nèi)設(shè)立用于存儲(chǔ)數(shù)據(jù)的服務(wù)器？”這個(gè)問題的回答是，是的，為了應(yīng)對(duì)監(jiān)管趨勢(shì)，設(shè)立用于數(shù)據(jù)存儲(chǔ)的服務(wù)器是有必要的。

　?。?二 ） 境外遠(yuǎn)程訪問是否屬于數(shù)據(jù)出境？

　　上文已經(jīng)對(duì)“數(shù)據(jù)出境”內(nèi)涵進(jìn)行闡述，在此基礎(chǔ)上，我們可以討論“境外遠(yuǎn)程訪問是否屬于數(shù)據(jù)出境”問題。

　　首先，如何理解“境外遠(yuǎn)程訪問”，即“境外遠(yuǎn)程訪問”一般包括那些情形。

　　狹義層面的“遠(yuǎn)程訪問”（remote access）一般是指遠(yuǎn)端用戶通過其他設(shè)備訪問該計(jì)算機(jī)及其存儲(chǔ)資源的行為，比較常見的是通過在計(jì)算機(jī)上安裝遠(yuǎn)程訪問軟件的方式來達(dá)到在遠(yuǎn)端操控計(jì)算機(jī)的目的。

　　而法律所規(guī)制的“數(shù)據(jù)出境”行為要求網(wǎng)絡(luò)運(yùn)營(yíng)者的“提供”行為具有主動(dòng)性。筆者認(rèn)為主動(dòng)性在“遠(yuǎn)程訪問”中體現(xiàn)為此訪問行為是否受權(quán)限控制。如果境外主體獲得權(quán)限后訪問境內(nèi)數(shù)據(jù)庫，則該行為應(yīng)當(dāng)落入《評(píng)估指南》的規(guī)制范疇，屬于“數(shù)據(jù)出境”行為。

　　如果網(wǎng)絡(luò)運(yùn)營(yíng)商在中華人民共和國(guó)境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)是因?yàn)楸粣阂夤粽吒`取數(shù)據(jù)從而導(dǎo)致重要數(shù)據(jù)被傳輸至境外的，不屬于數(shù)據(jù)出境行為。

　　而從訪問對(duì)象看，境外主體所訪問的計(jì)算機(jī)或其資源不存在權(quán)限要求，即任何主體在任何時(shí)間地點(diǎn)均可對(duì)其進(jìn)行訪問，與排除“依法公開披露”立法意相同，也不屬于“數(shù)據(jù)出境”行為。

　?。?三 ） 境外接收重要數(shù)據(jù)的母公司是否也存在合規(guī)要求？

　　——是的

　　在跨國(guó)企業(yè)的業(yè)務(wù)中，收集、傳輸數(shù)據(jù)的主體多為跨國(guó)公司的境內(nèi)公司（外商投資企業(yè)），其承擔(dān)了主要的合規(guī)義務(wù)，而境外母公司作為接受者也存在一定的監(jiān)管要求。網(wǎng)信辦在2019年發(fā)布的《個(gè)人信息出境安全評(píng)估辦法（征求意見稿）》對(duì)“個(gè)人信息接收者”規(guī)定了相應(yīng)的法律義務(wù)，該辦法主要是針對(duì)個(gè)人信息出境，但由于其內(nèi)容具有一定實(shí)操性和規(guī)范性，因此我們建議在《數(shù)據(jù)安全法》配套法規(guī)尚未出臺(tái)前，有出境需求的跨國(guó)企業(yè)可以參照該辦法規(guī)定開展數(shù)據(jù)傳輸合規(guī)工作，力求盡可能規(guī)避監(jiān)管風(fēng)險(xiǎn)。

　　該辦法第十三條規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)者（跨國(guó)公司的境內(nèi)公司）與個(gè)人信息接收者（境外母公司）應(yīng)當(dāng)簽訂合同或者其他有法律效力的文件，并對(duì)合同所應(yīng)當(dāng)約定的內(nèi)容進(jìn)行了規(guī)定。

　　該辦法第十五條、第十六條明確規(guī)定接收者（境外母公司）所應(yīng)承擔(dān)的責(zé)任和義務(wù)，包括：

　　為個(gè)人信息主體提供訪問其個(gè)人信息的途徑，個(gè)人信息主體要求更正或者刪除其個(gè)人信息時(shí)，應(yīng)在合理的代價(jià)和時(shí)限內(nèi)予以響應(yīng)、更正或者刪除。

　　按照合同約定的目的使用個(gè)人信息，個(gè)人信息的境外保存期限不得超出合同約定的時(shí)限。

　　確認(rèn)簽署合同及履行合同義務(wù)不會(huì)違背接收者所在國(guó)家的法律要求，當(dāng)接收者所在國(guó)家和地區(qū)法律環(huán)境發(fā)生變化可能影響合同執(zhí)行時(shí)，應(yīng)當(dāng)及時(shí)通知網(wǎng)絡(luò)運(yùn)營(yíng)者，并通過網(wǎng)絡(luò)運(yùn)營(yíng)者報(bào)告網(wǎng)絡(luò)運(yùn)營(yíng)者所在地省級(jí)網(wǎng)信部門。

　　除非滿足一定條件，接收者不得將接收到的個(gè)人信息傳輸給第三方。

　　對(duì)于“重要數(shù)據(jù)”而言，其對(duì)于“知情同意”的要求力度不如“個(gè)人信息”（個(gè)人信息自決權(quán)的體現(xiàn)），因此第一點(diǎn)對(duì)“重要數(shù)據(jù)”而言參照性較低。但第2、3、4點(diǎn)的制定邏輯均適用于“個(gè)人信息”和“重要數(shù)據(jù)”，跨國(guó)企業(yè)可以參照。

　　總結(jié)

　　此前，國(guó)家網(wǎng)信辦官網(wǎng)發(fā)布了《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》并向社會(huì)公開征集意見。該辦法對(duì)赴國(guó)外上市公司作了特殊規(guī)定，要求掌握超過 100 萬用戶個(gè)人信息的運(yùn)營(yíng)者赴國(guó)外上市，必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查，且在申報(bào)材料中應(yīng)提供擬提交的 IPO 材料。且在審查關(guān)注的國(guó)家安全風(fēng)險(xiǎn)方面，針對(duì)赴國(guó)外上市行為提出了新的規(guī)制措施。可以見得，在未來一段期限內(nèi)，關(guān)涉國(guó)家安全對(duì)數(shù)據(jù)跨境流通將面對(duì)更進(jìn)一步對(duì)監(jiān)管要求。尤其是日常業(yè)務(wù)涉及高頻數(shù)據(jù)跨境流動(dòng)對(duì)跨國(guó)企業(yè)，對(duì)此問題應(yīng)當(dāng)有所應(yīng)對(duì)。