一、 出臺背景

　　隨著全球化與數(shù)字經(jīng)濟(jì)的發(fā)展，數(shù)據(jù)作為具有極大經(jīng)濟(jì)價(jià)值的生產(chǎn)要素，在國際間的流動越來越頻繁，而且數(shù)量呈逐年增長趨勢。然而，數(shù)據(jù)跨境的無序流動會給數(shù)據(jù)主體和數(shù)據(jù)安全帶來風(fēng)險(xiǎn)，還關(guān)乎國家安全和社會公共利益。為了防范數(shù)據(jù)跨境流動中存在的各種風(fēng)險(xiǎn)，我國一直積極推動相關(guān)立法規(guī)范數(shù)據(jù)的跨境流動，例如《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》和《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》。

　　2021年10月29日，國家互聯(lián)網(wǎng)信息辦公室出臺了《數(shù)據(jù)出境安全評估辦法（征求意見稿）》（以下簡稱評估辦法），全面和系統(tǒng)地提出了我國數(shù)據(jù)出境“安檢”的具體要求。

　　實(shí)際上，國家互聯(lián)網(wǎng)信息辦公室分別于2017年和2019年就數(shù)據(jù)出境安全評估出臺過兩個(gè)辦法的征求意見稿，即2017年4月11日的《個(gè)人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》（“以下簡稱17年版評估辦法”）和2019年6月13日的《個(gè)人信息出境安全評估辦法（征求意見稿）》（“以下簡稱19年版評估辦法”）。本次公布的評估辦法一是落實(shí)上位法的數(shù)據(jù)出境管理規(guī)定和要求；二是保障數(shù)字經(jīng)濟(jì)健康有序發(fā)展；三是應(yīng)對數(shù)據(jù)跨境傳輸和境外匯聚的安全風(fēng)險(xiǎn)。隨著上位法《數(shù)據(jù)安全法》（以下簡稱數(shù)安法）和《個(gè)人信息保護(hù)法》（以下簡稱個(gè)保法）的相繼實(shí)施，筆者認(rèn)為這次評估辦法將在征求意見之后很快正式出臺。

　　二、 適用范圍

　　雖然《網(wǎng)絡(luò)安全法》（以下簡稱網(wǎng)安法）、數(shù)安法、個(gè)保法均從不同角度提到過數(shù)據(jù)出境需要進(jìn)行安全評估的情形，而本次發(fā)布的評估辦法基于上位法的要求完整地規(guī)定了安全評估的具體適用范圍。

　　首先，評估辦法第二條將“數(shù)據(jù)出境”定義為“向境外提供”。在實(shí)踐中，“提供”可以有多種呈現(xiàn)情形。通常理解的情形是數(shù)據(jù)處理者將數(shù)據(jù)轉(zhuǎn)移至中國境外的地方。還有一種情形是數(shù)據(jù)并未轉(zhuǎn)移至境外，而依舊存儲在境內(nèi)，不過數(shù)據(jù)處理者將境內(nèi)數(shù)據(jù)庫的訪問登錄信息或接口提供給境外主體，以便后者可以在境外遠(yuǎn)程訪問查看（“以下簡稱遠(yuǎn)程訪問情形”）。例如，有些外資企業(yè)的信息技術(shù)團(tuán)隊(duì)部署在中國境外，其通過互聯(lián)網(wǎng)訪問并處理境內(nèi)服務(wù)器上存儲的數(shù)據(jù)來提供遠(yuǎn)程技術(shù)服務(wù)。鑒于遠(yuǎn)程訪問情形也會對境內(nèi)存儲的數(shù)據(jù)構(gòu)成一定風(fēng)險(xiǎn)威脅，從數(shù)據(jù)跨境流動安全管理的角度來看，其理論上也屬于“數(shù)據(jù)出境”。

　　其次，評估辦法第二條明確在出境數(shù)據(jù)涉及重要數(shù)據(jù)的情況下，安全評估是強(qiáng)制性的。需要注意的是網(wǎng)信辦基于數(shù)安法的授權(quán)，明確了重要數(shù)據(jù)需要進(jìn)行安全評估的范圍包括關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行者和其他數(shù)據(jù)處理者。網(wǎng)安法第三十七條明確要求關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者向境外提供重要數(shù)據(jù)需要進(jìn)行安全評估。數(shù)安法第三十一條重申了以上立場，并在此基礎(chǔ)上將其他數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)所適用的具體出境安全管理辦法交“由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定”。本評估辦法第二條正是呼應(yīng)了數(shù)安法第三十一條，將其他數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)的情形也納入安全評估范圍。

　　需要指出的是，超過一定量的個(gè)人信息可能會被各部門各地區(qū)界定為重要數(shù)據(jù)，納入重要數(shù)據(jù)目錄，應(yīng)當(dāng)按照本辦法關(guān)于重要數(shù)據(jù)的要求管理，如：《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》第三條給出了重要數(shù)據(jù)的定義，其中明確指出“涉及個(gè)人信息主體超過10萬人的個(gè)人信息”屬于重要數(shù)據(jù)，依照本評估辦法的要求，出境數(shù)據(jù)中包含重要數(shù)據(jù)的，應(yīng)申報(bào)安全評估。

　　最后，結(jié)合評估辦法第四條，我們可以看到在出境數(shù)據(jù)涉及個(gè)人信息的情況下，達(dá)到一定要求才需進(jìn)行安全評估。該要求可以分為三大類別：主體條件、客體條件及其他。主體條件是：關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者，或處理個(gè)人信息達(dá)到一百萬人的個(gè)人信息處理者?？腕w條件是：累計(jì)向境外提供超過十萬人以上個(gè)人信息，或累計(jì)向境外提供超過一萬人以上敏感個(gè)人信息。其他是：國家網(wǎng)信部門規(guī)定的其他需要安全評估的情形。

　　為了方便讀者理解，本文通過如下圖示說明數(shù)據(jù)出境安全評估的適用范圍：

　　圖1-數(shù)據(jù)出境安全評估的適用范圍

　　三、 評估原則

　　評估辦法第三條明確了數(shù)據(jù)出境總體評估原則：事前評估和持續(xù)監(jiān)督相結(jié)合、風(fēng)險(xiǎn)自評估與安全評估相結(jié)合，保障數(shù)據(jù)依法有序自由流動。

　　“事前評估”即數(shù)據(jù)在安全評估通過之前不得出境?！俺掷m(xù)監(jiān)督”則體現(xiàn)在評估辦法第十二條和第十六條，即對已經(jīng)通過評估的數(shù)據(jù)處理活動在如下三種情形下需要進(jìn)行再評估：1）兩年期滿；2）情勢變化；3）違規(guī)處理。

　　“風(fēng)險(xiǎn)自評估”與“安全評估”的內(nèi)容貫穿評估辦法第五條至第十一條，具體解讀詳見下文。

　　四、 風(fēng)險(xiǎn)自評估和安全評估

　　1. 評估流程

　　評估辦法第五條明確“數(shù)據(jù)處理者在向境外提供數(shù)據(jù)前，應(yīng)事先開展數(shù)據(jù)出境風(fēng)險(xiǎn)自評估”，該表述中并未強(qiáng)調(diào)僅在適用安全評估的情況下才需要事先開展風(fēng)險(xiǎn)自評估。因此理論上，風(fēng)險(xiǎn)自評估適用于所有數(shù)據(jù)出境情形，無論是否涉及重要數(shù)據(jù)或上文所述滿足一定條件的個(gè)人信息。

　　評估辦法第六、七、十、十一條規(guī)定了安全評估的具體流程。為了方便讀者理解，本文通過如下圖示說明安全評估的工作流程，其中也包括個(gè)保法涉及的其他出境管理制度。

　　圖2-評估流程

　　需特別說明的是本評估辦法明確了國家網(wǎng)信部門對于數(shù)據(jù)出境安全評估的主導(dǎo)地位。在評估辦法第十條中首次提到“專門機(jī)構(gòu)”，筆者認(rèn)為此機(jī)構(gòu)可能為國家網(wǎng)信部門指定的特定評估機(jī)構(gòu)。

　　2. 評估事項(xiàng)及簡析

　　評估辦法第五條和第八條分別列舉風(fēng)險(xiǎn)自評估和安全評估的重點(diǎn)事項(xiàng)，兩者既有區(qū)別也有一致。為了方便讀者理解，下文通過如下表進(jìn)行對比，并做簡要分析。

　　表1-風(fēng)險(xiǎn)自評估與安全評估事項(xiàng)對比

　　3. 關(guān)于涉及合同的幾個(gè)問題

　　如以上表格所示，評估辦法第五條和第八條均要求評估數(shù)據(jù)處理者與境外接收方訂立的合同。不過，這里提到的合同與個(gè)保法第三十八條第（三）款中提到的“標(biāo)準(zhǔn)合同”不同。兩者區(qū)別主要包括如下幾個(gè)方面：1）前者是安全評估的申報(bào)資料之一，而后者是與安全評估并列的個(gè)人信息出境的安全管理制度之一，2）前者的主要條款由數(shù)據(jù)處理者與境外接收方在滿足安全評估要求的前提下自由約定，而后者主要條款由國家網(wǎng)信部門制定，3）前者屬于事前監(jiān)管的范疇，后者屬于事后監(jiān)管的范疇。

　　合同的作用主要在爭議解決程序中體現(xiàn)，即只有在爭議解決程序中被認(rèn)定有效、有約束力、最終可執(zhí)行才能達(dá)到合同訂立的目的。然而，如果在實(shí)踐中安全評估未通過，數(shù)據(jù)處理者可能會面臨違反已經(jīng)生效且有約束力合同的風(fēng)險(xiǎn)。筆者的解決方案是將安全評估未通過情形與合同解除條款相結(jié)合，或者約定合同的生效條件為安全評估通過情形。另外，因?yàn)榫惩饨邮辗皆谥袊硟?nèi)很可能沒有資產(chǎn)，且中國法院判決會面臨在境外無法得到承認(rèn)和執(zhí)行的風(fēng)險(xiǎn)，因此建議在合同制定過程中要特別注意爭議解決條款的制定，以便滿足可執(zhí)行性的要求。

　　五、 結(jié)語

　　相較于17年和19年兩版評估辦法，本評估辦法所建立的管理體系更加成熟和完備，無論是在概念還是在制度建設(shè)方面都與上位法及其他相關(guān)數(shù)據(jù)跨境流動安全管理規(guī)定形成良好的銜接。隨著“重要數(shù)據(jù)”等概念的逐漸明晰，以及其他配套法規(guī)政策文件的不斷出臺，本評估辦法的出臺標(biāo)志我國在搭建數(shù)據(jù)出境安全管理制度的工作中邁出了重要且堅(jiān)實(shí)的一步。