作者：趙越

來(lái)源：零壹財經(jīng)（ID:Finance_01)

在數字經(jīng)濟時(shí)代，數據的跨境流動(dòng)對全球經(jīng)濟增長(cháng)具有較強的驅動(dòng)作用。根據美國布魯金斯學(xué)會(huì )測算，全球數據跨境流動(dòng)對全球GDP增長(cháng)的推動(dòng)作用已經(jīng)超過(guò)貿易和投資。中國作為“數據大國”，保證數據出境安全，不僅是提高數字經(jīng)濟全球競爭力的基礎，更是守護國家安全的保障。

2021年10月29日，國家互聯(lián)網(wǎng)信息辦公室（以下簡(jiǎn)稱(chēng)“網(wǎng)信辦”）發(fā)布了《數據出境安全評估辦法（征求意見(jiàn)稿）》，明確了數據出境安全評估的適用標準、評估內容和評估流程等問(wèn)題，使得企業(yè)開(kāi)展數據出境的流程更加明確。

一、數據出境的初步監管框架：以重要數據和個(gè)人信息為核心

2016年11月7日，《網(wǎng)絡(luò )安全法》正式頒布，首次明確了數據出境需進(jìn)行安全評估。之后，網(wǎng)信辦分別于2017年和2019年發(fā)布了《個(gè)人信息和重要數據出境安全評估辦法（征求意見(jiàn)稿）》和《個(gè)人信息出境安全評估辦法（征求意見(jiàn)稿）》，但由于《數據安全法》和《個(gè)人信息保護法》尚未實(shí)施，以上兩個(gè)評估辦法缺乏法律基礎，一直未出臺正式文件。

隨著(zhù)《數據安全法》和《個(gè)人信息保護法》的正式頒布，網(wǎng)信辦出臺《數據出境安全評估辦法（征求意見(jiàn)稿）》，將重要數據和個(gè)人信息出境的安全評估流程進(jìn)行了具體規定。一旦《數據出境安全評估辦法（征求意見(jiàn)稿）》正式頒布，我國關(guān)于數據出境監管框架將初步形成，即以《網(wǎng)絡(luò )安全法》《數據安全法》《個(gè)人信息保護法》為法律基礎，以《數據出境安全評估辦法》為配套法規，以重要數據和個(gè)人信息為監管重點(diǎn)。

表：重要數據和個(gè)人信息的出境監管制度

資料來(lái)源：零壹智庫根據公開(kāi)資料整理

二、數據出境安全評估的適用范圍

《個(gè)人信息和重要數據出境安全評估辦法（征求意見(jiàn)稿）》對于“數據出境”給出了定義。所謂數據出境，是指網(wǎng)絡(luò )運營(yíng)者將在中華人民共和國境內運營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數據，提供給位于境外的機構、組織、個(gè)人。定義明確了數據出境安全評估的適用主體（網(wǎng)絡(luò )運營(yíng)者）和數據類(lèi)型（個(gè)人信息和重要數據）。

其中，網(wǎng)絡(luò )運營(yíng)者主要指關(guān)鍵信息基礎設施的運營(yíng)者和其他數據處理者。然而，從《網(wǎng)絡(luò )安全法》到《數據安全法》和《個(gè)人信息保護法》，都只對關(guān)鍵信息基礎設施的運營(yíng)者做出了明確的個(gè)人數據或重要數據安全評估需求，而對于其他數據處理者的數據出境安全評估并未明確規定。

（一）明確主體：關(guān)鍵信息基礎設施的運營(yíng)者+其他數據處理者

《數據出境安全評估辦法（征求意見(jiàn)稿）》則進(jìn)一步完善了數據出境的適用范圍，除關(guān)鍵信息基礎設施的運營(yíng)者外，其他數據處理者的類(lèi)型也被明確，即數據處理者向境外提供數據，滿(mǎn)足以下情形之一的，均應申請安全評估：

表：不同法規制度中對于數據出境安全評估的要求

資料來(lái)源：《數據出境安全評估辦法（征求意見(jiàn)稿）》

這意味著(zhù)對于其他數據處理者而言，只要出境數據中包含重要數據，就需要進(jìn)行安全評估；在處理個(gè)人信息時(shí)，一旦滿(mǎn)足“處理個(gè)人信息達到一百萬(wàn)人”或“累計向境外提供超過(guò)十萬(wàn)人以上個(gè)人信息或者一萬(wàn)人以上敏感個(gè)人信息”這兩項，就需要進(jìn)行安全評估。

對于關(guān)鍵信息基礎設施的定義，雖然《數據出境安全評估辦法（征求意見(jiàn)稿）》沒(méi)有明確指出，但根據《關(guān)鍵信息基礎設施安全保護條例》，關(guān)鍵信息基礎設施是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能?chē)乐匚：野踩?、國計民生、公共利益的重要網(wǎng)絡(luò )設施、信息系統等。

（二）數據類(lèi)型：重要數據的邊界仍較為模糊

從需要進(jìn)行安全評估的出境數據類(lèi)型看，對于個(gè)人信息和敏感個(gè)人信息的定義、范圍等，《網(wǎng)絡(luò )安全法》《個(gè)人信息保護法》均進(jìn)行了明確規定。

而對于重要數據，目前的邊界比較模糊?！秱€(gè)人信息和重要數據出境安全評估辦法（征求意見(jiàn)稿）》曾提到重要數據的定義，即與國家安全、經(jīng)濟發(fā)展，以及社會(huì )公共利益密切相關(guān)的數據，但并未明確重要數據的具體范圍?！缎畔踩夹g(shù)數據出境安全評估指南（征求意見(jiàn)稿）》的附錄A《重要數據識別指南》，列舉了27個(gè)領(lǐng)域的重要數據。在實(shí)際應用中，對于重要數據的判定，通常具有明顯的行業(yè)特征。 

（三）數據出境安全評估的流程

《數據出境安全評估辦法（征求意見(jiàn)稿）》明確了數據出境的安全評估流程。數據處理者在向境外提供數據前，應事先開(kāi)展數據出境風(fēng)險自評估，然后通過(guò)所在地網(wǎng)信部門(mén)向國家網(wǎng)信部門(mén)申請安全評估。

圖：數據出境安全評估流程圖

資料來(lái)源：錦天城律師事務(wù)

三、互聯(lián)網(wǎng)企業(yè)：數據出境的重點(diǎn)監管對象 

隨著(zhù)互聯(lián)網(wǎng)企業(yè)的迅速發(fā)展，其用戶(hù)數量、業(yè)務(wù)生態(tài)等不斷壯大，海量數據在互聯(lián)網(wǎng)企業(yè)生成、匯聚、融合、應用，在釋放數據價(jià)值的同時(shí)，也帶來(lái)巨大的數據安全問(wèn)題。

2021年7月28日，工信部網(wǎng)絡(luò )安全局委托中國互聯(lián)網(wǎng)協(xié)會(huì )組織召開(kāi)重點(diǎn)互聯(lián)網(wǎng)企業(yè)貫徹落實(shí)《數據安全法》座談會(huì )，中國互聯(lián)網(wǎng)協(xié)會(huì )、中國信息通信研究院及阿里、騰訊、美團、奇安信、小米、京東、微博、字節跳動(dòng)、58同城、百度、拼多多、螞蟻集團等12家企業(yè)參加。座談會(huì )對數據安全相關(guān)工作進(jìn)行了部署，其中要求互聯(lián)網(wǎng)加強重要數據安全風(fēng)險評估和出境管理。

在此之前，滴滴、BOSS直聘以及運滿(mǎn)滿(mǎn)和貨車(chē)幫（滿(mǎn)幫集團旗下兩大品牌）等上市后曾被實(shí)行網(wǎng)絡(luò )數據安全審查。上述企業(yè)分別為日常出行、大眾求職及網(wǎng)絡(luò )貨運領(lǐng)域的頭部平臺。根據各自的招股書(shū)披露，滴滴年活躍用戶(hù)數量4.93億，年活躍司機數量1500萬(wàn)，日均單量4100萬(wàn)，年平臺交易總額3410億元；截至 2021 年 3 月 31 日，BOSS直聘共服務(wù)8580萬(wàn)認證求職者，共擁有1300萬(wàn)認證企業(yè)端用戶(hù)，服務(wù)630萬(wàn)家認證企業(yè)；滿(mǎn)幫集團2020年GTV（平臺總交易額）達1738億元人民幣，占我國數字貨運平臺GTV總量的64%，訂單量達7170萬(wàn)單，平臺司機達到280萬(wàn)。

這些互聯(lián)網(wǎng)企業(yè)不論是從主體認定，還是擁有的數據類(lèi)型上看，均屬于數據出境安全評估的范圍。巨大的用戶(hù)規模和巨額的交易量決定了其信息設施安全與國家安全、國計民生、公共利益日漸緊密，滿(mǎn)足了關(guān)鍵信息基礎設施運營(yíng)者的認定條件。而且這些企業(yè)擁有的數據可以間接反應我國的區域人口分布、商業(yè)熱力、人口流動(dòng)、企業(yè)經(jīng)營(yíng)及貨物流動(dòng)等情況，這些數據與經(jīng)濟發(fā)展、社會(huì )公共利益等密切相關(guān)。 

近日，富途控股、老虎證券等跨境互聯(lián)網(wǎng)券商因個(gè)人信息收集、出境等問(wèn)題連遭“點(diǎn)名”。其實(shí)，除向境外提供個(gè)人信息外，富途控股和老虎證券的投資量和用戶(hù)量等均體現了其與關(guān)鍵信息基礎設施有密切關(guān)聯(lián)。以富途為例，截止2021年第二季度，全球注冊用戶(hù)數突破1550萬(wàn)，有資產(chǎn)客戶(hù)數突破100萬(wàn)，第二季度交易額達1694億美元。此外，從數據類(lèi)型看，用戶(hù)在注冊過(guò)程中提供的收入信息、資產(chǎn)信息等個(gè)人信息均屬于《信息安全技術(shù)數據出境安全評估指南（征求意見(jiàn)稿）》列示的重要數據。

因此，這些跨境互聯(lián)網(wǎng)券商不僅滿(mǎn)足關(guān)鍵信息基礎設施運營(yíng)者的認定條件，并且其收集的用戶(hù)重要數據已經(jīng)構成重要數據，在數據出境時(shí)理應滿(mǎn)足安全評估的監管要求。

小結

數據出境一直是數據合規領(lǐng)域的重要話(huà)題。隨著(zhù)《數據出境安全評估辦法（征求意見(jiàn)稿）》的發(fā)布，數據出境的監管框架已經(jīng)相對清晰。在全球數字經(jīng)濟深入發(fā)展的背景下，數據的開(kāi)發(fā)利用成為打造數字經(jīng)濟新優(yōu)勢的“助推劑”，數據安全也上升到了國家主權的高度。對出境數據進(jìn)行有效的安全評估，至關(guān)重要。

對滿(mǎn)足條件的互聯(lián)網(wǎng)企業(yè)而言，應在合理利用“數據紅利”的基礎上，盡快推進(jìn)數據出境合規化建設，避免后期因數據問(wèn)題影響而影響業(yè)務(wù)的推進(jìn)發(fā)展。

注：文章為作者獨立觀(guān)點(diǎn)，不代表資產(chǎn)界立場(chǎng)。

題圖來(lái)自 Pexels，基于 CC0 協(xié)議

本文由“零壹財經(jīng)”投稿資產(chǎn)界，并經(jīng)資產(chǎn)界編輯發(fā)布。版權歸原作者所有，未經(jīng)授權，請勿轉載，謝謝！

原標題： 政策框架初定，互聯(lián)網(wǎng)企業(yè)數據出境如何合規？