安杰视点│个人信息和重要数据出境拟面临严格监管

《意见稿》将“数据出境”定义为“网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据，提供给位于境外的机构、组织、个人”。由此可见，“数据出境”不但指将数据存储在境外的行为，还包括虽然将数据存储在境内，但接触该数据的权限也开放给境外的机构、组织、个人的行为（即境内数据在境外下载或可见）。在《意见稿》出台前，中国已有一些法律法规对特定行业的数据出境进行限制或禁止，但相关表述不尽相同，实践中也有不同理解，而《意见稿》一旦正式出台，将有望统一企业在合规实务中的理解以及相关监管部门的执法尺度。

即将于2017年6月1日生效的《中华人民共和国网络安全法》（“《网络安全法》”）对“个人信息”已有规定[1] ，《意见稿》中“个人信息”的定义与《网络安全法》中的定义保持了一致。对于“重要数据”，《意见稿》规定：重要数据，是指与国家安全、经济发展，以及社会公共利益密切相关的数据，具体范围参照国家有关标准和重要数据识别指南。据此，有关部门将会进一步出台识别重要数据的指引和标准。

《网络安全法》规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。上述《网络安全法》对数据出境的限制仅限于“关键信息基础设施”的运营者，其具体范围和保护办法虽未正式出台[2] ，但根据《网络安全法》的规定，“关键信息基础设施”应仅限于“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”。而此次发布的《意见稿》规定：“网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据，应当在境内存储。因业务需要，确需向境外提供的，应当按照本办法进行安全评估。”上述规定意味着《意见稿》将数据出境限制的适用主体由《网络安全法》下的“关键信息基础设施”运营者扩展到含义更广泛的“网络运营者”。根据《网络安全法》的规定，网络运营者是指“网络的所有者、管理者和网络服务提供者”。几乎所有的互联网运营商、网络新媒体企业以及利用互联网提供服务信息的传统企业（例如银行、保险公司公司等）都有可能被纳入这一范围。此外，《意见稿》还规定，其他个人和组织在中华人民共和国境内收集和产生的个人信息和重要数据出境的安全评估工作参照本办法执行。这意味着《意见稿》将数据出境限制进一步扩展到全社会范围。

上述规定一方面将有助于加强对中国境内个人信息和重要数据的保护，但另一方面也有可能给正常和普遍接受的数据出境行为增加额外的程序负担和合规成本。

《意见稿》规定：“个人信息出境，应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区，并经其同意。未成年人个人信息出境须经其监护人同意。”我国个人信息保护法律制度虽未完善，但知情同意原则作为个人信息的收集、使用、处理的通行国际规则，在《中华人民共和国民法总则》及《网络安全法》等法律法规中均已体现。《意见稿》的上述规定细化了个人信息出境时的知情同意原则，是对于现有法律法规的进一步补充。

值得注意的是，《网络安全法》规定，网络运营者未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。该条规定即业内通称的“匿名化条款”或“大数据条款”。作为个人信息主体知情同意原则的例外，该条规定允许网络运营者在将个人信息“脱敏”后（即无法辨识个人身份）提供给第三方。但《网络安全法》未明确该条规定是否也适用于个人信息出境行为。遗憾的是，《意见稿》对此问题也未予以明确。网络运营者将个人信息脱敏后能否在不经个人信息主体同意的情况下传输至境外？该问题仍有待明确。

《意见稿》规定：国家网信部门统筹协调数据出境安全评估工作，指导行业主管或监管部门组织开展数据出境安全评估。行业主管或监管部门负责本行业数据出境安全评估工作，定期组织开展本行业数据出境安全检查。

对于有些企业，例如银行、保险企业，其行业主管或监管部门较为明显，但对于有些被多部门监管的企业（例如互联网企业）、以及综合利用多种类型个人信息和重要数据的企业（例如大数据挖掘企业）或机构，其可能面临多个行业主管或监管部门的安全检查，而辨识这类企业或机构究竟应由哪些行业主管或监管部门归口管理，也将考验监管部门对相关行业的理解能力和执法能力。对此，《意见稿》规定，行业主管或监管部门不明确的，由国家网信部门组织评估。该规定可在一定范围内解决上述问题。

《意见稿》区分了数据出境所需的两类安全评估。一类是由网络运营者自行组织的安全评估，每年至少一次，并应及时将评估情况报行业主管部门或监管部门。网络运营者应对其评估结果负责。评估的重点内容包括：

1) 数据出境的必要性；

2) 涉及个人信息情况，包括个人信息的数量、范围、类型、敏感程度，以及个人信息主体是否同意其个人信息出境等；

3) 涉及重要数据情况，包括重要数据的数量、范围、类型及其敏感程度等；

4) 数据接收方的安全保护措施、能力和水平，以及所在国家和地区的网络安全环境等；

5) 数据出境及再转移后被泄露、毁损、篡改、滥用等风险；

6) 数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险；

7) 其他需要评估的重要事项。

《意见稿》还规定了网络运营者应报请行业主管或监管部门组织安全评估的几类情况：

1) 含有或累计含有50万人以上的个人信息；

2) 数据量超过1000GB；

3) 包含核设施、化学生物、国防军工、人口健康等领域数据，大型工程活动、海洋环境以及敏感地理信息数据等；

4) 包含关键信息基础设施的系统漏洞、安全防护等网络安全信息；

5) 关键信息基础设施运营者向境外提供个人信息和重要数据；

6) 其他可能影响国家安全和社会公共利益，行业主管或监管部门认为应该评估。

《意见稿》还规定了当数据接收方出现变更，数据出境目的、范围、数量、类型等发生较大变化，数据接收方或出境数据发生重大安全事件时，应及时重新进行安全评估。

《意见稿》规定，存在以下情况之一的，数据不得出境：

1) 个人信息出境未经个人信息主体同意，或可能侵害个人利益;

2) 数据出境给国家政治、经济、科技、国防等安全带来风险，可能影响国家安全、损害社会公共利益;

3) 其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。

近年来中国政府极为重视个人信息保护和网络安全，并已将其上升至国家战略的高度，加强个人信息和重要数据出境监管的重要性不言而喻。《意见稿》在《网络安全法》的基础上进一步明确并加强了个人信息与重要数据的境内存储和跨境传输限制，其一旦正式实施，将对中国互联网和数据产业乃至全社会产生深刻影响。我们认为，相关企业应尽快建立个人信息保护和重要数据内部管理制度、安全评估制度和流程，并妥善保存安全评估涉及的技术、管理、法律等方面的分析报告和评估结论。该工作一方面是满足企业内部数据运营管理的需要，另一方面也是满足日益严格的数据出境合规和监管部门数据出境安全检查的需要。

我们将继续关注这一领域的进展并及时进行解读。