数据出境，企业应该怎么做

一

二

《网络安全法》第37条将适用范围限定于“关键信息基础设施的运营者”。但随后出台的《评估办法》与《评估指南》均将第2条将适用范围明确扩展为“网络运营者”，《评估指南》在范围的说明中保持了与《评估办法》的一致。需要注意的是，《评估办法》还规定“其他个人和组织在中华人民共和国境内收集和产生的个人信息和重要数据出境的安全评估工作参照本办法执行”，这也意味着，尽管适用《评估办法》的主体是网络运营者，但涉及其他个人和组织数据出境的安全评估工作，也应参照《评估办法》的有关内容。

根据《评估办法》，网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据属于被规制的数据。根据《评估指南》，个人信息(Personal Date)是指以电子方式或其他方式记录的能够单独或与其他信息结合识别自然人身份的各种信息，如姓名、出生日期、身份证号、个人账号信息、住址、电话号码、指纹、虹膜等（关于个人信息的范围和类别可参考《个人信息安全技术 个人信息安全法规范》）。重要数据(Important Data)是指相关组织、机构和个人在境内收集、产生的不涉及国家秘密，但与国家安全、经济发展以及公共利益密切相关的数据，包括原始数据和衍生数据（重要数据的具体范围可以参见《评估指南》附件A）。需要注意的是，经政府信息公开渠道合法公开的数据，不再属于重要数据。

根据《评估指南》，数据出境(Data Cross-border Transfer)是指网络运营者通过网络等方式，将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据，通过直接提供或开展业务、提供服务、产品等方式提供给境外机构、组织或个人的一次性活动或连续性活动。

最后，值得注意的是《评估指南》第一次征求意见中，关于数据出境的定义为“将在中华人民共和国境内收集和产生的电子形式的个人信息和重要数据，提供给境外机构、组织、个人的一次性活动或连续性活动。”而《评估指南》第二次征求意见中，受规制的数据不再局限于电子形式的个人信息和重要数据，出境的行为方式也被扩大为“通过网络等方式”。

通过对适用范围的明确，不难发现，现阶段国家对数据出境的监管成趋严趋紧态势。具体来说：

（1）受规制主体广泛，“网络运营者”、“进给运营”、“个人信息和重要数据”的概念几乎可以实现各类在华企业及数据的全覆盖；

（2）受规制行为广泛，从条文本身上看，受规制的“数据出境”行为既包括了企业主动提供数据的行为，也包括了被动提供数据的行为（数据未转移存储至本国以外的地方，但被境外的机构、组织、个人访问查看的）。

同时，除线上传输外，线下以物理携带等方式转移数据的行为同样可能受到规制。

三

网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据，应当在境内存储。因业务需要，确需向境外提供的，应当进行安全评估。数据出境安全评估首先应当评估数据出境的目的；数据出境目的不具有合法性、正当性和必要性，不得出境。在此基础上数据出境安全评估应当评估数据出境的安全风险，将数据出境及再转移后被泄露、损毁、篡改、滥用等风险有效降低至最低限度。

数据出境安全评估分为两种，一种是安全自评估，另一种是主管部门评估。

在数据出境安全自评估启动后，数据出境安全自评估工作组[1]审查数据出境计划，对个人信息与重要数据依照流程进行评估，并形成评估报告。数据出境满足上报要求的，评估报告应按照要求报送国家网信部门、行业主管部门。数据出境需获得国家网信部门、行业主管部门同意的，应在数据出境前将评估报告按要求报送国家网信部门、行业主管部门，并获得其同意。对评估结果为可以出境的，依照出境计划进行出境，对评估结果禁止出境的，提出出境计划修改建议，业务部门修改出境计划，降低数据出境安全风险后，重新进行评估。 

在数据出境主管部门评估启动之后，国家网信部门、行业主管部门确定主管部门评估范围，制定主管部门评估方案，并成立主管部门评估工作组。网络运营者按要求向主管部门评估工作组提交相关材料，材料包括安全自评估报告以及相关证明资料等。主管部门评估工作组根据主管部门评估方案，通过远程监测、现场检查等方式进行主管部门评估并形成主管部门评估报告。专家委员会对主管部门评估工作组做出的主管部门评估报告、安全自评估报告进行审议并给出是否同意数据出境的建议。国家网信部门、行业主管部门根据专家委员会建议做出决定。

关于数据出境安全自评估/主管部门评估中的数据出境计划制定/主管部门评估方案制定、自评估方法、评估报告以及评估的检查与修正等具体要求及内容，企业可以参考《信息安全技术 数据出境安全评估指南》及其他相关法律法规、国家标准等的规定进行参照。

四

数据出境计划中出境目的应同时满足合法性、正当性和必要性的要求。

合法性包括数据出境目的不属于法律法规明令禁止的，不属于国家网信部门、公安部门、安全部门等有关部门认定不能出境的。

正当性包括个人信息主体已经同意，且不违反相关主管部门规定的情况。

必要性主要包括履行合同义务所必需的、同一机构、组织内部开展业务所必需的、我国政府部门履行公务所必需的、履行我国政府与其他国家地区、国际组织签署的条约、协议所必需的、其他维护网络空间主权和国家安全、经济发展、社会公共利益和保护公民合法利益需要的。

评估数据出境的安全风险，应综合考虑出境数据的属性和数据出境发生安全事件的可能性及影响程度。

从数据属性来看，个人信息数据应从数据类型、数量、范围、敏感程度和技术处理等角度进行评估。重要数据应从数据类型、数量、范围和技术处理等角度进行评估。

从数据出境安全事件的可能来看，应从发送方数据出境的技术和管理能力、数据接收方的安全保护能力、采取的措施，以及数据接收方所在国家或区域的政治法律环境等角度进行评估。

关于数据出境评估中个人信息、重要数据、数据出境的技术和管理能力、数据接收方的安全保护能力、采取的措施，以及数据接收方所在国家或区域的政治法律环境等内容的具体评估要求及细节，企业可以参考《信息安全技术 数据出境安全评估指南》及其他相关法律法规、国家标准等的规定。

五

尽管随着科技的发展与信息共享需求的增加，数据的价值日益被得到认可，数据在全球范围内的跨境流动增长迅速也日渐频繁。但与这个趋势相反，各国政府出于国家和社会安全等考虑，更多倾向于对数据出境进行规制与掌控。因此，尽管《评估办法》和《评估指南》还未正式生效，且经过有关机关和部门的斟酌后，不排除现有内容会有所变更可能，但是国家对数据合规的监管趋势不会改变，甚至在监管初期，监管要求与内容大概率是趋严趋紧的。

有鉴于此，企业在数据合规方向，特别是跨国企业，应当开始逐渐筹划与组建属于自己的数据合规团队。合规团队应该根据国内外相关法律法规及要求，结合企业自身技术条件、业务需求等内容，系统化、全面化地对企业数据及数据资源进行管理。否则，对数据合规的轻视，不但会使企业陷入合规的泥潭，更可能导致企业错失数据时代的发展机遇。

注：