如何保证跨境数据流动的安全？

文/ 本刊记者 刘檀

随着数字经济的蓬勃发展，数据跨境活动日益频繁，数据出境需求快速增长。明确数据出境安全评估的具体规定，是促进数字经济健康发展、防范化解数据跨境安全风险的需要。

近日，国家网信办公布《数据出境安全评估办法》（下称《办法》），自9 月1 日起施行。网信办有关负责人表示，出台《办法》旨在落实《网络安全法》《数据安全法》《个人信息保护法》的规定，规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动，切实以安全保发展、以发展促安全。

全球化背景下，数据出境呈常态化

在全球化背景下，数据出境已呈常态化趋势。中国科技大学公共事务学院、网络空间安全学院教授左晓栋称：“数据是国家的战略资源。如果一个国家对于数据出境不设防，相当于国家安全大门洞开。”

如何保证数据跨境流动的安全，是一个全球性命题。

欧盟的数据跨境规则主要集中在《通用数据保护条例》（GDPR）中。GDPR 强调，向欧盟境外提供个人信息，不得削弱对个人信息的保护力度。GDPR 规定，需要获得欧盟充分保护认定，这种认定实质上是欧盟对他国法律制度、监管机构设置、参加国际条约等方面的评估，是最严格的方式。

“一旦进入这一白名单，数据跨境的便利性极大。目前，只有新加坡、瑞士、日本等极少数国家通过了认定。”左晓栋说。

美国则有不同的处理方式。美国虽然自称数据自由流动，对数据跨境没有严格的法律限制，更多通过市场机制来解决，但今年4 月，美国宣布了全球跨境隐私规则（CBPR）声明，试图将APEC 框架下的数据跨境传输机制的适用扩展至全球范围。

近年，中国也在逐步完善对于数据出境的相关立法。2016 年，《网络安全法》出台，其中第37 条规定，关键信息基础设施的运营者在境内收集和产生的个人信息和重要数据应当在境内存储；因业务需要，确需向境外提供的，应进行安全评估。2021 年，《数据安全法》和《个人信息保护法》先后出台，将数据出境安全评估制度的实施范围作出扩展，不再局限于关键信息基础设施运营者。

中国社科院法学所网络与信息法室副主任周辉指出，此前，国内不少机构的数据出境活动基本处于“裸奔”状态，严重威胁着个人信息权益、社会公共利益乃至国家安全。《数据安全法》和《个人信息保护法》建立了中国数据出境安全管理的基本框架，但具体细则还有待明确，《办法》由此应运而生。

多位专家近日表示，《办法》弥补了数据出境的安全漏洞，健全了数据出境安全屏障。他们建议，相关企业在数据出境活动发生前，应依法开展风险自评估、申报，并通过数据出境安全评估。

《办法》为数据安全出境提供指引

对于数据出境活动，《办法》作出具体规定，一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外；二是数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以访问或者调用。

《办法》明确了4 种应当申报数据出境安全评估的情形：一是数据处理者向境外提供重要数据。二是关键信息基础设施运营者和处理100 万人以上个人信息的数据处理者向境外提供个人信息。三是自上年1 月1 日起累计向境外提供10 万人个人信息或者1 万人敏感个人信息的数据处理者向境外提供个人信息。四是国家网信部门规定的其他需要申报数据出境安全评估的情形。

数据出境安全评估具体包括哪些内容？网信办负责人介绍，一是数据出境的目的、范围、方式等的合法性、正当性、必要性。二是境外接收方所在国家或地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响；境外接收方的数据保护水平是否达到中国法律、行政法规的规定和强制性国家标准的要求。三是出境数据的规模、范围、种类、敏感程度，出境中和出境后遭到篡改、破坏、泄露、丢失、转移或被非法获取、非法利用等风险。四是数据安全和个人信息权益是否能够得到充分有效保障。五是数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务。六是遵守中国法律、行政法规、部门规章情况。七是国家网信部门认为需要评估的其他事项。

为了规范数据出境安全评估活动，《办法》还明确了具体流程。一是事前评估，数据处理者在向境外提供数据前，应首先开展数据出境风险自评估。二是申报评估，符合申报数据出境安全评估情形的，数据处理者应通过所在地省级网信部门向国家网信部门申报。三是开展评估，国家网信部门自收到申报材料之日起7 个工作日内确定是否受理评估；自出具书面受理通知书之日起45 个工作日内完成数据出境安全评估；情况复杂或需要补充、更正材料的，可以适当延长并告知数据处理者预计延长的时间。四是重新评估和终止出境，评估结果有效期届满或在有效期内出现需重新评估情形的，数据处理者应当重新申报数据出境安全评估。

网信办负责人提醒道，实践中，数据处理者宜在与境外接收方签订数据出境相关合同或其他具有法律效力的文件前，申报数据出境安全评估。如果在签订法律文件后申报评估，建议在法律文件中注明“此文件须在通过数据出境安全评估后生效”，以避免可能因未通过评估而造成损失。

数据安全或撬动百亿市场

实践中，数据处理者宜在与境外接收方签订数据出境相关合同或其他具有法律效力的文件前，申报数据出境安全评估。

《办法》出台的当日，奇安信与普华永道举行战略合作签约仪式。双方将围绕国际化战略布局、打造网络安全产品和专业安全服务能力的联合解决方案、推进全产业数字化网络安全咨询服务开拓等三个方向展开深入合作，加速中国网络安全产业布局海外市场。

奇安信集团副总裁、创新BG 负责人孔德亮表示，新规实施后，明确了监管的要求和细则。当下，企业急需把自己的短板补上，保障数据的基础安全防护问题。

“数据安全是国家战略，企业的数字化转型是大势所趋，而合法合规保障流动和使用数据是前提，因此企业建设数据安全的意愿非常强烈。”孔德亮说。他认为，企业数据安全保护的市场空间预计将以百亿元起。

金杜律师事务所方面表示，《办法》对安全评估的程序性规则和实体评估内容均进行了规定。所规定的自评估—申请评估—重新评估，以及评估材料、评估时间、评估通知、评估材料补充更正、评估结果撤销等均属于程序性规定。这些规定能够帮助数据处理者定位自己在开展数据出境安全评估工作中所处的时间点位。

周辉指出，《办法》实施后，将对达到评估申报标准的数据处理者产生约束性影响，尤其是金融、电信、卫生健康、能源、民航等重要行业和领域。这些领域的机构向境外提供的数据，一方面可能涉及国家安全、经济运行、社会稳定、公共健康和安全的重要数据；另一方面因自身被确定为关键信息基础设施运营者，其处理数据的量级轻易即可达到“100 万人以上”。

周辉建议，上述相关行业，应尽快适应《办法》的要求，在数据出境活动发生前依法开展自评估、申报并通过评估。如果目前不符合《办法》的管理要求，在《办法》规定的期限（2023 年3 月1 日）前尽快完成整改。