數(shù)據(jù)安全觀察 | 哪些數(shù)據(jù)必須本地化存儲？數(shù)據(jù)出境如何做好合規(guī)管理？【走出去智庫】-ESG跨境

走出去智庫觀察

9月1日，《中華人民共和國數(shù)據(jù)安全法》和《關鍵信息基礎設施安全保護條例》正式施行，均對數(shù)據(jù)跨境做出相關規(guī)定。新出臺的《個人信息保護法》更是對數(shù)據(jù)跨境流動的規(guī)則作出了較為具體的規(guī)定。企業(yè)如何做好出境數(shù)據(jù)合規(guī)，成為關注的主要問題。

走出去智庫（CGGT）特約法律專家、金誠同達律師事務所高級合伙人彭凱指出，《數(shù)據(jù)安全法》將“重要數(shù)據(jù)”的出境安全管理進行了二分監(jiān)管，即對于“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產(chǎn)生的重要數(shù)據(jù)”出境，直接援引《網(wǎng)絡安全法》的規(guī)定；但對于“其他數(shù)據(jù)處理者在中華人民共和國境內運營中收集和產(chǎn)生的重要數(shù)據(jù)”，則需進一步由國家網(wǎng)信部門會同國務院有關部門制定出境安全管理辦法，這也填補了非關鍵信息基礎設施運營者的其他主體在向境外提供重要數(shù)據(jù)時的監(jiān)管空白。

如何做好數(shù)據(jù)出境的合規(guī)管理？今天，走出去智庫（CGGT）刊發(fā)金誠同達律師事務所彭凱、周晨黠、宋海新主編的《數(shù)據(jù)安全法合規(guī)指引》白皮書中涉及數(shù)據(jù)出境的內容，供關注跨境數(shù)據(jù)合規(guī)的讀者參考。

要 點

CGGT，CHINA GOING GLOBAL THINKTANK

1、《個人信息保護法》進一步規(guī)定了個人信息的境內存儲原則，規(guī)定“國家機關處理的個人信息”和“關鍵信息基礎設施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者在中華人民共和國境內收集和產(chǎn)生的個人信息”需要以境內存儲為原則。

2、重要數(shù)據(jù)出境，對于關鍵信息基礎設施的運營者，需按照國家網(wǎng)信部門會同國務院有關部門制定的辦法進行安全評估；對于一般的數(shù)據(jù)處理企業(yè)，需進一步由國家網(wǎng)信部門會同國務院有關部門制定出境安全管理辦法。

3、需要注意的是，此處的數(shù)據(jù)出境問題并未包含關于數(shù)據(jù)對外共享的討論，但是考慮到數(shù)據(jù)出境往往伴隨著集團數(shù)據(jù)融合共享、公司對外共享數(shù)據(jù)等場景，因此亦很可能涉及到數(shù)據(jù)共享的相關規(guī)制，并進而引發(fā)新的合規(guī)要求。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

文/彭凱 周晨黠 宋海新

金誠同達律師事務所

自《網(wǎng)絡安全法》實施以來，數(shù)據(jù)的本地化存儲要求與出境合規(guī)就一直備受關注，也是眾多跨國公司合規(guī)工作中的難點，《數(shù)據(jù)安全法》第三十一條，則自草案二審稿開始，加入了關于重要數(shù)據(jù)出境的相關管理要求。

此前關于這一問題的相關規(guī)定，主要以《網(wǎng)絡安全法》為總領，輔以《GB/T35273—2020信息安全技術個人信息安全規(guī)范》等國家標準作為規(guī)范參考。在相關規(guī)范尚不健全的情況下，還存在《個人信息保護法》《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》《信息安全技術數(shù)據(jù)出境安全評估指南（草案）》《個人信息出境安全評估辦法（征求意見稿）》《數(shù)據(jù)安全管理辦法（征求意見稿）》等一系列尚未生效的法規(guī)、指南和標準，一定程度上也代表監(jiān)管部門對這一問題的看法。

也正是因為相關規(guī)范尚不健全，而尚未生效的法規(guī)、指南和標準又將相應的合規(guī)要求進行了提升，實踐中對于哪些數(shù)據(jù)需要境內存儲、數(shù)據(jù)出境需要履行什么手續(xù)等問題存在較大的爭議。

1、原則上需要本地化存儲的數(shù)據(jù)

在《網(wǎng)絡安全法》框架下，以境內存儲為原則的數(shù)據(jù)主要系指“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)”。

作為《網(wǎng)絡安全法》的初期配套文件，《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》將境內存儲為原則的數(shù)據(jù)擴張為“網(wǎng)絡運營者在中華人民共和國境內運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)”。

在重要數(shù)據(jù)與個人信息分軌監(jiān)管后，《個人信息出境安全評估辦法（征求意見稿）》取代了上述《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》，其中對于個人信息的出境，不再以本地化存儲為原則，而是以安全評估先于個人信息出境為原則。但在辦法未落地的情況下，相關的安全評估亦無法實際開展，因此我們認為實質上并未改變以本地化存儲為原則的現(xiàn)狀。

《個人信息保護法》進一步規(guī)定了個人信息的境內存儲原則，規(guī)定“國家機關處理的個人信息”和“關鍵信息基礎設施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者在中華人民共和國境內收集和產(chǎn)生的個人信息”需要以境內存儲為原則。在上述復雜規(guī)定之下，《數(shù)據(jù)安全法》更進一步，將以境內存儲為原則的數(shù)據(jù)擴展為所有的“在中華人民共和國境內運營中收集和產(chǎn)生的重要數(shù)據(jù)”。

結合上述法律、法規(guī)和文件，我們總結了現(xiàn)階段必須以境內本地化存儲為原則的數(shù)據(jù)，具體包括：

1）在中華人民共和國境內運營中收集和產(chǎn)生的重要數(shù)據(jù)；

2）在中華人民共和國境內運營中收集和產(chǎn)生的個人信息；

3）國家機關處理的個人信息。

2、數(shù)據(jù)出境的前提與手續(xù)

在《網(wǎng)絡安全法》框架下，“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)”如需向境外提供的，需按照“國家網(wǎng)信部門會同國務院有關部門制定的辦法”進行安全評估。

《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》則對“網(wǎng)絡運營者在中華人民共和國境內運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)”向境外提供的行為設置了安全評估的要求，并對“含有或累計含有50萬人以上的個人信息”“數(shù)據(jù)量超過1000GB”“包含核設施、化學生物、國防軍工、人口健康等領域數(shù)據(jù)，大型工程活動、海洋環(huán)境以及敏感地理信息數(shù)據(jù)等”“包含關鍵信息基礎設施的系統(tǒng)漏洞、安全防護等網(wǎng)絡安全信息”“關鍵信息基礎設施運營者向境外提供個人信息和重要數(shù)據(jù)”等情形下的數(shù)據(jù)出境附加了“報請行業(yè)主管或監(jiān)管部門組織安全評估”的要求。另外對于個人信息的出境，也提出了“同意”這一前置要求。

而后《個人信息出境安全評估辦法（征求意見稿）》將個人信息的出境評估義務變更為由網(wǎng)絡運營者向所在地省級網(wǎng)信部門申報個人信息出境安全評估，但因為該辦法未生效，也尚不存在報請省級網(wǎng)信部門進行出境安全評估的渠道。

《個人信息保護法》進一步將安全評估劃分為，如屬于“國家機關處理的個人信息”出境，需進行安全評估（未規(guī)定主體，從文義而言應由出境的國家機關自行評估）；如屬于“關鍵信息基礎設施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者在中華人民共和國境內收集和產(chǎn)生的個人信息”出境，則需通過國家網(wǎng)信部門組織的安全評估。此外，對于個人信息出境行為，除了通過國家網(wǎng)信部門組織的安全評估外，還設置了“按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構進行個人信息保護認證”“按照國家網(wǎng)信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務，并監(jiān)督其個人信息處理活動達到本法規(guī)定的個人信息保護標準”等可選方案，一定程度上放寬了個人信息出境問題的監(jiān)管態(tài)勢。

《數(shù)據(jù)安全法》將“重要數(shù)據(jù)”的出境安全管理同樣進行了二分監(jiān)管，即對于“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產(chǎn)生的重要數(shù)據(jù)”出境，直接援引《網(wǎng)絡安全法》的規(guī)定；但對于“其他數(shù)據(jù)處理者在中華人民共和國境內運營中收集和產(chǎn)生的重要數(shù)據(jù)”，則需進一步由國家網(wǎng)信部門會同國務院有關部門制定出境安全管理辦法，這也填補了非關鍵信息基礎設施運營者的其他主體在向境外提供重要數(shù)據(jù)時的監(jiān)管空白。

結合上述法律、法規(guī)和文件，我們梳理了針對企業(yè)不同類型數(shù)據(jù)在出境時的不同前提與手續(xù)，具體包括：

1）個人信息出境，在告知并征得信息主體個人的同意、經(jīng)個人信息保護影響評估并記錄出境情況后，對于關鍵信息基礎設施的運營者，需按照國家網(wǎng)信部門會同國務院有關部門制定的辦法進行安全評估；對于一般的網(wǎng)絡運營者，可能選擇“按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構進行個人信息保護認證”或“按照國家網(wǎng)信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務”，并監(jiān)督其個人信息處理活動達到本法規(guī)定的個人信息保護標準等其他方式；

2）重要數(shù)據(jù)出境，對于關鍵信息基礎設施的運營者，需按照國家網(wǎng)信部門會同國務院有關部門制定的辦法進行安全評估；對于一般的數(shù)據(jù)處理企業(yè)，需進一步由國家網(wǎng)信部門會同國務院有關部門制定出境安全管理辦法。

同時需要注意的是，此處的數(shù)據(jù)出境問題并未包含關于數(shù)據(jù)對外共享的討論，但是考慮到數(shù)據(jù)出境往往伴隨著集團數(shù)據(jù)融合共享、公司對外共享數(shù)據(jù)等場景，因此亦很可能涉及到數(shù)據(jù)共享的相關規(guī)制，并進而引發(fā)新的合規(guī)要求。

3、數(shù)據(jù)出境安全評估

考慮到目前國家網(wǎng)信部門尚未發(fā)布標準合同，個人信息保護認證機構也未設立，相應的網(wǎng)信部門安全評估制度亦未成型，為了滿足日益趨嚴的監(jiān)管要求，結合參考包括《信息安全技術數(shù)據(jù)出境安全評估指南（草案）》《GB/T 39335-2020 信息安全技術 個人信息安全影響評估指南》等在內的眾多草案、指南、標準，我們建議有數(shù)據(jù)出境需求的企業(yè)可自行組織數(shù)據(jù)出境安全評估，一方面可以作為向監(jiān)管部門證明履行相關數(shù)據(jù)保護義務的重要參考資料，另一方面也可以為未來的合規(guī)工作做好鋪墊，未雨綢繆。

針對具體的數(shù)據(jù)出境場景，企業(yè)可從數(shù)據(jù)出境的合法正當、風險可控兩方面展開數(shù)據(jù)出境安全評估，具體而言：

1）合法正當，包括數(shù)據(jù)合法性、授權同意的合法性，業(yè)務活動、履行合同的正當性等維度；

2）風險可控，包括數(shù)據(jù)屬性（類型、敏感度、數(shù)量、范圍、技術處理情況等維度）、收發(fā)雙方的技術和管理能力、數(shù)據(jù)接收方所在國家或地區(qū)的整體法律環(huán)境等維度。

如評估結果顯示數(shù)據(jù)出境的安全風險為極高或高的，企業(yè)可進一步修正數(shù)據(jù)出境計劃，并對修正后的數(shù)據(jù)出境計劃重新進行評估。

4、違法向境外提供重要數(shù)據(jù)的法律責任

從上述歷次版本變更對比可以看出，《數(shù)據(jù)安全法》在正式稿增加了違法向境外提供重要數(shù)據(jù)的法律責任的規(guī)定，這里的法律責任主要適用于關鍵信息基礎設施運營者之外的數(shù)據(jù)處理者。

對于關鍵信息基礎設施的運營者而言，因為《數(shù)據(jù)安全法》第三十一條明確關鍵信息基礎設施的運營者的重要數(shù)據(jù)出境安全管理適用《網(wǎng)絡安全法》的規(guī)定，其法則亦主要指向《網(wǎng)絡安全法》第六十六條的規(guī)定。

對于關鍵信息基礎設施運營者之外的數(shù)據(jù)處理者，如果違反后續(xù)國家網(wǎng)信部門會同國務院有關部門制定的重要數(shù)據(jù)出境安全管理辦法的規(guī)定，需要承擔責令改正、警告、罰款的法律責任，情節(jié)嚴重的，除罰款額度提高外，還可以一并責令暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照。

延展閱讀

數(shù)據(jù)合規(guī)觀察 | 面臨新一輪數(shù)據(jù)監(jiān)管浪潮，如何做好個保法、數(shù)安法與網(wǎng)安法三法合規(guī)聯(lián)動

跨境數(shù)據(jù)合規(guī) | 合規(guī)創(chuàng)造價值：新經(jīng)濟領域（擬）上市企業(yè)的若干合規(guī)要點分析

跨境數(shù)據(jù)合規(guī) |《數(shù)據(jù)安全法》亮點解讀：明確重要數(shù)據(jù)出境安全管理制度

跨境合規(guī)實務 | 美國又將7家中國超算實體列入清單，中企如何防范具體業(yè)務相關風險

反壟斷觀察 | “一分規(guī)，九分合”：從史上最高罰單看企業(yè)反壟斷合規(guī)的重要性

專家簡介

彭凱

執(zhí)業(yè)領域：網(wǎng)絡安全與數(shù)據(jù)合規(guī)、金融科技、公司治理與合規(guī)、收并購

走出去智庫（CGGT）特約法律專家，金誠同達律師事務所高級合伙人，兼任復旦大學法律碩士專業(yè)學位實務導師，復旦大學法學院實務課程講師，廈門市地方金融協(xié)會調解員，多家機構簽約講師，浪巔Shairk Intelligence 創(chuàng)始人，十字財經(jīng)聯(lián)合創(chuàng)始人。

執(zhí)業(yè)以來為多家大型互聯(lián)網(wǎng)公司、跨國企業(yè)、知名金融科技企業(yè)、金融機構、初創(chuàng)公司等提供常年及各類專項法律服務，深諳國內網(wǎng)絡安全、數(shù)據(jù)治理、個人信息保護、互聯(lián)網(wǎng)、金融領域法律法規(guī)，個人研究領域聚焦于網(wǎng)絡安全、金融科技、大數(shù)據(jù)及人工智能，正持續(xù)圍繞該等新興領域進行研究及寫作。

周晨黠

執(zhí)業(yè)領域：網(wǎng)絡安全與數(shù)據(jù)合規(guī)、爭議解決、破產(chǎn)重整及保險

金誠同達律師事務所資深律師，畢業(yè)于上海交通大學法學院，先后獲學士學位（法學及經(jīng)濟學）、碩士學位（法律）。自執(zhí)業(yè)以來為多家金融科技公司、互聯(lián)網(wǎng)企業(yè)、科技公司等提供有關網(wǎng)絡安全、數(shù)據(jù)合規(guī)、個人信息與隱私保護等內容的咨詢與專項法律服務。

曾代理包括建設工程施工合同糾紛、保險合同糾紛、融資租賃合同糾紛、股權回購糾紛等在內的眾多商事爭議解決案件，并在多個房地產(chǎn)建設工程項目、破產(chǎn)重整項目、內部調查項目中提供全流程專業(yè)法律服務，目前聚焦于個人信息保護與數(shù)據(jù)合規(guī)、人工智能、大數(shù)據(jù)、網(wǎng)絡安全等多個新興領域開展研究工作。

宋海新

執(zhí)業(yè)領域：網(wǎng)絡安全與數(shù)據(jù)合規(guī)、金融科技、公司治理與合規(guī)、爭議解決

金誠同達律師事務所資深律師，畢業(yè)于上海交通大學凱原法學院，先后獲學士學位、碩士學位。自執(zhí)業(yè)以來為數(shù)十家互聯(lián)網(wǎng)巨頭、持牌金融機構、金融科技企業(yè)、大數(shù)據(jù)企業(yè)、初創(chuàng)公司等提供網(wǎng)絡安全與數(shù)據(jù)合規(guī)、金融科技、公司治理與合規(guī)方面的常年及專項法律服務，并代理/負責包括軟件開發(fā)糾紛、服務合同糾紛、民間借貸糾紛等在內的近十起爭議解決案件。

主筆撰寫數(shù)據(jù)合規(guī)專著1本，參與撰寫金融科技專著1本，主筆撰寫并公開發(fā)布數(shù)據(jù)合規(guī)文章30余篇，主筆撰寫并公開發(fā)布金融科技文章10余篇。深諳國內數(shù)據(jù)合規(guī)和金融科技領域法律法規(guī)，個人研究領域聚焦于網(wǎng)絡安全、大數(shù)據(jù)、人工智能及金融科技。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發(fā)表后的30日內與ESG跨境電商聯(lián)系。