数据出境安全评估若干问题探究

      随着经济全球化进程的不断加速，“互联网+”、云计算等业务的高速发展，由此产生的数据出境显著激增，在促进国家信息技术创新和数字经济产业发展的同时，也伴随着国家安全、产业安全以及个人隐私权益等问题。随着“斯诺登事件”、“棱镜门事件”、“Google爱尔兰案”等网络与数据安全事件的频繁发生，各国对数据出境安全高度重视，加强立法保护数据出境安全。目前以欧盟、美国、亚太经合组织为代表的世界主流国家和国际组织已经形成较为完备的数据出境管理制度体系。我国随着《网络安全法》的颁布实施，首次提出数据出境安全管理要求，国家有关部门在《网络安全法》的管理框架下，积极制定配套管理办法《个人信息出境安全评估办法》（以下简称《办法》），探索具有中国特色的个人信息出境安全管理路径。近期，《办法》对外公开征求意见，初步确立管理要求以及管理模式，引起社会各界的广泛关注。本文结合前期对国外立法研究积累和对《办法》的研究实践，针对数据出境的判定标准、管理对象的范围以及管理模式的设立等重点问题进行研究解读。

       一、对于数据出境的判定

       《办法》第二条对个人信息出境作出明确定义，即“网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息（以下称个人信息出境）”。一是以个人信息离开我国地理边境作为主要判定标准。日本、澳大利亚、欧盟等国际主流国家和国际组织对数据出境形成统一认识，将数据离开本国境内去往境外的过程视作数据出境的核心内涵。我国借鉴国际主要国家做法，《办法》明确去往“境外”为判定个人信息出境的核心指标。二是增加 “境内运营”和向境外“提供”等限定条件，进一步限定个人信息出境管理的范围。《办法》在个人信息离开我国地理边境的基础上，一方面，进一步明确出境个人信息的范围，提出出境个人信息应是在我国境内运营中收集和产生的，对于境外收集和产生的个人信息经由我国中转出境的情形，不属于个人信息出境安全评估的范围内。另一方面，通过“提供”一词强调个人信息出境活动需满足个人信息控制者的转换。

       二、对于安全评估管理模式的选择

       《办法》第三条规定“个人信息出境前，网络运营者应当向所在地省级网信部门申报个人信息出境安全评估”，明确了我国个人信息出境安全评估的基本管理框架。第四条明确申报安全评估需要提交的材料包括，“申报书、网络运营者与接收者签订的合同、个人信息出境安全风险及安全保障措施分析报告以及国家网信部门要求提供的其他材料”。第十三条至第十七条对合同内容以及安全风险分析报告的主体内容进行规范要求，将合同条款与个人信息出境安全风险分析作为个人信息出境安全评估的主要内容，通过合同约束和网络运营者自评估相结合的方式，提升网络运营者和个人信息接收方个人信息出境安全保障能力，确保个人信息出境后，个人信息泄露、损毁以及篡改等安全风险可控，个人信息主体的合法权益不受侵犯。

       三、国外个人信息出境管理的主要做法

       世界各国从保护个人信息安全和个人信息主体合法权益，同时兼顾本国企业发展的角度出发制定个人信息出境安全管理要求。

       （一）对数据出境管理范畴形成统一认识

    国际主流将数据离开本国境内去往境外的过程视作数据出境的核心内涵。在全球信息化的时代背景下，针对数据出境需求日益旺盛、数据出境路径日益便利的现状，部分国家和国际组织对数据出境内涵的解读呈现外延趋势。一是日本、澳大利亚、欧盟等以单一地理维度，将数据离开本国地理边境作为数据出境的唯一判定标准。二是美国等在地理维度基础上进行延伸解读，补充增加主体维度判定标准，将数据提供给本国境内的外国组织或个人的情形纳入数据出境的定义范围。

       （二）明确数据出境链条上相关主体的权利义务责任

       世界主要国家从三方面出发确立数据出境权利义务框架，厘清相关主体的权利义务，督促责任落实。一是保护用户知情权，欧盟、日本、俄罗斯等大多数国家和国际组织都规定，通常情况下，个人信息出境前需获得个人信息主体的同意。二是对数据控制主体问责，由数据控制者承担数据保护责任，约束下游承包商和其他相关主体。例如，欧盟《通用数据保护条例》中明确规定，由数据控制者承担数据保护的主要责任。三是主管部门为用户提供救济途径，通过行政、司法等救济手段为权益受损的用户提供保护。美欧《隐私盾协议》中明确规定，美国政府必须为用户提供有效的救济途径；欧盟相关数据出境认证制度也将救济途径作为衡量国家或组织数据保护“充分性”的主要指标之一。

       （三）以非强制性管理措施实现国家间的制度协同

       欧盟采取一系列非强制性管理手段，消除各成员国既有制度对数据流动的阻碍。一是“白名单”制度。欧盟委员会和成员国从相关国家或地区的数据处理规则，以及该国家或地区确保规则有效实施的机制两个方面开展数据保护水平“充分性”认定。成员国可自由向被认定为满足“充分性”要求的国家或地区（即“白名单”国家）转移数据。二是标准合同制度。欧盟委员会制定颁布《标准合同》。如果一国企业在与欧盟成员国企业的经济往来中采纳了《标准合同》，承诺按照合同履行数据保护义务，便可以认定其满足了数据保护“充分性”要求，自由进行数据出境转移。三是约束性公司规则（BCR），适用于跨国集团内部位于不同国家或地区的分支机构之间的数据转移。跨国集团在加入BCR后，可在BCR的规定下，自由向集团内部位于不具备“充分性”保护水平的国家或地区的分支机构转移数据。

       （四）积极与重要贸易伙伴国达成数据流动认证

       为促进经济发展，保障数据合法有序流动，各国积极与重要贸易伙伴国开展数据跨境流动认证。例如，美欧双方在《安全港协议》失效后，达成《隐私盾协议》，承诺遵守《隐私盾协议》的美国企业能够将欧盟公民的个人信息自由转移至美国境内。2011年，亚太经合组织（APEC）建立跨境商业个人隐私保护规则体系（CBPR），为加入规则的企业提供数据出境合法渠道。美国为保障自身安全、最大化自身经济利益积极加入CBPR，极大提升了CBPR的国际影响力。