数据可否跨境

2016年11月7日全国人大通过的《中华人民共和国网络安全法》（以下简称“《网络安全法》”）即将于今年6月1日正式实施。为保障法律条款的有效实施，国家互联网信息办公室（以下简称“网信办”）针对个人信息和重要数据保护出台了《个人信息和重要数据出境评估办法（征求意见稿）》（以下简称“《评估办法》”）作为《网络安全法》的重要配套办法，这对于具有数据跨境传输需求的企业会产生重要影响。本文我们就《出境评估办法》的主要内容进行解读分析，明晰企业在合规方面的挑战及主要应对。

《出境评估办法》对企业的合规影响

一、立法依据

《出境评估办法》在开篇的时候明确了《中华人民共和国国家安全法》（以下简称“国家安全法”）和《网络安全法》作为其立法依据，表明了国家高度重视数据出境引发的流动性安全问题，数据出境安全业已成为国家安全整体框架的核心内容并进行立法确认，实现了《出境评估办法》与国家相关立法之间的有效衔接。因此，我们建议企业在开展数据出境评估过程中，除了关注《出境评估办法》的相关条文外，也应当进一步关注《国家安全法》和《网络安全法》中的相关条文和解释。

二、适用对象

就适用范围而言，由于《出境评估办法》制定的依据是《国家安全法》和《网络安全法》，数据出境安全评估的适用对象规定为“网络运营者”。按照第二条的规定，所有网络运营者在境内运营中收集和产生的个人信息和重要数据，应当在境内存储，这是基本要求；作为例外，对于因业务需要，确需向境外提供的，应当事先进行安全评估。这在一定程度上延展了《网络安全法》第37条规定的数据出境安全评估机制适用范围， “网络运营者”的安全责任和义务也大大增加了，企业应当引起足够的关注。

三、数据出境的具体定义

按照《出境评估办法》，数据出境指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据，提供给位于境外的机构、组织、个人。

在这个定义中，网络运营者和个人信息的概念都沿用了《网络安全法》中的对应概念，体现了《出境评估办法》与《网络安全法》之间的衔接性。而“重要数据”在《出境评估办法》中进行了首次定义，明确了数据重要性主要体现在国家和社会层面。当然，重要数据的具体范围还需“参照国家有关标准和重要数据识别指南”，我们理解国家网信办还将协同相关行业主管部门进一步确定相应的与重要数据相关的标准和识别指南。

此外，数据出境定义还明确了出境的物理概念，也就是数据跨越国境，提供给境外的主体，但并未明确具体的出境方式。我们理解企业在评估的时候应从更广泛的角度（比如物理介质携带）来考虑出境方式，而不应仅局限于网络传输。

四、出境安全评估

《出境评估办法》根据数据具体特性将安全评估划分为两类，即自行评估和监管评估，并从定性和定量两方面给出了明确的评估标准。

《出境评估办法》第七条明确要求网络运营者在数据出境前自行对数据进行安全评估，并对评估结果负责。我们理解，企业即使未定义为关键信息基础设施运营者，但只要有数据出境需求，就应当根据第八条定义的内容进行安全评估。我们注意到，结合第八条所所定义内容，站在实际评估主体企业的角度看，实际评估难度比较高（特别是数据出境风险），存在不小的挑战，企业在一定程度上可以考虑聘用第三方机构协助评估。

此外，对于《出境评估办法》中多规定的特殊情形下的数据出境，按照第九条规定，应报请行业主管或监管机构组织安全评估。

启示

《出境评估办法》作为我国数据出境管理的第一项重要法规，对保障个人信息和重要数据、保护国家和个人层面安全利益都有着非常重要的意义。《出境评估办法》对《网络安全法》中的相关要求做了进一步的明确和细化，为企业更好地落实数据出境要求提供了指导。德勤也预期国家网信办和相关行业主管部门后期将会进一步完善《出境评估办法》和特定行业的安全评估执行办法。

从企业角度来看，随着经济全球化浪潮、互联网经济和云计算大数据产业的发展，会有更多的企业在日常业务过程中不可避免地产生数据跨境传输需求，从而接受《出境评估办法》的规范要求，应对更加严格的合规环境。基于此，我们对企业提出一下几点专业提示：

第一、熟悉并持续跟踪法规出台，加强数据安全和个人信息保护体系建设

我们建议企业应密切关注《出境评估办法》的后续修订及相关部门的解读，扭转固有的合规思维，主动投入人力物力，按照法规要求进行合规建设，避免法律生效后所引发的违规处罚。因此，如何了解网络安全法规的具体要求及监管机构的监管动向，将是降低违规成本的第一步。我们建议企业可以聘请专业的顾问，有侧重地根据业务开展网络安全合规体系建设，进行合规自查，明确企业在网络安全方面需要关注的重点、查漏补缺，加强数据安全和个人信息保护体系建设。

第二、尽早评估，有效应对数据出境

除了建立有效的合规体系之外，企业还应早做准备，参照《出境评估办法》目前的要求对本企业数据出境情况进行摸底排查，并开展前期的评估，以有效应对《网络安全法》及相关配套措施的正式生效。我们建议企业可结合自身技术和法律知识储备现状，将安全评估的工作转移给专业的第三方机构开展，提高评估的客观性和有效性，以降低企业的合规风险。

德勤是全球领先的网络安全咨询服务机构，可以为企业提供从评估、设计到实施全方位的网络安全咨询服务。德勤中国配备了专门的网络安全法研究团队，他们与国家监管机构保持着密切的联系、熟悉安全法规的各项要求、有着丰富的安全咨询实践经验，可以帮助企业有效应对《网络安全法》所带来的各项挑战。