网络安全与数据合规系列（一）——对个人信息出境监管路径的再思考

作者：庞涛 季飞 罗恒

《网络安全法》（“网安法”）于2017年6月1日正式施行以来，已陆续出台了不少关于个人信息出境的配套措施（部分文件仍为征求意见稿，尚未正式施行），以配合网安法相关规定的落地。在此过程中，相关监管部门的监管路径也在不断演进和完善。我们回顾了网安法正式施行前后至今关于个人信息出境的相关监管政策，并结合欧盟地区《通用数据保护条例》（General Data Protection Regulation，GDPR）的相关监管规则，总结了个人信息出境监管路径演进过程中的要点和亮点，并基于我们的理解和经验，就未来的监管思路和趋势进行了思考和分享。

一、个人信息出境安全评估政策的演变

（一）个人信息和重要数据出境由统一规制到分别单独规制

2017年4月11日，在网安法即将正式施行之际，为了配合网安法的相关要求，国家互联网信息办公室（“网信办”）发布了《个人信息和重要数据出境安全评估办法（征求意见稿）》（以下简称“评估办法初稿”），其总体思路是将个人信息与重要数据的出境进行统一规制，但是，并没有在监管流程和方式上进行非常精确地区分。而实际上，个人信息与重要数据在敏感性、重要性方面均存在一定的区别，个人信息是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”，其更强调数据的个人身份的识别性和隐私性；重要数据是指“一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据，如未公开的政府信息，大面积人口、基因健康、地理、矿产资源等。”，其更强调数据公共安全性和国家利益性。如对两类数据进行统一规制，虽然有利于监管措施尽快落地、提高监管效率，但实际上这种监管方式的针对性略显薄弱，也不利于适用网安法的企业或个人正确理解二者的区别和应对监管。

2019年5月28日，网信办进一步发布了《数据安全管理办法（征求意见稿）》（“数据安全意见稿”），向社会公开征求意见。该意见稿第二十八条规定，“网络运营者发布、共享、交易或向境外提供重要数据前，应当评估可能带来的安全风险，并报经行业主管监管部门同意；行业主管监管部门不明确的，应经省级网信部门批准。”，同时该条第二款规定“向境外提供个人信息按有关规定执行”，其中暗含了未来对个人信息与重要数据的出境将进行区分、而不再并轨规制的监管思路。另外，该征求意见稿第三十八条还规定，“重要数据一般不包括企业生产经营和内部管理信息、个人信息等”1，比较明显地体现了个人信息与重要数据有所不同，同时也进一步表明了监管部门对个人信息和重要数据的出境将采取分别监管的思路。

不久后的2019年6月13日，网信办即发布《个人信息出境安全评估办法（征求意见稿）》（以下简称“评估办法二稿”），明确将个人信息与重要数据涉及出境的安全评估区分对待，也同时具体提出了个人信息出境的安全评估要求。该评估办法二稿基本上确定了我国有关主管部门未来将对个人信息和重要数据（尤其是二者的出境）单独规制、分开监管的格局。

（二）从评估办法初稿到二稿的迭代

评估办法二稿在评估办法初稿的原则性规定之上，借鉴了全球其他国家或地区关于个人信息出境的监管经验（尤其是欧盟地区GDPR），对我国个人信息出境的监管要求做出了相对具体的规定，进一步明确了个人信息出境申报评估要求（包括申报评估材料、重点评估内容、评估流程等要求）、个人信息出境记录、个人信息出境情况上报、个人信息出境合同内容要求、个人信息出境安全风险及安全保障措施分析报告内容要求等相关要求。而其重点（亮点）主要体现在两个方面：

1、通过标准合同条款的规定实现监管要求的落地

评估办法二稿参考和借鉴了在欧盟地区实施的“标准合同条款”（Standard Contractual Clauses，SCC）的监管方式，要求网络运营者与个人信息接收者需签订合同或者其他有法律效力的文件，并对双方签署的合同提出一些必备条款要求以约束双方的权利义务，从而间接实现对个人信息出境的规制2。评估办法二稿中并没有对该等文件的具体形式提出具体要求，根据我们的理解，双方可以在相关业务合同中约定相应的个人信息出境条款，亦可单独签订个人信息出境的合同作为与业务合同并行的协议，我们建议可参考后者。

2、通过知情权及索赔机制保障个人信息主体的权利

与个人信息在境内流通不同，个人信息出境必然会带来法律执行的诸多问题，比如：境内监管机构对境外的个人数据持有者并无有效的法律管辖权；数据出境前后所适用的管辖法律发生变化；在境外的个人数据持有者违法的情况下，境内个人难以向其主张权利，从而导致境内个人难以有效维护其自身的合法权益，等等。

评估办法二稿通过制度设计进一步保障了个人信息主体对于其个人信息出境的知情权以及访问、更正、删除其个人信息的权利，还规定当个人信息主体的合法权益受到损害时，可以向网络运营者或者接收者或者双方索赔，同时就此为网络运营者或者接收者设置了举证责任倒置规则，而当个人信息主体不能从接收者获得赔偿时，由网络运营者先行赔付3。这些制度设计均为个人信息主体维护个人信息权益提供了制度上的便利。

二、个人信息出境监管的趋势与方向

（一）正确理解“数据出境”的概念

2017年5月27日，在网安法即将生效之际，全国信息安全标准化技术委员会（“信标委”）发布了《信息安全技术  数据出境安全评估指南（草案）》（“安全评估指南1”），其中“数据出境”的概念主要指数据由境内流向境外的活动，“跨越边境”即为数据出境的主要内涵。而随着互联网技术的不断发展，仅以是否跨越边境这一地理维度作为数据出境的判断标准显然已经无法适应当前各式各样的数据出境形式。

随后，信标委又于2017年8月30日发布修订后的《信息安全技术  数据出境安全评估指南（征求意见稿）》（“安全评估指南2”），其中对于数据出境的定义更为丰富和完整，并同时明确了不属于数据出境的情形。该指南一方面以地理维度作为主要的判定标准，另一方面还辅以“境内运营收集和产生”和“直接提供或开展业务、提供服务、产品等方式提供”等限定条件，进一步限定了个人信息出境管理的范围，并通过“提供”一词表明了个人信息出境需满足个人信息控制者的转换。而评估办法二稿对于“个人信息出境”的定义亦体现了以上思路。

各文件关于数据出境或个人信息出境的定义如下：

（二）标准合同条款的本土化设计

相较于各国、各地区对于个人信息出境的正式立法和跨境执法而言，网络运营者（即个人信息出境的提供者）与接收者之间的合同保护依然是保护个人信息安全的最为有效的方式之一。欧盟委员会曾分别于2001年（2001/497/EC 4）、2004年（2004/915/EC 5）、2010年（2010/87/EU 6）发布了标准合同条款的相关规定及合同条款模板，企业之间签订个人信息出境合同如包含标准合同条款，则可将欧盟内个人信息转移至欧盟之外不具备充足数据保护水平的国家。在欧盟发布的标准合同条款模板中，则规定了数据输出方的义务、数据输入方的义务、责任、个人数据处理服务结束后的义务等条款。

如前所述，评估办法二稿的一个重要变化或亮点就是借鉴了欧盟的标准合同条款制度，通过合同保护的方式“间接要求”网络运营者和信息接收者为个人信息出境提供适当的保护机制，以保障个人信息主体的权益不会因其个人信息的跨境传输而受到损害。

不过，目前评估办法二稿仅“原则性”地规定了网络运营者与个人信息接收者所签署的合同中应明确的内容，但不排除监管部门日后可能会借鉴欧盟关于GDPR的实践经验，公布类似标准合同条款的模板，以便企业进行参考，从而提高评估效率，也方便企业更好地理解监管思路，有针对性的安排相关工作。但是，我们仍建议，对于当前存在个人信息出境相关业务或需求的企业，应尽快着手起草适用于本企业的“标准合同条款”模板，以满足未来监管部门对于评估工作的要求。

另外，需特别注意的是，评估办法二稿还规定，合同应当明确网络运营者承担的责任和义务之一为：应个人信息主体的请求，提供本合同的副本。因此，我们建议企业（作为网络运营者）在起草与个人信息接收者签订的合同时，应当事先与接收者充分沟通，并就个人信息出境相关事宜单独起草合同，从而尽量使业务合同条款与个人信息出境条款相分离，以便在应个人信息主体的请求向其提供合同副本时，能够保证商业信息的保密性。

（三）引入BCR（Binding Corporation Rules）制度解决评估冗余问题

如上所述，在合同保护方面，欧盟建立了标准合同条款规则，作为个人信息出境的方案之一。但这种方案的缺点是该标准合同条款在个人信息每被转移一次时都要重新签订，而跨国公司集团成员之间的个人数据流通非常频繁，故这种方案对于跨国公司而言，无论经济成本还是时间成本都相对较高。

于是，欧盟经过多年的实践，形成了约束性企业规则（Binding Corporation Rules，BCR），作为与标准合同条款规则并行的个人信息出境方案之一。BCR是跨国公司自行制定的、用于约束跨国公司内部数据跨境传输的企业内部规则。公司在起草BCR之后，提交给其确定的主导数据监管当局（BCR Lead）进行审查，同时该主导数据监管当局将启动欧盟内部合作机制，会同该企业有营业机构的其他成员国数据监管当局对企业提交的BCR进行审查7。若该企业的BCR通过前述审查从而被认定为属于保障个人信息的适当措施，则可以作为该企业向不具备适当数据保护水平的第三国合法传输个人信息的依据，该企业即可在其BCR适用范围内合法地进行个人信息出境，免于再次评估。

如前所述，评估办法二稿借鉴了类似欧盟标准合同条款规则，并规定网络运营者申报个人信息出境安全评估时应当提供网络运营者与接收者签订的合同。但近年来，国内企业对外投资不断增加，对外贸易也越来越频繁，甚至不少境内企业在境外设立实体并在当地直接经营，这不可避免地带来个人信息出境的情况愈加频繁的问题。虽然评估办法二稿规定“向不同的接收者提供个人信息应当分别申报安全评估，向同一接收者多次或连续提供个人信息无需多次评估”8，但是，如果针对每一个不同的境外个人信息接收者（尤其对于同一国家或地区的不同信息接收者，其实该国家或地区的个人信息保护水平并未发生显著变化）都必须签订合同、准备评估材料并且通过网信部门的评估，那么无论对于企业还是对于监管部门而言，都可能因为重复工作而影响实际效率并造成行政资源的浪费。

因此，可以借鉴欧盟BCR机制，对于实际控制实体位于国内的跨国公司（欧盟委员会公开的获批准采取BCR的企业中基本上也是以欧洲本土跨国公司为主，故从实际适用性角度而言，BCR机制可能也更适用于欧盟范围内的本土跨国公司），如其制定了用于约束其公司内部数据跨境传输的企业内部规则并通过网信部门评估的，则该公司可以向提交BCR评估时所覆盖的国家或地区的信息接收者传输个人信息，而免于再次评估。我们相信，这一方案也可能会成为未来国内个人信息出境的监管思路或趋势之一。

值得注意的是，当前国内监管部门对于网络安全和数据合规的监管力度正在不断加强，并且已经对有关企业的运营和融资安排等产生了实际影响9，而网络运营者违规的法律责任也逐渐明晰，比如数据安全意见稿规定，“网络运营者违反本办法规定的，由有关部门依照相关法律、行政法规的规定，根据情节给予公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚；构成犯罪的，依法追究刑事责任。”10

故我们建议，对于存在大量个人信息出境业务或需求的境内网络运营者或相关企业，可与专业机构（比如专业律师事务所、专业咨询公司等）进行合作，在具备一定条件的情况下，着手开展企业内部包括个人信息出境在内的网络安全和数据管理政策的梳理工作，并不断完善、整合相关的制度，未雨绸缪，一方面强化个人信息出境的管理，另一方面为未来可能出现的新的个人信息出境方案提前布局，做好准备工作，不断提升企业个人信息出境工作的合规性。

1. 《数据安全管理办法（征求意见稿）》（2019年5月28日）第三十八条  本办法下列用语的含义：

　　……；

　　（五）重要数据，是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据，如未公开的政府信息，大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。

2. 《个人信息出境安全评估办法（征求意见稿）》（2019年06月13日）第十三条。

3. 《个人信息出境安全评估办法（征求意见稿）》（2019年06月13日）第十三条、第十四条、第十五条。

4. https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32001D0497&from=en。

5. https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32004D0915&from=EN。

6. https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32010D0087&from=en。

7. https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51031。

8. 《个人信息出境安全评估办法（征求意见稿）》（2019年06月13日）第三条。

9. 2019年7月16日，APP专项治理工作组发布《关于督促40款存在收集使用个人信息问题的APP运营者尽快整改的通知》，要求40款APP的运营者就其APP在个人信息收集使用方面的问题进行整改。

10. 《数据安全管理办法（征求意见稿）》（2019年5月28日）第三十七条。