數(shù)據(jù)安全觀察 | 哪些數(shù)據(jù)必須本地化存儲(chǔ)？數(shù)據(jù)出境如何做好合規(guī)管理？【走出去智庫】-ESG跨境

走出去智庫觀察

9月1日，《中華人民共和國數(shù)據(jù)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》正式施行，均對數(shù)據(jù)跨境做出相關(guān)規(guī)定。新出臺的《個(gè)人信息保護(hù)法》更是對數(shù)據(jù)跨境流動(dòng)的規(guī)則作出了較為具體的規(guī)定。企業(yè)如何做好出境數(shù)據(jù)合規(guī)，成為關(guān)注的主要問題。

走出去智庫（CGGT）特約法律專家、金誠同達(dá)律師事務(wù)所高級合伙人彭凱指出，《數(shù)據(jù)安全法》將“重要數(shù)據(jù)”的出境安全管理進(jìn)行了二分監(jiān)管，即對于“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)”出境，直接援引《網(wǎng)絡(luò)安全法》的規(guī)定；但對于“其他數(shù)據(jù)處理者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)”，則需進(jìn)一步由國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定出境安全管理辦法，這也填補(bǔ)了非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的其他主體在向境外提供重要數(shù)據(jù)時(shí)的監(jiān)管空白。

如何做好數(shù)據(jù)出境的合規(guī)管理？今天，走出去智庫（CGGT）刊發(fā)金誠同達(dá)律師事務(wù)所彭凱、周晨黠、宋海新主編的《數(shù)據(jù)安全法合規(guī)指引》白皮書中涉及數(shù)據(jù)出境的內(nèi)容，供關(guān)注跨境數(shù)據(jù)合規(guī)的讀者參考。

要 點(diǎn)

CGGT，CHINA GOING GLOBAL THINKTANK

1、《個(gè)人信息保護(hù)法》進(jìn)一步規(guī)定了個(gè)人信息的境內(nèi)存儲(chǔ)原則，規(guī)定“國家機(jī)關(guān)處理的個(gè)人信息”和“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者在中華人民共和國境內(nèi)收集和產(chǎn)生的個(gè)人信息”需要以境內(nèi)存儲(chǔ)為原則。

2、重要數(shù)據(jù)出境，對于關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者，需按照國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估；對于一般的數(shù)據(jù)處理企業(yè)，需進(jìn)一步由國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定出境安全管理辦法。

3、需要注意的是，此處的數(shù)據(jù)出境問題并未包含關(guān)于數(shù)據(jù)對外共享的討論，但是考慮到數(shù)據(jù)出境往往伴隨著集團(tuán)數(shù)據(jù)融合共享、公司對外共享數(shù)據(jù)等場景，因此亦很可能涉及到數(shù)據(jù)共享的相關(guān)規(guī)制，并進(jìn)而引發(fā)新的合規(guī)要求。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

文/彭凱 周晨黠 宋海新

金誠同達(dá)律師事務(wù)所

自《網(wǎng)絡(luò)安全法》實(shí)施以來，數(shù)據(jù)的本地化存儲(chǔ)要求與出境合規(guī)就一直備受關(guān)注，也是眾多跨國公司合規(guī)工作中的難點(diǎn)，《數(shù)據(jù)安全法》第三十一條，則自草案二審稿開始，加入了關(guān)于重要數(shù)據(jù)出境的相關(guān)管理要求。

此前關(guān)于這一問題的相關(guān)規(guī)定，主要以《網(wǎng)絡(luò)安全法》為總領(lǐng)，輔以《GB/T35273—2020信息安全技術(shù)個(gè)人信息安全規(guī)范》等國家標(biāo)準(zhǔn)作為規(guī)范參考。在相關(guān)規(guī)范尚不健全的情況下，還存在《個(gè)人信息保護(hù)法》《個(gè)人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》《信息安全技術(shù)數(shù)據(jù)出境安全評估指南（草案）》《個(gè)人信息出境安全評估辦法（征求意見稿）》《數(shù)據(jù)安全管理辦法（征求意見稿）》等一系列尚未生效的法規(guī)、指南和標(biāo)準(zhǔn)，一定程度上也代表監(jiān)管部門對這一問題的看法。

也正是因?yàn)橄嚓P(guān)規(guī)范尚不健全，而尚未生效的法規(guī)、指南和標(biāo)準(zhǔn)又將相應(yīng)的合規(guī)要求進(jìn)行了提升，實(shí)踐中對于哪些數(shù)據(jù)需要境內(nèi)存儲(chǔ)、數(shù)據(jù)出境需要履行什么手續(xù)等問題存在較大的爭議。

1、原則上需要本地化存儲(chǔ)的數(shù)據(jù)

在《網(wǎng)絡(luò)安全法》框架下，以境內(nèi)存儲(chǔ)為原則的數(shù)據(jù)主要系指“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)”。

作為《網(wǎng)絡(luò)安全法》的初期配套文件，《個(gè)人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》將境內(nèi)存儲(chǔ)為原則的數(shù)據(jù)擴(kuò)張為“網(wǎng)絡(luò)運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)”。

在重要數(shù)據(jù)與個(gè)人信息分軌監(jiān)管后，《個(gè)人信息出境安全評估辦法（征求意見稿）》取代了上述《個(gè)人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》，其中對于個(gè)人信息的出境，不再以本地化存儲(chǔ)為原則，而是以安全評估先于個(gè)人信息出境為原則。但在辦法未落地的情況下，相關(guān)的安全評估亦無法實(shí)際開展，因此我們認(rèn)為實(shí)質(zhì)上并未改變以本地化存儲(chǔ)為原則的現(xiàn)狀。

《個(gè)人信息保護(hù)法》進(jìn)一步規(guī)定了個(gè)人信息的境內(nèi)存儲(chǔ)原則，規(guī)定“國家機(jī)關(guān)處理的個(gè)人信息”和“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者在中華人民共和國境內(nèi)收集和產(chǎn)生的個(gè)人信息”需要以境內(nèi)存儲(chǔ)為原則。在上述復(fù)雜規(guī)定之下，《數(shù)據(jù)安全法》更進(jìn)一步，將以境內(nèi)存儲(chǔ)為原則的數(shù)據(jù)擴(kuò)展為所有的“在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)”。

結(jié)合上述法律、法規(guī)和文件，我們總結(jié)了現(xiàn)階段必須以境內(nèi)本地化存儲(chǔ)為原則的數(shù)據(jù)，具體包括：

1）在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)；

2）在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息；

3）國家機(jī)關(guān)處理的個(gè)人信息。

2、數(shù)據(jù)出境的前提與手續(xù)

在《網(wǎng)絡(luò)安全法》框架下，“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)”如需向境外提供的，需按照“國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定的辦法”進(jìn)行安全評估。

《個(gè)人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》則對“網(wǎng)絡(luò)運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)”向境外提供的行為設(shè)置了安全評估的要求，并對“含有或累計(jì)含有50萬人以上的個(gè)人信息”“數(shù)據(jù)量超過1000GB”“包含核設(shè)施、化學(xué)生物、國防軍工、人口健康等領(lǐng)域數(shù)據(jù)，大型工程活動(dòng)、海洋環(huán)境以及敏感地理信息數(shù)據(jù)等”“包含關(guān)鍵信息基礎(chǔ)設(shè)施的系統(tǒng)漏洞、安全防護(hù)等網(wǎng)絡(luò)安全信息”“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者向境外提供個(gè)人信息和重要數(shù)據(jù)”等情形下的數(shù)據(jù)出境附加了“報(bào)請行業(yè)主管或監(jiān)管部門組織安全評估”的要求。另外對于個(gè)人信息的出境，也提出了“同意”這一前置要求。

而后《個(gè)人信息出境安全評估辦法（征求意見稿）》將個(gè)人信息的出境評估義務(wù)變更為由網(wǎng)絡(luò)運(yùn)營者向所在地省級網(wǎng)信部門申報(bào)個(gè)人信息出境安全評估，但因?yàn)樵撧k法未生效，也尚不存在報(bào)請省級網(wǎng)信部門進(jìn)行出境安全評估的渠道。

《個(gè)人信息保護(hù)法》進(jìn)一步將安全評估劃分為，如屬于“國家機(jī)關(guān)處理的個(gè)人信息”出境，需進(jìn)行安全評估（未規(guī)定主體，從文義而言應(yīng)由出境的國家機(jī)關(guān)自行評估）；如屬于“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者在中華人民共和國境內(nèi)收集和產(chǎn)生的個(gè)人信息”出境，則需通過國家網(wǎng)信部門組織的安全評估。此外，對于個(gè)人信息出境行為，除了通過國家網(wǎng)信部門組織的安全評估外，還設(shè)置了“按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證”“按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)，并監(jiān)督其個(gè)人信息處理活動(dòng)達(dá)到本法規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn)”等可選方案，一定程度上放寬了個(gè)人信息出境問題的監(jiān)管態(tài)勢。

《數(shù)據(jù)安全法》將“重要數(shù)據(jù)”的出境安全管理同樣進(jìn)行了二分監(jiān)管，即對于“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)”出境，直接援引《網(wǎng)絡(luò)安全法》的規(guī)定；但對于“其他數(shù)據(jù)處理者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)”，則需進(jìn)一步由國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定出境安全管理辦法，這也填補(bǔ)了非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的其他主體在向境外提供重要數(shù)據(jù)時(shí)的監(jiān)管空白。

結(jié)合上述法律、法規(guī)和文件，我們梳理了針對企業(yè)不同類型數(shù)據(jù)在出境時(shí)的不同前提與手續(xù)，具體包括：

1）個(gè)人信息出境，在告知并征得信息主體個(gè)人的同意、經(jīng)個(gè)人信息保護(hù)影響評估并記錄出境情況后，對于關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者，需按照國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估；對于一般的網(wǎng)絡(luò)運(yùn)營者，可能選擇“按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證”或“按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)”，并監(jiān)督其個(gè)人信息處理活動(dòng)達(dá)到本法規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn)等其他方式；

2）重要數(shù)據(jù)出境，對于關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者，需按照國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估；對于一般的數(shù)據(jù)處理企業(yè)，需進(jìn)一步由國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定出境安全管理辦法。

同時(shí)需要注意的是，此處的數(shù)據(jù)出境問題并未包含關(guān)于數(shù)據(jù)對外共享的討論，但是考慮到數(shù)據(jù)出境往往伴隨著集團(tuán)數(shù)據(jù)融合共享、公司對外共享數(shù)據(jù)等場景，因此亦很可能涉及到數(shù)據(jù)共享的相關(guān)規(guī)制，并進(jìn)而引發(fā)新的合規(guī)要求。

3、數(shù)據(jù)出境安全評估

考慮到目前國家網(wǎng)信部門尚未發(fā)布標(biāo)準(zhǔn)合同，個(gè)人信息保護(hù)認(rèn)證機(jī)構(gòu)也未設(shè)立，相應(yīng)的網(wǎng)信部門安全評估制度亦未成型，為了滿足日益趨嚴(yán)的監(jiān)管要求，結(jié)合參考包括《信息安全技術(shù)數(shù)據(jù)出境安全評估指南（草案）》《GB/T 39335-2020 信息安全技術(shù) 個(gè)人信息安全影響評估指南》等在內(nèi)的眾多草案、指南、標(biāo)準(zhǔn)，我們建議有數(shù)據(jù)出境需求的企業(yè)可自行組織數(shù)據(jù)出境安全評估，一方面可以作為向監(jiān)管部門證明履行相關(guān)數(shù)據(jù)保護(hù)義務(wù)的重要參考資料，另一方面也可以為未來的合規(guī)工作做好鋪墊，未雨綢繆。

針對具體的數(shù)據(jù)出境場景，企業(yè)可從數(shù)據(jù)出境的合法正當(dāng)、風(fēng)險(xiǎn)可控兩方面展開數(shù)據(jù)出境安全評估，具體而言：

1）合法正當(dāng)，包括數(shù)據(jù)合法性、授權(quán)同意的合法性，業(yè)務(wù)活動(dòng)、履行合同的正當(dāng)性等維度；

2）風(fēng)險(xiǎn)可控，包括數(shù)據(jù)屬性（類型、敏感度、數(shù)量、范圍、技術(shù)處理情況等維度）、收發(fā)雙方的技術(shù)和管理能力、數(shù)據(jù)接收方所在國家或地區(qū)的整體法律環(huán)境等維度。

如評估結(jié)果顯示數(shù)據(jù)出境的安全風(fēng)險(xiǎn)為極高或高的，企業(yè)可進(jìn)一步修正數(shù)據(jù)出境計(jì)劃，并對修正后的數(shù)據(jù)出境計(jì)劃重新進(jìn)行評估。

4、違法向境外提供重要數(shù)據(jù)的法律責(zé)任

從上述歷次版本變更對比可以看出，《數(shù)據(jù)安全法》在正式稿增加了違法向境外提供重要數(shù)據(jù)的法律責(zé)任的規(guī)定，這里的法律責(zé)任主要適用于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者之外的數(shù)據(jù)處理者。

對于關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者而言，因?yàn)椤稊?shù)據(jù)安全法》第三十一條明確關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者的重要數(shù)據(jù)出境安全管理適用《網(wǎng)絡(luò)安全法》的規(guī)定，其法則亦主要指向《網(wǎng)絡(luò)安全法》第六十六條的規(guī)定。

對于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者之外的數(shù)據(jù)處理者，如果違反后續(xù)國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定的重要數(shù)據(jù)出境安全管理辦法的規(guī)定，需要承擔(dān)責(zé)令改正、警告、罰款的法律責(zé)任，情節(jié)嚴(yán)重的，除罰款額度提高外，還可以一并責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照。

延展閱讀

數(shù)據(jù)合規(guī)觀察 | 面臨新一輪數(shù)據(jù)監(jiān)管浪潮，如何做好個(gè)保法、數(shù)安法與網(wǎng)安法三法合規(guī)聯(lián)動(dòng)

跨境數(shù)據(jù)合規(guī) | 合規(guī)創(chuàng)造價(jià)值：新經(jīng)濟(jì)領(lǐng)域（擬）上市企業(yè)的若干合規(guī)要點(diǎn)分析

跨境數(shù)據(jù)合規(guī) |《數(shù)據(jù)安全法》亮點(diǎn)解讀：明確重要數(shù)據(jù)出境安全管理制度

跨境合規(guī)實(shí)務(wù) | 美國又將7家中國超算實(shí)體列入清單，中企如何防范具體業(yè)務(wù)相關(guān)風(fēng)險(xiǎn)

反壟斷觀察 | “一分規(guī)，九分合”：從史上最高罰單看企業(yè)反壟斷合規(guī)的重要性

專家簡介

彭凱

執(zhí)業(yè)領(lǐng)域：網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)、金融科技、公司治理與合規(guī)、收并購

走出去智庫（CGGT）特約法律專家，金誠同達(dá)律師事務(wù)所高級合伙人，兼任復(fù)旦大學(xué)法律碩士專業(yè)學(xué)位實(shí)務(wù)導(dǎo)師，復(fù)旦大學(xué)法學(xué)院實(shí)務(wù)課程講師，廈門市地方金融協(xié)會(huì)調(diào)解員，多家機(jī)構(gòu)簽約講師，浪巔Shairk Intelligence 創(chuàng)始人，十字財(cái)經(jīng)聯(lián)合創(chuàng)始人。

執(zhí)業(yè)以來為多家大型互聯(lián)網(wǎng)公司、跨國企業(yè)、知名金融科技企業(yè)、金融機(jī)構(gòu)、初創(chuàng)公司等提供常年及各類專項(xiàng)法律服務(wù)，深諳國內(nèi)網(wǎng)絡(luò)安全、數(shù)據(jù)治理、個(gè)人信息保護(hù)、互聯(lián)網(wǎng)、金融領(lǐng)域法律法規(guī)，個(gè)人研究領(lǐng)域聚焦于網(wǎng)絡(luò)安全、金融科技、大數(shù)據(jù)及人工智能，正持續(xù)圍繞該等新興領(lǐng)域進(jìn)行研究及寫作。

周晨黠

執(zhí)業(yè)領(lǐng)域：網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)、爭議解決、破產(chǎn)重整及保險(xiǎn)

金誠同達(dá)律師事務(wù)所資深律師，畢業(yè)于上海交通大學(xué)法學(xué)院，先后獲學(xué)士學(xué)位（法學(xué)及經(jīng)濟(jì)學(xué)）、碩士學(xué)位（法律）。自執(zhí)業(yè)以來為多家金融科技公司、互聯(lián)網(wǎng)企業(yè)、科技公司等提供有關(guān)網(wǎng)絡(luò)安全、數(shù)據(jù)合規(guī)、個(gè)人信息與隱私保護(hù)等內(nèi)容的咨詢與專項(xiàng)法律服務(wù)。

曾代理包括建設(shè)工程施工合同糾紛、保險(xiǎn)合同糾紛、融資租賃合同糾紛、股權(quán)回購糾紛等在內(nèi)的眾多商事爭議解決案件，并在多個(gè)房地產(chǎn)建設(shè)工程項(xiàng)目、破產(chǎn)重整項(xiàng)目、內(nèi)部調(diào)查項(xiàng)目中提供全流程專業(yè)法律服務(wù)，目前聚焦于個(gè)人信息保護(hù)與數(shù)據(jù)合規(guī)、人工智能、大數(shù)據(jù)、網(wǎng)絡(luò)安全等多個(gè)新興領(lǐng)域開展研究工作。

宋海新

執(zhí)業(yè)領(lǐng)域：網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)、金融科技、公司治理與合規(guī)、爭議解決

金誠同達(dá)律師事務(wù)所資深律師，畢業(yè)于上海交通大學(xué)凱原法學(xué)院，先后獲學(xué)士學(xué)位、碩士學(xué)位。自執(zhí)業(yè)以來為數(shù)十家互聯(lián)網(wǎng)巨頭、持牌金融機(jī)構(gòu)、金融科技企業(yè)、大數(shù)據(jù)企業(yè)、初創(chuàng)公司等提供網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)、金融科技、公司治理與合規(guī)方面的常年及專項(xiàng)法律服務(wù)，并代理/負(fù)責(zé)包括軟件開發(fā)糾紛、服務(wù)合同糾紛、民間借貸糾紛等在內(nèi)的近十起爭議解決案件。

主筆撰寫數(shù)據(jù)合規(guī)專著1本，參與撰寫金融科技專著1本，主筆撰寫并公開發(fā)布數(shù)據(jù)合規(guī)文章30余篇，主筆撰寫并公開發(fā)布金融科技文章10余篇。深諳國內(nèi)數(shù)據(jù)合規(guī)和金融科技領(lǐng)域法律法規(guī)，個(gè)人研究領(lǐng)域聚焦于網(wǎng)絡(luò)安全、大數(shù)據(jù)、人工智能及金融科技。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。