作者：趙越

來源：零壹財經（ID:Finance_01)

在數(shù)字經濟時代，數(shù)據的跨境流動對全球經濟增長具有較強的驅動作用。根據美國布魯金斯學會測算，全球數(shù)據跨境流動對全球GDP增長的推動作用已經超過貿易和投資。中國作為“數(shù)據大國”，保證數(shù)據出境安全，不僅是提高數(shù)字經濟全球競爭力的基礎，更是守護國家安全的保障。

2021年10月29日，國家互聯(lián)網信息辦公室（以下簡稱“網信辦”）發(fā)布了《數(shù)據出境安全評估辦法（征求意見稿）》，明確了數(shù)據出境安全評估的適用標準、評估內容和評估流程等問題，使得企業(yè)開展數(shù)據出境的流程更加明確。

一、數(shù)據出境的初步監(jiān)管框架：以重要數(shù)據和個人信息為核心

2016年11月7日，《網絡安全法》正式頒布，首次明確了數(shù)據出境需進行安全評估。之后，網信辦分別于2017年和2019年發(fā)布了《個人信息和重要數(shù)據出境安全評估辦法（征求意見稿）》和《個人信息出境安全評估辦法（征求意見稿）》，但由于《數(shù)據安全法》和《個人信息保護法》尚未實施，以上兩個評估辦法缺乏法律基礎，一直未出臺正式文件。

隨著《數(shù)據安全法》和《個人信息保護法》的正式頒布，網信辦出臺《數(shù)據出境安全評估辦法（征求意見稿）》，將重要數(shù)據和個人信息出境的安全評估流程進行了具體規(guī)定。一旦《數(shù)據出境安全評估辦法（征求意見稿）》正式頒布，我國關于數(shù)據出境監(jiān)管框架將初步形成，即以《網絡安全法》《數(shù)據安全法》《個人信息保護法》為法律基礎，以《數(shù)據出境安全評估辦法》為配套法規(guī)，以重要數(shù)據和個人信息為監(jiān)管重點。

表：重要數(shù)據和個人信息的出境監(jiān)管制度

資料來源：零壹智庫根據公開資料整理

二、數(shù)據出境安全評估的適用范圍

《個人信息和重要數(shù)據出境安全評估辦法（征求意見稿）》對于“數(shù)據出境”給出了定義。所謂數(shù)據出境，是指網絡運營者將在中華人民共和國境內運營中收集和產生的個人信息和重要數(shù)據，提供給位于境外的機構、組織、個人。定義明確了數(shù)據出境安全評估的適用主體（網絡運營者）和數(shù)據類型（個人信息和重要數(shù)據）。

其中，網絡運營者主要指關鍵信息基礎設施的運營者和其他數(shù)據處理者。然而，從《網絡安全法》到《數(shù)據安全法》和《個人信息保護法》，都只對關鍵信息基礎設施的運營者做出了明確的個人數(shù)據或重要數(shù)據安全評估需求，而對于其他數(shù)據處理者的數(shù)據出境安全評估并未明確規(guī)定。

（一）明確主體：關鍵信息基礎設施的運營者+其他數(shù)據處理者

《數(shù)據出境安全評估辦法（征求意見稿）》則進一步完善了數(shù)據出境的適用范圍，除關鍵信息基礎設施的運營者外，其他數(shù)據處理者的類型也被明確，即數(shù)據處理者向境外提供數(shù)據，滿足以下情形之一的，均應申請安全評估：

表：不同法規(guī)制度中對于數(shù)據出境安全評估的要求

資料來源：《數(shù)據出境安全評估辦法（征求意見稿）》

這意味著對于其他數(shù)據處理者而言，只要出境數(shù)據中包含重要數(shù)據，就需要進行安全評估；在處理個人信息時，一旦滿足“處理個人信息達到一百萬人”或“累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息”這兩項，就需要進行安全評估。

對于關鍵信息基礎設施的定義，雖然《數(shù)據出境安全評估辦法（征求意見稿）》沒有明確指出，但根據《關鍵信息基礎設施安全保護條例》，關鍵信息基礎設施是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業(yè)等重要行業(yè)和領域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統(tǒng)等。

（二）數(shù)據類型：重要數(shù)據的邊界仍較為模糊

從需要進行安全評估的出境數(shù)據類型看，對于個人信息和敏感個人信息的定義、范圍等，《網絡安全法》《個人信息保護法》均進行了明確規(guī)定。

而對于重要數(shù)據，目前的邊界比較模糊?！秱€人信息和重要數(shù)據出境安全評估辦法（征求意見稿）》曾提到重要數(shù)據的定義，即與國家安全、經濟發(fā)展，以及社會公共利益密切相關的數(shù)據，但并未明確重要數(shù)據的具體范圍?！缎畔踩夹g數(shù)據出境安全評估指南（征求意見稿）》的附錄A《重要數(shù)據識別指南》，列舉了27個領域的重要數(shù)據。在實際應用中，對于重要數(shù)據的判定，通常具有明顯的行業(yè)特征。 

（三）數(shù)據出境安全評估的流程

《數(shù)據出境安全評估辦法（征求意見稿）》明確了數(shù)據出境的安全評估流程。數(shù)據處理者在向境外提供數(shù)據前，應事先開展數(shù)據出境風險自評估，然后通過所在地網信部門向國家網信部門申請安全評估。

圖：數(shù)據出境安全評估流程圖

資料來源：錦天城律師事務

三、互聯(lián)網企業(yè)：數(shù)據出境的重點監(jiān)管對象 

隨著互聯(lián)網企業(yè)的迅速發(fā)展，其用戶數(shù)量、業(yè)務生態(tài)等不斷壯大，海量數(shù)據在互聯(lián)網企業(yè)生成、匯聚、融合、應用，在釋放數(shù)據價值的同時，也帶來巨大的數(shù)據安全問題。

2021年7月28日，工信部網絡安全局委托中國互聯(lián)網協(xié)會組織召開重點互聯(lián)網企業(yè)貫徹落實《數(shù)據安全法》座談會，中國互聯(lián)網協(xié)會、中國信息通信研究院及阿里、騰訊、美團、奇安信、小米、京東、微博、字節(jié)跳動、58同城、百度、拼多多、螞蟻集團等12家企業(yè)參加。座談會對數(shù)據安全相關工作進行了部署，其中要求互聯(lián)網加強重要數(shù)據安全風險評估和出境管理。

在此之前，滴滴、BOSS直聘以及運滿滿和貨車幫（滿幫集團旗下兩大品牌）等上市后曾被實行網絡數(shù)據安全審查。上述企業(yè)分別為日常出行、大眾求職及網絡貨運領域的頭部平臺。根據各自的招股書披露，滴滴年活躍用戶數(shù)量4.93億，年活躍司機數(shù)量1500萬，日均單量4100萬，年平臺交易總額3410億元；截至 2021 年 3 月 31 日，BOSS直聘共服務8580萬認證求職者，共擁有1300萬認證企業(yè)端用戶，服務630萬家認證企業(yè)；滿幫集團2020年GTV（平臺總交易額）達1738億元人民幣，占我國數(shù)字貨運平臺GTV總量的64%，訂單量達7170萬單，平臺司機達到280萬。

這些互聯(lián)網企業(yè)不論是從主體認定，還是擁有的數(shù)據類型上看，均屬于數(shù)據出境安全評估的范圍。巨大的用戶規(guī)模和巨額的交易量決定了其信息設施安全與國家安全、國計民生、公共利益日漸緊密，滿足了關鍵信息基礎設施運營者的認定條件。而且這些企業(yè)擁有的數(shù)據可以間接反應我國的區(qū)域人口分布、商業(yè)熱力、人口流動、企業(yè)經營及貨物流動等情況，這些數(shù)據與經濟發(fā)展、社會公共利益等密切相關。 

近日，富途控股、老虎證券等跨境互聯(lián)網券商因個人信息收集、出境等問題連遭“點名”。其實，除向境外提供個人信息外，富途控股和老虎證券的投資量和用戶量等均體現(xiàn)了其與關鍵信息基礎設施有密切關聯(lián)。以富途為例，截止2021年第二季度，全球注冊用戶數(shù)突破1550萬，有資產客戶數(shù)突破100萬，第二季度交易額達1694億美元。此外，從數(shù)據類型看，用戶在注冊過程中提供的收入信息、資產信息等個人信息均屬于《信息安全技術數(shù)據出境安全評估指南（征求意見稿）》列示的重要數(shù)據。

因此，這些跨境互聯(lián)網券商不僅滿足關鍵信息基礎設施運營者的認定條件，并且其收集的用戶重要數(shù)據已經構成重要數(shù)據，在數(shù)據出境時理應滿足安全評估的監(jiān)管要求。

小結

數(shù)據出境一直是數(shù)據合規(guī)領域的重要話題。隨著《數(shù)據出境安全評估辦法（征求意見稿）》的發(fā)布，數(shù)據出境的監(jiān)管框架已經相對清晰。在全球數(shù)字經濟深入發(fā)展的背景下，數(shù)據的開發(fā)利用成為打造數(shù)字經濟新優(yōu)勢的“助推劑”，數(shù)據安全也上升到了國家主權的高度。對出境數(shù)據進行有效的安全評估，至關重要。

對滿足條件的互聯(lián)網企業(yè)而言，應在合理利用“數(shù)據紅利”的基礎上，盡快推進數(shù)據出境合規(guī)化建設，避免后期因數(shù)據問題影響而影響業(yè)務的推進發(fā)展。

注：文章為作者獨立觀點，不代表資產界立場。

題圖來自 Pexels，基于 CC0 協(xié)議

本文由“零壹財經”投稿資產界，并經資產界編輯發(fā)布。版權歸原作者所有，未經授權，請勿轉載，謝謝！

原標題： 政策框架初定，互聯(lián)網企業(yè)數(shù)據出境如何合規(guī)？