全力構建數據出境的“安全屏障”

 9月1日起，《數據出境安全評估辦法》（以下簡稱《辦法》）正式施行。

網絡安全的核心是數據安全，在數據對各領域的重要性與日俱增的同時，數據風險與數據安全問題也越發突出，給社會帶來了前所未有的挑戰。在此背景下，數據出境的安全問題不僅關乎數據本身作為重要生產要素的開發利用與安全，尤其是與國家主權、國家安全、個人信息權益、社會公共利益等休戚相關。因此，按照總體國家安全觀的要求，在《網絡安全法》《數據安全法》《個人信息保護法》等有關數據和個人信息出境法律規則的框架下，制定一部專門的數據出境安全評估規定十分必要和迫切。

數據出境的主要類型

數據出境，主要指在中國境內的數據處理者通過網絡及其他方式（如物理攜帶），將其在中國境內運營中收集和產生的數據，通過直接提供或開展業務、提供服務和產品等方式提供給境外的組織或個人的一次性活動或連續性活動。

《辦法》第二條規定，數據處理者向境外提供在中華人民共和國境內運營中收集和產生的重要數據和個人信息的安全評估，適用本辦法。法律、行政法規另有規定的，依照其規定。根據上述規定，《辦法》主要針對在中國境內運營中收集和產生的重要數據和個人信息進行安全評估，這里有三個關鍵詞：一是中國境內；二是運營中收集和產生；三是重要數據和一定數量的個人信息。

這里需要明確運營中收集和產生的數據之間的區別，根據《數據安全法》第三條第一款和第二款規定，數據，是指任何以電子或者其他方式對信息的記錄。數據處理，包括數據的收集、存儲、使用、加工、傳輸、提供、公開等?！掇k法》中涉及的數據，包括中國境內數據處理者通過網絡及其他方式收集和產生的數據，但主要是網絡數據，其中收集數據無論是采取自動化方式還是非自動化方式，是一種具有目的性的積極主動行為，屬于《數據安全法》數據處理中的七種處理行為之一。

數據的產生則不同，其沒有具體的目的，主要是網絡和信息系統生成的社會數據，數據生成的模式大致有三種情形：一是用戶主動提供的數據，比如以博客、微博、微信為代表的新型數字社交平臺，以及以電子商務為代表的數字交易平臺，使得用戶主動向數字平臺提供海量的數據；二是數字城市（城市大腦）的建設將大量的智能終端設備和傳感器接入物聯網，遍布在城市各個角落的攝像頭和傳感器等數據采集設備源源不斷地自動生成并產生海量的數據；三是企業在研發設計、生產制造、經營管理、運維服務、平臺運營、應用服務等過程中產生的海量數據。

數據出境主要有以下三類情形：一是向本國境內機構提供數據，但該機構不屬于本國司法管轄，如外國大使館就屬于使館所在國的國家領土，不屬于派遣國的國家領土；二是數據未轉移存儲至本國以外的地方，但可以被境外的組織、個人訪問查看，不包括公開的數據和通過網頁訪問的數據；三是數據處理者集團內部數據由境內轉移至境外，其中涉及其在境內運營中收集和產生的數據。但是具有以下兩種情形，不屬于數據出境：一是非在境內運營中收集和產生的數據經由本國出境，且數據未經任何加工處理；二是非在境內運營中收集和產生的數據，但在境內存儲、加工處理后出境，不涉及境內運營中收集和產生的數據。

基本原則和需要申報的情形

我國數據出境安全評估的目的，是在確保防范數據出境安全風險的基礎上，保障數據依法有序自由流動。為了達到上述目的，《辦法》提出了數據出境安全評估應遵循兩項基本原則：一是堅持事前評估和持續監督相結合原則；二是堅持風險自評估與國家安全評估相結合原則。

第一項原則表明，重要數據和依法應當進行安全評估的個人信息，必須在出境前進行數據安全出境評估，但是保障數據出境安全不僅僅是一次性評估，還要對出境后的數據進行持續性安全監督，重點監督與境外接收方訂立法律文件中約定的數據安全保護責任義務的履行情況；第二項原則提出了重要數據和依法應當進行安全評估的個人信息實施階梯式評估模式，即“自評估”﹢“國家安全評估”，以企業數據出境自評估為基礎，以國家安全評估為保障，這是一個合二為一的整體性安全評估模式。

《辦法》第四條明確了有以下四種情形之一的，應當申報數據出境安全評估：數據處理者向境外提供重要數據；關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息；自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息；國家網信部門規定的其他需要申報數據出境安全評估的情形。申請者申報數據出境安全評估，應當通過所在地省級網信部門向國家網信部門提出。

開展數據出境風險自評估的重點

依據《辦法》第五條的規定，數據處理者在申報數據出境安全評估前，應當對以下六項重點內容開展數據出境風險自評估：一是數據出境和境外接收方處理數據的目的、范圍、方式等的合法性、正當性、必要性；二是出境數據的規模、范圍、種類、敏感程度，數據出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險；三是境外接收方承諾承擔的責任義務，以及履行責任義務的管理和技術措施、能力等能否保障出境數據的安全；四是數據出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等的風險，個人信息權益維護的渠道是否通暢等；五是與境外接收方擬訂立的數據出境相關合同或者其他具有法律效力的文件等是否充分約定了數據安全保護責任義務；六是其他可能影響數據出境安全的事項。

以上自評估的內容有四大特征：一是數據出境的合規性評估，重點評估數據出境的目的、范圍和方式是否符合我國數據處理的法定原則——合法、正當、必要；二是數據出境的風險性評估，重點從出境數據的規模、范圍、種類、敏感度四個維度分析和評估，出境的數據是否會給國家安全、公共利益、個人或者組織合法權益帶來風險；三是數據出境的安全保障能力評估，重點評估境外接收方是否具備保障所出境數據的安全，尤其是評估境外接收方能否依據誠實信用原則，全面履行合同所約定的安全保障義務；四是數據出境中和出境后的救濟渠道評估，重點評估在數據出境期間和出境后，一旦遭到數據的篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等風險，個人信息權益維護和救濟的渠道是否暢通。

全面履行數據出境標準合同

數據出境安全評估是對數據出境風險的事先防范，保證數據出境的全過程安全，事先安全評估是非常關鍵和重要的環節，但是在安全評估后的數據處在境外接收方實際控制時，特別是境外接收方國家或地區的數據安全與個人信息保護法律與我國法律法規存在差異的情況下，如何保障數據在安全可控的范圍，關鍵在于與境外接收方簽訂切實可行的合同等法律文件，并使得該合同法律文件得到全面履行。

根據我國法律法規的要求，數據處理者因業務等需要，確需向我國境外提供數據的，應當按照國家網信部門制定的關于標準合同的規定與境外數據接收方訂立合同，約定雙方權利和義務，尤其要突出“數據安全優先”的義務。事實上，國家依法要求雙方簽訂數據出境標準合同，是實現國家數據出境安全監管的重要措施。

我國數據出境安全評估制度不僅要保護個人信息，更重要的是保障重要數據出境活動的安全。個人信息的出境安全評估申報有一定數量的限制，即“處理100萬人以上個人信息”或“自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息”；重要數據的出境必須全部申報安全評估，沒有任何數量的限制。因為重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等風險，可能危害國家安全、公共利益的數據。

（備注：青蛙工業云平臺目標是幫助黑龍江工業企業、哈爾濱工業企業的數字化轉型貢獻出自己的一份力量，嚴把數字轉型方案的質量關，結合 哈爾濱數字化車間政策 數字孿生技術 哈爾濱軟件定制  哈爾濱星級上云  哈爾濱標識解析方案 以及哈爾濱智能制造等相關的產業政策，為龍江工業企業數字化轉型開辟一條新出路，提供一個快速有效的提產增量的解決方案，助力黑龍江老工業振興，哈爾濱工廠轉型。）