​作者：金茂律师事务所   连成杰   律师 

《网络安全法》于2017年6月1日起生效施行,其中明确了个人信息和重要数据出境的安全评估机制,而具体细节没有详细的规定｡2017年4月11日,国家互联网信息办公室发布关于《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称“《评估办法》”)向社会公开征求意见｡《评估办法》是依据上位法《网络安全法》以及《国家安全法》而制定,作为《网络安全法》的补充或配套实施办法｡因此《评估办法》将对企业在数据管理､合规起到重要的参考意义｡ 

一、数据出境 

根据《评估办法》规定:

1. 数据出境,是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构､组织､个人｡此处的“提供”的含义较广,包括从境内向境外以任何方式主动提供,也包括境外组织､个人通过网络访问､读取获取相关数据此类的被动提供｡

2. 个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名､出生日期､身份证件号码､个人生物识别信息､住址､电话号码等｡对于个人信息的定义与《网络安全法》保持一致,但应注意的是通过处理无法识别特定个人且不能复原的不属于个人信息之列｡

3. 重要数据,是指与国家安全､经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南｡ 

二、监管对象 

《网络安全法》第37条规定,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储｡因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估｡”第31条规定,“国家对公共通信和信息服务､能源､交通､水利､金融､公共服务､电子政务等重要行业和领域,以及其他一旦遭到破坏､丧失功能或者数据泄露,可能严重危害国家安全､国计民生､公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护｡关键信息基础设施的具体范围和安全保护办法由国务院制定｡” 

关键信息基础设施的运营者的具体范围还未制定,但根据第31条的规定,关键信息基础设施的范围是公共通信和信息服务､能源､交通､水利､金融､公共服务､电子政务等重要行业和领域｡据此,《网络安全法》下的数据境内存储和安全评估义务仅适用于运营关键信息基础设施的企业｡ 

而根据《评估办法》第2条规定,“网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储｡因业务需要,确需向境外提供的,应当按照本办法进行安全评估｡”网络运营者,是指网络的所有者､管理者和网络服务提供者｡因此,我们可以理解为几乎所有涉及网络运营的企业,包括一般网站､内部网络等等｡此外,《评估办法》还规定,其他个人和组织在中华人民共和国境内收集和产生的个人信息和重要数据的安全评估工作参照本办法执行｡由此可以看出,《评估办法》将数据出境的监管对象大幅度地扩大了｡ 

三、明确禁止规定 

《评估办法》第11条规定,存在以下情况之一的,数据不得出境: 

1. 个人信息出境未经个人信息主体同意,或可能侵害个人利益;

2. 数据出境给国家政治､经济､科技､国防等安全带来风险,可能影响国家安全､损害社会公共利益;

3. 其他经国家网信部门､公安部门､安全部门等有关部门认定不能出境的｡ 

四、安全评估办法 

根据《评估办法》,安全评估分为内部自行评估和外部行业主管､监管部门评估｡ 

1.  内部自行评估

网络运营者应在数据出境前,自行组织安全评估,并对评估结果负责｡同时网络运营者每年至少进行一次安全评估,并及时将评估情况报行业主管或监管部门｡这将会是企业重要的合规义务｡关于安全评估,应重点评估以下内容:

a.  数据出境的必要性;

b.  涉及个人信息情况,包括个人信息的数量､范围､类型､敏感程度,以及个人信息主体是否同意其个人信息出境等;

c.  涉及重要数据情况,包括重要数据的数量､范围､类型及其敏感程度等;

d.  数据接收方的安全保护措施､能力和水平,以及所在国家和地区的网络安全环境等;

e.  数据出境及再转移后被泄露､毁损､篡改､滥用等风险;

f.  数据出境及出境数据汇聚可能对国家安全､社会公共利益､个人合法利益带来的风险;

g.  其他需要评估的重要事项｡ 

2.  外部行业主管､监管部门评估

网络运营者如遇到以下情况,应报请行业主管或监管部门组织安全评估:

a.  含有或累计含有50万人以上的个人信息;

b.  数据量超过1000GB;

c.  包含核设施､化学生物､国防军工､人口健康等领域数据,大型工程活动､海洋环境以及敏感地理信息数据等;

d.  包含关键信息基础设施的系统漏洞､安全防护等网络安全信息;

e.  关键信息基础设施运营者向境外提供个人信息和重要数据;

f.  其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估｡ 

3.  二次评估

《评估办法》还规定,如遇到数据接收方出现变更,数据出境目的､范围､数量､类型等发生较大变化,数据接收方或出境数据发生重大安全事件时,应及时重新进行安全评估,进行二次评估｡ 

五、法律责任 

在《评估办法》中,仅仅简单概括了“依照有关法律法规进行处罚”｡如是关键信息基础设施运营者违反了数据出境的安全评估规定,那么可以直接依据《网络安全法》处罚或承担民事责任｡《网络安全法》第66条规定,“关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务､停业整顿､关闭网站､吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款｡”如是其他网络运营者､组织或个人违反数据出境的安全评估规定,那么可能会按照《国家安全法》､《刑法》等进行处罚或承担相应责任｡ 

六、结语 

虽然《评估办法》还未实施,但可以看出目前我国对于个人信息和重要数据安全､国家网络安全极为重视,监管日趋严格｡这对于企业来说,也面临了新的合规挑战｡对于企业而言,还应结合自身特点从内部建立起数据评估､管理机制,并且与外部专业机构合作增强对数据､网络安全的合规性审查,从而降低企业数据传输可能面临的合规风险｡