在數(shù)字化博弈的全球浪潮下，伴隨中國對于數(shù)據(jù)出境的治理力度持續(xù)走強，跨國企業(yè)正迎來更為嚴格的合規(guī)挑戰(zhàn)。

10月29日，國家互聯(lián)網(wǎng)信息辦公室就《數(shù)據(jù)出境安全評估辦法(征求意見稿)》(下稱《征求意見稿》)公開征求意見，其中明確，數(shù)據(jù)出境安全評估堅持事前評估和持續(xù)監(jiān)督相結合、風險自評估與安全評估相結合，防范數(shù)據(jù)出境安全風險，保障數(shù)據(jù)依法有序自由流動。

繼《數(shù)據(jù)安全法》填補“重要數(shù)據(jù)”的出境規(guī)制的立法空白后，《征求意見稿》再次明確，“數(shù)據(jù)出境”不僅包含數(shù)據(jù)處理者依法應當進行安全評估的個人信息，也包含數(shù)據(jù)處理者向境外提供在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)。

“這個評估辦法是落實上位法的操作性細則，旨在堵住赴海外上市的企業(yè)數(shù)據(jù)合規(guī)漏洞，收緊數(shù)據(jù)出境的大門。”網(wǎng)絡安全領域資深學者、中國社會科學院經(jīng)濟學博士方燕對第一財經(jīng)表示，在跨境情境下，數(shù)據(jù)安全超出中國司法管轄范圍，很難事后管控，故而加強事先管控、將安全把控落實在出境環(huán)節(jié)上是關鍵。

7月份，監(jiān)管部門啟動了對滴滴出行、運滿滿、貨車幫、BOSS直聘的網(wǎng)絡安全審查。

《征求意見稿》也指出，國家網(wǎng)信部門發(fā)現(xiàn)已經(jīng)通過評估的數(shù)據(jù)出境活動在實際處理過程中不再符合數(shù)據(jù)出境安全管理要求的，應當撤銷評估結果并書面通知數(shù)據(jù)處理者，數(shù)據(jù)處理者應當終止數(shù)據(jù)出境活動。需要繼續(xù)開展數(shù)據(jù)出境活動的，數(shù)據(jù)處理者應當按照要求進行整改，并在整改完成后重新申報評估。

《征求意見稿》對于數(shù)據(jù)處理者的監(jiān)管再次收緊—— “累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息”的，應當通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估。

而在日前網(wǎng)信辦公布的《網(wǎng)絡安全審查辦法(修訂草案征求意見稿)》中，對于關鍵信息基礎設施運營者和數(shù)據(jù)處理者，規(guī)定“掌握超過100萬用戶個人信心的運營者赴國外上市，必須向網(wǎng)絡安全審查辦公室申報網(wǎng)絡安全審查”，但并未涉及“累計用戶數(shù)”的評估。

對此，方燕認為，這既是因為相對于更為廣泛的網(wǎng)絡安全，數(shù)據(jù)安全治理有其獨特性，也是回應了現(xiàn)實中部分企業(yè)通過化整為零式手段，規(guī)避安全審查的漏洞。此外，還顯示了此辦法跟個人信息安全評估辦法的不同。

“《征求意見稿》規(guī)定累計涉及的出境數(shù)據(jù)量達到一定規(guī)模才會觸發(fā)數(shù)據(jù)安全評估制度，而對于個人信息安全的保護，則是只要存在或可能存在個人信息出境，就會觸發(fā)相應流程。這背后是因為，數(shù)據(jù)和信息在概念上有交錯，所以二者在安全評估制度也有交錯?！狈窖喾Q。

北京師范大學網(wǎng)絡法治國際中心執(zhí)行主任吳沈括在接受第一財經(jīng)采訪時表示，《征求意見稿》提及對于數(shù)據(jù)處理者在數(shù)據(jù)出境場景下“累計用戶數(shù)”的評估，意味著該場景數(shù)據(jù)安全監(jiān)管、評估的細化，此前，通過數(shù)據(jù)處理者的業(yè)務歷史而形成的數(shù)據(jù)規(guī)模未曾被關注到。

對于數(shù)據(jù)處理者數(shù)據(jù)出境監(jiān)管的細化也體現(xiàn)在時間限定上。根據(jù)《征求意見稿》，數(shù)據(jù)出境評估結果有效期二年。有效期屆滿，需要繼續(xù)開展原數(shù)據(jù)出境活動的，數(shù)據(jù)處理者應當在有效期屆滿六十個工作日前重新申報評估。

除了數(shù)據(jù)處理者，《征求意見稿》還強調(diào)了境外接收方需履行數(shù)據(jù)安全保護的義務。

比如，境外接收方承諾承擔的責任義務，以及履行責任義務的管理和技術措施、能力等能否保障出境數(shù)據(jù)的安全；境外接收方在實際控制權或者經(jīng)營范圍發(fā)生實質(zhì)性變化，或者所在國家、地區(qū)法律環(huán)境發(fā)生變化導致難以保障數(shù)據(jù)安全時，應當采取的安全措施等。

“對于境外接收方義務的強調(diào)，是此次《征求意見稿》一大亮點。”方燕稱，這一點表明中國法律在面臨外國法律沖突時的應有姿態(tài)，或會展開“長臂管轄”。

吳沈括進一步表示，對于境外接收方的管制，意味著數(shù)據(jù)出境需要全流程、全生命周期的保護，特別是在境外的保護。“《征求意見稿》一方面要求境外接收方加強對于數(shù)據(jù)安全保護的主觀意愿；另一方面，也要求其在客觀上具有數(shù)據(jù)安全保護的技術和管理能力?！?/p>

但他也認為，從跨國企業(yè)的角度來看，在全球化運營的背景下，其組織管理模式和技術架構，往往具有全球一體化的色彩，如何針對中國市場設計出更有針對性的管理規(guī)則和技術配備，是該評估辦法未來落地執(zhí)行的一大挑戰(zhàn)。

值得注意的是，《征求意見稿》中對于出境數(shù)據(jù)中包含“重要數(shù)據(jù)”這一概念并未細化，這是否會為其落地執(zhí)行帶來難點？

對此，吳沈括稱，澄清界定“重要數(shù)據(jù)”是重要的，緊迫的，但也不會一蹴而就。當前，國家標準正在制定中，一些關鍵行業(yè)領域“重要數(shù)據(jù)”的出境管理辦法正在加速推進。此外，各個層面的數(shù)據(jù)分類分析工作也在同步展開，這些都為最終厘清“重要數(shù)據(jù)”提供依據(jù)。

除此之外，在數(shù)據(jù)跨境流通中，中國的跨國企業(yè)還面臨全球數(shù)據(jù)治理和不同國家監(jiān)管政策差異化等難題。

對此，吳沈括建議，除了要加速推進《征求意見稿》等國內(nèi)制度設計，中國還需要通過參與數(shù)據(jù)跨境執(zhí)法聯(lián)盟等方式，以有效解決國際規(guī)則變化和國內(nèi)外規(guī)則不一所帶來的沖突。

（文章來源：第一財經(jīng)）

標簽： 出境 治理 信息 數(shù)據(jù)安全 加碼 數(shù)據(jù) 征求意見稿 全球 浪潮