在數字化博弈的全球浪潮下，伴隨中國對于數據出境的治理力度持續(xù)走強，跨國企業(yè)正迎來更為嚴格的合規(guī)挑戰(zhàn)。

10月29日，國家互聯網信息辦公室就《數據出境安全評估辦法（征求意見稿）》（下稱《征求意見稿》）公開征求意見，其中明確，數據出境安全評估堅持事前評估和持續(xù)監(jiān)督相結合、風險自評估與安全評估相結合，防范數據出境安全風險，保障數據依法有序自由流動。

繼《數據安全法》填補“重要數據”的出境規(guī)制的立法空白后，《征求意見稿》再次明確，“數據出境”不僅包含數據處理者依法應當進行安全評估的個人信息，也包含數據處理者向境外提供在中華人民共和國境內運營中收集和產生的重要數據。

“這個評估辦法是落實上位法的操作性細則，旨在堵住赴海外上市的企業(yè)數據合規(guī)漏洞，嚴格保護數據出境的大門。”網絡安全領域資深學者、中國社會科學院經濟學博士方燕對第一財經表示，在跨境情境下，數據安全超出中國司法管轄范圍，很難事后管控，故而加強事先管控、將安全把控落實在出境環(huán)節(jié)上是關鍵。

7月份，監(jiān)管部門啟動了對滴滴出行、運滿滿、貨車幫、BOSS直聘的網絡安全審查。

《征求意見稿》也指出，國家網信部門發(fā)現已經通過評估的數據出境活動在實際處理過程中不再符合數據出境安全管理要求的，應當撤銷評估結果并書面通知數據處理者，數據處理者應當終止數據出境活動。需要繼續(xù)開展數據出境活動的，數據處理者應當按照要求進行整改，并在整改完成后重新申報評估。

《征求意見稿》對于數據處理者的監(jiān)管再次收緊—— “累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息”的，應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估。

而在日前網信辦公布的《網絡安全審查辦法（修訂草案征求意見稿）》中，對于關鍵信息基礎設施運營者和數據處理者，規(guī)定“掌握超過100萬用戶個人信心的運營者赴國外上市，必須向網絡安全審查辦公室申報網絡安全審查”，但并未涉及“累計用戶數”的評估。

對此，方燕認為，這既是因為相對于更為廣泛的網絡安全，數據安全治理有其獨特性，也是回應了現實中部分企業(yè)通過化整為零式手段，規(guī)避安全審查的漏洞。此外，還顯示了此辦法跟個人信息安全評估辦法的不同。

“《征求意見稿》規(guī)定累計涉及的出境數據量達到一定規(guī)模才會觸發(fā)數據安全評估制度，而對于個人信息安全的保護，則是只要存在或可能存在個人信息出境，就會觸發(fā)相應流程。這背后是因為，數據和信息在概念上有交錯，所以二者在安全評估制度也有交錯。”方燕稱。

北京師范大學網絡法治國際中心執(zhí)行主任吳沈括在接受第一財經采訪時表示，《征求意見稿》提及對于數據處理者在數據出境場景下“累計用戶數”的評估，意味著該場景數據安全監(jiān)管、評估的細化，此前，通過數據處理者的業(yè)務歷史而形成的數據規(guī)模未曾被關注到。

對于數據處理者數據出境監(jiān)管的細化也體現在時間限定上。根據《征求意見稿》，數據出境評估結果有效期二年。有效期屆滿，需要繼續(xù)開展原數據出境活動的，數據處理者應當在有效期屆滿六十個工作日前重新申報評估。

除了數據處理者，《征求意見稿》還強調了境外接收方需履行數據安全保護的義務。

比如，境外接收方承諾承擔的責任義務，以及履行責任義務的管理和技術措施、能力等能否保障出境數據的安全；境外接收方在實際控制權或者經營范圍發(fā)生實質性變化，或者所在國家、地區(qū)法律環(huán)境發(fā)生變化導致難以保障數據安全時，應當采取的安全措施等。

“對于境外接收方義務的強調，是此次《征求意見稿》一大亮點。”方燕稱，這一點表明中國法律在面臨外國法律沖突時的應有姿態(tài)，或會展開“域外使用”。

吳沈括進一步表示，對于境外接收方的管制，意味著數據出境需要全流程、全生命周期的保護，特別是在境外的保護。“《征求意見稿》一方面要求境外接收方加強對于數據安全保護的主觀意愿；另一方面，也要求其在客觀上具有數據安全保護的技術和管理能力。”

但他也認為，從跨國企業(yè)的角度來看，在全球化運營的背景下，其組織管理模式和技術架構，往往具有全球一體化的色彩，如何針對中國市場設計出更有針對性的管理規(guī)則和技術配備，是該評估辦法未來落地執(zhí)行的一大挑戰(zhàn)。

值得注意的是，《征求意見稿》中對于出境數據中包含“重要數據”這一概念并未細化，這是否會為其落地執(zhí)行帶來難點？

對此，吳沈括稱，澄清界定“重要數據”是重要的，緊迫的，但也不會一蹴而就。當前，國家標準正在制定中，一些關鍵行業(yè)領域“重要數據”的出境管理辦法正在加速推進。此外，各個層面的數據分類分析工作也在同步展開，這些都為最終厘清“重要數據”提供依據。

除此之外，在數據跨境流通中，中國的跨國企業(yè)還面臨全球數據治理和不同國家監(jiān)管政策差異化等難題。

對此，吳沈括建議，除了要加速推進《征求意見稿》等國內制度設計，中國還需要通過參與數據跨境執(zhí)法聯盟等方式，以有效解決國際規(guī)則變化和國內外規(guī)則不一所帶來的沖突。

標簽： 數據安全 數據出境 跨國企業(yè) 重要數據 個人數據