企业数据跨境传输合规简析

作者：朱力明

近年来，随着互联网和数字相关产业的不断深入发展，数据的全球流动已经越来越与个人的日常生活密切相关，在不知不觉中，我们的数据就有可能在全球范围内“自由”出入，由此产生的网络安全问题不容小觑。随着《网络安全法》、《数据安全法》、《个人信息保护法》的陆续颁布和实行，以及《数据安全出境评估办法》（征求意见稿）、《网络数据安全管理条例》（征求意见稿）、《网络安全审查办法》（征求意见稿）等配套规则的推出，我国也在逐步加强对数据的跨境流动的监管与合规。本文将结合笔者在数据跨境实践中遇到的相关问题，与大家简单聊聊企业数据跨境传输的合规要求。

数据跨境传输虽然是网络安全话题中的重要部分，但《网络安全法》、《数据安全法》、《个人信息保护法》等现行法律中并未明确“数据跨境”的定义。参考尚未生效的《个人信息和重要数据出境安全评估办法（征求意见稿）》第17条和《信息安全技术数据出境安全评估指南（征求意见稿）》中对于“数据出境”的定义，“数据出境”包括：a）向本国境内，但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据；b）数据未转移存储至本国以外的地方，但被境外的机构、组织、个人访问查看的（公开信息、网页访问除外）；及c）网络运营者集团内部数据由境内转移至境外，涉及其在境内运营中收集和产生的个人信息和重要数据三类情形。因此，概括而言，“数据跨境传输”主要包括“向境外主体提供境内收集、产生的个人信息和数据”和“境外主体访问境内储存的个人信息和数据”两种情形，而投映到企业日常的经营中，我们列举了常见且典型的几种企业数据跨境传输的场景：

企业A是一家注册在中国境外的跨境电商平台，虽在中国境内并无实体经营，也没有境内数据中心，但中国境内用户可以自行在该平台上选购下单商品。网站可能会收集用户浏览平台及网站时产生的Cookie信息、用户偏好信息等数据，同时，当用户在平台进行交易时，会向境外的经营主体传输相应的用户名称、地址、银行账户信息等个人信息。

尽管该企业并不是境内主体，但因交易本身涉及跨境事宜，无可避免地需要将境内用户的数据传输到境外，根据《个人信息保护法》第3条规定的适用范围，该企业因“以向境内自然人提供产品或者服务为目的，在境外处理境内自然人个人信息的活动”，适用《个人信息保护法》，需要和境内的个人信息处理者一样，遵守《个人信息保护法》的相关合规要求。

企业B是一家跨国公司的境内经营实体，负责中国地区的经营事务，与境外集团总部间仍有管理与被管理的关系。应境外集团总部的要求，需要向境外集团总部提供其经营过程中产生的用户信息、经营数据、员工信息等数据及个人信息，以供境外集团总部进行分析、处理或直接统一储存于境外集团总部的数据中心中。

企业C是一家注册在中国境内的公司，在经营过程中因业务需要，委托境外某服务商提供其用户数据分析相关服务，境外服务商并未在中国境内设有任何实体，因此，境内企业基于其与境外服务商签署的服务合同，将其收集的用户数据提供给境外企业进行分析和处理。

在情景二及情景三中，均涉及境内开展数据处理活动的数据/个人信息处理者主动对外提供数据，因此根据《网络安全法》、《数据安全法》、《个人信息保护法》等相关法律法规的要求，需按照企业性质和传输的数据类型，适用关于重要数据或个人信息跨境提供的相关要求与条件。

《网络安全法》首次对于“关键信息基础设施的运营者”（“CIIO”）的数据跨境流动提出了安全要求，此后，《数据安全法》提出数据出境的安全管理办法需分CIIO及“其他数据处理者”讨论，《个人信息保护法》更进一步明确规定了个人信息跨境提供的要求与条件。《数据出境安全评估办法（征求意见稿）》、《数据安全管理办法（征求意见稿）》、《个人信息和重要数据出境安全评估办法（征求意见稿）》等尚在制定中的法律法规，也对数据跨境传输作出了较为详细的规定。

1.本地储存+安全评估原则

结合《网络安全法》第37条、《数据安全法》第31条及《个人信息保护法》第40条的规定，CIIO及处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在境内收集和产生的个人信息和重要数据存储在境内，确需向境外提供的，应当通过国家网信部门组织的安全评估。

参考《关键信息基础设施安全保护条例》第2条规定的“关键信息基础设施”范围，关键信息基础设施包括：公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。因此，相关行业的数据运营者，很有可能被认定为CIIO，并需遵守针对CIIO的相关数据跨境传输合规要求。

而对于“处理个人信息达到国家网信部门规定数量的个人信息处理者”，虽然目前无明确的认定规定，但结合《个人信息保护法》第52条及《个人信息安全规范》第11.1条c)项的规定来看，满足“ 1) 主要业务涉及个人信息处理，且从业人员规模大于200人；2)处理超过100万人的个人信息，或预计在12个月内处理超过100万人的个人信息；3)处理超过10万人的个人敏感信息”条件之一的企业，可能被认定为“处理个人信息达到国家网信部门规定数量的个人信息处理者”。

而《个人信息和重要数据出境安全评估办法（征求意见稿）》第9条，则规定了更为宽泛的跨境传输数据进行安全评估的情形范围，包括：出境数据含有或累计含有50万人以上的个人信息、出境数据量超过1000GB、数据包含涉及国家安全的信息、CIIO向境外提供个人信息和重要数据及其他可能影响国家安全和社会公共利益，行业主管或监管部门认为应该评估的等情况。虽然该征求意见稿并未生效，但亦不排除未来会进一步扩大数据跨境传输时的安全评估范围。

2.数据出境前置条件

《个人信息保护法》第38条规定了个人信息跨境的前置条件，即需满足a) 通过国家网信部门组织的安全评估；b)按照国家网信部门的规定经专业机构进行个人信息保护认证；或c) 按照国家网信部门制定的标准合同与境外接收方订立合同。

尚在征求意见中的《网络数据安全管理条例（征求意见稿）》第35条，将《个人信息保护法》第38条要求的满足安全评估、个人信息保护认证或订立标准合同中的任一条的前置条件范围扩大到全部网络数据，同时，该条款又增设了例外情形，即“为订立、履行个人作为一方当事人的合同所必需”及“为了保护个人生命健康和财产安全而必须”向境外提供当事人个人信息的情形。

3.“告知+同意”

《个人信息保护法》第39条规定了“告知+同意”的原则，境内处理者应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

在此基础上，《网络数据安全管理条例（征求意见稿）》第36条对获得单独同意的时机提出了要求，境内处理者在告知《个人信息保护法》第39条项下规定的各项事项，并取得个人的单独同意，但在收集时已单独取得，且按照取得同意的事项出境的除外。

除前述通用性的合规要求外，还有一些特殊行业针对自身行业中可能出现的数据跨境传输情形进行了进一步细化要求，包括对数据的境内储存和跨境传输进行严格限定。我们梳理了部分行业对数据跨境的特殊要求如下：

注：[1]《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第6条。

注：[2]《JR/T 0171—2020 个人金融信息保护技术规范》。

注：[3]《保险公司开业验收指引》第三条第（9）款第4项。

注：[4]《征信业管理条例》第24条。

注：[5]《人口健康信息管理办法(试行)》第10条。

注：[6]《人类遗传资源管理条例》第7条、第27条。

注：[7]《网络预约出租汽车经营服务管理暂行办法》第27条。

注：[8]《汽车数据安全管理若干规定（试行）》第10条。

注：[9]《网络出版服务管理规定》第8条。

注：[10]《地图管理条例》第34条。

1.可能影响国家安全的数据不得出境

根据《数据安全法》第24条，对于影响或者可能影响国家安全的数据处理，国家实施安全审查。第25条规定，国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。而根据《个人信息和重要数据出境安全评估办法（征求意见稿）》的要求，经过评估可能给国家政治、经济、科技、国防等安全带来风险，可能影响国家安全、损害社会公共利益的数据不得出境。

2.司法数据的特殊限制

针对根据国际条约、协定进行国际司法协助调取数据的情形，根据《数据安全法》第36条和《个人信息保护法》第41条，境内任何数据处理者未经主管机关批准，不得向境外司法或执法机构提供存储于境内的数据。

因此，企业需要根据自身的经营范围、行业定位、企业规模及实际开展的业务，以及拟向境外提供的数据类型，综合评估是否可能属于数据跨境行为的限制主体，需要满足数据跨境传输的特殊限制要求。

笔者注意到，已经有越来越多的企业开始建立起数据跨境传输的合规意识，并积极地调整企业组织架构及商业模式，制定数据出境的内部管理机制，以符合相关法律法规的合规要求。但在这过程中，笔者也关注到，一些企业在合规过程中，也存在分工、协调、本土化等诸多实操性的问题，可能影响到其合规措施的推进和实施。以笔者处理过的企业数据跨境传输案例为例，企业主要存在以下几方面的问题：

《个人信息保护法》提出，符合条件的境外个人信息处理者需要同样适用《个人信息保护法》的相关要求，这就使得很多接收境内公司提供数据的境外集团同样需要适用《个人信息保护法》。对于境外公司而言，其所在地国家往往也有自己的数据安全保护制度，而其适用范围、合规要求都可能与中国境内法律存在差异。同时，在这些数据安全保护制度中，一般也会对数据处理者方和接收方作出相关要求，因此，对于涉及数据跨境的企业来说，数据传输需要既符合中国境内的数据合规要求，也要满足接收方所在国家的相关法律要求，即使在二者的保护程度不同时，也要“就高不就低”，从严、全面地符合两国监管部门的要求。

不少企业在《个人信息保护法》等相关法律法规出台后，积极推进了内部数据跨境传输的管理机制，例如制定数据出境的相关内部规则指引，并对员工进行数据合规相关的培训和考核。但笔者发现，在涉及数据跨境的企业内部，也存在不少可能影响企业合规机制执行的问题。

在境内企业与境外集团层面，由于境外企业往往是境内企业的上级集团，境内企业只能被动接受境外企业的政策、使用的系统、软件和管理方法，缺少对总部合规政策进行调整或基于国内监管要求进行特殊处理的话语权。长期的被动执行导致部分企业在面对使用境外集团提供的涉及数据跨境传输的数据库、系统、软件时，在各项机制流程等环节中均可能存在例如缺少境内的对接及负责人员、相关人员不熟悉系统软件功能导致不清楚具体需收集传输使用的数据和其对应目的、盲目上线总部统一的系统或相关功能导致其与境内企业业务关联度低等问题，在这种情况下，可能导致企业无法符合法律法规所要求的前提条件或进一步顺利开展数据跨境传输所必需的安全评估及“告知及同意”等内容。

而在企业内部，也可能因部门间分工协调问题影响合规措施的推行。例如，有的企业业务部门与合规部门间缺少沟通，合规部门对业务熟悉程度不够，导致合规部门无法清晰把握企业业务中具体存在的数据跨境传输业务场景，对需要收集、传输的数据类型及其使用方式等都缺少清晰的认识，而业务部门对企业已经采取的合规措施也不甚了解，因而无法有效建立真正符合企业需求的合规管理机制。

境外集团总部制定的隐私政策、用户协议等往往基于GDPR等境外法律法规制定，因此集团总部的合规要求可能和国内的法规及监管要求存在一定的“偏差”，集团总部出于其自身的商业和管理需求，在符合其所在地区数据处理相关法规的情况下，要求境内遵守其商业安排，并基于此制定了相关的隐私政策和用户协议，但该等安排很有可能不能完全满足国内监管及合规的要求。如企业未基于国内法律法规要求制定本土化的隐私政策、用户协议等规则，而直接适用了集团政策的“汉化版”，则很有可能出现违反国内监管及合规要求，而遭受不必要的处罚。

在数据跨境传输的合规要求日益严格的监管环境下，企业更需要从企业自身的业务模式出发，有针对性地适用《网络安全法》、《数据安全法》、《个人信息保护法》及相关法律法规的要求，并开展相应的数据跨境合规工作。结合上文我们在实践中发现的问题，我们提出如下几点通用合规建议：

首先，企业应根据自己的业务模式，厘清企业内部受管控的数据内容。在不同业务场景下，会涉及跨境传输的场景及所涉数据字段，并通过内部的评估分级，确定所涉数据属于“个人信息”、“个人敏感信息”、“重要数据”还是“不可对外传输的数据”。识别数据的种类和内容后，进一步确定不同类型的数据跨境安排，例如根据法律法规的要求，对重要数据等进行必要的数据本地化存储安排，对需要出境的数据做好匿名化等脱敏处理。

其次，企业应当相关法律法规的要求，结合自身的组织架构安排，制定符合企业实际情况的内部合规管理机制，通过制度及规则，对企业内部涉及数据跨境流程的相关人员的分工、职责及具体业务操作方式提供明确的指引和规范，明确数据使用的权限审批及管理控制。企业还应可以定期进行数据安全评估，识别运营中存在的安全风险，进一步降低风险。

同时，在建立了较为完备的内部管理机制后，企业还应定期对员工进行数据安全合规方面的培训及相应考核，确保在岗员工能够清晰了解自身岗位的合规要求和职责，强化员工的合规风险意识。

最后，企业也应关注相关协议文本的制定及表述。针对数据提供方，需根据法律法规要求，与数据接收方订立符合监管要求的合同，企业可以在合同中通过相关条款设计，对数据接收方的责任和义务加以约束，以规避数据跨境传输的潜在风险。同时，企业也需要在与数据主体签署的隐私政策和用户协议或与员工间的协议中，明确涉及跨境传输的数据类型、处理目的、处理方式、境外接收方的基本信息、向境外接收方行使权利的方式和程序等内容，充分履行“告知+同意”等合规要求。

如今，数据的跨境传输已经成为很多企业的商业需求之一，在数据保护安全立法、监管日益完善和严格的大环境下，企业更应该不断加强数据合规意识，结合自身实际情况，从技术和管理多角度出发，建立合规的数据跨境传输机制，并持续关注相关监管规则的更新和变化，不断完善跨境数据传输方案，尽可能降低潜在的数据合规风险，以获得更加健康的企业发展。