政策解读 | 重要数据出境，将受到严格控制

政策解读：重要数据出境，将受到严格控制

■ 文 | 李鹏飞

2017年4月11日中央网信办就发布了《个人信息和重要数据出境安全评估办法（征求意见稿）》（以下简称《评估办法》），针对个人信息和重要数据出境做出了相当严格的要求。下面笔者就此征求意见稿的《评估办法》简单进行一下解析。

一、《评估办法》出台依据

《评估办法》的制定主要根据是去年刚刚颁布的《网络安全法》，《网络安全法》第三十七条明确规定因业务需要向境外提供数据时，“应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。由此可以认为，此次的《评估办法》就是对《网络安全法》第三十七条的具体落实。

虽然《评估办法》目前还只是征求意见稿，但不出意外的话正式稿在结构上将不会有太大的改动，作为《网络安全法》的配套制度，该《评估办法》将作为强制要求在各重点行业进行推广施行。

二、数据出境的监管机构

作为落实具体工作的配套制度，相关管理部门及职责已经界定的非常清晰，在数据出境的安全评估工作中，网信部门起到统筹协调作用，各个行业主管或监管部门具体组织开展本行业内的数据出境安全评估。

同时对不能出境的数据认定上，网信部门、公安部门、安全部门等有关部门可以行使否决权。

三、数据出境的监管思想

直观上很多人感觉《评估办法》的重点是数据出境的安全评估，其实评估只是一种具体安全控制手段，真正的重点与核心应该是对出境数据的限制。为什么这么说呢？将一些涉及到数据出境要求的条款罗列一对比，就能很容易看出来。

《网络安全法》第三十七条中明确规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要业务数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”这一条重点强调的是在国内所产生的个人信息和重要数据默认要在境内存储，如果有特殊情况（如业务需要）不得不向境外提供的，需要进行严格的安全评估。

早在2011年人民银行发布的《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》中也明确规定“在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外，银行业金融机构不得向境外提供境内个人金融信息。”这一条也非常明确的要求个人金融信息出境的限制，同样是数据默认在境内存储，法律法规与人民银行另有规定除外。

《评估办法》作为《网络安全法》的具体落实，其核心思想也是限制个人信息与重要业务数据出境，如果企业数据需要出境则需要进行严格的审批。

四、哪些数据不能出境

对于不能出境的数据，在《评估办法》的第十一条给出了明确的定义，一共有三类：

（一）个人信息出境未经个人信息主体同意，或可能侵害个人利益；

（二）数据出境给国家政治、经济、科技、国防等安全带来风险，可能影响国家安全、损害社会公共利益。

（三）其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。

五、数据出境安全评估

《评估办法》按照数据的重要程度规定了两种评估程序，自行评估和监管机构评估。

《评估办法》的第七条明确规定“网络运营者应在数据出境前，自行组织对数据出境进行安全评估，并对评估结果负责。”注意这里面定义的是所有涉及到数据出境的网络运营者，也就是说只要涉及到数据出境的组织都需要进行安全自评估，而不分所处行业、自身规模与业务类型。

哪些数据出境必须由监管机构评估，在《评估办法》中的第九条也有明确规定，出境数据存在以下情况之一的，网络运营者应报请行业主管或监管部门组织安全评估：

（一）含有或累计含有50万人以上的个人信息；

（二）数据量超过1000GB；

（三）包含核设施、化学生物、国防军工、人口健康等领域数据，大型工程活动、海洋环境以及敏感地理信息数据等；

（四）包含关键信息基础设施的系统漏洞、安全防护等网络安全信息；

（五）关键信息基础设施运营者向境外提供个人信息和重要数据；

（六）其他可能影响国家安全和社会公共利益，行业主管或监管部门认为应该评估。

行业主管或监管部门不明确的，由国家网信部门组织评估。

六、组织如何进行政策要求应对

根据该《评估办法》的内容来看，未来的几年会对所有行业的数据出境进行一次大摸底与风险评估，因此凡是涉及到数据出境的所有单位应该尽早进行准备，基本的应对思路包括以下三个方面：

首先，根据自身的业务、技术现状，参照《网络安全法》和《评估办法》做一次数据安全的详细评估，如果自身没有技术能力操作安全评估，可以聘请专业的第三方专业机构。

其次，根据自身数据安全评估的结果，制定相应的风险处置计划，并逐步落实风险整改措施，提高自身数据安全保护能力和安全监管合规水平。

最后，如果因业务需要必须进行数据出境，并安全自评估结果负责监管机构评估的条件的，则应尽快与行业监管部门联系，开始着手准备监管机构数据出境安全评估。

按照《评估办法》的要求，每年都需要进行一次安全评估，但如果需要出境的数据规模和数据类型等情况保持不变，每年安全评估的内容应该差别不大。也就是说，最难的就是第一年开始的数据出境自评估和数据出境监管机构评估，以后每年只需要重点关注出境数据的变化情况即可。

从国家一些列的网络措施可以看出，在数据安全方面的各种法律与政策要求将会越来越严格。而个人信息保护与数据安全是一个庞大的系统工程，想要很好的应对监管要求和控制组织自身数据安全风险，并不是一件能够在短时间一蹴而就的事情，这就需要提早进行准备并能够持续的进行资源投入，一步一个脚印的进行落实才能取得一个良好的数据安全治理效果。

 

附：个人信息和重要数据出境安全评估办法（征求意见稿）

第一条为保障个人信息和重要数据安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法利益，根据《中华人民共和国国家安全法》《中华人民共和国网络安全法》等法律法规，制定本办法。

第二条网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据，应当在境内存储。因业务需要，确需向境外提供的，应当按照本办法进行安全评估。

第三条数据出境安全评估应遵循公正、客观、有效的原则，保障个人信息和重要数据安全，促进网络信息依法有序自由流动。

第四条个人信息出境，应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区，并经其同意。未成年人个人信息出境须经其监护人同意。

第五条国家网信部门统筹协调数据出境安全评估工作，指导行业主管或监管部门组织开展数据出境安全评估。

第六条行业主管或监管部门负责本行业数据出境安全评估工作，定期组织开展本行业数据出境安全检查。

第七条网络运营者应在数据出境前，自行组织对数据出境进行安全评估，并对评估结果负责。

第八条数据出境安全评估应重点评估以下内容：

（一）数据出境的必要性；

（二）涉及个人信息情况，包括个人信息的数量、范围、类型、敏感程度，以及个人信息主体是否同意其个人信息出境等；

（三）涉及重要数据情况，包括重要数据的数量、范围、类型及其敏感程度等；

（四）数据接收方的安全保护措施、能力和水平，以及所在国家和地区的网络安全环境等；

（五）数据出境及再转移后被泄露、毁损、篡改、滥用等风险；

（六）数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险；

（七）其他需要评估的重要事项。

第九条出境数据存在以下情况之一的，网络运营者应报请行业主管或监管部门组织安全评估：

（一）含有或累计含有50万人以上的个人信息；

（二）数据量超过1000GB；

（三）包含核设施、化学生物、国防军工、人口健康等领域数据，大型工程活动、海洋环境以及敏感地理信息数据等；

（四）包含关键信息基础设施的系统漏洞、安全防护等网络安全信息；

（五）关键信息基础设施运营者向境外提供个人信息和重要数据；

（六）其他可能影响国家安全和社会公共利益，行业主管或监管部门认为应该评估。

行业主管或监管部门不明确的，由国家网信部门组织评估。

第十条行业主管或监管部门组织的安全评估，应当于六十个工作日内完成，及时向网络运营者反馈安全评估情况，并报国家网信部门。

第十一条存在以下情况之一的，数据不得出境：

（一）个人信息出境未经个人信息主体同意，或可能侵害个人利益；

（二）数据出境给国家政治、经济、科技、国防等安全带来风险，可能影响国家安全、损害社会公共利益；

（三）其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。

第十二条网络运营者应根据业务发展和网络运营情况，每年对数据出境至少进行一次安全评估，及时将评估情况报行业主管或监管部门。

当数据接收方出现变更，数据出境目的、范围、数量、类型等发生较大变化，数据接收方或出境数据发生重大安全事件时，应及时重新进行安全评估。

第十三条对违反相关法律法规和本办法向境外提供数据的行为，任何个人和组织有权向国家网信部门、公安部门等有关部门举报。

第十四条违反本办法规定的，依照有关法律法规进行处罚。

第十五条我国政府与其他国家、地区签署的关于数据出境的协议，按照协议的规定执行。

涉及国家秘密信息的按照相关规定执行。

第十六条其他个人和组织在中华人民共和国境内收集和产生的个人信息和重要数据出境的安全评估工作参照本办法执行。

第十七条本办法下列用语的含义：

网络运营者，是指网络的所有者、管理者和网络服务提供者。

数据出境，是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据，提供给位于境外的机构、组织、个人。

个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

重要数据，是指与国家安全、经济发展，以及社会公共利益密切相关的数据，具体范围参照国家有关标准和重要数据识别指南。

第十八条本办法自2017年月日起实施。

原文始发于微信公众号（微言晓意）：政策解读 | 重要数据出境，将受到严格控制