《数据出境安全评估指南（草案）》解读

2017年6月1日正式实施的《网络安全法》首次规定了数据出境的安全评估制度。以此为立法基础，国家网信办于2017年4月11日制定并公布了《个人信息和重要数据出境安全评估办法（征求意见稿）》（以下简称“《评估办法》”），《评估办法》构建了个人信息和重要数据出境安全评估的基本框架，规定了自行评估和监管机构评估两种评估方式以及安全评估的内容。

《评估指南》是《评估办法》的细化和补充，进一步对安全评估流程、评估要点、评估方法做出了具体规定。尽管《评估指南》作为国家推荐性标准，并不具有法律上的强制效力，但考虑到《网络安全法》和《评估办法》缺乏操作上的指引性，我们认为《评估指南》在一定程度上体现了监管机构的执法方式和理念，并为存在跨境数据传输需求的企业提供了具有实践操作性的指引，有利于各企业有序落实合规工作。

《评估指南》在第1条中对适用范围予以了明确的规定，其不仅适用于网络运营者开展的个人信息和重要数据出境安全评估工作，同时也适用于行业主管或监管部门对网络运营者开展个人信息和重要数据出境安全评估进行的指导、监督等工作。网信部门、行业主管和监管部门“依职权”开展的安全评估工作，也可以以《评估指南》作为参考标准。

《评估指南》除了将“姓名、出生日期、身份证件号码、通信通讯联系方式、个人生物识别信息、住址”等界定为“个人信息”外，进一步将“账号密码、财产状况、位置和行为信息”囊括其中。这一改变与2017年5月9日双高发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条所规定的个人信息定义相呼应，反映了大数据和互联网业务的趋势和关注热点，体现了立法的与时俱进。

在《评估办法》仍旧留下空白的“重要数据”概念，终于在《评估指南》中予以了明确规定，成为《评估指南》的亮点之一。根据《评估指南》提供的《重要数据识别指南》(附录A)的规定，重要数据是指我国政府、企业、个人在境内收集、产生的不涉及国家秘密，但与国家安全、经济发展以及公共利益密切相关的数据（包括原始数据和衍生数据），一旦未经授权披露、丢失、滥用、篡改或销毁，或汇聚、整合、分析后，可能对国家安全、国家经济和金融安全、社会公共利益、个人合法权益等造成相关严重后果的数据。

《重要数据识别指南》列举了27个行业的重要数据及其主管部门供参考，虽然该识别指南中列举的重要数据并非穷尽式列举，并且在最后规定了兜底条款，指出了其他行业判断重要数据的标准，该识别指南实际上已经为行业主管部门、监管部门、具体行业内的企业提供了比较明晰的指引，有利于各企业深入地开展合规工作，保障数据出境安全评估的有效落实。

根据该识别指南的要求，识别指南中所列的各行业（领域）主管部门，比如石化行业的能源局、通信领域的工业和信息化部，会结合实际，明确本行业（领域）重要数据定义、范围或判定依据，并根据行业（领域）发展变化，及时更新或替换识别指南中相关内容。

《评估指南》对于数据出境，也较《评估办法》做出了进一步规定，系指：将在中华人民共和国境内收集和产生的电子形式的个人信息和重要数据，提供给境外机构、组织、个人的一次性活动或连续活动。该定义将数据出境的形式仅限于“电子形式”，同时还排除了如下两种情形：（1）如果数据仅经由我国中转，而未经任何变动或加工处理的，不视为数据出境；（2）网络运营者提供已经被依法公开披露的数据。

需要注意的是，相对于《评估办法》中将数据出境的责任主体仅限于网络运营者，《评估指南》将责任范围扩大为网络运营者及其用户，即，如果网络运营者的用户使用网络运营者提供的产品或服务的功能，向境外机构、组织、个人提供个人信息和重要数据的行为，也将被认为数据出境。

《评估指南》对于个人信息和重要数据出境安全评估的流程做出基本规定，具体流程如下：

图1 评估流程

按照上述评估流程及评估要点进行评估后，符合要求的数据，允许出境。同时网络运营者应当在完成上述评估后，形成评估报告，并至少保存5年。

《评估指南》中的评估要点是《评估办法》第八条的进一步细化，但也对重点评估内容做出了一些调整。《评估办法》第八条第一款中列举的“必要性”并没有被单独列为《评估指南》的评估要点之一，而是被合并到“合法正当”评估要点中。

鉴于评估范围和内容较多，覆盖面广，我们建议相关企业委托专业的第三方机构进行。

总体而言，《评估指南》作为《网络安全法》和《评估办法》的重要补充，内容详细，为存在跨境数据传输需求的企业提供了具有实践操作性的指引。虽然目前《评估办法》和《评估指南》都在征求意见阶段，还未正式出台，但《网络安全法》所要求的数据本地化存储和数据出境评估已势在必行。我们建议相关企业，及早对照《评估办法》和《评估指南》对自身情况进行初步判定，提前建立内部的安全评估制度，以应对可能的数据出境评估要求。