汇业评论

文 | 黄春林 合伙人  刘冠男 律师 汇业律师事务所

随着《网络安全法》（下称“网安法”）正式生效大限临近，网安法设定的网络产品安全审查、网络数据跨境转移安全评估、关键信息基础设施认定等几个政策逐步落地。2017年4月11日，国家网信办发布《个人信息和重要数据出境安全评估办法（征求意见稿）》（下称“意见稿”），首次系统规定了网络数据跨境转移相关规则。在此之前，域名服务、网约车、网络出版、互联网金融等行业分别出台了单行规定，限制网络服务提供者跨境转移用户个人信息及重要运营数据。

本文中，汇业律师事务所黄春林律师团队结合前期项目经验，详细梳理了不同行业的网络数据跨境转移合规要求，并首次发布网络数据跨境转移自行安全评估实务指引。

一、网络数据跨境转移的前提条件

根据网安法及意见稿的规定，个人信息及重要数据等网络数据（以下统称为“网络数据”）跨境转移的前提条件为合法性，包括收集和使用网络数据的合法性。

（一）“知悉并同意”原则

尽管饱受争议，在借鉴欧美等地区个人信息保护立法的基础上，我国《民法总则》、《关于加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》等规定，确立了“知悉并同意”的合法原则，意见稿第四条再次重申了这一原则。

所谓“知悉”，指网络服务提供者收集和使用网络数据前，应当明确告知用户，网络数据收集和使用的目的、范围、方式、期限等。

所谓“同意”，指在用户知悉网络数据收集和使用的目的、范围、方式、期限等后，网络服务提供者在经用户同意后方可收集和使用网络数据。

（二）数据收集、存储等其他合规要求

除前述原则外，我国各单行法律文件还对网络数据收集和存储规定了一系列合规要求。例如，对用户个人信息的实名制验证要求，对重要数据的留痕及保存期限要求，对网络信息的内容合法性审查要求，特殊行业互联网信息服务准入要求，等等。

二、绝对禁止跨境转移的网络数据

意见稿罗列了三种绝对禁止网络数据跨境转移的情形，笔者总结起来，具体为：

（一） 不满足跨境转移合法性前提条件的网络数据

略，详见本文第一部分。

（二） 特殊行业网络数据

根据意见稿第十一条第二款规定，“出境给国家政治、经济、科技、国防等安全带来风险，可能影响国家安全、损害社会公共利益”的特殊行业网络数据，不得跨境转移。根据笔者整理，目前我国已经明确制定单行立法禁止数据跨境转移的行业包括但不限于：

1. 金融（含互联网金融）、征信行业，具体依据包括但不限于为《非银行支付机构网络支付业务管理办法》、《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》、《网络借贷信息中介机构业务活动管理暂行办法》、《征信业管理条例》等等。

2. 网约车行业，具体依据包括《网络预约出租汽车经营服务管理暂行办法》。

3. 网络出版、网络地图行业，具体依据包括但不限于《网络出版服务管理规定》、《地图管理条例》等等。

4. 其他行业，例如民航、域名服务、人口健康等。

（三） 网信、安全部门认定的其他网络数据

我国《反恐怖主义法》、网安法均赋予了安全部门网络管制特别特别权限，所以网络安全部门认定不宜跨境转移的网络数据，可以采取临时管制措施。

三、强制安全评估后可跨境转移的网络数据

值得注意的是，网安法仅仅规定了关键信息基础设施的运营者在境内运营中收集和产生的个人信息和重要数据跨境转移需要安全评估，但意见稿显然极大扩大了网安法的范围。因为，除了网安法明确规定的关键信息基础设施运营者收集的个人信息和重要数据外，意见稿还要求下列网络数据跨境转移需要经行业主管或监管部门组织安全评估：

1. 量级较大的数据：含有或累计含有50万人以上的个人信息，或者数据量超过1000GB。

2. 安全数据：包含关键信息基础设施的系统漏洞、安全防护等网络安全信息。

3. 敏感数据：包含核设施、化学生物、国防军工、人口健康等领域数据，大型工程活动、海洋环境以及敏感地理信息数据等。

所以，意见稿存在一个立法技术问题，即应该是通过网信办另行单独制定“关键信息基础设施”认定办法（事实上，上述3条完全可能会在未来立法中直接被认定为“关键信息基础设施”），进而来明确强制安全评估的范围，而不是在意见稿中以并列列举的方式，完全突破网安法的现有明确规定。

四、网络数据跨境转移自行安全评估指引

根据意见稿规定，除了前述绝对禁止跨境转移、强制安全评估后可跨境转移的数据外，对于其他网络数据的跨境转移，企业应当建立自行安全评估机制，这又是一条完全突破网安法的规定。这在企业跨境经营日益频繁的今天，这一制度必将给企业带来巨大的影响。

先不论安全评估给企业经营成本的增加和对运营效率的降低，在没有明确的法律或国标指引的前提下，单单就是企业如何开展安全评估，就成了众多企业伤透脑经的事情。

本文中，结合汇业律师事务所黄春林律师团队之前参加的多个企业集团网络数据安全合规审查项目，企业网络数据跨境转移安全审查的框架要点包括但不限于：

1. 建立、完善网络数据安全制度、应急方案等，满足网络数据安全一般性要求；

2. 建立、完善网络数据安全责任岗位及人员，并建立相应的安全培训机制；

3. 审查、评估网络数据存储、传输设备、系统的资质条件及合规性；

4. 建立、完善数据收集、使用合规体系，完善用户协议、隐私政策等文件；

5. 建立、完善网络数据安全分级、分层机制，划定可以跨境转移的数据范围；

6. 梳理现有业务逻辑，评估网络数据个人信息清洗的可行性及技术实现方式，以及评估网络数据跨境转移的必要性；

7. 评估网络数据跨境转移技术实现方式、设备的安全性、合规性；

8. 评估网络数据跨境转移接收方的资质、技术条件，审查数据转移有关的基础合同和法律文件的有效性、合规性；

9. 制定网络数据泄露的应急预案及汇报机制。

值得注意的是，引入第三方中介机构（例如网络安全咨询公司、律师事务所、会计师事务所等）参与企业网络数据跨境转移安全评估，这不但有利于降低企业的合规风险，同时也是近年来互联网行业（例如互联网金融、互联网出版等）监管机构认可的新趋势。

五、结语

在网安法即将生效的紧要关头，紧急出台的意见稿不免让人觉得有些“赶鸭子上架”，意见稿还存在着诸多明显疏漏之处。除了前面多次提到的超越网安法规定及立法技术粗糙外，意见稿关于“跨境转移”本身还有很多模糊的地方需要进一步明确。

例如，在我国现有互联网管制体系下，跨境是否包括港澳台地区？数据出境，除了物理转移外，是否包括境外直接访问、镜像境内服务器的逻辑转移？意见稿无法规制苹果应用商店等在中国没有落地实体的情形，是不是反倒对在中国有落地实体的企业不公平？