數(shù)據(jù)在當(dāng)代社會(huì)發(fā)揮越來越重要的作用，甚至成為與土地、勞動(dòng)力、資本、技術(shù)并列的生產(chǎn)要素；各國出于種種原因，也就“數(shù)據(jù)主權(quán)”展開爭奪。在這一背景下，數(shù)據(jù)出境成為數(shù)據(jù)領(lǐng)域避不開且極端重要的一個(gè)環(huán)節(jié)。筆者以此為契機(jī)撰寫系列文章，系統(tǒng)分析我國關(guān)于數(shù)據(jù)出境的監(jiān)管和條件。今天為大家?guī)頂?shù)據(jù)出境監(jiān)管及條件概覽，以及數(shù)據(jù)標(biāo)準(zhǔn)合同制度要點(diǎn)評(píng)析。

一、數(shù)據(jù)出境的監(jiān)管規(guī)則體系

我國關(guān)于數(shù)據(jù)立法領(lǐng)域的“三駕馬車”：《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》對(duì)數(shù)據(jù)出境僅作出了非常原則和概括的規(guī)定，大量的細(xì)節(jié)執(zhí)行條款留給了后續(xù)的、低位階的法規(guī)進(jìn)行填補(bǔ)。三部法律關(guān)于數(shù)據(jù)出境的規(guī)定有：

表一：數(shù)據(jù)出境法律規(guī)定

也就是說，《網(wǎng)絡(luò)安全法》僅提出關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者（以下簡稱“CIIO”）就個(gè)人信息和重要數(shù)據(jù)出境提出了安全評(píng)估的要求；《數(shù)據(jù)安全法》并未對(duì)《網(wǎng)絡(luò)安全法》有任何新的補(bǔ)充；《個(gè)人信息保護(hù)法》則相對(duì)詳細(xì)，不過限定在了個(gè)人信息這種數(shù)據(jù)范圍之內(nèi)。

此外，為了填補(bǔ)“三駕馬車”中關(guān)于數(shù)據(jù)出境規(guī)定的空白，以網(wǎng)信辦為主導(dǎo)，出臺(tái)了一系列的規(guī)定、征求意見稿和國家標(biāo)準(zhǔn)，這些規(guī)定的大致脈絡(luò)和核心內(nèi)容如下：

表二：數(shù)據(jù)出境規(guī)定列表

在上表的9份文件中，未生效的征求意見稿占了7個(gè)，生效的文件只有《網(wǎng)絡(luò)安全審查辦法》和39335號(hào)指南，而這兩份文件的就數(shù)據(jù)出境的針對(duì)性規(guī)定是非常少的。因此，大量細(xì)節(jié)的、有指導(dǎo)意義的規(guī)則落入了一系列未生效的征求意見稿中，我們也只能從這些征求意見稿里去分析關(guān)于數(shù)據(jù)出境的監(jiān)管要求。

二、數(shù)據(jù)出境的條件

(一) 數(shù)據(jù)出境的適用情形

數(shù)據(jù)出境，是指將在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)，提供給位于境外的機(jī)構(gòu)、組織、個(gè)人。這里的“境內(nèi)”、“境外”需要特別注意并非“海內(nèi)外”，包含了我國港澳臺(tái)地區(qū)。數(shù)據(jù)，則是指在我國境內(nèi)收集和產(chǎn)生的數(shù)據(jù)，從境外收集產(chǎn)生的數(shù)據(jù)、只是途經(jīng)我國的數(shù)據(jù)不屬于數(shù)據(jù)出境的范疇。數(shù)據(jù)類型限于“個(gè)人信息”和“重要數(shù)據(jù)”。

通過梳理上文提到的法律、法規(guī)和規(guī)范性文件（無論生效與否），會(huì)發(fā)現(xiàn)數(shù)據(jù)出境需要滿足一定的要求，而當(dāng)達(dá)到一定條件后，數(shù)據(jù)出境的要求將會(huì)更加嚴(yán)格，可將這種情形稱為“嚴(yán)管情形”，除嚴(yán)管情形外的其他情形，可稱為“一般情形”。

表三：數(shù)據(jù)出境適用情形

(二) 數(shù)據(jù)出境的條件和思路

就一般情形和嚴(yán)管情形，數(shù)據(jù)處理主體在數(shù)據(jù)出境時(shí)需要滿足的合規(guī)條件存在區(qū)別。一般情形下，數(shù)據(jù)處理者在數(shù)據(jù)出境時(shí)需要滿足安全自評(píng)估/個(gè)人信息保護(hù)認(rèn)證/標(biāo)準(zhǔn)合同/國際條約中的一個(gè)、必要措施和獲得授權(quán)等條件，在嚴(yán)管情形下，通過國家網(wǎng)信部門組織的安全評(píng)估成為必要條件。具體內(nèi)容如下：

表四：數(shù)據(jù)出境條件對(duì)比

結(jié)合不同情形下的要求，我們梳理出判斷數(shù)據(jù)出境的合規(guī)思路和基本要點(diǎn)如下：

第一，是否構(gòu)成數(shù)據(jù)出境；

第二，是否符合了數(shù)據(jù)出境的基本條件？

第三，是否構(gòu)成嚴(yán)管情形？

第四，是否滿足嚴(yán)管情形下的要求？

第五，出境過程中是否發(fā)生變化？

三、數(shù)據(jù)出境中的標(biāo)準(zhǔn)合同

2022年6月30日，國家互聯(lián)網(wǎng)信息辦公室（以下簡稱“網(wǎng)信辦”）就《個(gè)人信息出境標(biāo)準(zhǔn)合同規(guī)定（征求意見稿）》向社會(huì)公開征求意見。數(shù)據(jù)出境是備受關(guān)注的問題，我國在這方面的規(guī)則又未成體系。盡管我國的《個(gè)人信息保護(hù)法》等法律法規(guī)中多次提到簽訂標(biāo)準(zhǔn)合同是數(shù)據(jù)出境的方式之一，標(biāo)準(zhǔn)合同由國家網(wǎng)信部門制定，但這份標(biāo)準(zhǔn)合同卻一直未能面世。標(biāo)準(zhǔn)合同是一種常見的、操作性更強(qiáng)的、其他司法轄區(qū)廣泛適用的一種數(shù)據(jù)合規(guī)出境手段，因此，網(wǎng)信辦該通知引發(fā)了強(qiáng)烈關(guān)注。

(一) 標(biāo)準(zhǔn)合同在數(shù)據(jù)出境中的地位

通過上文法規(guī)的梳理，就數(shù)據(jù)出境而言，境內(nèi)數(shù)據(jù)處理者與境外接受者之間簽訂國家機(jī)關(guān)認(rèn)可的標(biāo)準(zhǔn)合同是必備條件中的一種選擇，而非絕對(duì)必要。但考慮到通過網(wǎng)信部門的安全評(píng)估、獲得保護(hù)認(rèn)證和符合國際條約往往更難以滿足，標(biāo)準(zhǔn)合同作為國家機(jī)關(guān)制定的模板合同，以高認(rèn)可度、可直接引用、成本低、效率高等特點(diǎn)而更具有實(shí)操性，也更受市場主體的青睞，這也是《個(gè)人信息出境標(biāo)準(zhǔn)合同規(guī)定（征求意見稿）》得到廣泛關(guān)注的原因。

(二) 標(biāo)準(zhǔn)合同的關(guān)注要點(diǎn)

1. 標(biāo)準(zhǔn)合同內(nèi)容的演變

從2017辦法開始，網(wǎng)信辦出臺(tái)的多個(gè)征求意見稿中對(duì)標(biāo)準(zhǔn)合同的內(nèi)容作出過規(guī)定，此次通知與前述征求意見稿相比并沒有內(nèi)容上的新要求。

標(biāo)準(zhǔn)合同的內(nèi)容演變?nèi)缦拢Q及標(biāo)準(zhǔn)合同內(nèi)容）：

表五：標(biāo)準(zhǔn)合同內(nèi)容演變

2.《個(gè)人信息出境標(biāo)準(zhǔn)合同規(guī)定（征求意見稿）》中標(biāo)準(zhǔn)合同的具體內(nèi)容

《個(gè)人信息出境標(biāo)準(zhǔn)合同規(guī)定（征求意見稿）》第六條規(guī)定了標(biāo)準(zhǔn)合同包括六個(gè)方面的主要內(nèi)容（詳見表五），該六項(xiàng)內(nèi)容與所附的標(biāo)準(zhǔn)合同模板對(duì)應(yīng)關(guān)系如下：

表六：規(guī)定要求與合同內(nèi)容對(duì)照

3. 標(biāo)準(zhǔn)合同的其他注意事項(xiàng)

適用標(biāo)準(zhǔn)合同開展個(gè)人信息出境活動(dòng)時(shí)，還應(yīng)當(dāng)就所簽訂的標(biāo)準(zhǔn)合同向省級(jí)網(wǎng)信部門進(jìn)行備案，未履行備案程序的，可能會(huì)面臨責(zé)令改正、停止出境等處罰。

在標(biāo)準(zhǔn)合同履行過程中，如果向境外提供的個(gè)人信息的目的、范圍、類型、敏感程度、數(shù)量、方式、保存期限、存儲(chǔ)地點(diǎn)和境外接收方處理個(gè)人信息的用途、方式發(fā)生變化，或者延長個(gè)人信息境外保存期限的；或境外接收方所在國家或者地區(qū)的個(gè)人信息保護(hù)政策法規(guī)發(fā)生變化等可能影響個(gè)人信息權(quán)益的，應(yīng)當(dāng)重新簽訂標(biāo)準(zhǔn)合同及備案。

(三) 對(duì)我國標(biāo)準(zhǔn)合同制度的評(píng)析

1. 標(biāo)準(zhǔn)合同與風(fēng)險(xiǎn)評(píng)估的內(nèi)容重合

2017辦法、2019辦法、2021辦法和《個(gè)人信息出境標(biāo)準(zhǔn)合同規(guī)定（征求意見稿）》中，標(biāo)準(zhǔn)合同與個(gè)人信息影響保護(hù)評(píng)估（指自評(píng)估，下同）是信息出境兩個(gè)必備的條件，缺一不可，這四份征求意見稿在該問題的態(tài)度上高度一致。然而，對(duì)比四份文件關(guān)于風(fēng)險(xiǎn)評(píng)估的評(píng)估內(nèi)容和標(biāo)準(zhǔn)合同中的內(nèi)容，其實(shí)也是高度重復(fù)的，具體如下：

表七：風(fēng)險(xiǎn)評(píng)估與標(biāo)準(zhǔn)合同內(nèi)容對(duì)照

也就是說，數(shù)據(jù)主體在面臨數(shù)據(jù)出境時(shí)，相當(dāng)于以兩種不同的形式（風(fēng)險(xiǎn)評(píng)估和標(biāo)準(zhǔn)合同）處理分析相同的事項(xiàng)。這兩份文件毫無疑問會(huì)產(chǎn)生大量重復(fù)的內(nèi)容，在面臨糾紛、應(yīng)對(duì)監(jiān)管時(shí)，也可能會(huì)出現(xiàn)相互引用的場景。

歐盟GDPR的規(guī)定中，簽訂標(biāo)準(zhǔn)合同（SCC）是數(shù)據(jù)跨境傳輸?shù)谋Ｗo(hù)措施中的一種，這些保護(hù)措施和其他出境要求中并不直接包含進(jìn)行影響評(píng)估。

歐盟GDPR數(shù)據(jù)出境流程圖

GDPR的風(fēng)險(xiǎn)評(píng)估（PPIA）是列入數(shù)據(jù)處理者的義務(wù)項(xiàng)下而非出境項(xiàng)下，且進(jìn)行風(fēng)險(xiǎn)評(píng)估和簽訂標(biāo)準(zhǔn)合同適用的場景通常情況并不同[注9]。

因此，在數(shù)據(jù)出境時(shí)風(fēng)險(xiǎn)評(píng)估和標(biāo)準(zhǔn)合同在高度重合的情況下，同時(shí)要求的必要性還需要進(jìn)一步思考。

2. 對(duì)標(biāo)準(zhǔn)合同進(jìn)行備案的必要性

對(duì)標(biāo)準(zhǔn)合同進(jìn)行備案也是此次《個(gè)人信息出境標(biāo)準(zhǔn)合同規(guī)定（征求意見稿）》的一個(gè)亮點(diǎn)。絕大部分合同的成立、生效都與備案沒有關(guān)系，個(gè)別合同的效力依賴于批準(zhǔn)，備案又不同于批準(zhǔn)。知識(shí)產(chǎn)權(quán)領(lǐng)域，以商標(biāo)為例，商標(biāo)的授權(quán)許可合同進(jìn)行備案主要是為了對(duì)抗第三人。標(biāo)準(zhǔn)合同本身就是國家機(jī)關(guān)擬定的模板合同，在此情形下，加之沒有類似的第三人需要對(duì)抗，備案的目的和必要性并不清晰。

隨著數(shù)據(jù)出境的配套文件的逐步出臺(tái)，數(shù)據(jù)出境的合規(guī)要求趨勢相對(duì)明晰，但具體要求和細(xì)節(jié)方面仍有很多內(nèi)容需要進(jìn)一步的指導(dǎo)和明確。對(duì)于企業(yè)來講，需要密切關(guān)注最新監(jiān)管動(dòng)向、行業(yè)部門、業(yè)務(wù)主管部門、當(dāng)?shù)亓⒎C(jī)關(guān)、行政機(jī)關(guān)不斷出臺(tái)的參考性文件。我們也會(huì)在后續(xù)的文章中，向大家逐一分享關(guān)于數(shù)據(jù)出境其他條件的簡介和分析。

參考文獻(xiàn)：

[1] 國家發(fā)展和改革委員會(huì)、工業(yè)和信息化部、公安部、國家安全部、財(cái)政部、商務(wù)部、中國人民銀行、國家市場監(jiān)督管理總局、國家廣播電視總局、中國證券監(jiān)督管理委員會(huì)、國家保密局、國家密碼管理局。

[2] http://www.cac.gov.cn/2022-06/30/c_1658205969531631.htm

[3] http://www.cac.gov.cn/2021-11/14/c_1638501991577898.htm

[4] http://www.cac.gov.cn/2021-10/29/c_1637102874600858.htm

[5] http://www.cac.gov.cn/2019-06/13/c_1124613618.htm

[6] http://www.cac.gov.cn/2019-05/28/c_1124546022.htm

[7] http://www.cac.gov.cn/2017-04/11/c_1120785691.htm

[8] https://www.tc260.org.cn/front/postDetail.html?id=20170527173820

[9] PPIA的適用場景為：（1）以自動(dòng)化為基礎(chǔ)，系統(tǒng)和廣泛的評(píng)價(jià)與自然人有關(guān)的個(gè)人方面的情況，包括特征分析；（2）在大規(guī)模處理與刑事定罪和犯罪有關(guān)的特殊類別數(shù)據(jù)或個(gè)人數(shù)據(jù)的情況下；（3）在大規(guī)模系統(tǒng)性檢測公共可達(dá)地區(qū)情況時(shí)。

SCC適用于數(shù)據(jù)跨境傳輸場景，是保護(hù)措施之一。