原创 | 数据出境评估：为全球数据跨境流动贡献中国智慧和中国方案

数据跨境安全有序流动对促进数字技术创新和数字经济发展、增进人类社会福祉至关重要。近年来，各国围绕数据出境监管规则的博弈明显加强，数字技术和产业发展不平衡使各国在保护水平和数据出境门槛问题上存在严重分歧，数据跨境监管规则呈碎片化状态。特别是部分国家或者地区通过技术霸权掠夺他国数据资源，通过垄断数据资源遏制竞争对手，限制业务目的出境以钳制执法部门调取数据，全球数据流动体系的巴尔干效应凸显。2022年7月7日，国家互联网信息办公室发布《数据出境安全评估办法》（以下称“评估办法”），自2022年9月1日起施行。在建设网络强国、数字中国、智慧社会的关键时刻，评估办法作为统筹数据安全与自由流动、符合国际法基本准则的“中国方案”，将引领数据跨境流动国际治理规则的构建。

一、评估办法出台的重要意义

数据是未来国际竞争的制高点。美国、欧盟都在推行有利于自身发展的数据出境监管方案并积极扩展“朋友圈”。美国推行“宽入严出”的“双重标准”，在保障国家安全的前提下大肆掠夺他国数据资源；欧盟采用“外紧内松”的内循环模式，以建设统一数字市场的名义构建内部数据自由流动体系，进而实现保护本土产业发展的目的。中国没有选择美国以技术霸权为支撑的“任性”规则，也没有选择欧盟通过筑墙弥补技术和产业短板的缺陷，而是以公平利用数据资源、增进人类社会福祉为目的，探索出一套开放、平等，符合数字经济发展规律的双循环模式。

(一）维护国家数据主权

数据是数字技术持续创新的核心要素，高端制造、人工智能等技术高度依赖海量数据的累积并形成数据循环。在数据成为生产要数与战略资源的背景下，数据主权应运而生，对数据跨境流动的管理是数据主权的应有之义。数据主权在数据出境领域表现为一国可以自主决定什么类型的数据可以出境及其出境条件，什么类型的数据不得出境以及违反数据出境监管要求的法律责任。评估办法中规定的应当申报数据出境安全评估的情形、具体的评估事项、数据处理者与境外接收方的安全保障要求、评估的有效期限以及监督管理措施，特别是通过评估事项事实上赋予了数据提供者对于出境后的数据享有支配权和要求境外接收方应当采取有效措施切实保障数据安全等制度的构建和实施，有赖于数据主权的支持，同时上述规定也塑造着国家数据主权。

数据只有在流动中才能最大限度发挥数据的价值。经济全球化要求各国在数据跨境流动标准方面达成基本共识，避免各国因为对数据主权边界认知不同而影响正常的业务开展。中国方案着眼于总体国家安全观下的数据安全，遵守各国普遍认同的安全例外原则，以国家安全、社会公共利益和个人信息权益作为数据主权介入数据出境活动的正当性理由和边界，在安全可控的前提下促进数据自由流动，充分释放数据流动、汇聚利用产生的数据动能。

(二）开放、平等彰显大国担当与责任

规则一致是网络空间命运共同体的认同感和基础。作为参与全球治理的战略部署，我国一直以来都反对保护主义、单边主义，同时也坚持规则导向，由国际社会共同制定规则来完善全球治理。在经济全球化遭遇逆流，世界进入新的动荡变革期，作为网络空间命运共同体的倡导者和数据资源大国，中国以开放的姿态倡导数据资源公平利用、促进数据安全有序流动，彰显了大国担当与责任，再次证明中国提出并倡导的网络空间命运共同体是惠及整个人类社会福祉的正义方案。

数据安全有序流动的障碍源于各国监管层面的信任缺失，缺乏信任的直接原因是监管差异，弥合监管差异、建立充分信任的跨境数据流动合作框架需要以规则为基础。在数据大规模流动、聚合和分析的过程中，中国方案将数据出境产生的安全风险维持在一种可接受、可控制的范围内，在开放中实现了安全和发展的平衡。在安全可控的基础上促进数据自由流动、最大限度的发挥数据价值，是各国在数据跨境流动领域的共同安全诉求。以共同认可、形成共识的规则为基础推动各国间跨境数据流动合作，有助于避免在价值体系和监管模式上发生冲突，克服可能危及数字市场发展和数字技术创新的挑战，建立多边、民主、透明的数字关系。

中国方案跳出利益和制度博弈的思维定式，对各方一视同仁，解决了在实现数据功能的同时最大限度减少负外部性这一各方根本关切。具有巨大的号召力的中国方案为全球数据流动国际规则提供了制度性公共产品，有利于缓解国际社会集体行动的困境，防止全球数据圈的“巴尔干化”趋势蔓延。

(三）安全有序流动尽显中国智慧

当前，美欧的数据跨境流动治理范式分歧明显，形成了新的“数字鸿沟”。中国方案摒弃美国打着数据自由流动的幌子掠夺他国数据资源不公正的数据跨境流动方案、欧盟以同等保护水平为由限制数据自由流动的“地区自由流动方案”，提出公平对待任何国家和地区、鼓励数据在全球安全自由流动的方案。在国际数据跨境流动治理规则日益碎片化的至暗时刻，在数据跨境国际规则推进陷入僵局之际，中国方案为解决各国之间的根本分歧提供了有益的尝试和积极探索。

从国际数据跨境流动发展趋势来看，美国和欧盟都在推行反映自身利益的数据跨境流动“小圈子”。小圈子式的合作、通过双边协定排挤竞争对手等乱象严重制约了数据跨境国际统一规则的进程。国际层面的谈判并未从安全可控的角度出发构建可信的数据跨境流动体系，而是将数据跨境流动监管规则作为利益和制度博弈的工具和场域。中国方案坚持数据是惠及人类福祉的基础资源而非竞争、博弈工具，更不能利用数据威胁他国国家安全和侵害个人合法权益这一理念，提出在安全可控的前提下促进数据自由流动。中国方案是对欧盟、APEC、东盟等主要区域经济体的数据跨境规则进行利弊研判，在深刻认识数据的本质特征和流通规律的基础上，结合中国国情与国家发展利益做出更为缜密的制度设计。

二、申报安全评估的情形和评估原则

评估办法在规定应当申报安全评估的数据出境情形的基础上，紧扣数据安全、自由流动这一核心原则，明确坚持事前评估和持续监督相结合、风险自评估与安全评估相结合的原则，构建了涵盖整个数据出境生命周期，确保出境数据安全可控的评估框架和具体制度。

(一）申报情形的理解与适用

对应当申报安全评估的情形，评估办法针对数据类型设置了不同门槛，具体适用如下：

1.重要数据出境。依照评估办法第四条，所有的重要数据出境都应当向国家网信部门申报安全评估。重要数据本身关涉国家安全、经济运行和社会稳定以及公共健康和安全，因此任何重要数据出境都需要进行安全评估。通过安全评估防控重要数据在出境过程中或者出境后遭篡改、破坏、泄露或者非法获取、非法利用而危害国家安全、经济运行、社会稳定、公共健康和安全的风险。

2.个人信息出境。评估办法采用主体和数量标准确定个人信息出境应当申报安全评估的情形。依照主体标准，关键信息基础设施运营者或者处理100万人以上个人信息的处理者向境外提供个人信息的，应当向国家网信部门申报安全评估。“100万人以上个人信息”是细化《中华人民共和国个人信息保护法》第十四条规定的结果，考虑到100万人以上的个人信息可能持续反复向境外提供个人信息会导致大量个人信息的汇聚，通过分析可能得出重要数据或者能够利用上述个人信息进行舆论操控等危害国家安全，处理超过100万人以上的个人信息处理者应当将在境内收集和产生的个人信息存储在境内。确需向境外提供的，应当经过国家网信部门组织的安全评估。主体标准并不限定出境个人信息的数量，只要被认定为关键信息基础设施或者处理100万人以上的个人信息的处理者，即使向境外提供一条个人信息，也应当进行安全评估。

依照数量标准，累计向境外提供10万人个人信息或者1万人敏感个人信息，应当向国家网信部门申报安全评估。数量标准并不限定个人信息处理者的类型，无论任何组织和个人，只要达到累计向境外提供10万人个人信息或者1万人敏感个人信息的标准后，即应向国家网信部门申报安全评估。考虑到安全评估的有效期为两年，评估办法规定累计的起始点为上一年度1月1日。

考虑到数据出境风险的动态变化，评估办法采用“具体列举+概括描述”的方式，明确国家网信部门可以根据实际情况确定其他需要评估的情形，如重要数据和个人信息以外的其他类型的数据，或者累计提供敏感个人信息不足1万人的情形，确保了申报情形的开放性。以个人信息为例，特定的主体范围和数量标准可能忽视定性结果，如向境外提供不足1万人的人脸识别信息，虽然达不到评估办法第四条第（三）项规定的申报标准，但在国际形势紧张的时期，结合个人信息主体的职业和职务、接收方的用途和处理方式等，即使未达到1万人的标准，也可能存在危及国家安全的风险而实质上达到申报安全评估的标准，国家网信部门可以要求数据处理者向其申报安全评估。

出境的数据中既包括重要数据，也包括个人信息，如果同时符合评估标准，可以一并申请安全评估。

(二）评估原则

1.事前评估和持续监督相结合

数据出境安全治理需要坚持风险导向构建涵盖整个数据出境生命周期的风险防控机制，不仅要识别和判断数据出境的风险，还要关注相关风险在数据出境过程中特别是出境后能否得到持续有效控制。事前评估与持续监督相结合，遵循识别、分析和控制的风险治理逻辑结构，通过事前评估实现在风险最小的前提下向境外提供数据，通过事后监督判断数据处理者与境外接收方采取安全措施的有效性，能否有效避免潜在的风险转化成安全事件，达到数据出境安全可控的目的。需要指出的是，评估自身不是对出境进行限制，而是认定数据出境的安全风险是否可控。真正阻止数据出境的原因和事由不是出境评估，而是数据出境活动的安全和风险隐患。

2.风险自评估与安全评估相结合

自评估是国际通行的数据风险管理方法。风险自评估是安全评估的前置程序和要求，意味着数据处理者要对数据出境的安全性负责。由于企业对自身以及境外接收方的情况更为清楚，通过自评估促使企业更加谨慎的对待数据出境，并采取有效措施降低风险，如采取有效措施降低数据敏感程度、缩小出境数据的范围、减少出境数据的数量以及更换接收方，控制再转移等。同时，自评估报告作为国家网信部门进行安全评估的重要参考材料，有助于提升安全评估的效率。

风险自评估的结论应包括出境数据的重要程度、出境数据面临的各种风险以及现有数据安全防护措施的有效性和差距性。风险自评估报告是数据处理者对监管部门和个人信息主体的承诺，如果故意隐瞒、遗漏相关风险隐患或者过分夸大安全保障措施，可以依照评估办法第十一条的规定认定为故意提交虚假材料，按照评估不通过处理，并依法承担相应法律责任。

安全评估作为监管部门介入数据出境活动的风险管控工具，着眼于数据出境活动的整体风险情况及其风险防控措施的有效性。安全评估既可以避免数据处理者基于自身利益考虑掩盖风险的不足之处，也可以发挥安全评估的专业优势弥补数据处理者在识别特定风险方面的能力不足。从评估办法的具体规定看，安全评估与风险自评估的评估事项虽然在形式上存在交叉，但安全评估的内容能够涵盖自评估事项。在境外接收方所在国家或者地区的政策法规和网络安全环境、境外接收方是否达到同等保护的标准、数据安全与个人信息权益是否获得有效保障以及双方的守法情况等方面，监管部门较之数据处理者有更大的优势。

三、安全评估事项

数据出境意味着数据链条上的环节增多，因而数据的保密性、完整性、可用性被破坏以及数据被滥用的可能性在增大。安全评估内容围绕着出境行为及其后续的处理可能面临的风险展开，在判断出境行为是否合法、正当、必要的基础上，评估数据出境过程中和出境后面临的法律政策、网络安全环境等风险以及风险控制措施的有效性，上述评估的具体事项是一个层层递进的逻辑结构。

(一）数据出境的合法、正当和必要性

数据出境的合法性、正当性、必要性是安全评估的首要考量因素。数据出境活动不满足合法性、正当性和必要性的要求，不得出境，无需再考虑风险大小及其风险是否可控。

合法性是指数据出境应当根据我国法律规定的原则、规则或者我国缔结或者参加的国际条约、协定进行，不能违反法律的强制性规定，不属于国家网信部门依法认定不能出境的情形。涉及个人信息出境的，数据处理者应当依照个人信息保护法第三十九条的规定取得个人的单独同意；涉及重要数据出境的，应当符合国家有关规定。

正当性是指向境外提供数据的目的和手段应当是合理且符合正向价值判断。目的正当要求数据出境应当以增进个人利益或者社会公共利益为目的，手段正当要求数据出境应当以符合社会公众期待的合理手段进行，数据处理者不得通过误导、欺诈、胁迫等方式向境外提供数据。

必要性是指数据出境在合法、正当的目的下，就实现该目的而言向境外提供的数据是必要的，在数据类别、精度等方面不得超过合理限度。换言之，没有出境或者仅在境内处理无法实现正当的目的，必须将数据移转至境外。数据出境限定在必要性的原因在于算力增强导致“大数据”变为“小数据”，数据滥用的门槛降低但危害后果更加严重，必要性可以最大限度的减少数据出境活动对国家安全、社会公共利益和个人信息权益的威胁。具体而言，数据出境是数据处理者开展合法业务所必需、履行有效合同所必需、履行法定义务以及其他维护我国网络空间主权和国家安全、社会公共利益、保护公民合法权益所必需。

(二）数据出境安全风险

风险是损害发生的可能性。影响数据安全风险的主要因素有两个：一是数据资产的重要性。数据本身的价值与被窃取、滥用的几率成正比；二是数据面临的各种威胁。数据出境评估重点围绕出境数据资产的重要性和面临的各种威胁进行。

1. 出境数据的规模和敏感程度

数据资产特征（重要性）是风险评估的逻辑起点。就数据出境而言，数据资产特征包括出境数据的规模、范围、种类、敏感程度。通过评估数据的规模、范围、种类和敏感程度判断数据价值进而确定存在被窃取、滥用的风险程度。

数据的规模即数量，大量的数量出境行为本身就意味着风险，同时要考虑少量数据出境后被汇聚发生不当分析、利用的风险。数据种类评估应当在区分重要数据和个人信息的基础上，重要数据重点评估是否包含核设施、国防军工、人口健康等领域数据以及敏感地理信息、关键信息基础设施系统漏洞等出境后出现泄露或滥用，将对国家安全和社会公共利益产生严重影响的重要数据；个人信息评估应识别个人信息的具体类型，并与数量、敏感程度等特征综合判断风险程度。

2.境外接收方所在地的法律、网络安全环境

在国际形势发生深刻变革的背景下，情报部门、金融监管部门等政府部门访问和调取数据后发生的滥用行为成为数据安全的主要威胁。虽然政府部门访问、调取数据应当获得法律的授权并依照法定程序进行，但收集后的分析和利用行为往往不受法律的约束，政府滥用数据的行为已成为威胁数据安全的主要因素。“9·11”事件发生后，美国通过《爱国者法》《外国情报监控法》等法律编织了一张巨大的网络情报监视网。美国政府利用法律、行政等手段获取传输至其境内的数据特别是敏感数据，对位于美国境外的人员进行秘密监控。虽然美国的做法遭遇其他国家的强烈反对，但美国的情报监控制度似乎没有改变的余地。

为防范他国主权之手不当获取数据，分析、挖掘后用于破坏活动，境外接收方所在地的法律环境应当纳入安全评估事项并作为评估的重点内容。具体评估所在地的执法部门等调取数据的条件、必要性、是否符合比例原则以及监督措施和救济措施的有效性，特别是国家安全机关、情报机构是否存在大规模、不符合目的限制和比例原则的收集行为。通过评估境外接收方所在地的法律环境，防控数据出境后被外国政府影响、控制和恶意利用的风险。

网络安全环境是指数据的支撑环境，包括通信环境、存储环境、计算环境、供应链等。网络安全环境评估的重点是所在国是否频发数据泄露事件以及黑客组织活动情况对数据安全的威胁等。

3.数据安全威胁

数据安全威胁是除所在地法律政策、网络安全环境以外的其他威胁数据安全的因素，是境外接收方所面临的最直接威胁，包括内部人员窃取数据或者因过失导致数据泄露等内部威胁，也有物理环境影响导致的数据毁损，技术因素导致数据泄露、被篡改、丢失等，管理不当引发的数据滥用。

数据安全风险评估需要在分析威胁的基础上综合判断已知威胁利用数据资产脆弱性的可能性。资产脆弱性要考虑基于实际业务场景的数据安全脆弱性，包括识别的系统、数据或支撑环境的脆弱性；可能性分析要综合考虑利用系统漏洞的难度、外部威胁程度，判断成功攻击的可能性。如果采用数据加密传输，采用隐私计算等新型的数据共享模式，就可以有效降低数据出境过程中的风险；数据出境后采取一些使用限制、安全审计等措施，就可以有效降低数据出境后的风险。

(三）风险防控措施的有效性

数据安全与数据流动同步、数据主体权利平等、数据主体权利不因数据跨境流动而减损等原则，应当成为数据跨境流动的基本准则。为实现上述目的，安全评估不仅要评估出境数据面临的威胁，还要评估风险防控措施是否有效。境外接收方的保护水平、通过合同等具有法律效力的文件约定的安全保障义务、救济途径的通畅性以及数据处理者和境外接收方的守法情况是判断风险防控措施有效性的重要因素。

1.接收方的数据保护水平

遵循“数据不因出境而降低保护水平”原则，安全评估从管理措施、技术措施等方面判断境外接收方的数据保护水平（能力）是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求，防止数据转移后因保护水平降低而增加泄露和被滥用的风险。保护水平的重点是信息系统被攻破、数据被窃取的风险，要求境外接收方具有安全的信息系统以及对数据安全风险的预防、检测及响应能力。

境外接收方应当成立数据安全管理机构或者指定数据安全负责人，建立数据接收、存储、使用、传输、销毁等涵盖整个数据生命周期的安全管理制度，定期开展数据安全评估，建立和完善数据安全风险预警、防范、应急处置和问责机制，定期开展数据安全培训，提升数据安全管理人员的安全意识和能力。

境外接收方应当对接收数据进行分类分级，信息系统应具备备份及权限管理、风险管理、应急管理、日志管理等保障数据安全的能力。采取防范网络攻击、网络侵入等技术措施以及备份和加密等措施，确保所接收数据的保密性、完整性、一致性、可用性、可追溯性、真实性。此外，境外接收方的数据处理设备和系统应具有充分的开放性、透明性、来源多样性，防止被非法控制、干扰或者破坏。

2.安全保障义务

通过评估数据处理者与境外接收方拟订立法律效力文件中安全保障义务的充分性，一方面可以确保在数据出境后，数据原始控制者的安全保护义务持续有效；另一方面，通过设定私法义务将数据安全保护这一公法义务的履行标准予以细化并延伸至境外接收方，以契约义务“补强”域外数据保护水平之不足，以契约条款“固定”我国数据保护法律的基本要求，从而灵活应对个人数据跨境后的损害风险。此外，通过契约最大限度对抗国家审查和国家监控，如应当约定境外接收方在回应监管部门信息披露要求时，只提供法律强制规定所需的最低限度的信息。

数据处理者与境外接收方应当明确约定以下数据安全保护义务：（1）数据出境的目的、方式、范围和境外保存地点、期限以及保存期限届满、出境目的实现、契约终止或者无效后的处理措施，境外接收方处理数据的用途、方式等；（2） 数据再转移的条件、安全保护义务责任等；（3）境外接收方在实际控制权或者经营范围发生实质性变化，或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时，应当采取的安全措施；（4）发生数据泄露等风险时，妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式；（5）违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式。

3.救济渠道是否通畅

数据出境后面临着适用法律发生变化、管辖权丧失、个人维权渠道减少以及增加困难。一些国家的法院在裁决个人与政府之间的数据调取纠纷时，以“自愿向第三方提供数据的个人没有合理的隐私期待”为由，不当剥夺了数据主体挑战政府访问数据权力的机会。依照数据保护水平不得因出境而减损的原则，数据出境后数据主体应当获得与在境内同样的救济机会，有必要通过评估境外接收方是否为数据主体提供便捷的投诉举报渠道、境外接收方所在地法律是否提供了便捷有效的诉讼、司法监督等维权渠道，确保数据安全和个人信息权益能够得到充分有效保障。

4.合规情况

法律是数据最强的保护措施。数据处理者与境外接收方遵守中国法律、行政法规、部门规章情况，不仅反映数据处理者与境外接收方对我国数据保护要求的认可程度，更是数据处理者与境外接收方保护能力的反映，直接影响数据出境安全风险的大小。合规情况主要评估数据处理者与境外接收方有无重大违法记录，包括大规模数据泄露事件以及违法违规处理数据的记录等。

数据保护水平的差异和分歧，背后的实质是是否认可数据安全有序流动、公平竞争、公平利用数据资源、共享数据红利等数据正义问题。在已有多边机制未能及时回应各国在政策诉求、价值理念和监管模式上重大分歧的背景下，中国方案无疑是获得最大共识的有益探索，是经得起时间和实践考验的数据跨境流动治理方案。我们要站在统筹中华民族伟大复兴战略全局和世界百年未有之大变局的高度认识评估办法；要从超越中国国家安全和发展利益的全球意义认识评估办法；要从推动形成全面开放新格局、全面参与全球治理的高度认识评估办法。评估办法出台，意义重大，影响深远！