数据出境合规专题系列文章一：数据出境业务概述

国家互联网信息办公室（以下简称"国家网信办"）就《数据出境安全评估办法》答记者问之二中明确表示，《办法》所称数据出境活动主要包括：（一）数据处理者将在境内运营中收集和产生的数据传输、存储至境外；（二）数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以访问或者调用。需指出的是，此处的“出境”既包括物理意义上的跨越国境线行为，也包括跨越司法管辖区域行为。其中司法管辖区域既包括主权国家也包括具有司法独立权的地区。因此，由中国内地向香港特别行政区、澳门特别行政区、以及台湾地区传输数据的行为亦属于数据出境，需接受监管。

国家网信办公布的《数据出境安全评估申报指南（第一版）》明确指出：数据出境的“数据”范围仅限于在中华人民共和国境内运营中收集和产生的重要数据和个人信息。《数据安全法》第三十一条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定”。可见，并非所有存在于我国境内的数据都属于数据出境的监管范围，如一般数据、非在我国境内运营中收集和产生的且未经任何变动或加工的过境中转数据，以及非在我国境内运营中收集和产生的重要数据在境内存储、加工处理后出境的，均不属于数据出境的监管范围。但是，境外数据入境后与境内运营的数据收集混合加工后再出境的，如果涉及重要数据和个人信息，在数据出境时则需满足监管部门的监管要求。

因此，在实务中，如何识别重要数据和个人信息成为企业开展数据出境合规工作的重点之一。

1.如何识别重要数据

早在2017年8月30日发布的《信息安全技术 数据出境安全评估指南（征求意见稿）》（以下简称"《数据出境安全评估指南》"）附录A中，我国曾尝试通过列举的方式定义重要数据的类型，如石化、有色金属、通信、电子信息、人口健康、金融、食品药品、电子商务等27个行业被列入重要数据类别。

在2021年9月1日实施的《数据安全法》中亦强调“国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护”。当前，尽管重点数据具体目录尚未发布，但部分行业已有特殊法规可供企业参考，例如《汽车数据安全管理若干规定（试行）》。

此后，全国信息安全标准化技术委员会秘书处于2022年1月13日发布的《信息安全技术 重要数据识别指南（征求意见稿）》中载明“重要数据不包括国家秘密和个人信息，但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据”；国家网信办审议通过并于2022年9月1日施行的《数据出境安全评估办法》第十九条明确：“本办法所称重要数据，是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”。实务中，如未公开的政府信息、大面积人口、基因健康、地理矿产资源等均属于重要数据。

综上，重要数据的认定并无具体的内容指向，识别重要数据需要参考数据的安全影响力、数据价值、数据用途、数据数量、数据接收方的目的、数据反映的内容、行业标准、地方指引等进行评估。

2.如何识别个人信息

《中华人民共和国民法典》规定，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。《个人信息保护法》规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

需指出的是，“匿名化”与“去标识化”不属于法律上的同一概念。《个人信息保护法》第七十三条对“匿名化”及“去标识化”做出了定义：去标识化，是指个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程；匿名化，是指个人信息经过处理无法识别特定自然人且不能复原的过程。区分“匿名化”及“去标识化”的关键，则在于分析经过处理的数据是否可以被还原，或者结合其他相关信息是否可以识别到特定自然人或被复原。

“匿名化”处理的个人信息不属于个人信息的范畴，不在《个人信息保护法》和个人信息出境的监管范围内；而“去标识化”的个人信息依旧属于个人信息的保护范畴，仍需遵守《个人信息保护法》。实务中，部分企业会对收集到的个人信息进行脱敏处理以进行个人信息安全保护。而经过脱敏处理的个人信息是否能在出境时豁免监管，关键在于脱敏处理后的个人信息是否能够满足“匿名化”，即是否可以被还原，或者结合其他相关信息是否可以识别到特定自然人或被复原。企业在评估匿名化信息时需对数据出境目的、处理后的数据与自然人的关联性、境外接收方是否掌握关联数据并能还原个人信息等现实情况加以分析。

此外，需注意的是，个人敏感信息属于特殊个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。较于一般个人信息，个人敏感信息受到更强的保护和监管。处理敏感个人信息应当取得个人的单独同意，包括（1）向个人信息主体告知有关处理敏感个人信息的必要性以及对个人权益的影响；（2）向个人信息主体告知有关个人信息或将被提供给其他处理者；（3）告知有关个人信息出境的内容。

数据出境一般涉及四类主体，包括数据主体（个人信息主体）、数据处理者（个人信息处理者）、境外接收方和数据出境主管部门。

1.数据主体（个人信息主体）：对数据主体的定义可参考欧盟《通用数据保护条例》GDPR（General Data Protection Regulation），一般指已经识别或可识别的自然人的“个人数据”所指向的自然人。

2.数据处理者（个人信息处理者）：数据处理者是数据出境活动的一般主体。欧盟GDPR将其规制对象分为数据控制者（controller）与数据处理者（processor）。数据控制者指单独或与他人共同决定处理目的和方式的自然人、法人、公共机构、行政机关或其他实体；数据处理者指代表控制者处理个人数据的自然人、法人、公共机构、行政机关或其他实体。

在我国现行有效的《个人信息保护法》中并未引入控制者和处理者的二元定义，而是采用“个人信息处理者”的一元角色模式，并根据参与处理环节，对处理活动参与者做个人信息处理者与受托人的角色二分。[1]根据我国《个人信息保护法》，个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人；个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督；接受委托处理个人信息的受托人，应当依照本法和有关法律、行政法规的规定，采取必要措施保障所处理的个人信息的安全，并协助个人信息处理者履行相关法律义务。

实务中，个人信息处理的方式较为多样，识别个人信息处理者的关键在于该主体是否自主决定处理目的、处理方式。例如，A公司与B公司签署供应商服务合同，约定A公司定期向B公司提供其收集的个人信息，B公司依照A公司的要求在C平台实施个人信息录入、删除、修改等行为，而A公司对C平台仅具有浏览权限，无法实施数据处理行为。在此情境下，实施个人信息处理行为的是B公司，收集信息并决定如何处理的是A公司，A公司的法律主体身份为个人信息处理者，其行为应当符合数据出境的监管要求。B公司的法律主体身份为个人信息处理受托人，其依法承担协助A公司履行《个人信息保护法》规定的义务，包括协助进行个人信息保护影响评估等。实务中，甚至有观点认为，受托人如作为实体向系统上传输个人信息，出于上报安全评估方便原则，也可由服务商进行个人信息/数据出境申报。

此外，选择数据跨境传输路径时需考虑数据处理者是否为特殊主体。较之一般主体，关键信息基础设施运营者（CIIO）作为特殊主体，会被施以更加严格的监管。只要数据处理者符合关键信息基础设施运营者这一主体身份，就必须选择数据出境安全评估为唯一路径。

3.境外接收方：境外接收方是数据处理者进行数据出境时的相对方。根据《数据出境安全评估指南》的规定，数据出境（data cross-border transfer）包括：（1）通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动；（2）向本国境内，但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据。故实务中有观点认为，境外接收方应当指主体具有境外身份，而非主体的地理位置位于境外[2]，即采用属人原则。但根据《个人信息出境标准合同办法》的规定：“境外接收方”是指在中华人民共和国境外自个人信息处理者处接收个人信息的组织、个人，即采用属地原则。当前，结合我国对数据出境的态度及有关部门的答复，就“境外接收方”采属地和属人相结合原则。

实务中，个人信息处理者和境外接收方多为合作或母子公司关系，双方在进行数据传输时多与第三方供应商（包括境内/境外供应商）签订服务合同，由第三方供应商负责提供数据存储服务器以及数据传输工作。此时，若境外总部是主要使用信息主体，第三方供应商仅提供维护、服务功能的，易选择将境外总部作为接收方，第三方供应商作为出境涉及主体中的一环披露，而不必作为境外接收方。但在境外总部/其他第三方不作为境外信息使用/访问主体的情况下，则建议将第三方供应商（包括供应商为境内企业但服务器位于境外的情形）作为数据出境标准合同中的境外接收方。当然，具体操作路径则需在出境申报时与监管部门做进一步沟通。

监管部门：监管部门是指中华人民共和国省级以上网信部门。当前，为指导和帮助数据处理者规范有序申报数据出境安全评估、备案个人信息出境标准合同，国家网信办微信官方账号“网信中国”已公示各地省级网信部门接收申报材料、备案材料的办公地址及联系电话。

已如上述，《网络安全法》、《数据安全法》与《个人信息保护法》等构筑起我国数据安全的基本法律框架，为数据跨境传输确立了三大路径：1.国家网信部门组织的数据安全评估审查；2.第三方机构个人信息保护认证；3.个人信息出境标准合同备案。数据处理者在选择出境路径时应当综合考虑自身是否属于关键信息基础设施运营者、出境数据的数量与性质、出境目的以及境外接收方的数据安全保护工作等因素。因篇幅限制，有关数据跨境传输的三大路径及实务中的操作要点将在后续的系列文章中加以分析。

数据业务合规是企业在信息技术时代面临的新挑战。在国际化发展过程中，数据出境在所难免。随着法律法规的不断调整，监管部门的职能也随之变化，境内企业在处理个人信息数据时面临更多合规挑战，且需打破传统观念。当下企业应当如何开展数据合规工作，怎样整改方能满足监管要求，将成为我们讨论分析的重点。

[1] 阮神裕：《个人信息委托处理中受托人的地位、义务与责任|前沿》，载“中国民商法律网”公众号，2022年12月4日。

[2] 《数据出境法学原理与实务》 李爱君，王艺著：法律出版社，2023年。