更多類(lèi)型的數(shù)據(jù)被納入跨境流動(dòng)監(jiān)管

　　在數(shù)安條例公布之前，《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》對(duì)數(shù)據(jù)跨境流動(dòng)僅僅是對(duì)個(gè)人信息和重要數(shù)據(jù)這兩個(gè)類(lèi)型來(lái)說(shuō)，但數(shù)安條例將數(shù)據(jù)跨境流動(dòng)監(jiān)管的數(shù)據(jù)對(duì)象，做了較大擴(kuò)展。如下表所示：

　　《網(wǎng)絡(luò)安全法》

　　第三十七條 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定的辦法進(jìn)行安全評(píng)估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。

　　《個(gè)人信息保護(hù)法》

　　個(gè)人信息

　　《數(shù)據(jù)安全法》

　　第三十一條　關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理，適用《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的規(guī)定；其他數(shù)據(jù)處理者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法，由國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定。

　　數(shù)安條例

　　第三十五條 數(shù)據(jù)處理者因業(yè)務(wù)等需要，確需向中華人民共和國(guó)境外提供數(shù)據(jù)的，應(yīng)當(dāng)具備下列條件之一：

　　（一）通過(guò)國(guó)家網(wǎng)信部門(mén)組織的數(shù)據(jù)出境安全評(píng)估；

　　（二）數(shù)據(jù)處理者和數(shù)據(jù)接收方均通過(guò)國(guó)家網(wǎng)信部門(mén)認(rèn)定的專(zhuān)業(yè)機(jī)構(gòu)進(jìn)行的個(gè)人信息保護(hù)認(rèn)證；

　　（三）按照國(guó)家網(wǎng)信部門(mén)制定的關(guān)于標(biāo)準(zhǔn)合同的規(guī)定與境外數(shù)據(jù)接收方訂立合同，約定雙方權(quán)利和義務(wù)；

　?。ㄋ模┓?、行政法規(guī)或者國(guó)家網(wǎng)信部門(mén)規(guī)定的其他條件。

　　網(wǎng)絡(luò)數(shù)據(jù)（簡(jiǎn)稱(chēng)數(shù)據(jù)）是指任何以電子方式對(duì)信息的記錄。

　　所以，實(shí)際上數(shù)安條例對(duì)三個(gè)上位法對(duì)跨境監(jiān)管的范圍，做了比較大的擴(kuò)展——也就是不再只是針對(duì)個(gè)人信息和重要數(shù)據(jù)，還包括其他非個(gè)人信息和非重要數(shù)據(jù)的數(shù)據(jù)。

　　在這樣的擴(kuò)展下，相應(yīng)地制度就要做變革，至少有兩個(gè)方面：一是數(shù)據(jù)出境安全評(píng)估制度，要包括對(duì)“非個(gè)人信息和非重要數(shù)據(jù)的數(shù)據(jù)”的安全評(píng)估設(shè)計(jì)。因?yàn)槟壳暗陌踩u(píng)估草案【國(guó)家互聯(lián)網(wǎng)信息辦公室關(guān)于《數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》公開(kāi)征求意見(jiàn)的通知】中第二條明確規(guī)定：“數(shù)據(jù)處理者向境外提供在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)和依法應(yīng)當(dāng)進(jìn)行安全評(píng)估的個(gè)人信息，應(yīng)當(dāng)按照本辦法的規(guī)定進(jìn)行安全評(píng)估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定”。因此，目前的制度設(shè)計(jì)無(wú)法涵蓋“非個(gè)人信息和非重要數(shù)據(jù)的數(shù)據(jù)”。

　　二是標(biāo)準(zhǔn)合同覆蓋的范圍需要擴(kuò)展。最早出現(xiàn)標(biāo)準(zhǔn)合同的規(guī)定出現(xiàn)在《個(gè)人信息保護(hù)法》，針對(duì)的對(duì)象自然是個(gè)人信息?，F(xiàn)在標(biāo)準(zhǔn)合同需要覆蓋重要數(shù)據(jù)，還需要覆蓋“非個(gè)人信息和非重要數(shù)據(jù)的數(shù)據(jù)”。

　　這樣的擴(kuò)展影響非常重大，比如向境外證監(jiān)部門(mén)提供一個(gè)財(cái)務(wù)報(bào)表數(shù)據(jù)，不屬于個(gè)人信息，假設(shè)也不屬于重要數(shù)據(jù)，那么也需要根據(jù)數(shù)安條例第35條的規(guī)定來(lái)執(zhí)行。類(lèi)似的例子還有很多。

　　個(gè)人信息出境即“松了”也“嚴(yán)了”

　　根據(jù)數(shù)安條例，可以得出至少三個(gè)情形是豁免監(jiān)管的。具體如下：

　　說(shuō)明

　　具體實(shí)例

　　第二條 自然人因個(gè)人或者家庭事務(wù)開(kāi)展數(shù)據(jù)處理活動(dòng)，不適用本條例。

　　按照這條規(guī)定，個(gè)人自主、直接將自身的個(gè)人信息、家庭成員、朋友個(gè)人信息向境外提供，其個(gè)人的提供行為，不受本條例管轄。

　　這點(diǎn)在我國(guó)《個(gè)人信息保護(hù)法》中的規(guī)定是一致的，也與GDPR規(guī)定一致。

　　GDPR在Recital 18中明確提出：本條例不適用于自然人在純粹的個(gè)人或家庭活動(dòng)過(guò)程中對(duì)個(gè)人數(shù)據(jù)的處理，只要這些處理與專(zhuān)業(yè)或商業(yè)活動(dòng)沒(méi)有關(guān)系。（This Regulation does not apply to the processing of personal data by a natural person in the course of a purely personal or household activity and thus with no connection to a professional or commercial activity.）

　　個(gè)人自主登陸境外電商網(wǎng)站購(gòu)買(mǎi)家用產(chǎn)品，并在境外電商網(wǎng)站填寫(xiě)其個(gè)人信息，包括姓名、聯(lián)系方式、收貨地址等。

　　第三十五條  數(shù)據(jù)處理者為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需向境外提供當(dāng)事人個(gè)人信息的，或者為了保護(hù)個(gè)人生命健康和財(cái)產(chǎn)安全而必須向境外提供個(gè)人信息的除外。

　　按照《個(gè)人信息保護(hù)法》第十三條規(guī)定，“為訂立、履行個(gè)人作為一方當(dāng)事人的合同”而處理個(gè)人信息（包括對(duì)境外提供個(gè)人信息），和基于個(gè)人同意的個(gè)人信息處理，是不同的合法性事由。

　　同樣，“為了保護(hù)個(gè)人生命健康和財(cái)產(chǎn)安全而必須向境外提供個(gè)人信息”，與《個(gè)人信息保護(hù)法》中“緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需”相近，但數(shù)安條例的表述中沒(méi)有“緊急情況下”。這點(diǎn)是否意味著數(shù)安條例做了些許放寬？

　　個(gè)人通過(guò)平臺(tái)預(yù)訂境外的酒店或境外航空公司的機(jī)票，平臺(tái)將個(gè)人的預(yù)訂信息傳輸至境外的酒店和航空公司。

　　第三十八條 中華人民共和國(guó)締結(jié)或者參加的國(guó)際條約、協(xié)定對(duì)向中華人民共和國(guó)境外提供個(gè)人信息的條件等有規(guī)定的，可以按照其規(guī)定執(zhí)行。

　　這樣的條款也出現(xiàn)在了《個(gè)人信息保護(hù)法》之中——“中華人民共和國(guó)締結(jié)或者參加的國(guó)際條約、協(xié)定對(duì)向中華人民共和國(guó)境外提供個(gè)人信息的條件等有規(guī)定的，可以按照其規(guī)定執(zhí)行。”

　　考慮到中國(guó)正在申請(qǐng)加入CPTPP和DEPA【見(jiàn)：數(shù)字貿(mào)易協(xié)定 | DEPA和CPTPP給國(guó)內(nèi)數(shù)據(jù)本地化和跨境流動(dòng)管控預(yù)留的“自由度”】，那是否意味著只要中國(guó)正式加入了這些經(jīng)貿(mào)協(xié)定，國(guó)內(nèi)法律法規(guī)對(duì)個(gè)人信息的跨境監(jiān)管就可以“豁免”？

　　當(dāng)然，這一點(diǎn)不僅需要網(wǎng)信辦，還需要全國(guó)人大做出解釋。

　　其實(shí)我們仔細(xì)對(duì)比《個(gè)人信息保護(hù)法》第三十八條的規(guī)定，和數(shù)安條例第三十五條的規(guī)定，會(huì)發(fā)現(xiàn)比較大的區(qū)別。

　　《個(gè)人信息保護(hù)法》

　　第三十八條 個(gè)人信息處理者因業(yè)務(wù)等需要，確需向中華人民共和國(guó)境外提供個(gè)人信息的，應(yīng)當(dāng)具備下列條件之一：

　?。ㄒ唬┮勒毡痉ǖ谒氖畻l的規(guī)定通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估；

　?。ǘ┌凑諊?guó)家網(wǎng)信部門(mén)的規(guī)定經(jīng)專(zhuān)業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證；

　?。ㄈ┌凑諊?guó)家網(wǎng)信部門(mén)制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)；

　　（四）法律、行政法規(guī)或者國(guó)家網(wǎng)信部門(mén)規(guī)定的其他條件。

　　中華人民共和國(guó)締結(jié)或者參加的國(guó)際條約、協(xié)定對(duì)向中華人民共和國(guó)境外提供個(gè)人信息的條件等有規(guī)定的，可以按照其規(guī)定執(zhí)行。

　　個(gè)人信息處理者應(yīng)當(dāng)采取必要措施，保障境外接收方處理個(gè)人信息的活動(dòng)達(dá)到本法規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn)。

　　《數(shù)安條例》

　　第三十五條 數(shù)據(jù)處理者因業(yè)務(wù)等需要，確需向中華人民共和國(guó)境外提供數(shù)據(jù)的，應(yīng)當(dāng)具備下列條件之一：

　?。ㄒ唬┩ㄟ^(guò)國(guó)家網(wǎng)信部門(mén)組織的數(shù)據(jù)出境安全評(píng)估；

　?。ǘ?shù)據(jù)處理者和數(shù)據(jù)接收方均通過(guò)國(guó)家網(wǎng)信部門(mén)認(rèn)定的專(zhuān)業(yè)機(jī)構(gòu)進(jìn)行的個(gè)人信息保護(hù)認(rèn)證；

　?。ㄈ┌凑諊?guó)家網(wǎng)信部門(mén)制定的關(guān)于標(biāo)準(zhǔn)合同的規(guī)定與境外數(shù)據(jù)接收方訂立合同，約定雙方權(quán)利和義務(wù)；

　　（四）法律、行政法規(guī)或者國(guó)家網(wǎng)信部門(mén)規(guī)定的其他條件。

　　數(shù)據(jù)處理者為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需向境外提供當(dāng)事人個(gè)人信息的，或者為了保護(hù)個(gè)人生命健康和財(cái)產(chǎn)安全而必須向境外提供個(gè)人信息的除外。

　　《個(gè)人信息保護(hù)法》并沒(méi)有豁免“為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需向境外提供當(dāng)事人個(gè)人信息的，或者為了保護(hù)個(gè)人生命健康和財(cái)產(chǎn)安全而必須向境外提供個(gè)人信息”這兩個(gè)場(chǎng)景中的安全評(píng)估或認(rèn)證或合同的義務(wù)。但是數(shù)安條例第三十五條卻對(duì)此做了豁免。因此，可以說(shuō)數(shù)安條例“松了”

　　于此同時(shí)，數(shù)安條例相比《個(gè)人信息保護(hù)法》更加嚴(yán)格了。這方面體現(xiàn)在對(duì)個(gè)人同意這方面。

　　《個(gè)人信息保護(hù)法》第十三條規(guī)定——“依照本法其他有關(guān)規(guī)定，處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人同意，但是有前款第二項(xiàng)至第七項(xiàng)規(guī)定情形的，不需取得個(gè)人同意”。這句話(huà)的意思是：《個(gè)人信息保護(hù)法》第十三條之后各個(gè)條文中，如果出現(xiàn)需要征得個(gè)人同意，或者個(gè)人單獨(dú)同意的，只要存在《個(gè)人信息保護(hù)法》第十三條第二項(xiàng)至第七項(xiàng)規(guī)定情形時(shí)，都是可以豁免同意的。

　　但數(shù)安條例第三十六條明確“數(shù)據(jù)處理者向中華人民共和國(guó)境外提供個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知境外數(shù)據(jù)接收方的名稱(chēng)、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的種類(lèi)以及個(gè)人向境外數(shù)據(jù)接收方行使個(gè)人信息權(quán)利的方式等事項(xiàng)，并取得個(gè)人的單獨(dú)同意”。就好比說(shuō)，個(gè)人通過(guò)平臺(tái)預(yù)訂境外的酒店或境外航空公司的機(jī)票，平臺(tái)將個(gè)人的預(yù)訂信息傳輸至境外的酒店和航空公司。這個(gè)例子中，平臺(tái)將個(gè)人信息傳輸至境外酒店和航空公司，本身就是履行預(yù)訂服務(wù)合同中的必要，進(jìn)一步說(shuō)，平臺(tái)履行整個(gè)預(yù)訂服務(wù)所涉及的各種個(gè)人信息處理，包括對(duì)境外提供個(gè)人信息，合法性基礎(chǔ)都不是個(gè)人的同意。因此將個(gè)人信息傳輸至境外酒店和航空公司這個(gè)處理動(dòng)作，也都不需要征得個(gè)人的同意。

　　這時(shí)候問(wèn)題來(lái)了：這時(shí)候是否可以認(rèn)為《個(gè)人信息保護(hù)法》第十三條中的表述，在法律效力方面是否能夠優(yōu)于數(shù)安法的這條規(guī)定？

　　數(shù)據(jù)處理者向境外提供數(shù)據(jù)應(yīng)當(dāng)履行的義務(wù)

　　對(duì)于數(shù)安條例第三十九條和第四十條的規(guī)定，按照個(gè)人信息、重要數(shù)據(jù)、非個(gè)人信息且非重要數(shù)據(jù)的數(shù)據(jù)，來(lái)歸歸類(lèi)。

　　非個(gè)人信息且非重要數(shù)據(jù)的數(shù)據(jù)

　　采取合同等有效措施監(jiān)督數(shù)據(jù)接收方按照雙方約定的目的、范圍、方式使用數(shù)據(jù)，履行數(shù)據(jù)安全保護(hù)義務(wù)，保證數(shù)據(jù)安全；

　　接受和處理數(shù)據(jù)出境所涉及的用戶(hù)投訴；

　　數(shù)據(jù)出境對(duì)個(gè)人、組織合法權(quán)益或者公共利益造成損害的，數(shù)據(jù)處理者應(yīng)當(dāng)依法承擔(dān)責(zé)任；

　　國(guó)家網(wǎng)信部門(mén)認(rèn)定不得出境的，數(shù)據(jù)處理者應(yīng)當(dāng)停止數(shù)據(jù)出境，并采取有效措施對(duì)已出境數(shù)據(jù)的安全予以補(bǔ)救；

　　非經(jīng)中華人民共和國(guó)主管機(jī)關(guān)批準(zhǔn)，境內(nèi)的個(gè)人、組織不得向外國(guó)司法或者執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于中華人民共和國(guó)境內(nèi)的數(shù)據(jù)。

　　個(gè)人信息

　　同上；以及如下：

　　不得超出網(wǎng)信部門(mén)安全評(píng)估時(shí)明確的出境目的、范圍、方式和數(shù)據(jù)類(lèi)型、規(guī)模等向境外提供個(gè)人信息和重要數(shù)據(jù)

　　不得超出報(bào)送網(wǎng)信部門(mén)的個(gè)人信息保護(hù)影響評(píng)估報(bào)告中明確的目的、范圍、方式和數(shù)據(jù)類(lèi)型、規(guī)模等向境外提供個(gè)人信息；

　　國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)核驗(yàn)向境外提供個(gè)人信息和重要數(shù)據(jù)的類(lèi)型、范圍時(shí)，數(shù)據(jù)處理者應(yīng)當(dāng)以明文、可讀方式予以展示；

　　個(gè)人信息出境后確需再轉(zhuǎn)移的，應(yīng)當(dāng)事先與個(gè)人約定再轉(zhuǎn)移的條件，并明確數(shù)據(jù)接收方履行的安全保護(hù)義務(wù)。

　　數(shù)安條例第四十條“在每年1月31日前編制數(shù)據(jù)出境安全報(bào)告，向設(shè)區(qū)的市級(jí)網(wǎng)信部門(mén)報(bào)告上一年度以下數(shù)據(jù)出境情況”

　　重要數(shù)據(jù)

　　同“非個(gè)人信息非重要數(shù)據(jù)的數(shù)據(jù)”，以及如下：

　　不得超出網(wǎng)信部門(mén)安全評(píng)估時(shí)明確的出境目的、范圍、方式和數(shù)據(jù)類(lèi)型、規(guī)模等向境外提供個(gè)人信息和重要數(shù)據(jù)

　　國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)核驗(yàn)向境外提供個(gè)人信息和重要數(shù)據(jù)的類(lèi)型、范圍時(shí)，數(shù)據(jù)處理者應(yīng)當(dāng)以明文、可讀方式予以展示；

　　數(shù)安條例第四十條“在每年1月31日前編制數(shù)據(jù)出境安全報(bào)告，向設(shè)區(qū)的市級(jí)網(wǎng)信部門(mén)報(bào)告上一年度以下數(shù)據(jù)出境情況”

　　這里面很有意思的一點(diǎn)是：在第三十九條中，“不得超出網(wǎng)信部門(mén)安全評(píng)估時(shí)明確的出境目的、范圍、方式和數(shù)據(jù)類(lèi)型、規(guī)模等向境外提供個(gè)人信息和重要數(shù)據(jù)”，似乎又把安全評(píng)估局限于個(gè)人信息和重要數(shù)據(jù)，而非一開(kāi)始數(shù)安條例第三十五條要求的，需要覆蓋“非個(gè)人信息且非重要數(shù)據(jù)的數(shù)據(jù)”。

　　對(duì)于數(shù)據(jù)跨境安全網(wǎng)關(guān)（數(shù)安條例第四十一條），就不做分析了。第四篇文章到此打住。（完）