作者： 陈兵 杨鎏林
[ 作为数据出境安全评估的重要价值目标之一 ， 《征求意见稿》第3条明确指出“保障数据依法有序自由流动” ， 然而 ， 数据流动本身便意味着风险存在 ， 在促进数据自由流动的同时 ， 也应妥善应对和防范数据出境安全风险 ， 实现数据流动与数据保护的平衡 。 故立足于我国数据出境流动治理的现实情况 ， 建议多措并举保障数据出境安全 ， 维护我国在全球数据经济活动中的合法权益 。]
随着国际数字贸易的飞速发展 ， 数据跨境流动成为各国和地区数据信息交流和经贸往来的重要形式和通路 。 数据跨境流动的爆炸式增长在促进国际数字贸易繁荣的同时 ， 也对个人信息安全、数据产业发展甚至国家数据安全带来了挑战 ， 诸如个人信息泄露、商业数据违规披露、国家数据主权冲突等层见叠出 ， 如何规范数据出境活动 ， 促进数据跨境安全、自由流动 ， 维护个人信息权益、国家安全和社会公共利益成为社会各界关注的热点与难点 。
数据出境合规体系更加完善
【数据出境安全治理 将迎来新规】10月29日 ， 国家互联网信息办公室（下称“网信办”）就《数据出境安全评估办法（征求意见稿）》（下称《征求意见稿》）向社会公开征求意见 。 《征求意见稿》共十八条 ， 内容囊括了数据处理者应当申报数据出境安全评估的具体情形、申报数据出境安全评估应当提交的材料、数据处理者风险自评估与监管部门安全评估、数据处理者与境外接收方订立合同要求、数据出境安全评估主管部门、重新申报评估情形以及相关法律责任等 ， 对数据出境安全评估提供了明确的规则指引 。
在《征求意见稿》）发布前 ， 《中华人民共和国网络安全法》（下称《网络安全法》）《中华人民共和国数据安全法》（下称《数据安全法》）和《中华人民共和国个人信息保护法》（下称《个人信息保护法》）从法律层面建立了数据出境合规机制 ， 构建了科学系统的网络空间数据出境合规法律体系 。
具体而言 ， 《网络安全法》第37条规定了关键信息基础设施运营者在我国境内运营中收集和产生的个人信息和重要数据原则上应当遵循本地化储存原则 ， 确需进行跨境传输时应当履行数据出境安全评估义务 。
《数据安全法》第30条和第31条规定了重要数据处理者的风险评估义务 ， 以及关键信息基础设施运营者和其他数据处理者在我国境内运营中收集和产生的重要数据的数据出境安全评估义务 。
《个人信息保护法》第36条和第40条规定了国家机关处理的个人信息在向境外提供时 ， 应当进行安全评估 ， 以及关键信息基础设施运营者和处理个人信息达到规定数量的个人信息处理者 ， 在向境外提供个人信息时 ， 应当进行安全评估 。 然而 ， 上述法律并未对数据出境评估规范进行细化规定 ， 导致实践中对数据出境进行安全评估时缺乏具体实施规则 ， 不利于依法规范开展数据出境安全评估 ， 维护个人信息权益、国家安全和社会公共利益 。
本次《征求意见稿》在遵循上述法律基本要求的前提下 ， 对数据出境安全评估规范进行了细致的规定 。 《征求意见稿》第2条明确规定：数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息 ， 应当按照本办法的规定进行安全评估 。
在适用对象上 ， 《征求意见稿》并未采用《网络安全法》《数据安全法》《个人信息保护法》有关“关键信息基础设施运营者”“重要数据处理者”“其他数据处理者”的表述 ， 而是统一采用“数据处理者” ， 在适用对象上更具广泛性和包容性 。 当然 ， 也存在与现有法律如何衔接的问题 ， 可能会引发对“数据处理者”这一概念的不同理解 ， 不利于对数据出境活动中负有核心义务的数据处理者做规范化、系统化及法治化的认定 。