【作者：麻策】

背景：网信办于2017年4月11日颁布「个人信息和重要数据出境安全评估办法（征求意见稿）」（下称「办法」）。本文形成后，亦将在规定的5月11日前发送至security@cac.gov.cn，提出建议。

  一  

为何堂而皇之僭越上位法

办法第二条拟规定「网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据，应当在境内存储。因业务需要，确需向境外提供的，应当按照本办法进行安全评估」。

但无疑的是，这一条明显是和「网络安全法」本意相违悖的。因为「网络安全法」第三十七条规定的是：「关键信息基础设施的运营者」在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

根据网络安全法，「网络运营者」和「关键信息基础设施的运营者」两者是有着明显的区别的，网络安全法目前也仅只是以列举法确定了部分关键信息基础设施的运营者，后期仍有待国务院明确其具体范围。从网信办目前几次立法征求意见来看，国务院对「关键信息基础设施的」具体范围的认定已经显得十分的急迫和重要了，因为很多概念已经被各立法部门破解成碎片，令人困惑。

无独有偶，网信办原发布的《网络产品和服务安全审查办法（征求意见稿）》对「关键信息基础设施」的认定，基本上是把网络安全法搅成了一锅粥，私自划分为「关系国家安全和公共利益的信息系统使用的重要网络产品和服务」、「金融、电信、能源等重点行业主管部门“自有”网络产品和服务」、「党政部门及重点行业采购的网络产品和服务」以及「关键信息基础设施运营者采购的网络产品和服务」四类。公众在认知上将更加无所适从和无标准。

为何堂而皇之僭越上位法？从另一个侧面也许地看出来网信办是想积极办些事的，不过国家层面的立法速度却还没跟上，所以网信办只能希望先把生米煮成熟饭再说吧。

  二  

个人信息出境须获个体同意

个人信息画像信息的充沛性，已经越来越接近一个物理上的自然人。个人出境越来越频繁，但谁也不会去考虑，其实每个人的个人信息也许早已经在全球流通了。在网络空间成为第三维的国家主权空间后，个人信息的跨境流通当然也成为了国家保护的重中之重。在跨国互联网企业越来越多的在中国境内展开互联网运营时，个人信息会不会流向国际市场已经成为重要问题，例如uber收集的信息会不会返回美国进行售卖「注：uber在境内有数据服务器」，google地图、google商店、苹果app stores等，都要收集中国公民的信息。

故，办法拟明确「个人信息出境，应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区，并经其同意。未成年人个人信息出境须经其监护人同意。」当然，这种同意，只需要修订下在线协议就行了，相关的合规条款应当加入。

当然，个人信息出境前，不仅仅是需要获得同意这么简单，因为其适用的前提仍是必须先行符合「信息收集使用三原则：合法、必要和正当性」，有些信息即使获得个人同意，若不符合三原则，仍是不应允许出境的。

  三  

安全评估适用的前提

根据「网络安全法」，个人信息和数据出境需要进行安全评估的唯一要求就是「属于关键信息基础设施的就要评估」，其它的另根据法律或行政法规，但办法却将该评估条件作为「条件之一」，擅自增加了其它评估适用前提。

办法自行对安全评估设置了适用的条件，其本质上也是对「网络安全法」的突破。该类评估适用的前提包括，（一）含有或累计含有50万人以上的个人信息；（二）数据量超过1000GB；（三）包含核设施、化学生物、国防军工、人口健康等领域数据，大型工程活动、海洋环境以及敏感地理信息数据等；（四）包含关键信息基础设施的系统漏洞、安全防护等网络安全信息；（五）关键信息基础设施运营者向境外提供个人信息和重要数据；（六）其他可能影响国家安全和社会公共利益，行业主管或监管部门认为应该评估。

看着严密的适用前提，在落地上其实还是会让人找不到北，50万人的个人信息是累计的，已经出境的要不要回溯评估？1000gb是多大，对于高清视频而言差不多就200多部电影的量吧，能有什么内容？核设施、国防军工、系统漏洞等信息本身应当是属于禁止出境的，不该存在评估后出境的可能。

至于说其有意义的一点是，办法规定了「关键信息基础设施运营者的重要数据」是指「是指与国家安全、经济发展，以及社会公共利益密切相关的数据，具体范围参照国家有关标准和重要数据识别指南」。虽然可惜的是，国家关于重要数据的识别指南或有关标准实际上是空白的。

  四  

如何定义「境内」和「境外」

数据跨境安全评估的前提是存在「境内」到「境外」的流动。但聪明的法律人，一定会好好地利用这个「漏洞」。办法所称的「数据出境」，是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据，提供给位于境外的机构、组织、个人。所以，关于「境外的机构、组织、个人」的法律定义就显得十分地重要。

从目前而言，本办法所称的「境外」本质上不是一个物理概念，即不是地理国境概念。在相同的意义上，我国法律还有「涉外」、「关外」、「外国」等概念，其间的区别十分之大。一般而言，数据出境不一定要求个人信息或重要数据通过互联网传输到国外，或通过物理介质「如硬盘」带出国门，其只要存在将个人信息或数据「交付」给境外的机构、组织、个人，即属于数据出境，即使该类机构、组织或个人是在中国境内。另外，数据即使没有跨境转移，但是，若外国主体通过实时访问使用的，其本质上是种替代，亦应属于数据跨境。

除了本身根据外国法在境外设立的公司外，其实还存在非常多的境外组织和机构。例如《境外组织和个人在华使用密码产品管理办法》认为：「本办法所称境外组织，是指依照外国法律在中国境外成立的组织，包括这些组织在中国境内设立的分支机构、办事机构、代表机构等」，「本办法所称境外个人，是指依照《中华人民共和国国籍法》不具有中国国籍的人」。还有《中华人民共和国境外非政府组织境内活动管理法》另规定：「本法所称境外非政府组织，是指在境外合法成立的基金会、社会团体、智库机构等非营利、非政府的社会组织」。除了这些，我们还存在「外国驻华使馆、领事机构，国际组织驻华代表机构」这些境外机构。

当然，很大程度上，港澳台地区的机构、组织和个人也属「境外」，因为根据原国家安全法，境外是指中华人民共和国领域以外或者领域以内中华人民共和国政府尚未实施行政管辖的地域。所以台湾是中国领土但未实施管辖，港澳是高度自治港澳自治。

因此，例如国外律师事务所在中国的办事机构、代表处，以及你身边的每一个外国人，在理论上都不应当「接触」这些个人信息和重要数据。在合规上，企业应当慎之又慎。

  五  

落后的二十年，我们将追回

欧盟《1995年数据保护指令》明确只有当第三方国家通过相关国内法或国际承诺，对个人数据提供充分保护时，才允许将欧盟公民个人信息转移、存储到该第三方国家进行处理。2013年，美国监控丑闻曝光，欧盟成员国数据保护机构纷纷质疑安全港协定。

最终，一个个案决定了跨国互联网企业的命运。奥地利公民Schrems针对Facebook跨境转移其个人数据而向爱尔兰数据保护委员会提出的投诉，最后Schrems还起诉到爱尔兰高等法院。爱尔兰高等法院提请欧盟法院作出裁决。欧盟法院认为，美国国家安全、执法诉求等凌驾于安全港之上，可以对跨境转移到美国的欧盟公民个人信息采取监控、拦截、获取等措施。故美国和欧盟间安全港因而遭到否定，美国跨境企业不得转移欧盟公民个人数据。

1995年起的二十余年后，我们开始重视跨境数据转移的问题，相信我们能追回。