点击蓝色字关注“刑事视野”企业数据合规体系之跨境

——企业数据跨境的基本思路（上）

随着数字经济、数字贸易活动不断开展,企业拓展涉外业务，建立跨国公司日趋活跃,各类企业势必会被卷入全球数据跨境转移的洪流中,数据作为生产要素的价值功用被不断激发出来,也正在成为企业乃至国家的核心竞争力。洪流之下,规制数据跨境转移迫在眉睫,与此同时，国家在数据跨境方面也出具了相应的法律法规。其目的在于对数据出境安全评估及数据出境安全管理事项进行监管,将全面监管、从严监管的理念贯彻得更为彻底,也对涉及数据出境的企业进一步预设了相应的合规义务。本次，笔者将分篇为大家带来企业数据跨境的基本思路，便于大家思考与借鉴。

一、企业数据跨境的前期准备

企业需要梳理数据跨境转移情况,明确要出境的数据类型有哪些,是个人数据、重要数据还是核心数据。同时，针对不同种类数据采取不同的保护措施。企业在数据转移前需根据最小化原则,确认转移的数据是充分的、相关的,并且数据内容仅限于向数据接收方转移和处理的必要数据。

二、跨境数据的基本分类

在数据跨境传送的过程中企业跨境系统，大致可以将数据类型可分为重要数据、个人信息、其他数据三种。不同的数据类型面临的出境要求也有所差异。

（一）重要数据

关于重要数据,目前我国法律法规中尚未形成明确定义,仅根据我国《网络安全法》的定义,重要数据是指一旦泄露可能直接影响到国家安全、经济安全、社会稳定的数据,如未公开的政府信息、大面积人口、基因健康、地理、矿产资源等。同时，在我国其他的一些法律法规的草案中，虽然没有严格指明出何为重要数据，但明确了关键信息基础设施的运营者在境内运营中收集和产生的数据出境前,需要进行安全评估。因此，建议企业一旦可能涉及到重要数据的跨境时，均需考虑该数据的重要性以及自身企业的性质，通过《关键基础设施指南》判断其是不是属于向关键信息基础设施运营者提供网络产品和服务的公司，如果符合要求，则需要按照《网络安全审查办法》进行上报。同时还应按照相应的国标进行内部评估，生成评估报告，用以预防监管个人信息泄露等问题。

（二）个人信息

在《个人信息保护法》中仅规定了个人信息达到国家网信部门规定数量的个人信息处理者向境外提供其在境内收集和产生的个人信息时,应进行安全评估,但未明确具体"规定数量"。而在尚未落地的《个人信息和重要数据出境安全评估办法（征求意见稿）》中有着一些相应的标准，可供企业在数据跨境过程中，进行参考：

（1）含有或累计含有50万人以上的个人信息；

（2）数据量超过1000GB；

（3）包含核设施、化学生物、国防军工、人口健康等领域数据，大型工程活动、海洋环境以及敏感地理信息数据等；

（4）包含关键信息基础设施的系统漏洞、安全防护等网络安全信息；

（5）关键信息基础设施运营者向境外提供个人信息和重要数据；

（6）其他可能影响国家安全和社会公共利益企业跨境系统，行业主管或监管部门认为应该评估。

因此，企业除了需要注意处理个人信息的人数限制外,还应对个人信息进行初步分类，区分该数据是属于一般个人信息、敏感个人信息还是其他的一些情形。值得注意的是,无论是处理个人信息的数量限制,还是对外提供个人信息的数量限制,其门槛对于大中型数据处理者来讲都不高,较容易达到。由此可见,网信部门对于个人信息处理的监管相对较为严格。

（三）其他数据

其他数据是指除了重要数据以及个人信息外的数据。虽然我国现行法律无专门针对其他数据的规定,适用其他关于数据及个人信息出境的规定。但出于合规考虑，企业可以进行下述的方式进行应对：

（1）进行数据出境安全评估;

（2）制定企业内部的数据合规认证标准，同时，按照国家网信部门的规定经专业机构进行数据保护认证;

（3）按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同。

其中需要注意的是，国家网信部门的规定经专业机构进行个人信息保护认证，无论是传输方还是接受方都应当进行。但同时还存在两种例外情形：

（1）网络数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的;

（2）为了保护个人生命健康和财产安全而必须向境外提供个人信息。

针对上述两种情形下,跨境传输网络数据则无需通过安全评估、个人信息保护认证或根据标准合同与境外数据接收方订立合同。

作者1：刘欣，北京市瀛和律师事务所合伙人。全国检察系统先进个人、省级“十佳公诉人”。

作者2：王泽博，律师/专利代理师，北京瀛和律师事务所，中国人民大学 知识产权法律硕士。