本刊編輯部

《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》各方解讀

本刊編輯部

全球企業(yè)在邁向國(guó)際市場(chǎng)的同時(shí)，都將通過(guò)多國(guó)市場(chǎng)整合、統(tǒng)一分配來(lái)實(shí)現(xiàn)節(jié)約成本、提升業(yè)績(jī)的目的，其數(shù)據(jù)進(jìn)行跨境流動(dòng)是大勢(shì)所趨。本文從數(shù)據(jù)跨境流動(dòng)的市場(chǎng)背景、立法背景和研究背景，綜合各方觀點(diǎn)評(píng)述解讀《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》。

數(shù)據(jù)跨境流動(dòng)；網(wǎng)絡(luò)安全法；個(gè)人信息

一、背景介紹

1.數(shù)據(jù)跨境流動(dòng)市場(chǎng)背景：

隨著新一代信息通信技術(shù)的應(yīng)用普及，人類社會(huì)正快速步入“信息隨心至，萬(wàn)物觸手及”的萬(wàn)物互聯(lián)時(shí)代，人與人、人與物、物與物呈現(xiàn)實(shí)時(shí)互聯(lián)，數(shù)據(jù)成為萬(wàn)物互聯(lián)的中心，數(shù)據(jù)日趨多樣、復(fù)雜和龐大。數(shù)據(jù)天然具有全球化屬性，數(shù)據(jù)跨境流動(dòng)是必然常態(tài)，全球經(jīng)濟(jì)已經(jīng)從物質(zhì)貿(mào)易向數(shù)據(jù)貿(mào)易發(fā)生轉(zhuǎn)變。

根據(jù)麥肯錫的研究報(bào)告，2014年全球貨物流動(dòng)、外國(guó)直接投資和數(shù)據(jù)使用為全球GDP總值增加了7.8萬(wàn)億美元，其中跨境數(shù)據(jù)流動(dòng)產(chǎn)生了2.8萬(wàn)億的價(jià)值，并預(yù)測(cè)到2025年，跨境數(shù)據(jù)會(huì)產(chǎn)生11萬(wàn)億美元的價(jià)值。

如果歐盟禁止跨境數(shù)據(jù)流動(dòng)，可能對(duì)歐盟GDP產(chǎn)生0.8-1.3%的負(fù)面影響（經(jīng)濟(jì)衰減幅度大約是歐洲在2012年經(jīng)濟(jì)下行時(shí)的三至四倍）；歐盟向美國(guó)服務(wù)出口下跌6.7%，歐盟向美國(guó)制造業(yè)出口下跌11%；歐盟消費(fèi)者福利損失1020億至1700億美元——相當(dāng)于每一歐盟市民損失338美元。①數(shù)據(jù)來(lái)源：Information Technology Industry Council

目前，我國(guó)互聯(lián)網(wǎng)公司積極開(kāi)拓海外市場(chǎng)，數(shù)據(jù)跨境是不可避免的?？缇硵?shù)據(jù)流動(dòng)對(duì)國(guó)際貿(mào)易的影響是非常顯而易見(jiàn)的，跨境數(shù)據(jù)流動(dòng)的規(guī)則正逐漸成為一個(gè)核心規(guī)則。

2.立法背景：

為保障個(gè)人信息和重要數(shù)據(jù)安全，促進(jìn)網(wǎng)絡(luò)信息依法有序自由流動(dòng)，國(guó)家互聯(lián)網(wǎng)信息辦公室（以下簡(jiǎn)稱國(guó)家網(wǎng)信辦）在4月11日發(fā)布了《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》（以下簡(jiǎn)稱“《辦法》”）。

《辦法》共有十八項(xiàng)條文，從立法宗旨、適用范圍、適用條件、評(píng)估對(duì)象、評(píng)估機(jī)制以及相應(yīng)的法律責(zé)任等核心方面，對(duì)于《網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱“《網(wǎng)安法》”）有關(guān)數(shù)據(jù)出境安全評(píng)估的要求作了進(jìn)一步明確和細(xì)化，對(duì)《網(wǎng)安法》確立的針對(duì)“關(guān)鍵信息基礎(chǔ)設(shè)施”進(jìn)行“本地信息部署+跨境傳輸評(píng)估”的管理模式做進(jìn)一步解讀。

縱覽辦法全文，針對(duì)個(gè)人信息和重要數(shù)據(jù)出境的場(chǎng)景提出了明確的管理要求，辦法既是對(duì)《網(wǎng)安法》的一種延伸，又對(duì)《網(wǎng)安法》進(jìn)行了相應(yīng)的補(bǔ)充。辦法中，第八條對(duì)數(shù)據(jù)出境安全評(píng)估的重點(diǎn)內(nèi)容進(jìn)行了明確，第九條對(duì)必須由監(jiān)管部門(mén)進(jìn)行評(píng)估的情況進(jìn)行了界定，此外，還對(duì)評(píng)估周期、評(píng)估時(shí)間等內(nèi)容都做出詳細(xì)規(guī)定。辦法將網(wǎng)絡(luò)安全法對(duì)數(shù)據(jù)出境的條款進(jìn)行了具體化，延伸成為可執(zhí)行落地的規(guī)章。

此外，辦法的第十一條還對(duì)哪些特定情況下數(shù)據(jù)不得出境進(jìn)行了說(shuō)明。在網(wǎng)絡(luò)安全法中對(duì)不能出境的情況并沒(méi)有做出規(guī)定，因此，辦法的第十一條是對(duì)網(wǎng)絡(luò)安全法的一種補(bǔ)充，使得我國(guó)的網(wǎng)絡(luò)安全監(jiān)管體系更加完善。

3.研究背景：

《辦法》甫一出臺(tái)，迅速成為了網(wǎng)絡(luò)安全行業(yè)討論的熱點(diǎn)話題，并引發(fā)了廣泛的研究和討論。為此，中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)研究中心、互聯(lián)網(wǎng)實(shí)驗(yàn)室聯(lián)合主辦了“網(wǎng)絡(luò)安全執(zhí)法視野下的跨境數(shù)據(jù)風(fēng)險(xiǎn)防控研討會(huì)”，特邀政府主管領(lǐng)導(dǎo)、業(yè)內(nèi)專家學(xué)者、企業(yè)代表圍繞萬(wàn)物互聯(lián)時(shí)代下數(shù)據(jù)本地化立法的關(guān)鍵考量因素、執(zhí)法將面臨的實(shí)務(wù)難點(diǎn)等數(shù)據(jù)跨境流動(dòng)制度建設(shè)的重點(diǎn)問(wèn)題進(jìn)行深入探討，期冀為我國(guó)數(shù)據(jù)跨境流動(dòng)的立法與執(zhí)法工作提供建設(shè)性參考。

二、各方觀點(diǎn)評(píng)述

（一）各方關(guān)注的焦點(diǎn)問(wèn)題

會(huì)議中各部門(mén)專家的研討主要集中在有關(guān)跨境數(shù)據(jù)的四個(gè)方面：1.實(shí)時(shí)追蹤的全球規(guī)則研究；2.圍繞價(jià)值的頂層設(shè)計(jì)建構(gòu)；3.依據(jù)性質(zhì)的差別規(guī)范設(shè)計(jì)；4.基于行業(yè)的利益平衡規(guī)則。

1.實(shí)時(shí)追蹤的全球規(guī)則研究

2011年3月29日，韓國(guó)頒布《個(gè)人信息保護(hù)法》，廢除了1999年《公共機(jī)關(guān)個(gè)人信息保護(hù)法》，新法適用范圍涵蓋公共與私人部門(mén)管理的所有個(gè)人數(shù)據(jù)信息。

國(guó)家網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局副局長(zhǎng)胡嘯指出，個(gè)人信息出境要經(jīng)過(guò)個(gè)人同意，在國(guó)際上也是通行的做法，相關(guān)國(guó)家法律法規(guī)都有類似的要求。

在管理范圍上強(qiáng)調(diào)政府和公共部門(mén)數(shù)據(jù)的跨境管理，一些國(guó)家已經(jīng)著手制定專門(mén)的制度。如：澳大利亞制定《政府信息外包、離岸存儲(chǔ)和處理ICT安排政策與管理指南》，對(duì)政府?dāng)?shù)據(jù)的離岸存儲(chǔ)及其風(fēng)險(xiǎn)管理作出了明確的規(guī)定。

大成律師事務(wù)所高級(jí)合伙人鄧志松表示，數(shù)據(jù)根據(jù)分類分為：①不可披露的數(shù)據(jù)；②不會(huì)影響到商業(yè)和個(gè)人的利益的數(shù)據(jù)，可以自由流動(dòng)，沒(méi)有限制跨境傳輸?shù)谋匾虎巯拗屏鲃?dòng)的數(shù)據(jù)。

而根據(jù)數(shù)據(jù)流動(dòng)規(guī)制強(qiáng)度檔次，目前世界主要國(guó)家分為以下幾種類型：①?gòu)?qiáng)烈要求有關(guān)數(shù)據(jù)必須儲(chǔ)存在境內(nèi)服務(wù)器上；②歐盟，相當(dāng)于數(shù)據(jù)本地化。③限制傳輸遞減，主要是美國(guó)。中國(guó)的數(shù)據(jù)跨境傳輸還沒(méi)有清晰的界定，有關(guān)數(shù)據(jù)跨境傳輸?shù)囊?guī)制還不是非常系統(tǒng)，而且在整個(gè)法律體系中側(cè)重于限制數(shù)據(jù)的出境。

跨境數(shù)據(jù)流動(dòng)對(duì)國(guó)際貿(mào)易的影響是顯而易見(jiàn)的，跨境數(shù)據(jù)流動(dòng)的規(guī)則正逐漸成為一個(gè)核心規(guī)則。保護(hù)個(gè)人信息的隱私以及數(shù)據(jù)可以采取例外措施，是我國(guó)家跟其他國(guó)家交往中所提出跨境數(shù)據(jù)限制的一些主觀因素。國(guó)際規(guī)則和國(guó)內(nèi)規(guī)則需要相互協(xié)同，需要平衡數(shù)據(jù)本地化的主權(quán)利益與跨境數(shù)據(jù)超主權(quán)的訴求，從而平衡貿(mào)易壁壘和貿(mào)易自由化的關(guān)系。

中國(guó)信息安全研究院副院長(zhǎng)左曉棟認(rèn)為，《辦法》能夠很好的平衡安全和發(fā)展的關(guān)系，以自評(píng)估為主，只有達(dá)到一定條件才由主管部門(mén)進(jìn)行評(píng)估，這為促進(jìn)數(shù)據(jù)的跨境流動(dòng)提供了很大的支持，比歐洲的GDPR寬松很多。我們對(duì)于數(shù)據(jù)出境概念的理解應(yīng)該更宏觀一些，出口管控的這些東西相當(dāng)多的是以知識(shí)產(chǎn)權(quán)的形式體現(xiàn)，可以廣義理解為數(shù)據(jù)。

目前很難找到某個(gè)國(guó)家出臺(tái)專門(mén)文件針對(duì)非個(gè)人信息的重要數(shù)據(jù)或者其他數(shù)據(jù)的保護(hù)和流動(dòng)。原因有二：其一，難以確定這些重要數(shù)據(jù)里面不包含個(gè)人信息。其二，很多國(guó)家對(duì)于非個(gè)人信息的數(shù)據(jù)管理是散見(jiàn)于各類規(guī)章制度的。

2.圍繞價(jià)值的頂層設(shè)計(jì)建構(gòu)

國(guó)家網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局副局長(zhǎng)胡嘯表示,制定《辦法》是《網(wǎng)安法》的明確要求，是為了保護(hù)國(guó)家安全，保護(hù)公民、法人及其他組織的合法權(quán)益，促進(jìn)網(wǎng)絡(luò)信息依法有序自由流動(dòng)。

針對(duì)有專家提出，《辦法》第二條把《網(wǎng)安法》里面的關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者改成了網(wǎng)絡(luò)運(yùn)營(yíng)者，①第二條 網(wǎng)絡(luò)運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)，應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照本辦法進(jìn)行安全評(píng)估。這樣的改動(dòng)是不是擴(kuò)大了評(píng)估對(duì)象范圍的問(wèn)題，胡嘯回應(yīng)說(shuō)：《辦法》首先要考慮立法的初衷，立法的初衷都是為了保障個(gè)人信息和重要數(shù)據(jù)的安全。如果不把關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者之外的其他網(wǎng)絡(luò)運(yùn)營(yíng)者控制的個(gè)人信息和重要數(shù)據(jù)出境納入評(píng)估范圍，可能因?yàn)檫\(yùn)營(yíng)者對(duì)數(shù)據(jù)的控制減弱難以保障個(gè)人信息和數(shù)據(jù)安全。

《辦法》第8條明確指出評(píng)估對(duì)象，重點(diǎn)評(píng)估以下內(nèi)容，②第八條 數(shù)據(jù)出境安全評(píng)估應(yīng)重點(diǎn)評(píng)估以下內(nèi)容：(一)數(shù)據(jù)出境的必要性;(二)涉及個(gè)人信息情況，包括個(gè)人信息的數(shù)量、范圍、類型、敏感程度，以及個(gè)人信息主體是否同意其個(gè)人信息出境等;(三)涉及重要數(shù)據(jù)情況，包括重要數(shù)據(jù)的數(shù)量、范圍、類型及其敏感程度等;……第一個(gè)數(shù)據(jù)出境是不是必要，必要性怎么樣。第二個(gè)涉及個(gè)人信息情況，尤其是提到了個(gè)人信息主體是否同意其個(gè)人信息出境，也提到了要評(píng)估涉及重要數(shù)據(jù)的情況，還重點(diǎn)要去評(píng)估數(shù)據(jù)接收方安全保護(hù)措施、能力和水平，以及所在國(guó)家、地區(qū)網(wǎng)絡(luò)安全環(huán)境等等。還有數(shù)據(jù)出境及再轉(zhuǎn)移后被泄漏、損毀、篡改、濫用等風(fēng)險(xiǎn)。當(dāng)然還有其他評(píng)估內(nèi)容。

評(píng)估內(nèi)容里面，個(gè)人信息怎么界定，重要數(shù)據(jù)怎么界定？政府正在做的還有兩項(xiàng)工作，一個(gè)是正在制定《個(gè)人信息安全規(guī)范》國(guó)家標(biāo)準(zhǔn)，還做了一個(gè)《重要數(shù)據(jù)識(shí)別指南》，是文件來(lái)指導(dǎo)，來(lái)識(shí)別有沒(méi)有重要數(shù)據(jù)。

國(guó)家創(chuàng)新與發(fā)展戰(zhàn)略研究會(huì)會(huì)長(zhǎng)郝葉力強(qiáng)調(diào)，安全的問(wèn)題最后落到實(shí)處是如何看待數(shù)據(jù)的跨境流動(dòng)。在國(guó)家出臺(tái)了一項(xiàng)法律政策之后，有必要立刻引起官方的，體制內(nèi)、體制外企業(yè)，甚至于國(guó)內(nèi)外的上下互動(dòng)。談?wù)摲秶粌H要有體制內(nèi)的，還有更多體制外的，企業(yè)的，微軟的，美國(guó)的等。實(shí)際的跨境流動(dòng)想要安全穩(wěn)定的發(fā)展，就需要達(dá)到一個(gè)平衡，需要在一個(gè)大范圍內(nèi)廣泛的交流、溝通。目的就是為了在全球化時(shí)代促進(jìn)信息共享，促進(jìn)數(shù)字經(jīng)濟(jì)的發(fā)展，在安全的前提下不阻礙數(shù)據(jù)的流動(dòng)、信息的流動(dòng)。

3.依據(jù)性質(zhì)的差別規(guī)范設(shè)計(jì)

西安交通大學(xué)信息安全法律研究中心主任馬民虎認(rèn)為，各國(guó)根據(jù)自己不同的數(shù)據(jù)保障能力以及工業(yè)技術(shù)發(fā)展水平，針對(duì)本地化政策提出了三種主要模式：1.第一種是禁止數(shù)據(jù)離境；2.第二種模式是將數(shù)據(jù)中心建在境內(nèi)，增加的國(guó)家對(duì)數(shù)據(jù)的控制力，便利執(zhí)法；3.第三種是在數(shù)據(jù)傳輸前進(jìn)行安全評(píng)估。

評(píng)估方式：1.可能侵害個(gè)人利益的個(gè)人信息或者是沒(méi)有經(jīng)過(guò)數(shù)據(jù)主體同意，或是對(duì)于國(guó)家有一些危害的；2.數(shù)據(jù)離境前進(jìn)行安全評(píng)估。

評(píng)估保障措施：1.行業(yè)主管部門(mén)定期進(jìn)行安全檢查；2.網(wǎng)絡(luò)運(yùn)營(yíng)者至少每年一次的安全評(píng)估以及接收方發(fā)生重大變化的時(shí)候重新進(jìn)行評(píng)估；3.安全評(píng)估辦法也賦予和公民和組織的舉報(bào)權(quán)。

中國(guó)人民大學(xué)網(wǎng)絡(luò)犯罪與安全研究中心秘書(shū)長(zhǎng)謝君澤指出，建議采用《網(wǎng)絡(luò)法》原來(lái)的寫(xiě)法，其他的運(yùn)營(yíng)者參照法律的技術(shù)性，或者法律解釋體系。數(shù)據(jù)評(píng)估后出境，國(guó)外的機(jī)構(gòu)用以違法犯罪活動(dòng)，我國(guó)是否有追究它的能力，這涉及到國(guó)家司法管轄權(quán)，如何基于傳統(tǒng)的管轄原則建立起數(shù)據(jù)的管轄原則。

簡(jiǎn)單歸納有四種意義，第一，對(duì)于境外獲取或者購(gòu)買(mǎi)者有約束力。第二是救濟(jì)。第三個(gè)是對(duì)數(shù)據(jù)主權(quán)的宣誓。最后，在學(xué)理上的意義，這是信息時(shí)代或者網(wǎng)絡(luò)時(shí)代非常有特色的，無(wú)論是國(guó)際法層面，還是國(guó)內(nèi)法層面，非常值得探究，應(yīng)該是中國(guó)首創(chuàng)的。

北京理工大學(xué)計(jì)算機(jī)學(xué)院院長(zhǎng)助理、網(wǎng)絡(luò)與信息安全學(xué)科方向責(zé)任教授祝烈煌表示，數(shù)據(jù)共享交換帶來(lái)的好處是顯而易見(jiàn)的，所以數(shù)據(jù)分享是不可避免的，這種情況下將會(huì)帶來(lái)個(gè)人隱私泄漏或者是數(shù)據(jù)泄漏。

祝烈煌針對(duì)《辦法》中的評(píng)估機(jī)制提①第七條 網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)在數(shù)據(jù)出境前，自行組織對(duì)數(shù)據(jù)出境進(jìn)行安全評(píng)估，并對(duì)評(píng)估結(jié)果負(fù)責(zé)。出兩點(diǎn)，一是網(wǎng)絡(luò)運(yùn)營(yíng)者自己有沒(méi)有能力進(jìn)行評(píng)估，或是否意識(shí)到應(yīng)該做評(píng)估。如果借助第三方，第三方的能力怎么認(rèn)定。第二是數(shù)據(jù)出境后責(zé)任主體確認(rèn)問(wèn)題。比如泄露平臺(tái)與服務(wù)平臺(tái)責(zé)任主體如何界定。被動(dòng)泄漏從法律上如何歸責(zé)。二是《辦法》提到數(shù)據(jù)出境可能要得到用戶主體的確認(rèn)，②第八條 數(shù)據(jù)出境安全評(píng)估應(yīng)重點(diǎn)評(píng)估以下內(nèi)容：（一）數(shù)據(jù)出境的必要性；（二）涉及個(gè)人信息情況，包括個(gè)人信息的數(shù)量、范圍、類型、敏感程度，以及個(gè)人信息主體是否同意其個(gè)人信息出境等；]但實(shí)施過(guò)程中，存在效率低，或用戶未注意到的情況，這類問(wèn)題該如何處理。在云服務(wù)里面出境的位置如何界定，以及數(shù)據(jù)在加密后處于何種地位。同時(shí)，區(qū)塊鏈本身是全球共享的技術(shù)，共享與數(shù)據(jù)安全該如何平衡。

4.基于行業(yè)的利益平衡規(guī)則

國(guó)家網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局副局長(zhǎng)胡嘯表示：

1.評(píng)估辦法由誰(shuí)來(lái)評(píng)估的問(wèn)題。除了網(wǎng)絡(luò)運(yùn)營(yíng)者自行評(píng)估之外，行業(yè)主管部門(mén)和監(jiān)管部門(mén)在滿足一定情況下也要進(jìn)行安全評(píng)估。當(dāng)然這里面提了一些條件，不是所有數(shù)據(jù)出境都要由行業(yè)和主管部門(mén)進(jìn)行評(píng)估。

2.如果含有或者累計(jì)含有50萬(wàn)人以上的個(gè)人信息要報(bào)行業(yè)主管部門(mén)進(jìn)行評(píng)估；數(shù)據(jù)超過(guò)一千GB的情況要報(bào)行業(yè)主管部門(mén)進(jìn)行評(píng)估；包含核設(shè)施、化學(xué)生物、國(guó)防軍工、人口健康等領(lǐng)域數(shù)據(jù)，大型工程活動(dòng)、海洋環(huán)境以及敏感地理信息數(shù)據(jù)等都要經(jīng)過(guò)主管部門(mén)進(jìn)行評(píng)估；③第九條 出境數(shù)據(jù)存在以下情況之一的，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)報(bào)請(qǐng)行業(yè)主管或監(jiān)管部門(mén)組織安全評(píng)估：（一）含有或累計(jì)含有50萬(wàn)人以上的個(gè)人信息；（二）數(shù)據(jù)量超過(guò)1000GB；（三）包含核設(shè)施、化學(xué)生物、國(guó)防軍工、人口健康等領(lǐng)域數(shù)據(jù)，大型工程活動(dòng)、海洋環(huán)境以及敏感地理信息數(shù)據(jù)等；（四）包含關(guān)鍵信息基礎(chǔ)設(shè)施的系統(tǒng)漏洞、安全防護(hù)等網(wǎng)絡(luò)安全信息；（五）關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者向境外提供個(gè)人信息和重要數(shù)據(jù)；（六）其他可能影響國(guó)家安全和社會(huì)公共利益，行業(yè)主管或監(jiān)管部門(mén)認(rèn)為應(yīng)該評(píng)估。行業(yè)主管和監(jiān)管部門(mén)不明確的由國(guó)家網(wǎng)信部門(mén)來(lái)組織評(píng)估。很多專家都會(huì)對(duì)50萬(wàn)人提出質(zhì)疑，憑什么50萬(wàn)人要報(bào)行業(yè)主管部門(mén)評(píng)估？我們認(rèn)為這兩個(gè)數(shù)據(jù)都是為了提高可操作性，聽(tīng)過(guò)專家、各方面意見(jiàn)的一個(gè)結(jié)果。如果沒(méi)有一個(gè)量的限制，沒(méi)有一個(gè)量的提法也很難操作，所以這是一個(gè)平衡之后的結(jié)果。

3.行業(yè)主管和監(jiān)管部門(mén)做這個(gè)安全評(píng)估應(yīng)當(dāng)于60個(gè)工作日內(nèi)完成，同時(shí)及時(shí)向網(wǎng)絡(luò)運(yùn)營(yíng)者反饋安全評(píng)估情況。④第十條 行業(yè)主管或監(jiān)管部門(mén)組織的安全評(píng)估，應(yīng)當(dāng)于六十個(gè)工作日內(nèi)完成，及時(shí)向網(wǎng)絡(luò)運(yùn)營(yíng)者反饋安全評(píng)估情況，并報(bào)國(guó)家網(wǎng)信部門(mén)。在這條上面立法時(shí)認(rèn)真考慮到了企業(yè)的訴求。

4.如何進(jìn)行評(píng)估？首先是自行評(píng)估，另外現(xiàn)在有很多專業(yè)服務(wù)機(jī)構(gòu)，所以也可以委托別人來(lái)進(jìn)行評(píng)估。

5.制定《辦法》過(guò)程中政府力圖平衡、保障個(gè)人信息和重要數(shù)據(jù)安全與保護(hù)網(wǎng)絡(luò)信息的合法有序自由流動(dòng)，我們也力圖平衡部門(mén)、專家、企業(yè)各方面的關(guān)切。

微軟亞太研發(fā)集團(tuán)總經(jīng)理羅立凡表示，要形成一個(gè)平衡，如果限制跨境數(shù)據(jù)流動(dòng)越強(qiáng)，雖然降低了個(gè)人數(shù)據(jù)被濫用的風(fēng)險(xiǎn)，外商一定要在境內(nèi)投資，促進(jìn)本國(guó)相關(guān)產(chǎn)業(yè)的發(fā)展，防止資源被外國(guó)控制等等，但是同樣也會(huì)影響新技術(shù)的引進(jìn)，阻礙本國(guó)信息產(chǎn)業(yè)走向全世界。

美國(guó)科文頓柏靈律師事務(wù)所高級(jí)顧問(wèn)羅嫣表示，數(shù)據(jù)跨境從法律上來(lái)講是一個(gè)全球的法律領(lǐng)域。首先，在技術(shù)層面，管理辦法的出臺(tái)并不足夠。立法的時(shí)候，效率和公平，以及效率和更高的立法目標(biāo)的平衡其實(shí)是很重要的。指南應(yīng)該提出一個(gè)較為客觀的細(xì)化標(biāo)準(zhǔn)。行業(yè)主管部門(mén)來(lái)評(píng)估數(shù)據(jù)出境是不是安全可控，但由于行業(yè)主管部門(mén)之間對(duì)于數(shù)據(jù)本身的跨境理解很可能會(huì)有參差不齊的情況，會(huì)造成在各個(gè)行業(yè)之間有一個(gè)不一樣的執(zhí)法尺度。數(shù)據(jù)出境以后輸入方的保護(hù)水平，是不是足夠，每一個(gè)行業(yè)主管部門(mén)是否都有一個(gè)比較平均的執(zhí)法水平，需要在實(shí)踐中得知。其次，安全評(píng)估辦法采用的是企業(yè)運(yùn)營(yíng)中產(chǎn)生的數(shù)據(jù)，數(shù)據(jù)是一個(gè)生態(tài)系統(tǒng)，在新興產(chǎn)業(yè)里，數(shù)據(jù)的歸屬很難判斷，會(huì)存有非常多的爭(zhēng)議。數(shù)據(jù)的主體會(huì)對(duì)處理方有不同的要求加以保證主體的合規(guī)義務(wù)，與此同時(shí)，主管部門(mén)的保護(hù)水平很難界定。

三、各方關(guān)注的其他問(wèn)題

除了以上四個(gè)主要方面，研討會(huì)中還有各種意見(jiàn)涉及《辦法》的其他方面，主要包括：

有意見(jiàn)認(rèn)為，數(shù)據(jù)的分類以及關(guān)鍵基礎(chǔ)設(shè)施的數(shù)據(jù)，是我們國(guó)家重點(diǎn)防范的對(duì)象，應(yīng)逐步加強(qiáng)國(guó)家數(shù)據(jù)標(biāo)準(zhǔn)模式；制定內(nèi)部傳輸，數(shù)據(jù)的交換協(xié)議、通信協(xié)議的標(biāo)準(zhǔn)；監(jiān)管部門(mén)、安全部門(mén)逐步完善數(shù)據(jù)的評(píng)估、監(jiān)測(cè)；逐步加強(qiáng)自身的安全意識(shí)；跟進(jìn)諸如加密等相關(guān)工具技術(shù)手段。

有意見(jiàn)建議，可以在具體的某個(gè)行業(yè)、某個(gè)產(chǎn)品的落地問(wèn)題放寬，多給企業(yè)一些空間。

有意見(jiàn)強(qiáng)調(diào)需要1.把握安全和自由之間的平衡度；2.設(shè)普通程序和簡(jiǎn)易程序，具體情況具體分析；3.明確審查60日的起始點(diǎn)。

有意見(jiàn)認(rèn)為，是否所有行業(yè)監(jiān)管機(jī)構(gòu)和監(jiān)管部門(mén)都有這個(gè)能力去評(píng)估這件事情？如果經(jīng)過(guò)了行業(yè)監(jiān)管機(jī)構(gòu)和行業(yè)主管評(píng)估之后如果真出了問(wèn)題，這個(gè)行業(yè)主管機(jī)構(gòu)要擔(dān)責(zé)任嗎？是不是可以考慮用民間的方式去解決？包括利用已有的認(rèn)證、鑒證業(yè)務(wù)機(jī)構(gòu)，以簡(jiǎn)化政府職能。

還有意見(jiàn)指出，1.國(guó)際上對(duì)于數(shù)據(jù)出境大概有兩種理解，一種就是數(shù)據(jù)硬性出境，就是說(shuō)數(shù)據(jù)傳輸?shù)骄惩膺M(jìn)行傳輸和處理。還有一種叫軟性出境，數(shù)據(jù)保存在境內(nèi)，但是國(guó)外公司或者主體對(duì)我過(guò)境內(nèi)儲(chǔ)存的數(shù)據(jù)進(jìn)行訪問(wèn)。從數(shù)據(jù)出境的概念上來(lái)看好像沒(méi)有明確說(shuō)明除了硬性出境以外軟性出境是不是適用《評(píng)估辦法》。2.關(guān)于安全評(píng)估的時(shí)間和結(jié)果問(wèn)題。60個(gè)工作日內(nèi)完成，需要有一個(gè)申訴或者復(fù)議程序會(huì)在將來(lái)網(wǎng)絡(luò)評(píng)估辦法中有明確的規(guī)定。3.涉及到公司的用戶敏感信息時(shí)，我們?cè)趺丛诎踩u(píng)估過(guò)程中處理好一個(gè)國(guó)外政府和國(guó)外公民的要求和審查之間的關(guān)系？

《網(wǎng)安法》將于2017年6月1日正式實(shí)施，這是我國(guó)在互聯(lián)網(wǎng)立法上前進(jìn)的重要一步，隨之互聯(lián)網(wǎng)涉及的個(gè)人信息保護(hù)、關(guān)鍵基礎(chǔ)設(shè)施、跨境數(shù)據(jù)流動(dòng)等都將明確制度。立法需國(guó)家上層重視，更需要社會(huì)各界的共同參與，只有不斷的完善立法，明確規(guī)則，我國(guó)互聯(lián)網(wǎng)才能邁向輝煌。

（整理：石博元 責(zé)任編輯：鐘宇歡）

The Explain on the "Measures for the Assessment of Personal Information and Important Data Exit Security (Draft)"

Editorial Department

For the purpose of saving cost and improving performance,companies in the international market will inevitably integrated markets and unified distribution.Therefore,cross-border data fl ow will become the trend.Based on the market,legislative and research background of data cross-border flow,this paper reviewed and explained the "Measures for the Assessment of Personal Information and Important Data Exit Security (Draft)".

data cross-border fl ow,cybersecurity law,personal information

D922

A

1001-4225（2017）05-0074-05