数据出境如何确保安全合规? 本文转自：人民邮电报数据出

本文转自：人民邮电报
【数据出境如何确保安全合规?】
文章图片

文章图片

数据出境主要指在中国境内的数据处理者通过网络及其他方式（如物理携带），将其在中国境内运营中收集和产生的数据，通过直接提供或开展业务、提供服务和产品等方式提供给境外组织或个人的一次性活动或连续性活动。
数据出境的主要情形
数据出境主要有以下三类情形：一是向本国境内机构提供数据，但该机构不属于本国司法管辖，如大使馆就属于使馆所在国的国家领土，不属于派遣国的国家领土；二是数据未转移存储至本国以外的地方，但可以被境外的组织、个人访问查看，不包括公开的数据和通过网页访问的数据；三是数据处理者集团内部数据由境内转移至境外，其中涉及其在境内运营中收集和产生的数据。
但是以下两种情形不属于数据出境：一是非在境内运营中收集和产生的数据经由本国出境，且数据未经任何加工处理；二是非在境内运营中收集和产生的数据，但在境内存储、加工处理后出境，不涉及境内运营中收集和产生的数据。
我国数据出境的主要法律规则
目前，我国数据出境的法律规则主要源于《网络安全法》《数据安全法》《个人信息保护法》这三大基础性法律。
2017年6月1日正式施行的《网络安全法》第三十七条规定了向境外提供数据的法律规则，即“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定” 。这是我国首条以法律的形式确立数据出境需要进行安全评估的规定，该规定有两层含义，一是关键信息基础设施的运营者在国内收集和产生的个人信息和重要数据应当在境内存储；二是因业务需要，确需向境外提供的，应当依法进行安全评估。
2021年9月1日施行的《数据安全法》是我国首部数据安全领域的基础性立法，该法第三十一条确立了数据出境的基本法律规则，即“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定” 。该条对数据出境的法律适用做了分工：一是关键信息基础设施的运营者收集和产生的重要数据确需出境的，适用《网络安全法》第三十七条的规定；二是关键信息基础设施运营者以外的“其他数据处理者”在国内收集和产生的重要数据出境，适用国家网信办制定的相关出境安全管理办法。
2021年10月，国家网信办公布了《数据出境安全评估办法（征求意见稿）》，其上位法包括：《网络安全法》《数据安全法》《个人信息保护法》。根据《数据出境安全评估办法（征求意见稿）》的要求，数据处理者向境外提供数据，符合以下五种情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：一是关键信息基础设施的运营者收集和产生的个人信息和重要数据；二是出境数据中包含重要数据；三是处理个人信息达到一百万人的个人信息处理者向境外提供个人信息；四是累计向境外提供十万人以上个人信息或者一万人以上敏感个人信息；五是国家网信部门规定的其他需要申报数据出境安全评估的情形。