更多类型的数据被纳入跨境流动监管

　　在数安条例公布之前，《网络安全法》《个人信息保护法》《数据安全法》对数据跨境流动仅仅是对个人信息和重要数据这两个类型来说，但数安条例将数据跨境流动监管的数据对象，做了较大扩展。如下表所示：

　　《网络安全法》

　　第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

　　《个人信息保护法》

　　个人信息

　　《数据安全法》

　　第三十一条　关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。

　　数安条例

　　第三十五条 数据处理者因业务等需要，确需向中华人民共和国境外提供数据的，应当具备下列条件之一：

　　（一）通过国家网信部门组织的数据出境安全评估；

　　（二）数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证；

　　（三）按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同，约定双方权利和义务；

　　（四）法律、行政法规或者国家网信部门规定的其他条件。

　　网络数据（简称数据）是指任何以电子方式对信息的记录。

　　所以，实际上数安条例对三个上位法对跨境监管的范围，做了比较大的扩展——也就是不再只是针对个人信息和重要数据，还包括其他非个人信息和非重要数据的数据。

　　在这样的扩展下，相应地制度就要做变革，至少有两个方面：一是数据出境安全评估制度，要包括对“非个人信息和非重要数据的数据”的安全评估设计。因为目前的安全评估草案【国家互联网信息办公室关于《数据出境安全评估办法（征求意见稿）》公开征求意见的通知】中第二条明确规定：“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息，应当按照本办法的规定进行安全评估；法律、行政法规另有规定的，依照其规定”。因此，目前的制度设计无法涵盖“非个人信息和非重要数据的数据”。

　　二是标准合同覆盖的范围需要扩展。最早出现标准合同的规定出现在《个人信息保护法》，针对的对象自然是个人信息。现在标准合同需要覆盖重要数据，还需要覆盖“非个人信息和非重要数据的数据”。

　　这样的扩展影响非常重大，比如向境外证监部门提供一个财务报表数据，不属于个人信息，假设也不属于重要数据，那么也需要根据数安条例第35条的规定来执行。类似的例子还有很多。

　　个人信息出境即“松了”也“严了”

　　根据数安条例，可以得出至少三个情形是豁免监管的。具体如下：

　　说明

　　具体实例

　　第二条 自然人因个人或者家庭事务开展数据处理活动，不适用本条例。

　　按照这条规定，个人自主、直接将自身的个人信息、家庭成员、朋友个人信息向境外提供，其个人的提供行为，不受本条例管辖。

　　这点在我国《个人信息保护法》中的规定是一致的，也与GDPR规定一致。

　　GDPR在Recital 18中明确提出：本条例不适用于自然人在纯粹的个人或家庭活动过程中对个人数据的处理，只要这些处理与专业或商业活动没有关系。（This Regulation does not apply to the processing of personal data by a natural person in the course of a purely personal or household activity and thus with no connection to a professional or commercial activity.）

　　个人自主登陆境外电商网站购买家用产品，并在境外电商网站填写其个人信息，包括姓名、联系方式、收货地址等。

　　第三十五条  数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的，或者为了保护个人生命健康和财产安全而必须向境外提供个人信息的除外。

　　按照《个人信息保护法》第十三条规定，“为订立、履行个人作为一方当事人的合同”而处理个人信息（包括对境外提供个人信息），和基于个人同意的个人信息处理，是不同的合法性事由。

　　同样，“为了保护个人生命健康和财产安全而必须向境外提供个人信息”，与《个人信息保护法》中“紧急情况下为保护自然人的生命健康和财产安全所必需”相近，但数安条例的表述中没有“紧急情况下”。这点是否意味着数安条例做了些许放宽？

　　个人通过平台预订境外的酒店或境外航空公司的机票，平台将个人的预订信息传输至境外的酒店和航空公司。

　　第三十八条 中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。

　　这样的条款也出现在了《个人信息保护法》之中——“中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。”

　　考虑到中国正在申请加入CPTPP和DEPA【见：数字贸易协定 | DEPA和CPTPP给国内数据本地化和跨境流动管控预留的“自由度”】，那是否意味着只要中国正式加入了这些经贸协定，国内法律法规对个人信息的跨境监管就可以“豁免”？

　　当然，这一点不仅需要网信办，还需要全国人大做出解释。

　　其实我们仔细对比《个人信息保护法》第三十八条的规定，和数安条例第三十五条的规定，会发现比较大的区别。

　　《个人信息保护法》

　　第三十八条 个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：

　　（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；

　　（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；

　　（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

　　（四）法律、行政法规或者国家网信部门规定的其他条件。

　　中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。

　　个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

　　《数安条例》

　　第三十五条 数据处理者因业务等需要，确需向中华人民共和国境外提供数据的，应当具备下列条件之一：

　　（一）通过国家网信部门组织的数据出境安全评估；

　　（二）数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证；

　　（三）按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同，约定双方权利和义务；

　　（四）法律、行政法规或者国家网信部门规定的其他条件。

　　数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的，或者为了保护个人生命健康和财产安全而必须向境外提供个人信息的除外。

　　《个人信息保护法》并没有豁免“为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的，或者为了保护个人生命健康和财产安全而必须向境外提供个人信息”这两个场景中的安全评估或认证或合同的义务。但是数安条例第三十五条却对此做了豁免。因此，可以说数安条例“松了”

　　于此同时，数安条例相比《个人信息保护法》更加严格了。这方面体现在对个人同意这方面。

　　《个人信息保护法》第十三条规定——“依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意”。这句话的意思是：《个人信息保护法》第十三条之后各个条文中，如果出现需要征得个人同意，或者个人单独同意的，只要存在《个人信息保护法》第十三条第二项至第七项规定情形时，都是可以豁免同意的。

　　但数安条例第三十六条明确“数据处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外数据接收方的名称、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外数据接收方行使个人信息权利的方式等事项，并取得个人的单独同意”。就好比说，个人通过平台预订境外的酒店或境外航空公司的机票，平台将个人的预订信息传输至境外的酒店和航空公司。这个例子中，平台将个人信息传输至境外酒店和航空公司，本身就是履行预订服务合同中的必要，进一步说，平台履行整个预订服务所涉及的各种个人信息处理，包括对境外提供个人信息，合法性基础都不是个人的同意。因此将个人信息传输至境外酒店和航空公司这个处理动作，也都不需要征得个人的同意。

　　这时候问题来了：这时候是否可以认为《个人信息保护法》第十三条中的表述，在法律效力方面是否能够优于数安法的这条规定？

　　数据处理者向境外提供数据应当履行的义务

　　对于数安条例第三十九条和第四十条的规定，按照个人信息、重要数据、非个人信息且非重要数据的数据，来归归类。

　　非个人信息且非重要数据的数据

　　采取合同等有效措施监督数据接收方按照双方约定的目的、范围、方式使用数据，履行数据安全保护义务，保证数据安全；

　　接受和处理数据出境所涉及的用户投诉；

　　数据出境对个人、组织合法权益或者公共利益造成损害的，数据处理者应当依法承担责任；

　　国家网信部门认定不得出境的，数据处理者应当停止数据出境，并采取有效措施对已出境数据的安全予以补救；

　　非经中华人民共和国主管机关批准，境内的个人、组织不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

　　个人信息

　　同上；以及如下：

　　不得超出网信部门安全评估时明确的出境目的、范围、方式和数据类型、规模等向境外提供个人信息和重要数据

　　不得超出报送网信部门的个人信息保护影响评估报告中明确的目的、范围、方式和数据类型、规模等向境外提供个人信息；

　　国家网信部门会同国务院有关部门核验向境外提供个人信息和重要数据的类型、范围时，数据处理者应当以明文、可读方式予以展示；

　　个人信息出境后确需再转移的，应当事先与个人约定再转移的条件，并明确数据接收方履行的安全保护义务。

　　数安条例第四十条“在每年1月31日前编制数据出境安全报告，向设区的市级网信部门报告上一年度以下数据出境情况”

　　重要数据

　　同“非个人信息非重要数据的数据”，以及如下：

　　不得超出网信部门安全评估时明确的出境目的、范围、方式和数据类型、规模等向境外提供个人信息和重要数据

　　国家网信部门会同国务院有关部门核验向境外提供个人信息和重要数据的类型、范围时，数据处理者应当以明文、可读方式予以展示；

　　数安条例第四十条“在每年1月31日前编制数据出境安全报告，向设区的市级网信部门报告上一年度以下数据出境情况”

　　这里面很有意思的一点是：在第三十九条中，“不得超出网信部门安全评估时明确的出境目的、范围、方式和数据类型、规模等向境外提供个人信息和重要数据”，似乎又把安全评估局限于个人信息和重要数据，而非一开始数安条例第三十五条要求的，需要覆盖“非个人信息且非重要数据的数据”。

　　对于数据跨境安全网关（数安条例第四十一条），就不做分析了。第四篇文章到此打住。（完）