《网络数据安全管理条例（征求意见稿）》要点解读之数据跨境传输专题

2021年11月14日，国家互联网信息办公室（以下简称“国家网信办”）发布《网络数据安全管理条例（征求意见稿）》（以下简称“《数安条例草案》”），并向社会公开征求意见至2021年12月13日。

《数安条例草案》以《网络安全法》、《数据安全法》、《个人信息保护法》作为上位法依据，共九章七十五条。其中要点诸多，针对数据跨境安全传输、个人信息权利保护、赴国外上市与赴港上市的网络安全审查标准、互联网平台运营者义务等内容均分别做出细致规定。我们将分批次与主题对《数安条例草案》进行解读，本文为“数据跨境传输”专题。

一、 数据跨境传输前置程序与豁免

《数安条例草案》第三十五条第一款重申了《个人信息保护法》第三十八条中针对个人信息跨境传输前置程序的要求，并将其适用范围扩展到所有网络数据，包括：（1）通过国家网信部门组织的数据出境安全评估；（2）数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证；（3）按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同，约定双方权利和义务。《数安条例草案》第三十五条第二款则规定了对上述前置程序的豁免情形，即：（1）当数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的情形；及（2）为了保护个人生命健康和财产安全而必须向境外提供个人信息的情形。

根据上述规定，无论数据处理者向境外传输的数据是否包含个人信息、核心数据或重要数据，都需满足数据出境的三项前提条件之一，这将为企业的数据出境实践提出了更高的合规要求。其中关于标准合同的要求，目前国家网信部门尚未发布包括个人信息出境的任何标准合同。对于非个人信息、非核心数据及非重要数据的数据出境，企业需在安全评估及合同中重点评估、约定哪些方面的内容也需待相关法规进一步澄清。

“订立/履行合同所必需”、“保护个人生命健康和财产安全所必需”的豁免条款将为企业数据出境提供便利，但其具体范围有待进一步澄清。譬如境内用户使用境外企业开发的APP/小程序以获取相关服务，或者跨国企业为消费者提供全球化的服务等情形，是否可援引豁免条款有待进一步解释。另外，《数安条例草案》也没有明确对数据本地化做出任何明确规定。

二、个人信息跨境传输单独同意与获得同意的时机

《数安条例草案》第三十六条第一款重申了《个人信息保护法》第三十九条对于个人信息出境的单独同意要求，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

对于个人信息出境单独同意要求与《个人信息保护法》第十三条第一款第二项规定的基于“为订立、履行个人作为一方当事人的合同所必需”的豁免条款的关系，即如“为订立、履行个人作为一方当事人的合同所必需”而出境，是否无需就个人信息出境取得个人单独同意，一直存在不同意见，目前尚无政府部门明确解释。《数安条例草案》亦未对此问题明确回应。

《数安条例草案》第三十六条第二款另行规定，“收集个人信息时已单独就个人信息出境取得个人同意，且按照取得同意的事项出境的，无需再次取得个人单独同意。”根据此规定，如企业已在收集个人信息时就拟出境的事项获得个人单独同意，则无需在后续出境前重复获取单独同意。

三、数据出境安全评估

《数安条例草案》第三十七条规定了需要通过国家网信部门组织的数据出境安全评估的几种情形：（1）出境数据包含重要数据；（2）关键信息基础设施运营者和处理一百万以上个人信息的数据处理者向境外提供个人信息。

上述第二种情形中提及的“一百万”门槛与《数安条例草案》第十三条及国家网信办于2021年7月10日发布的《网络安全审查办法(修订草案征求意见稿)》¹中第六条规定的“处理一百万以上个人信息的数据处理者赴国外上市”需进行安全审查的规定相呼应。但值得注意的是，国家网信办于2021年10月29日发布的《数据出境安全评估办法（征求意见稿）》²规定的“累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息”则应通过安全评估的要求并未在《数安条例草案》得以重申。另，《数安条例草案》亦未规定出境安全评估的有效期。

数据处理者如违反上述义务，根据《数安条例草案》第六十四条，可能被有关部门勒令暂停数据出境，企业及相关负责人则会分别面临顶格罚金为一千万元及一百万元的处罚，具体如下：（1）由有关部门责令改正，给予警告，暂停数据出境，可以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；（2）情节严重的，处一百万元以上一千万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。

四、年度数据出境报告及向网信部门报告义务

《数安条例草案》第四十条规定了处理个人信息和重要数据的数据处理者应于每年1月31日前编制数据出境安全报告的义务与向设区的市级网信部门报告上一年度数据出境情况的义务，报告内容包含：（1）全部数据接收方名称、联系方式；（2）出境数据的类型、数量及目的；（3）数据在境外的存放地点、存储期限、使用范围和方式；（4）涉及向境外提供数据的用户投诉及处理情况；（5）发生的数据安全事件及其处置情况；（6）数据出境后再转移的情况。

《数安条例草案》未规定上述报告义务的豁免情况，这意味着实践中只要存在个人信息出境的企业均需履行上述义务。数据处理者如违反上述义务，根据《数安条例草案》第六十四条，可能被有关部门勒令暂停数据出境，企业及相关负责人则会分别面临顶格罚金为一千万元及一百万元的处罚，具体可参见上一小节“数据出境安全评估”中的法条详情。

《汽车数据安全管理若干规定（试行）》³第十四条对于向境外提供重要数据的汽车处理者亦提出报告要求，相较于《数安条例草案》第四十条，两者内容基本对应，但汽车数据处理者还需另行说明汽车数据出境的必要性，以及还需报告网信部门会同工业和信息化、公安、交通运输等有关部门明确需报告的其他情况的要求。因此，《数安条例草案》第四十条提出的要求与此前发布的《汽车数据安全管理若干规定（试行）》中的数据出境安全评估制度将如何衔接仍待进一步观察。

五、数据跨境传输其他义务

《数安条例草案》第三十九条规定了数据处理者向境外提供数据时应当履行的义务，除了《个人信息保护法》第三章针对数据跨境传输制定的各项规则外，三十九条如下新规值得注意：

（1）数据出境对个人、组织合法权益或者公共利益造成损害的，数据处理者应当依法承担责任。根据此规定，数据处理者可能需对因数据接收方导致的损害承担连带责任。

（2）存留相关日志记录和数据出境审批记录三年以上。三年的时间与《个人信息保护法》项下对于个人信息评估报告的保存时间相一致。

（3）国家网信部门认定不得出境的，数据处理者应当停止数据出境，并采取有效措施对已出境数据的安全予以补救。

（4）个人信息出境后确需再转移的，应当事先与个人约定再转移的条件，并明确数据接收方履行的安全保护义务。《数据出境安全评估办法（征求意见稿）》第九条规定数据处理者与境外接收方订立的合同中应当包含限制境外接收方将出境数据再转移给其他组织、个人的约束条款。该“约束条款”与上述《数安条例草案》第三十九条中规定的“与个人约定的再转移条件”有了具体的对应，在数据处理者设置该“约束条款”时可供参考。

六、“数据跨境网关”的设立与非法跨境VPN监管

《数安条例草案》第四十一条明确规定，国家设立“数据跨境网关”，对来源于境外的非法信息予以阻断传播。提供穿透、绕过数据跨境安全网关的程序、工具、路线，或为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务会受到《数安条例草案》第六十六条规定的处罚措施，其中顶格罚金为违法所得的十倍罚款，没有违法所得的顶格罚金为五十万元。

《电信条例》等现有法律、法规对于国际联网服务从牌照、使用规范等角度提出相关规定，但《数安条例草案》首次明确禁止了非法跨境程序、工具、路线等服务，并提出了更为严格的处罚后果。

除上述针对数据跨境传输制定的具体规定外，《数安条例草案》在个人信息权益的保护方面，赴国外上市与赴港上市的网络安全审查标准方面，以及互联网平台运营者义务的规定方面均有细致的补充。我们会在其他专题另行介绍。 

1. 中华人民共和国国家互联网信息办公室，《网络安全审查办法（修订草案征求意见稿）》，http://www.cac.gov.cn/2021-07/10/c_1627503724456684.htm. 

2. 中华人民共和国国家互联网信息办公室，国家互联网信息办公室关于《数据出境安全评估办法（征求意见稿）》公开征求意见的通知, http://www.cac.gov.cn/2021-10/29/c_1637102874600858.htm.

3. 中华人民共和国国家互联网信息办公室，《汽车数据安全管理若干规定（试行）》, http://www.cac.gov.cn/2021-08/20/c_1631049984897667.htm.