数据安全观察 | 哪些数据必须本地化存储？数据出境如何做好合规管理？【走出去智库】-ESG跨境

走出去智库观察

9月1日，《中华人民共和国数据安全法》和《关键信息基础设施安全保护条例》正式施行，均对数据跨境做出相关规定。新出台的《个人信息保护法》更是对数据跨境流动的规则作出了较为具体的规定。企业如何做好出境数据合规，成为关注的主要问题。

走出去智库（CGGT）特约法律专家、金诚同达律师事务所高级合伙人彭凯指出，《数据安全法》将“重要数据”的出境安全管理进行了二分监管，即对于“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据”出境，直接援引《网络安全法》的规定；但对于“其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据”，则需进一步由国家网信部门会同国务院有关部门制定出境安全管理办法，这也填补了非关键信息基础设施运营者的其他主体在向境外提供重要数据时的监管空白。

如何做好数据出境的合规管理？今天，走出去智库（CGGT）刊发金诚同达律师事务所彭凯、周晨黠、宋海新主编的《数据安全法合规指引》白皮书中涉及数据出境的内容，供关注跨境数据合规的读者参考。

要 点

CGGT，CHINA GOING GLOBAL THINKTANK

1、《个人信息保护法》进一步规定了个人信息的境内存储原则，规定“国家机关处理的个人信息”和“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者在中华人民共和国境内收集和产生的个人信息”需要以境内存储为原则。

2、重要数据出境，对于关键信息基础设施的运营者，需按照国家网信部门会同国务院有关部门制定的办法进行安全评估；对于一般的数据处理企业，需进一步由国家网信部门会同国务院有关部门制定出境安全管理办法。

3、需要注意的是，此处的数据出境问题并未包含关于数据对外共享的讨论，但是考虑到数据出境往往伴随着集团数据融合共享、公司对外共享数据等场景，因此亦很可能涉及到数据共享的相关规制，并进而引发新的合规要求。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

文/彭凯 周晨黠 宋海新

金诚同达律师事务所

自《网络安全法》实施以来，数据的本地化存储要求与出境合规就一直备受关注，也是众多跨国公司合规工作中的难点，《数据安全法》第三十一条，则自草案二审稿开始，加入了关于重要数据出境的相关管理要求。

此前关于这一问题的相关规定，主要以《网络安全法》为总领，辅以《GB/T35273—2020信息安全技术个人信息安全规范》等国家标准作为规范参考。在相关规范尚不健全的情况下，还存在《个人信息保护法》《个人信息和重要数据出境安全评估办法（征求意见稿）》《信息安全技术数据出境安全评估指南（草案）》《个人信息出境安全评估办法（征求意见稿）》《数据安全管理办法（征求意见稿）》等一系列尚未生效的法规、指南和标准，一定程度上也代表监管部门对这一问题的看法。

也正是因为相关规范尚不健全，而尚未生效的法规、指南和标准又将相应的合规要求进行了提升，实践中对于哪些数据需要境内存储、数据出境需要履行什么手续等问题存在较大的争议。

1、原则上需要本地化存储的数据

在《网络安全法》框架下，以境内存储为原则的数据主要系指“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据”。

作为《网络安全法》的初期配套文件，《个人信息和重要数据出境安全评估办法（征求意见稿）》将境内存储为原则的数据扩张为“网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据”。

在重要数据与个人信息分轨监管后，《个人信息出境安全评估办法（征求意见稿）》取代了上述《个人信息和重要数据出境安全评估办法（征求意见稿）》，其中对于个人信息的出境，不再以本地化存储为原则，而是以安全评估先于个人信息出境为原则。但在办法未落地的情况下，相关的安全评估亦无法实际开展，因此我们认为实质上并未改变以本地化存储为原则的现状。

《个人信息保护法》进一步规定了个人信息的境内存储原则，规定“国家机关处理的个人信息”和“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者在中华人民共和国境内收集和产生的个人信息”需要以境内存储为原则。在上述复杂规定之下，《数据安全法》更进一步，将以境内存储为原则的数据扩展为所有的“在中华人民共和国境内运营中收集和产生的重要数据”。

结合上述法律、法规和文件，我们总结了现阶段必须以境内本地化存储为原则的数据，具体包括：

1）在中华人民共和国境内运营中收集和产生的重要数据；

2）在中华人民共和国境内运营中收集和产生的个人信息；

3）国家机关处理的个人信息。

2、数据出境的前提与手续

在《网络安全法》框架下，“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据”如需向境外提供的，需按照“国家网信部门会同国务院有关部门制定的办法”进行安全评估。

《个人信息和重要数据出境安全评估办法（征求意见稿）》则对“网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据”向境外提供的行为设置了安全评估的要求，并对“含有或累计含有50万人以上的个人信息”“数据量超过1000GB”“包含核设施、化学生物、国防军工、人口健康等领域数据，大型工程活动、海洋环境以及敏感地理信息数据等”“包含关键信息基础设施的系统漏洞、安全防护等网络安全信息”“关键信息基础设施运营者向境外提供个人信息和重要数据”等情形下的数据出境附加了“报请行业主管或监管部门组织安全评估”的要求。另外对于个人信息的出境，也提出了“同意”这一前置要求。

而后《个人信息出境安全评估办法（征求意见稿）》将个人信息的出境评估义务变更为由网络运营者向所在地省级网信部门申报个人信息出境安全评估，但因为该办法未生效，也尚不存在报请省级网信部门进行出境安全评估的渠道。

《个人信息保护法》进一步将安全评估划分为，如属于“国家机关处理的个人信息”出境，需进行安全评估（未规定主体，从文义而言应由出境的国家机关自行评估）；如属于“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者在中华人民共和国境内收集和产生的个人信息”出境，则需通过国家网信部门组织的安全评估。此外，对于个人信息出境行为，除了通过国家网信部门组织的安全评估外，还设置了“按照国家网信部门的规定经专业机构进行个人信息保护认证”“按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务，并监督其个人信息处理活动达到本法规定的个人信息保护标准”等可选方案，一定程度上放宽了个人信息出境问题的监管态势。

《数据安全法》将“重要数据”的出境安全管理同样进行了二分监管，即对于“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据”出境，直接援引《网络安全法》的规定；但对于“其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据”，则需进一步由国家网信部门会同国务院有关部门制定出境安全管理办法，这也填补了非关键信息基础设施运营者的其他主体在向境外提供重要数据时的监管空白。

结合上述法律、法规和文件，我们梳理了针对企业不同类型数据在出境时的不同前提与手续，具体包括：

1）个人信息出境，在告知并征得信息主体个人的同意、经个人信息保护影响评估并记录出境情况后，对于关键信息基础设施的运营者，需按照国家网信部门会同国务院有关部门制定的办法进行安全评估；对于一般的网络运营者，可能选择“按照国家网信部门的规定经专业机构进行个人信息保护认证”或“按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务”，并监督其个人信息处理活动达到本法规定的个人信息保护标准等其他方式；

2）重要数据出境，对于关键信息基础设施的运营者，需按照国家网信部门会同国务院有关部门制定的办法进行安全评估；对于一般的数据处理企业，需进一步由国家网信部门会同国务院有关部门制定出境安全管理办法。

同时需要注意的是，此处的数据出境问题并未包含关于数据对外共享的讨论，但是考虑到数据出境往往伴随着集团数据融合共享、公司对外共享数据等场景，因此亦很可能涉及到数据共享的相关规制，并进而引发新的合规要求。

3、数据出境安全评估

考虑到目前国家网信部门尚未发布标准合同，个人信息保护认证机构也未设立，相应的网信部门安全评估制度亦未成型，为了满足日益趋严的监管要求，结合参考包括《信息安全技术数据出境安全评估指南（草案）》《GB/T 39335-2020 信息安全技术 个人信息安全影响评估指南》等在内的众多草案、指南、标准，我们建议有数据出境需求的企业可自行组织数据出境安全评估，一方面可以作为向监管部门证明履行相关数据保护义务的重要参考资料，另一方面也可以为未来的合规工作做好铺垫，未雨绸缪。

针对具体的数据出境场景，企业可从数据出境的合法正当、风险可控两方面展开数据出境安全评估，具体而言：

1）合法正当，包括数据合法性、授权同意的合法性，业务活动、履行合同的正当性等维度；

2）风险可控，包括数据属性（类型、敏感度、数量、范围、技术处理情况等维度）、收发双方的技术和管理能力、数据接收方所在国家或地区的整体法律环境等维度。

如评估结果显示数据出境的安全风险为极高或高的，企业可进一步修正数据出境计划，并对修正后的数据出境计划重新进行评估。

4、违法向境外提供重要数据的法律责任

从上述历次版本变更对比可以看出，《数据安全法》在正式稿增加了违法向境外提供重要数据的法律责任的规定，这里的法律责任主要适用于关键信息基础设施运营者之外的数据处理者。

对于关键信息基础设施的运营者而言，因为《数据安全法》第三十一条明确关键信息基础设施的运营者的重要数据出境安全管理适用《网络安全法》的规定，其法则亦主要指向《网络安全法》第六十六条的规定。

对于关键信息基础设施运营者之外的数据处理者，如果违反后续国家网信部门会同国务院有关部门制定的重要数据出境安全管理办法的规定，需要承担责令改正、警告、罚款的法律责任，情节严重的，除罚款额度提高外，还可以一并责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。

延展阅读

数据合规观察 | 面临新一轮数据监管浪潮，如何做好个保法、数安法与网安法三法合规联动

跨境数据合规 | 合规创造价值：新经济领域（拟）上市企业的若干合规要点分析

跨境数据合规 |《数据安全法》亮点解读：明确重要数据出境安全管理制度

跨境合规实务 | 美国又将7家中国超算实体列入清单，中企如何防范具体业务相关风险

反垄断观察 | “一分规，九分合”：从史上最高罚单看企业反垄断合规的重要性

专家简介

彭凯

执业领域：网络安全与数据合规、金融科技、公司治理与合规、收并购

走出去智库（CGGT）特约法律专家，金诚同达律师事务所高级合伙人，兼任复旦大学法律硕士专业学位实务导师，复旦大学法学院实务课程讲师，厦门市地方金融协会调解员，多家机构签约讲师，浪巅Shairk Intelligence 创始人，十字财经联合创始人。

执业以来为多家大型互联网公司、跨国企业、知名金融科技企业、金融机构、初创公司等提供常年及各类专项法律服务，深谙国内网络安全、数据治理、个人信息保护、互联网、金融领域法律法规，个人研究领域聚焦于网络安全、金融科技、大数据及人工智能，正持续围绕该等新兴领域进行研究及写作。

周晨黠

执业领域：网络安全与数据合规、争议解决、破产重整及保险

金诚同达律师事务所资深律师，毕业于上海交通大学法学院，先后获学士学位（法学及经济学）、硕士学位（法律）。自执业以来为多家金融科技公司、互联网企业、科技公司等提供有关网络安全、数据合规、个人信息与隐私保护等内容的咨询与专项法律服务。

曾代理包括建设工程施工合同纠纷、保险合同纠纷、融资租赁合同纠纷、股权回购纠纷等在内的众多商事争议解决案件，并在多个房地产建设工程项目、破产重整项目、内部调查项目中提供全流程专业法律服务，目前聚焦于个人信息保护与数据合规、人工智能、大数据、网络安全等多个新兴领域开展研究工作。

宋海新

执业领域：网络安全与数据合规、金融科技、公司治理与合规、争议解决

金诚同达律师事务所资深律师，毕业于上海交通大学凯原法学院，先后获学士学位、硕士学位。自执业以来为数十家互联网巨头、持牌金融机构、金融科技企业、大数据企业、初创公司等提供网络安全与数据合规、金融科技、公司治理与合规方面的常年及专项法律服务，并代理/负责包括软件开发纠纷、服务合同纠纷、民间借贷纠纷等在内的近十起争议解决案件。

主笔撰写数据合规专著1本，参与撰写金融科技专著1本，主笔撰写并公开发布数据合规文章30余篇，主笔撰写并公开发布金融科技文章10余篇。深谙国内数据合规和金融科技领域法律法规，个人研究领域聚焦于网络安全、大数据、人工智能及金融科技。

特别声明：以上文章内容仅代表作者本人观点，不代表ESG跨境电商观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与ESG跨境电商联系。