文|天元律师事务所    楼奇    朱腾飞    吴晓洪随着大数据等信息技术的不断推广，数据资源已经成为国家的重要资源。政府逐渐重视从安全角度建立个人数据出境的管控体系。本文从数据出境的概念、数据出境的基本原则、数据出境的分类及不法出境的法律责任角度总结介绍数据出境的相关立法和案例。
一、数据出境的概念
从2018年2月28日起，苹果公司的中国内地用户使用iCloud服务及通过 iCloud存储的所有数据都将自动发送给云上贵州大数据产业发展有限公司并由“云上贵州”存储。与苹果公司类似的跨境运营的企业，数据的跨境传输是常态，尽管不同企业由于所处行业以及具体情况不同，其服务器中储存的数据类别存在差异，但共通的是企业服务器中储存的数据都存在包含个人信息和重要数据的可能性。
目前，我国有关“数据出境”的法规标准共有五部，分别是：
其中后四部未正式生效，但未来数据出境的管控措施应基本参照前述几部法规标准进行，因而具有极大的参考价值。
数据出境，根据《指南》是指网络运营者通过网络等方式，将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据，通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。《指南》进一步明确了数据出境包括以下情形：a)向本国境内、但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据；b)数据未转移存储至本国以外的地方，但被境外的机构、组织、个人访问查看的（公开信息、网页访问除外）；c)网络运营者集团内部数据由境内转移至境外，涉及其在境内运营中收集和产生的个人信息和重要数据的[1]
所谓个人信息，《民法典》对个人信息作了权威规定，第一千零三十四条：“自然人的个人信息受法律保护；个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定”。[2]   《指南》在个人信息基础上，还进一步明确了个人敏感信息，即指一旦泄露、披露或滥用可能危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等的个人信息。通常情况下，身份证号、银行卡号、健康记录、生物识别等属于个人敏感信息。
所谓重要数据，根据《指南》，是指相关组织、机构和个人在境内收集、产生的不涉及国家秘密，但与国家安全、经济发展、以及社会公共利益密切相关的数据（包括原始数据和衍生数据）。我国对重要数据出境的管理更为严格，《指南》中对重要数据出境对国家安全、社会公共利益产生的影响等级判定的基础级别分为4级（个人敏感信息的基础级别分为3级）。以此评估数据出境（个人权益受影响）等级，并根据等级进行进一步的修正，最终对影响程度进行分析。
对于数据出境的监管对象，《网络安全法》作出了是否为“关键信息基础设施运营者”的区分。而《安全评估办法》、《指南》、《个人信息出境安全评估办法》将数据出境的监管对象扩大为“网络运营者”，尽管这些规定尚未生效，但无论是《安全评估办法》还是《指南》均体现出我国目前数据出境监管趋严的态势。
除此以外，相关法律规范中还提及人口健康信息、人类遗传资源信息、国家秘密、国家情报、征信机构在中国境内采集的信息和银行业金融机构在中国境内收集的个人金融信息等出境的规范要求。这些数据信息的出境一样需要遵守我国数据出境规则。
二、数据出境基本原则
《网络安全法》第三十七条规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。《安全评估办法》第十一条规定“存在以下情况之一的,数据不得出境：个人信息出境未经个人信息主体同意,或可能侵害个人利益；数据出境给国家政治?经济?科技?国防等安全带来风险,可能影响国家安全?损害社会公共利益；其他经国家网信部门?公安部门?安全部门等有关部门认定不能出境的。”
《指南》对数据安全出境评估流程具体规定为“首先评估数据出境目的；数据出境目的不具有合法性、正当性和必要性，不得出境。在此基础上评估数据出境安全风险，将数据出境及再转移后被泄露、毁损、篡改、滥用等风险有效地降至最低限度”。
《个人信息出境安全评估办法》关于个人信息安全评估重点评估以下内容：（一）是否符合国家有关法律法规和政策规定；（二）合同条款是否能够充分保障个人信息主体合法权益；（三）合同能否得到有效执行；（四）网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件；（五）网络运营者获得个人信息是否合法、正当；（六）其他应当评估的内容。
由此总结目前我国要求的数据出境基本原则为授权原则、必要性原则、正当性原则和最小化原则。
1、授权原则，也即同意原则。一方面，个人信息要获得个人信息主体的同意；另一方面，重要数据、人类遗传资源信息等类型的数据，出境时需要获得国家相关部门的批准。从立法本意上看，是为了保证信息主体的知情权和选择权，促进网络信息依法有序自由流动。《指南》具体定义了个人信息主体同意，即“个人信息主体通过书面声明或主动做出肯定性动作，对其个人信息出境做出明确授权的行为”。值得注意的是，结合实际业务场景，目前《指南》拟规定以下视为用户已同意的场景：拨打国际及漫游电话、发送国际电子邮件、进行国际即时通信、通过互联网进行跨境交易以及其他个人主动行为，以及将合法向社会公开披露的个人信息出境等，这就更好地兼顾到了经济技术的发展和安全防护的要求。
2、必要性原则，必要性与《网络安全法》第三十七条中“确需向境外提供的”提法中的“确需”相对应。《指南》规定的必要性包括以下任一种或几种情况：1）履行合同义务所必需的；2）同一机构、组织内部开展业务所必需的；3）我国政府部门履行公务所必需的；4）履行我国政府或其他国家和地区、国际组织签署的条约、协议所必需的；5）其他维护网络空间主权和国家安全、经济发展、社会公共利益和保护公民合法利益需要的。
3、正当性原则。《指南》规定的正当性包括以下情形：1）个人信息主体已同意的（虽未经个人信息主体同意但是危及公民生命财产安全等紧急情况除外）；2）不违反相关主管部门规定。《个人信息出境安全评估办法》明确经安全评估认定个人信息出境可能影响国家安全、损害公共利益，或者难以有效保障个人信息安全的，不得出境。存在可能影响国家安全?损害社会公共利益或者其他经国家网信部门?公安部门?安全部门等有关部门认定不能出境的，则不允许出境。
4、最小化原则。最小化原则可以理解为防止数据出境行为发起方在业务具备数据出境必要性的前提下，以超出其开展业务所必需的数量、频率将数据传输出境，从而造成安全风险。具体要求包括：向境外传输的个人信息应与出境目的相关的业务功能有直接关联（直接关联是指没有该信息的参与，相应功能无法实现）；向境外自动传输的个人信息频率应是与数据出境目的相关的业务功能所必需的频率；向境外传输的个人信息数量应是与数据出境目的相关的业务功能所必需的数量。
三、数据出境分类
（一）合法数据出境合法数据出境，即符合法律规定的数据出境。合法的数据出境需要做到以下的要求。
首先，跨境运营企业在境内运营中收集和产生的个人信息和重要数据，应当在境内存储。《安全评估办法》明确要求企业在境内运营中收集和产生的个人信息和重要数据，应当在境内存储，因业务需要，确需向境外提供的，应当进行安全评估。因此，从我国境内获得的数据信息，运营者首先要保证在我国境内安全存储。
其次，跨境运营企业应当就个人信息出境向被收集者事先履行说明义务并确保获得其授权。《网络安全法》要求企业公开个人信息的收集与使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。因此企业需公开其收集与使用个人信息的规则并在信息收集阶段就获得被收集者对其采集、使用等各项行为的书面授权。随着未来《安全评估办法》的发布，跨境运营企业还需在收集与使用个人信息的规则中以及对企业采集、使用等各项行为的书面授权中增加对个人信息出境的目的、范围、内容、接收方及接收方所在的国家或地区的说明，并获得被收集者对其个人信息出境的同意（未成年人个人信息出境须经其监护人同意）。
第三，出境的数据经被收集者同意且不存在侵害个人利益的，或者不存在《安全评估办法》规定的数据不得出境的其他情形的。如《安全评估办法》第九条规定，数据存在以下情形的：（一）含有或累计含有50万人以上的个人信息；（二）数据量超过1000GB；（三）包含核设施、化学生物、国防军工、人口健康等领域数据，大型工程活动、海洋环境以及敏感地理信息数据等；（四）包含关键信息基础设施的系统漏洞、安全防护等网络安全信息；（五）关键信息基础设施运营者向境外提供个人信息和重要数据：（六）其他可能影响国家安全和社会公共利益，行业主管或监管部门认为应该评估，网络运营者应报请行业主管或监管部门组织安全评估。因而，网络运营者在境内的数据确需出境的，必须在数据出境前进行安全评估，必要时应报请行业主管或监管部门组织安全评估，若评估确定或者相关部门部门认为出境的数据将将会带来风险的，则不允许数据出境的。
另外，《指南》对数据出境的合法性明确为以下情况：1）不属于法律法规明令禁止的；2）不属于国家网信部门、公安部门、安全部门等有关部门认定不能出境的。《指南》同时对数据出境评估流程进一步细化，并对两种不同类型的评估提供了较为详细的指引：网络运营者的安全自评估和主管部门评估。
《个人信息出境安全评估办法》明确：个人信息出境前，网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。省级网信部门在收到个人信息出境安全评估申报材料并核查其完备性后，应当组织专家或技术力量进行安全评估。另外，《个人信息出境安全评估办法》规定网络运营者申报个人信息出境安全评估应提供以下材料，并对材料的真实性负责：（一）申报书；（二）网络运营者与接收者签订的合同；（三）个人信息出境安全风险及安全保障措施分析报告；（四）国家网信部门要求提供的其他材料。
（二）不法数据出境
与合法数据出境相对，不法数据出境是指违反法律规定的数据出境。在数据出境时未依照法律的规定获得个人信息所有人的同意，未进行国家规定的安全评估，或者未获得国家相关部门的批准，擅自提供数据信息给境外的机构或者个人的行为，就属于不法数据出境。依据目前已有的法律规定，可以将不法数据出境行为概括为以下两类：一、个人信息出境时未获得授权同意的；二、重要信息数据或其他可能给国家政治、经济、科技、国防等安全带来风险的数据信息出境时未进行安全评估，未获得相关部门批准。
运营者确需跨境传输数据的，必须符合法律规定。如果未经安全评估或相关部门的批准，擅自将数据信息提供给境外个人或者机构的，将会产生法律风险。
四、不法出境的法律责任
（一）个人信息未获授权
1、侵犯公民个人隐私/公民个人信息罪
网络运营者未经用户允许，而将用户个人信息提供给境外人员或者机构，轻则受到民法规范，承担侵犯隐私的民事责任，如赔礼道歉、消除影响以及赔偿损失。如果运营者提供数据出境后还谋取利益，情节严重造成较为严重的社会后果，可能构成侵犯公民个人信息罪，《刑法》第二百五十三条规定了“侵犯公民个人信息罪”，具体包括“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的”。
（二）重要数据未获批准
1、危害国家安全类犯罪
网络运营者若未经国家相关部门批准擅自将重要信息提供给境外机构、组织，可能构成我国《刑法》分则第一章中危害国家安全类的犯罪，如第一百一十一条“为境外窃取、刺探、收买、非法提供国家秘密、情报罪”。
2、拒不履行信息网络安全管理义务罪
《刑法修正案（九）》已针对网络服务提供者专门增设了一个罪名，即拒不履行信息网络安全管理义务罪。作为网络服务提供者的企业，若不依法履行相关的信息网络安全管理义务，企业本身及相关负责人员就可能因消极的不作为而承担刑事责任。《刑法》第二百八十六条之一规定：“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：（一）致使违法信息大量传播的；（二）致使用户信息泄露，造成严重后果的；（三）致使刑事案件证据灭失，情节严重的；（四）有其他严重情节的。”
上海浦东新区人民法院日前审结了一起拒不履行信息网络安全管理义务案件[3]。案中被告人胡某为非法牟利，租用国内、国外服务器，自行制作并出租“土行孙”、“四十二”翻墙软件，为境内2000余名网络用户非法提供境外互联网接入服务。2016年3月、2016年6月上海市公安局浦东分局先后两次约谈被告人胡某，并要求其停止联网服务。2016年10月20日，上海市公安局浦东分局对被告人胡某利用上海丝洱网络科技有限公司擅自建立其他信道进行国际联网的行为，作出责令停止联网、警告、并处罚款人民币15,000元，没收违法所得人民币40,445.06元的行政处罚。被告人胡某拒不改正，于2016年10月至2016年12月30日，继续出租“土行孙”翻墙软件，违法所得共计人民币236,167元。最终被法院判处拒不履行信息网络安全管理义务罪。
3、行政处罚
网络运营者未经国家相关部门批准擅自将数据信息提供给境外机构组织的，将受到行政处罚。根据《网络安全法》第六十六条：关键信息基础设施的运营者违法在境外存储网络数据，或者向境外提供网络数据的，由有关主管部门责令改正，给予警告，没收违法所得，处五万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
以数据出境第一案为例，该案中华山医院与深圳华大基因科技服务有限公司未经许可与英国牛津大学开展中国人类遗传资源国际合作研究，华山医院未经许可将部分人类遗传资源信息从网上传递出境。最终中国科技部决定处罚如下：1．接到本决定书之日起立即停止该研究工作的执行；2．销毁该研究工作中所有未出境的遗传资源材料及相关研究数据；3.自本决定书送达之日起停止华山医院涉及我国人类遗传资源的国际合作，整改验收合格后，再行开展。此案中，华山医院收集中国女性单相抑郁症的大样本病例，未经许可与英国牛津大学合作研究，且未经许可将部分人类遗传资源信息从网上传递出境。依据我国《人类遗传资源管理暂行办法》第四条：“国家对重要遗传家系和特定地区遗传资源实行申报登记制度，发现和持有重要遗传家系和特定地区遗传资源的单位或个人，应及时向有关部门报告。未经许可，任何单位和个人不得擅自采集、收集、买卖、出口、出境或以其他形式对外提供。” 因此，中国科技部根据《人类遗传资源管理暂行办法》第二十一条：“我国单位和个人违反本办法的规定，未经批准，私自携带、邮寄、运输人类遗传资源材料出口、出境的，由海关没收其携带、邮寄、运输的人类遗传资源材料，视情节轻重，给予行政处罚直至移送司法机关处理；未经批准擅自向外方机构或者个人提供人类遗传资源材料的，没收所提供的人类遗传资源材料并处以罚款；情节严重的，给予行政处罚直至追究法律责任。” 中国科技部责令涉案医疗机构停止研究工作，销毁所有未出境的遗传资源材料及相关研究数据，停止国际合作，进行整改。
根据以上法律法规和案例梳理，我们看到，在频繁地跨国交流过程中，数据出境已渗透到个人生活和企业经营的方方面面。因此，无论是跨国企业、数据企业还是公民个人都应对数据出境抱持谨慎态度，以防“一不留神”就跨越了违法违规的红线。
作者相关文章推荐：
?企业数据合规——从认识数据开始
?企业数据合规之数据法律属性辨析
?企业数据合规之数据采集那些事儿
?数据利用的法律责任
注释：
[1] 根据《指南》：非在境内运营中收集和产生的个人信息和重要数据经本国出境，未经任何变动或加工处理的，不属于数据出境。非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境，不涉及境内运营中收集和产生的个人信息和重要数据的，不属于数据处境。
[2]根据《指南》：个人信息是以电子或其他方式记录的能够单独或与其他信息结合识别自然人身份的各种信息，如姓名、出生日期、身份证号、个人账号信息、住址、电话号码、指纹、虹膜等；个人敏感信息，指一旦泄露、披露或滥用可能危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等的个人信息。通常情况下，身份证号、银行卡号、健康记录、身份识别等属于个人敏感信息。
[3]https://www.itslaw.com/detail?initialization=%7B%22category%22%3A%22CASE%22%2C%22id%22%3A%22213e8c5c-7316-4e8e-a9ef-9d713c06011b%22%2C%22anchor%22%3Anull%2C%22detailKeyWords%22%3A%5B%22%E6%8B%92%E4%B8%8D%E5%B1%A5%E8%A1%8C%E4%BF%A1%E6%81%AF%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%E7%AE%A1%E7%90%86%E4%B9%89%E5%8A%A1%E7%BD%AA%22%5D%7D#content_null 访问于2020年5月18日，案号：（2018）沪0115刑初2974号
声明
-本文仅为交流目的，不代表天元律师事务所的法律意见或对法律的解读，如您需要具体的法律意见，请向相关专业人士寻求法律帮助；
-本文系天元律师事务所原创，如需转载，请注明来源。