李程远 腾讯公司产业政策部高级政务经理

　　《网络安全法》第一次从法律层面对数据出境安全提出了安全要求，具体为第三十七条“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”

　　目前正在制定中的技术标准《信息安全技术—数据出境安全评估指南》（以下称《指南》），将进一步细化对《网络安全法》第三十七条关于数据出境的规定。为从理解立法本意和符合法律要求的角度出发，深刻理解法律法规关于数据出境的要求，我们对以下概念的准确含义进行探讨：

　　01

　　境内运营

　　从字面看，法律仅对在境内运营中收集产生的个人信息和重要数据做出规定。境内的法律含义比较明确，而境内运营是指网络运营者在中华人民共和国境内开展业务，提供产品或服务的活动。

　　当前《指南》草拟的相关规定还特别关注到了网络运营者实体的注册地与其实际服务对象的问题。我们从立法本意来看，《中华人民共和国网络安全法》是为保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展制定。法律的保护对象是我国国家安全和社会公共利益，因此一些网络运营者虽未在中华人民共和国境内注册，但只要在中华人民共和国境内开展业务，或向中华人民共和境内提供产品或服务，也应属于境内运营。进一步地，可以从网络运营者开展的业务、提供的产品和服务的用户中中国用户的数量、是否使用中文、是否以人民币作为结算货币、是否向中国境内配送物流等方面判断其是否在中国境内运营。

　　相应的，一些网络运营者出于成本等因素考虑，虽在中华人民共和国境内注册，或将基础设施建设在我国境内，但仅向境外机构、组织或个人开展业务、提供商品或服务，且不涉及境内公民个人信息和重要数据，则不应视为境内运营。《指南》中此类规定，考虑到了业务实际场景，对可以排除在安全评估之外的情形予以了豁免。

　　02

　　重要数据

　　《网络安全法》针对出境行为所要求管理的数据只有两类，即个人信息和重要数据。其中公民个人信息已在《网络安全法》中作出了明确界定：个人信息，指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

　　而重要数据是指与国家安全、经济发展，以及社会公共利益密切相关的数据。显然，重要数据从字面理解应是涉及到国家安全、经济发展和社会公共利益层面的数据，从重要性和影响力等方面都要高于个人信息。对重要数据出境的管理也更为严格，从《指南》中看，对重要数据出境对国家安全、社会公共利益产生的影响等级判定的基础级别为4级（个人敏感信息的基础级别为3级）。

　　目前国家重要数据主要由各行业主管部门根据本行业情况给出，由于行业特点不同，部分行业将本属于个人信息的数据也视为本行业的重要数据，这无形中提高了这部分个人信息的监管要求，也为数据出境管理活动增加了复杂性，即：针对同一类数据，究竟应作为个人信息进行管理，还是作为重要数据管理的问题。

　　建议《指南》在下一步制定工作中，对二者作出更有效的区分。对重要数据的监管责任重大，只有与国家安全和经济发展切实相关的数据才应属于这个范畴，无论是主管部门还是持有数据的企业，都应本着审慎的态度，准确区分个人信息和重要数据，确保不同类别的数据得到妥善的保护和管理。

　　03

　　提供

　　提供系主体的主动性行为，法律的要求充分考虑到了网络攻击及主动行为造成数据出境的特殊情形，准确地将法律所管辖的数据出境的行为界定为数据控制者的主动行为。因此可知：在网络运营者不知情的情况下，被恶意攻击者窃取数据并传至境外的情况，不属于网络运营者向境外提供数据。

　　从立法本意上看，要求对网络运营者向境外提供个人信息和重要数据应经过评估，是为了保障个人信息和重要数据安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法利益。因此个人用户主动通过网络运营者提供的产品或服务将其信息传输到境外，也不属于网络运营者向境外提供数据。

　　04

　　个人信息主体同意

　　《指南》中要求个人信息出境前应征得个人信息主体同意，从立法本意上看，是为了保证信息主体的知情权和选择权，促进网络信息依法有序自由流动。值得注意的是，结合实际业务场景，目前《指南》拟规定以下已视为用户同意的场景：拨打国际及漫游电话、发送国际电子邮件、进行国际即时通信、通过互联网进行跨境交易以及其他个人主动行为，以及将合法向社会公开披露的个人信息出境等，这就更好地兼顾到了经济技术的发展和安全防护的要求。

　　05

　　数据出境

　　《指南》征求意见稿中规定：网络运营者通过网络等方式，将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据，通过直接提供或开展业务、提供服务（包括公开发布）、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。

　　可见，《指南》并未要求对所有的数据出境行为进行管理。从《网络安全法》立法本意来看，主要是为了防止境内收集和产生的个人信息和重要数据信息主体不知情、或不具有合法性和正当性的情况下被境外机构或个人获得，从而威胁到国家安全和公民利益或造成执法困难。

　　基于上述立法本意，对于非在境内运营中收集和产生的的个人信息和重要数据，经由本国出境，未经任何变动或加工处理的，以及虽在境内经过存储、加工处理，但仍不涉及境内运营中收集和产生的个人信息和重要数据的，均不属于数据出境的情形。

　　06

　　正当性

　　正当性与《网络安全法》第三十七条中“确需向境外提供的”提法中的“确需”相对应。对于向境外提供相关数据的企业、组织、机构来说，正当性主要指：履行合同义务所必需的；同一机构、组织内部开展业务所必需的；我国政府部门履行公务所必需的；其他维护网络空间主权和国家安全、经济发展、社会公共利益和保护公民合法利益需要的。

　　关于某一数据出境行为是否具有正当性的评判标准以及最终解释权是目前争论的焦点，即正当性是以数据出境行为发起者的解释为准，还是由主管监管部门的判断为准的问题。

　　我们还是从立法本意上分析这个问题，之所以关注数据出境行为的正当性，由法的基本理念中的恶人假设可知，正当性的规定是为了防止数据出境行为的发起方超出其业务所需，出于谋取不正当利益考虑而进行的数据出境行为。

　　从常理看，数据出境行为发起方应对数据出境行为的目的、过程等最具有发言权，也最能准确阐述数据出境的正当性。因此在执法层面，对数据出境行为正当性的解释说明应以出境行为的发起方为主，而主管监管部门可通过访谈、调研、技术测试等方式对其解释说明的真实性及科学性进行验证，从而作出数据行为是否必需的判断。

　　07

　　最小化原则

　　最小化原则可以理解为对数据出境行为必要性的进一步要求。即防止数据出境行为发起方在业务具备数据出境必要性的前提下，以超出其开展业务所必需的数量、频率将数据传输出境，从而造成安全风险。具体要求包括：向境外传输的个人信息应与出境目的相关的业务功能有直接关联（直接关联是指没有该信息的参与，相应功能无法实现）；向境外自动传输的个人信息频率应是与数据出境目的相关的业务功能所必需的频率；向境外传输的个人信息数量应是与数据出境目的相关的业务功能所必需的数量。

　　其中关于频率和数据的提法值得思考。此二者均是建立在“与出境目的相关的业务功能所必需的”这一前提下，而在当前的技术体系下，很多业务功能的实现是建立在性能和效率的基础上的。如视频通话服务，在网络状况很差时，可接受的传输时延是小于1秒，只有达到这一最低标准，才可以说基本实现了视频通话功能。如果时延是5秒，虽也能实现数据的传输，但并不能说实现了视频通话功能。因此这里最小化原则中关于“业务功能所必需的频率、数量”的提法，应将所必需的性能因素一并进行考虑。

　　随着经济全球化的发展，数据的跨境流动已成为不争的事实。在互联网时代，数据就像水和电一样是重要的资源，数据只有流动起来才能产生最大的价值。法律中对数据出境做出的规定，就是要在保障个人信息和重要数据安全的前提下，促进网络信息依法有序自由流动。各个国家之间的法律体系千差万别，政治环境良莠不齐，这就使得数据跨境流动的安全尤为重要。对《网络安全法》及相关配套法规标准中涉及到数据出境的重要概念进行梳理分析，明确法律法规要求，对于数据主体维护自身权益，持有数据的网络运营者规范自身行为、顺利开展业务、应对监管要求，主管政府机构促进行业发展、实施有效监管，均具有重要意义。