律师之道（三）｜数据保护的法律与实践

目前，许多律师业务中常常涉及数据合规监管，特别是与数据出境有关的法律问题。这类法律的变化比较快，与很多律师业务领域存在一些交叉和配合。本次分享将讨论与数据保护相关的法律法规，以及监管实践中与律师业务相关的内容，并着重介绍在目前我国数据监管体系下，需要特别重视的法律风险。

一、我国个人信息和数据保护立法的整体进程回顾

我国个人信息保护和数据安全法律法规体系的发展历程较短，但近年来发展速度很快，通过回顾这一领域的整体发展进程，可以发现我国的个人信息保护和数据安全领域的立法呈现显著的阶段性特征：在2010年前，相关法律法规比较少，直到2012年全国人民代表大会常务委员会发布《关于加强网络信息保护的决定》后，相关立法才逐步出台。从2012年到2017年，我国发布了一批相关的规定，重要的法律文件包括《消费者权益保护法》以及工信部和交通运输部出台的行业性规定，但此时的立法仍然呈现相对分散且不成体系的状态。在2016年11月，《网络安全法》发布，并于2017年6月1日正式实施。自此，我国关于个人信息保护和数据安全的立法正式进入了一个高速发展的时期，2021年《数据安全法》和《个人信息保护法》先后正式生效，由此标志着在个人信息保护和数据安全领域我国初步形成了以《网络安全法》《数据安全法》及《个人信息保护法》为核心的法律法规体系。

当然，我们从数据合规专业律师的角度去看数据出境领域的各项规定时，除了上述效力层级较高的法律及相应的合规要求外，还有非常多的行政法规、部门规章、地方性法规和推荐性的国家标准，以上细节性的规定也会对我们向客户提供意见具有重要的参考性意义。具体到数据出境领域的专门立法，2022年《数据出境安全评估办法》及《数据出境安全评估申报指南（第一版）》发布，2023年《个人信息出境标准合同办法》及《个人信息出境标准合同备案指南（第一版）》发布，标志着《个人信息保护法》下确立的三大数据出境合规路径中的两条路径，即数据出境安全评估路径和个人信息出境标准合同路径在实践中正式落地。其他的个人信息保护认证路径，目前也已有专门的认证机构来落地这项业务，推动我国数据出境合规路径的体系化。

二、数据出境的基本合规要求

数据出境在我国需要满足特定的合规要求：

第一，数据出境应满足业务必要性的要件，即并非所有业务中涉及的数据均可以出境。一方面，《个人信息保护法》第38条将个人信息出境限定为“个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的”。由此可见立法者对数据出境有两个限定：一是因“业务需要”，二是“确需”，即更多的企业可能需要考量，如果数据出境并非业务开展所必需，则应当将数据储存在中国境内。另一方面，需要特别注意的是，有些特定行业对数据出境实行强监管，例如汽车、医疗和金融行业。据此，我们在提供数据出境的法律咨询时，除了应阐明法律的一般性要求之外，还必须弄清楚企业所属行业是否存在特别的监管要求。

第二，对于个人信息出境，还需要满足关于告知和同意的特殊要求。根据《个人信息保护法》第39条的规定，“个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。”

第三，对于个人信息出境，应当事先开展个人信息保护影响评估。一方面，《个人信息保护法》第55条第4项规定了向境外提供个人信息这一情形。另一方面，第56条规定：“个人信息保护影响评估应当包括下列内容：（一）个人信息的处理目的、处理方式等是否合法、正当、必要；（二）对个人权益的影响及安全风险；（三）所采取的保护措施是否合法、有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。”

第四，对于开展不同业务的企业，可能需要适用不同的数据出境路径。具体而言，向境外提供重要数据，或是关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息，或自上一年1月1日起累计向境外提供10万人的个人信息或者1万人的敏感个人信息的数据处理者向境外提供个人信息的，需要向国家互联网信息办公室（以下简称“网信办”）申报数据出境安全评估，经审查通过后才能开展数据出境活动。

而对于其他一般的企业，则可以在实践中选择与境外接收方签订网信办发布的个人信息出境标准合同，并通过向网信办提交个人信息保护影响评估报告的方式开展个人信息出境活动。当然这个具体标准的适用要求需要根据国家网信部门的要求去动态地了解和更新。

第五，数据出境需要满足法律、行政法规或者国家网信部门规定的其他条件。比如，商品出口贸易的场景下可能需要遵守特定的货物清关程序；再如，对于一些特殊的数据，如人类遗传资源数据，原则上不能出境，除非经过主管机关科技部门的审批。

三、数据领域监管实践——热点透视

1、网络安全审查

在资本市场项目中，越来越多地需要考虑数据合规这一影响因素。我们尤其要注意，网络安全审查已成为中国企业在国外上市需要特别考虑的一个流程。

（1）关键信息基础设施的运营者采购网络产品与服务。《网络安全法》第35条规定：“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。”网络安全审查的审查对象最初主要是关键信息基础设施运营者，这是因为当关键信息基础设施存在漏洞而遭受网络攻击时，可能对其数量众多的用户产生严重不良影响，从而威胁社会公共安全。基于这样的背景，监管部门要求运营者在购买这些产品时应当向政府报送网络安全审查，政府会从产品供应环节安全可控的角度出发，就网络产品或服务是否存在系统安全漏洞而被第三方滥用角度去进行判断，从而允许或禁止企业采购某些网络产品和服务。

（2）数据处理。除了网络产品和服务采购，其实网络安全审查中还有一项重要的审查内容，即对数据处理活动的审查。在针对滴滴和知网进行处罚的案件中，主要的审查事项并非网络产品和服务的采购，而更多涉及对个人信息的处理活动。2022年2月15日开始实施的《网络安全审查办法》第7条规定：“掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。”其第16条第1款规定：“网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查。”换言之，之前监管机关认为对国家安全的活动主要是关键信息基础设施运营者使用网络产品和服务，而根据《网络安全审查办法》，如果企业的数据处理活动将对国家安全产生影响，则也会纳入网络安全审查的范围。

此外，需要特别强调的是，数据处理行为并没有特意区分个人信息或其他类型的数据，都属于《数据安全法》下广义的数据，且网络安全审查主要考量的是核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险，及其被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险。

（3）赴国外上市网络安全审查。关于“掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查”的规定，在具体的案例中，也非常值得探讨。首先，关于“掌握超过100万用户个人信息”，究竟该如何理解？目前在《数据安全法》和《个人信息保护法》中，均不含“掌握”一词。但在《个人信息保护法》中，个人信息处理者是在个人信息处理活动中自主决定处理目的、处理方式的组织、个人，即能够对个人信息处理活动拥有决定和控制权的组织、个人。如果我们可以对应到《个人信息保护法》下上述对个人信息处理活动拥有决定和控制权的角度来理解“掌握”，那么“掌握”意味着企业可以决定个人信息处理活动的目的。但是，还有一种情况在实践中可能比较模糊，比如企业为其他组织提供数据服务或存储空间，但是被处理的数据本身并不是由其直接收集；再如企业运营某种设施，可以接触到其他组织的数据。此时这种情况是否还算作“掌握”？以上问题都需要我们在实践中结合具体的情况进行分析判断。

其次，关于“用户”的含义也需要厘清。一方面，从字面含义理解，“用户”一般指企业提供服务的对象。但是就企业受托处理的情况而言，其服务的对象并不是通常意义上的“用户”，而是委托其开展数据处理活动的企业。实践中很难说委托处理活动完全不会对国家安全产生影响。同时，如果“用户”限于企业提供服务的对象，那么意味着企业内部的员工可能并不包含在“用户”的范围内，即仅限于2C（指交易双方分别为商家和用户的情形）企业，而2B（指交易双方均为商家的情形）场景下的很多个人信息主体是否要考虑被排除在外。另一方面，“用户”是指具有中国国籍的自然人，还是可以包括外籍自然人？或是指位于中国境内的自然人，还是包括位于中国境外的自然人？以上问题都需要我们结合日常碰到的案例的具体情况，进行具体分析后才能向客户提供准确的法律意见或建议。

最后，关于数量计算的标准，在实践中可能也会有更多的细节需要讨论。比如一家企业提供的服务业态可能非常多，某一业务条线下也许涉及的用户数量非常少，但是如果纳入其他业务条线，就可能导致用户数量变化很大。这需要我们在帮助客户开展数据处理活动摸排工作时，尽可能做到全面、准确。

以上问题均表明，当我们将一般性法律规定的标准套用到具体的案例时，需要特别小心地分析具体场景的不同，这样才能帮助企业在赴海外上市的过程中，准确地分析判断其数据处理活动是否已经符合中国数据保护法律的各项规定。

2、企业并购中的数据合规监管问题

在并购项目中，律师也会经常面临客户提出的有关数据合规的法律问题。业务整合后的业务连续性问题是很多产业投资人关注的重点，那么被收购公司如果在业务活动中存在大量的数据处理活动，则数据合规问题就可能成为收购能否最终成功的关键问题之一。

比如在我们处理的一个项目中，目标公司为商家提供数据分析的服务。据此，律师则需要从数据合规的角度判断上述业务是否合规；例如是否涉及个人信息的处理，包括敏感个人信息的处理活动是否已经取得个人的单独同意的问题。《个人信息保护法》还特别从目的限制的角度对人脸识别信息提供了更为严格的保护。其第26条规定：“在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。”

根据该规定，在未取得个人单独同意时，人脸识别信息在公共场所的收集应为维护公共安全所必需，且仅可用于维护公共安全的目的。因此在并购项目中，我们需要考虑监管的要求，向客户提供相应的法律判断，帮助客户分析数据合规事项可能对进行中的并购交易产生的潜在影响。

3、跨境调查、诉讼、仲裁中的数据出境问题

数据出境还有一类很特殊的情况，即涉及跨境调查、诉讼或仲裁等情况时，向境外的司法或执法机构提供境内的数据。

关于上述特殊出境情形，《个人信息保护法》及《数据安全法》均有所规定。首先，《个人信息保护法》第41条规定：“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准，个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。”《数据安全法》第36条也有类似规定：“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”

上述条文有以下几个问题需要关注：第一，“外国司法或执法机构”涵盖哪些范围；第二，当涉及外国司法或执法机构调取境内数据时，调取的方式是否包含在以上条文的规制范围内；第三，“非经中华人民共和国主管机关批准”，在实践中如何满足相关落地要求。

尤其需要关注的是，当涉及境外诉讼、仲裁或调查而需要境内律师人员向境外提供数据时，律师需要慎重判断客户是否可以提供，因为这不仅是客户需要履行的法律义务和承担的法律责任，也同样是律师需要注意的合规义务。

4、数据分类分级

目前在法律上主要有三类数据受到监管部门的特别关注，一是核心数据，二是重要数据，三是个人信息。其中对于重要数据范围的界定，一直是近年来实践中普遍关注的焦点，也是企业在日常数据合规工作中碰到的工作难点。

关于重要数据的范围，我国曾经发布的《信息安全技术 重要数据识别指南》（征求意见稿）中对重要数据进行了明确的列举，规定具有所列举的因素之一的属于重要数据，比如反映国家战略储备、应急动员能力的数据（如战略物资产能、储备量）；支撑关键基础设施运行或重点领域工业生产（如直接支撑关键基础设施所在行业、领域核心业务运行或重点领域工业生产）的数据等。

各行各业的主管部门也在制定专门的行业规则以确定重要数据的范围。例如，就《汽车数据安全管理若干规定（试行）》（由网信办、发改委、工信部、公安部、交通运输部五部门联合发布）对汽车行业的重要数据进行了列举，规定“重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益或者个人、组织合法权益的数据”，也举例进行了说明，例如（1）军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据；（2）车辆流量、物流等反映经济运行情况的数据；（3）汽车充电网的运行数据；（4）包含人脸信息、车牌信息等的车外视频、图像数据；（5）涉及个人信息主体超过10万人的个人信息；（6）其他监管部门认定的数据。

此外，该法律文件还对汽车行业重要数据的出境提出专门要求：“重要数据应当依法在境内存储，因业务需要确需向境外提供的，应当通过国家网信部门会同国务院有关部门组织的安全评估。”“汽车数据处理者向境外提供重要数据，不得超出出境安全评估时明确的目的、范围、方式和数据种类、规模等。”值得特别注意的是，目前监管部门要求，开展重要数据处理活动的汽车数据处理者应当在每年12月15日前向省、自治区、直辖市网信部门和有关部门报送年度汽车数据安全管理情况。

再如，在金融行业中，《金融数据安全 数据安全分级指南》附录C对重要数据进行了举例，规定金融行业的重要数据可包括“宏观特征数据、海量信息汇聚得到的衍生特征数据、行业监管机构决策和执法过程中的数据，以及关键信息基础设施网络安全缺陷信息等”。其中，宏观特征数据是指，可反映不可更改或长时间保持稳定的经济特征、社会特征的数据；海量信息汇聚得到的衍生特征数据是指，汇聚后覆盖多省份的金融消费者真实交易信息；行业监管机构决策和执法过程中的数据是指，行政机关、执法机关在履职或执法过程中收集和产生的不涉及国家秘密且未公开的受控数据；关键信息基础设施网络安全缺陷信息是指网络设备、服务器、信息系统等有关漏洞信息。

在工业和电信行业中，工业和信息化部发布的《工业和信息化领域数据安全管理办法（试行）》中也对工业和电信行业领域内的数据分类分级和重要数据识别进行了规定。

由于《数据安全法》第21条中明确规定，数据分类分级保护和重要数据目录由各地区、各部门确定，因此可以预见，未来各行业领域内的重要数据识别和判断规则会渐次出台，相关领域内的企业需要特别重视跟进相关立法动态，以便尽早安排自身业务中可能存在的数据出境合规工作。参与数据的认定和出境的合规工作的律师，需要提示客户全面考量这方面的合规要求。

声 明

《君合法律评论》所刊登的文章仅代表作者本人观点，不得视为君合律师事务所或其律师出具的正式法律意见或建议。如需转载或引用该等文章的任何内容，请注明出处。未经本所书面同意，不得转载或使用该等文章中包含的任何图片或影像。如您有意就相关议题进一步交流或探讨，欢迎与本所联系。