对于6月1日即将施行的《网络安全法》，互联网以及大数据行业企业关心更多的是新法将会给其业务带来的影响。而随着前几天肆虐全球的WannaCry病毒事件的发酵，网络安全问题似乎已经上升为全民议题，《网络安全法》更是成为热议话题。

作为专注于数据信息行业法律研究和服务的团队，在《网络安全法》即将实施的这一周时间，我们团队将每天一篇重磅推出针对互联网以及大数据行业企业的系列文章：大数据企业应当了解的《网络安全法》。

今天是第二篇：数据跨境转移合规，你准备好了吗 

《网络安全法》第三十七条

关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

我国数据跨境转移现状

即将实施的《网络安全法》引发了跨国企业的数据合规潮，纵观我国之前的数据跨境转移立法不难发现散见于《信息安全技术公共及商用服务信息系统个人信息保护指南》、《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》、《征信业管理条例》等文件和法规中关于跨境数据转移的规定，无论是法律位阶、规范领域和数据类型都颇有局限性。

而随着全球化的不断加强，国际经济贸易的不断深入，境外跨国企业及我国企业跨国经营的数据出境日益频繁，其中可能涉及我国公民个人信息、我国政治军事安全、经济发展的重要数据，因此数据跨境转移的流动性安全问题得到我国政府的高度重视，《网络安全法》第一次将数据出境安全作为一项核心内容，纳入国家网络空间安全整体框架，通过国家法律形式予以规范。

《网络安全法》关于数据跨境转移的规定解读

1、数据跨境转移的定义

数据跨境转移，即数据出境，是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据，提供给位于境外的机构、组织、个人。
从字面理解及国际的通行做法上“境外”指的是地理国界，但笔者认为，我国对“境外”的认定在以地理国界作为主要认定准则的情况下，应当参照《国家安全法实施细则》第三条的规定，即“境外机构、组织”包括境外机构、组织在中华人民共和国境内设立的分支(代表)机构和分支组织；“境外个人”包括居住在中华人民共和国境内不具有中华人民共和国国籍的人。

“提供”也应当做较广的解释，不仅包括境内向境外以任何方式提供，也指境外通过相关方式读取、获取规制数据；另外“提供”并不局限于网络传输方式，也包括通过物理载体，如硬盘和纸质材料等，或以其他方式进行的数据跨境转移。

2、主体要求

根据《网络安全法》第三十七条规定，被规范的数据跨境转移的主体要求为“关键信息基础设施的运营者”，而从第三十一条我们可以看出“关键信息基础设施”指的是“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的信息基础设施，具体范围和安全保护办法由国务院制定”。

另外，尽管《网络安全法》删掉了一审稿中提及的“用户数量众多的网络服务提供者所有或管理的网络和系统”的表述，但这并不意味一般的网络运营者不会成为规范对象。2017年4月11日由国家互联网信息办公室发布的《个人信息和重要数据出境安全评估办法（征求意见稿）》值得高度关注，该办法中被规范数据出境的主题为“网络运营者”，即网络的所有者、管理者和网络服务提供者。关于网络运营者的详细解读，可参见我们团队另一篇研究《网络运营者》。

3、数据类型

根据《网络安全法》第三十七条规定，被限制跨境转移的数据类型为“在中华人民共和国境内运营中收集和产生的个人信息和重要数据”。其中，个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。重要数据，是指与国家安全、经济发展，以及社会公共利益密切相关的数据，具体范围参照国家有关标准和重要数据识别指南。

而根据《个人信息和重要数据出境安全评估办法（征求意见稿）》，网络运营者应报请行业主管或监管部门组织安全评估的出境数据有：

（一）含有或累计含有50万人以上的个人信息；

（二）数据量超过1000GB；

（三）包含核设施、化学生物、国防军工、人口健康等领域数据，大型工程活动、海洋环境以及敏感地理信息数据等；

（四）包含关键信息基础设施的系统漏洞、安全防护等网络安全信息；

（五）关键信息基础设施运营者向境外提供个人信息和重要数据；

（六）其他可能影响国家安全和社会公共利益，行业主管或监管部门认为应该评估。

不得出境的数据有：

（一）个人信息出境未经个人信息主体同意，或可能侵害个人利益；

（二）数据出境给国家政治、经济、科技、国防等安全带来风险，可能影响国家安全、损害社会公共利益；

（三）其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。

可以看到，限制出境及绝对禁止出境的数据从数据规模、数据领域、敏感程度等角度加以考量，但禁止出境的三类数据具体范围目前仍难以确定。

首先就“个人信息”而言，在出境环节强调法定的知情原则确有必要，但“可能侵害个人利益”的情形却是难以预计的；

其次，以“可能影响国家安全、损害社会公共利益”为标准及在兜底条款中引入“有关部门”的自由裁量权，以判断特定数据出境的风险并据以绝对禁止出境，将会增加企业在实施过程中的不确定性。

4、法律责任《网络安全法》第六十六条规定，“关键信息基础设施的运营者违反本法第三十七条规定，在境外存储网络数据，或者向境外提供网络数据的，由有关主管部门责令改正，给予警告，没收违法所得，处五万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”

另外，数据跨境转移也可能涉及刑事责任，《刑法修正案（九）》补充规定了拒不履行信息网络安全管理义务罪：“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：

（一）致使违法信息大量传播的；

（二）致使用户信息泄露，造成严重后果的；

（三）致使刑事案件证据灭失，情节严重的；

（四）有其他严重情节的。

单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。”

此外，数据跨境转移还可能涉及间谍罪、为境外窃取、刺探、收买、非法提供国家秘密、情报罪等危害国家安全犯罪。

结语

《网络安全法》首次从国家法律层面限制数据跨境转移，无论是从法律层级、规范领域范围、数据类型，还是法律责任等角度来看，都显著超越我国之前的规范性文件，将对相关企业产生重大的影响，其中不仅包括传统的“外企”、跨国经营企业，也包括与境外企业有合作关系的企业。我们建议上述企业密切关注立法动向，关注相关部门具体规定以及在司法实践中的认定，促进企业在数据的收集、存储、跨境转移等各个方面做到合法合规。

作者：

观韬中茂(上海)律师事务所

周天一

吴丹君 首席数据官联盟专家组成员 首席数据官联盟首席律师

来源：数据猿