【国家网信部门安全评估制度】

第四十条 【国家网信部门 安全评估制度】

【条文主旨】

本条是关于两类特殊主体向境外提供个人信息的安全评估制度的规定。

【条文理解】

网络安全法第三十七条首次确立了个人信息出境前的安全评估制度，即对关键信息基础设施运营者提出了“数据本地化存储”“数据出境安全评估”的要求。随后， 《个人信息出境安全评估办法（征求意见稿）》将安全评估的适用范围扩大至所有网络运营者。本法则在两者间取得平衡，将适用范围限制在“关键信息基础设施运营者”和“处理个人信息达到国家网信部门规定数量的个人信息处理者”。相较于网络安全法，本法对数据本地化的主体进行了扩张；相较于上述评估办法征求意见稿，则是限缩了适用主体。

一、关键信息基础设施运营者

2017年施行的网络安全法第三十一条第一款率先对“关键信息基础设施运营者”的特点进行了归纳：“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。”从条文来看，该条采用了“列举+归纳”的方式对“关键信息基础设施”作了概括，但问题在于本条的法律解释的空间较大，不利于个人信息处理者在信息跨境准备阶段开展合规工作。

随后，《关键信息基础设施安全保护条例》在第二条规定：“本条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”显然，这一规定相较于前述规定更为具体，但仍然存在较大的不确定性。

尽管缺乏明确的范围，但从定义可知，相较于普通网络设施，关键信息基础设施具有较强的主权属性——数据泄露可能会导致危害公共利益及国家安全的严重后果，这一性质也决定了关键信息基础设施涉及众多的重要数据、敏感数据等信息，是数据安全风险来源的重点领域。

二、处理个人信息达到国家网信部门规定数量的个人信息处理者

根据济南市大数据局的公开资料，大数据（big data）或称巨量资料，是指“所涉及的资料量规模巨大到无法透过目前主流软件工具，在合理时间内达到撷取、管理、处理、并整理成为帮助企业经营决策更积极目的的资讯”。^[4]根据该定义，一个地区或国家的海量个人信息或许可以反映出该地区或该国的政治、经济、文化等重要信息，因此需要对这类信息进行重点监管。

不论是关键信息基础设施，还是处理个人信息达到国家网信部门规定数量的个人信息处理者，其所收集的个人信息不可避免地具有较强的主权属性，因此国家应当从私力救济及公力救济两方面对其提供保护，以维持个人信息的流动秩序，进一步维护公共安全及国家安全。

三、本地存储

“个人信息本地化（Data Localization）”是数据管控的方式之一，要求个人信息处理者将在境内收集的个人信息存储在境内，除非法律有明确要求或相关规定，否则收集的个人信息不可跨境传输。此外，要求特殊类型主体在境内收集和产生的个人信息存储在境内有利于本国的数字产业发展。原因在于，本国企业通过使用体量巨大的数据，在境内市场就拥有了境外企业不可比拟的数据优势，这也是国家数据监管政策的趋势体现。

除本法以外，其他法律规范也存在关于境内存储和跨境传输的规定。其中较为重点的法律规范如下：

（1）网络安全法第三十七条规定，“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定”。

（2）《人口健康信息管理办法（试行）》（国卫规划发〔2014〕24号）第十条第二款规定，“不得将人口健康信息在境外的服务器中存储，不得托管、租赁在境外的服务器”。

（3）《网络预约出租汽车经营服务管理暂行办法》（中华人民共和国交通运输部令2019年第46号）第二十七条第一款规定，“网约车平台公司应当遵守国家网络和信息安全有关规定，所采集的个人信息和生成的业务数据，应当在中国内地存储和使用，保存期限不少于2年，除法律法规另有规定外，上述信息和数据不得外流”。

（4）《深圳经济特区数据条例》第八十二条规定，“数据处理者向境外提供个人数据或者国家规定的重要数据，应当按照有关规定申请数据出境安全评估，进行国家安全审查”。

四、个人信息安全影响评估制度

2017年，我国首次在《信息安全技术 个人信息安全规范》 （GB/T 35273-2017）中提出了“开展个人信息安全影响评估”的要求，对安全影响评估的条件、内容等方面进行了规定；同年出台的《个人信息和重要数据出境安全评估办法（征求意见稿）》在第九条规定，“含有或累计含有50万人以上的个人信息”；网络技术委员会也发布了《关于开展国家标准〈信息安全技术 数据出境安全评估指南（草案）〉征求意见工作的通知》，而后，《信息安全技术 数据出境安全评估指南（征求意见稿）》就数据出境安全评估流程与评估要点，重要数据识别指南和个人信息和重要数据出境安全风险评估办法作了规定。

2019年，《个人信息出境安全评估办法（征求意见稿）》，将“数量触发安全评估”的机制改为“每2年进行一次评估，除非个人信息出境目的、类型、境外保存时间发生变化时应当重新评估”。

2020年，《信息安全技术 个人信息安全规范》（GB/T 35273-2020）替代了《信息安全技术 个人信息安全规范》（GB/T 35273-2017），对“开展个人信息安全影响评估”的相关细节进行了修改。同年，《信息安全技术 个人信息安全影响评估指南》（GB/T 39335-2020）发布，作为《信息安全技术 个人信息安全规范》（GB/T 35273-2020）的配套标准，该指南为影响评估提供了更为具体的方法论和指引。

2021年，《网络安全审查办法（修订草案征求意见稿）》新增了网络安全审查规定，其第六条要求“掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查”。

从本条来看，安全评估仍与“数量”相联系，未来相关部门还需出台确定数量的相关规范性文件，而其他规范性文件中确立的评估机制也需要进行相应调整。此外，相较于网络安全法“法律、行政法规另有规定的，依照其规定”，本条规定的则是“法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定”。显然，从语义上理解“规定可以不进行安全评估”的适用范围比“另有规定”要小得多，本法实施后，实务中安全评估的例外情形或许将显著减少。

【适用指南】

结合本法第三十八条、第三十九条及相关法律法规、国家标准等规范性文件，我国个人信息跨境传输及本地存储制度已初见端倪。

一、两类特殊主体

判断这一问题，首先需要明确企业的性质——是否属于“关键信息基础设施运营者”或“处理个人信息达到国家网信部门规定数量的个人信息处理者”。这两类个人信息处理者是个人信息保护领域的重点规制对象，其负有更为严苛的义务。因此，个人信息处理者在判断个人信息是否达到跨境条件时（应结合本法第三十八条及第三十九条的规定进行判断），首先，应当界定自身性质，方可明晰应当承担的法律义务及应当满足的跨境条件。举例而言，根据相关定义，可以判断银行属于“关键信息基础设施运营者”。其次，根据本条规定，银行在我国境内收集和产生的个人信息应当存储在境内；但根据本法第三十八条及第三十九条，若银行因业务等需要，确需向中华人民共和国境外提供个人信息时，则需要通过国家网信部门组织的安全评估，将相关事项告知个人并征得个人的单独同意。若违反上述规定，相关企业或负责人员可能面临行政或刑事处罚。若不属于本条规定的两类特殊主体，其他法律规范也没有相关规定，则个人信息处理者没有“本地化存储”的义务。

如前所述，尽管对于“关键信息基础设施”的界定已在相关立法中得到明确，但仍为概括性规定，没有明确的判断标准。目前，关于关键信息基础设施的界定，可参考《关键信息基础设施安全保护条例》第九条的规定，“保护工作部门结合本行业、本领域实际，制定关键信息基础设施认定规则，并报国务院公安部门备案。制定认定规则应当主要考虑下列因素：（一）网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度；（二）网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度；（三）对其他行业和领域的关联性影响”。就“处理个人信息达到国家网信部门规定数量的个人信息处理者”而言，暂无对具体数量明确规定的文件，如何进一步确认有赖于更为具体明确的文件加以说明。值得注意的是，2021年出台的《网络安全审查办法（修订草案征求意见稿）》第六条规定，“掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查”，此“100万用户个人信息”或许值得参考。

二、安全评估

当前尚未出台与本法相配套的安全评估制度，可以参考《信息安全技术 个人信息安全影响评估指南》《信息安全技术 数据出境安全评估指南（征求意见稿）》《个人信息出境安全评估办法（征求意见稿）》《网络安全审查办法（修订草案征求意见稿）》等文件。

1.《信息安全技术 个人信息安全影响评估指南》

《信息安全技术 个人信息安全影响评估指南》对个人信息安全影响评估的基本原理、实施流程进行了规定，适用于各类组织自行开展个人信息安全影响评估工作，同时可为主管监管部门、第三方测评机构等组织开展个人信息安全监督、检查、评估等工作提供参考。举例而言：以该标准第4.2条所规定的评估价值来看，个人信息处理者可参考的要点包括：

（1）在开展个人信息处理前，个人信息处理者可通过影响评估，识别可能导致个人信息主体权益遭受损害的风险，并据此采用适当的个人信息安全控制措施。

（2）对于正在开展的个人信息处理，个人信息处理者可通过影响评估，综合考虑内外部因素的变化情况，持续修正已采取的个人信息安全控制措施，确保对个人合法权益不利影响的风险处于总体可控的状态。

（3）个人信息安全影响评估及其形成的记录文档，可帮助个人信息处理者在政府、相关机构或商业伙伴的调查、执法、合规性审计等中，证明其遵守了个人信息保护与数据安全等方面的法律、法规和标准的要求。

（4）在发生个人信息安全事件时，个人信息安全影响评估及其形成的记录文档，可用于证明个人信息处理者已经主动评估风险并采取一定的安全保护措施，有助于减轻甚至免除组织相关责任和名誉损失。

（5）个人信息处理者可通过个人信息安全影响评估，加强对员工的个人信息安全教育。参与评估之中，员工能熟悉各种个人信息安全风险，增强处置风险的能力。

（6）对合作伙伴，个人信息处理者通过评估的实际行动表明其严肃对待个人信息安全保护，并引导其能够采取适当的安全控制措施，以达到同等或类似的安全保护水平。

此外第4.3条还规定了个人信息安全影响评估报告法的内容及用途，“个人信息安全影响评估报告的内容主要包括：评估所覆盖的业务场景、业务场景所涉及的具体的个人信息处理活动、负责及参与的部门和人员、已识别的风险、已采用及拟采用的安全控制措施清单、剩余风险等”。对于该标准的更多信息，本书不再一一列举。

2.《信息安全技术 数据出境安全评估指南（征求意见稿）》

《信息安全技术 数据出境安全评估指南（征求意见稿）》提出了个人信息和重要数据出境的安全评估流程、要点和方法，正式出台后可适用于网络运营者开展的个人信息和重要数据出境安全自评估，以及国家网信部门、行业主管部门组织开展的个人信息和重要数据出境安全评估。

对于安全自评估的启动条件，该标准征求意见稿第4.2.2条规定：网络运营者应每年开展安全自评估，满足以下条件之一时启动评估：

（1）涉及数据出境的；

（2）关键信息基础设施运营者进行数据出境之前的；

（3）已完成数据出境安全自评估的产品或业务所涉及的个人信息和重要数据出境，在目的、范围、类型、数量等方面发生较大变化、数据接收方变更或发生重大安全事件的；

（4）按照行业主管或者监管部门要求启动的。

应当注意的是，该条下同时注明：

（a）当网络运营者的数据出境满足连续出境的条件时，视为一次出境行为，免于重复评估；

（b）连续出境是指数据出境的目的、接收方相同，范围、类型、数量不发生较大变化，且两次数据出境间隔不超过一年的；

（c）数据出境涉及多方主体的如：云服务、转包服务等，根据数据出境发起方，确定安全自评估责任主体。如：云服务客户主动要求云服务提供商进行数据出境的，由云服务提供商配合云服务客户开展安全自评估，且由云服务客户承担相应责任。如云服务提供商主动要求进行出具出境的，由云服务客户配合云服务提供商开展安全自评估，且由云服务提供商承担相应责任。

对于主管部门安全评估的启动条件，该标准征求意见稿第4.3.2条规定，国家网信部门、行业主管部门根据数据出境类型、数量、范围、重要程度等，酌情组织开展主管部门评估。具有下列情形之一的，国家网信部门、行业主管部门可启动主管部门评估：

（1）一年内出境的个人信息数量达到国家网信部门、行业主管部门上报要求的；

（2）包含核设施、生物化学、国防军工、人口健康等领域数据，大型工程活动、海洋环境、敏感地理信息数据，以及其他重要数据的；

（3）涉及关键信息基础设施的安全缺陷、具体安全防护措施等网络安全信息的；

（4）关键基础设施运营者数据出境的；

（5）其他可能影响国家安全、经济发展和社会公共利益的；

（6）大量用户投诉、举报的；

（7）全国性行业协会建议的；

（8）其他经国家网信部门、行业主管部门认定有必要启动主管部门评估的

同样，对于该标准征求意见稿的更多信息，本书不再一一列举。

3.《个人信息出境安全评估办法（征求意见稿）》与《网络安全审查办法（修订草案征求意见稿）》

由于《个人信息出境安全评估办法（征求意见稿）》与《网络安全审查办法（修订草案征求意见稿）》的正式规范尚未颁布，其中关于个人信息出境的规定相较于前述标准性文件相对原则，因此本书摘取二者的要点进行比较。

第一，对于评估主体。《个人信息出境安全评估办法（征求意见稿）》第三条第一款和第二款规定：“个人信息出境前，网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。向不同的接收者提供个人信息应当分别申报安全评估，向同一接收者多次或连续提供个人信息无需多次评估。”

第二，对于评估周期。《个人信息出境安全评估办法（征求意见稿）》第三条第三款规定：“每2年或者个人信息出境目的、类型和境外保存时间发生变化时应当重新评估。”

第三，对于评估须提交的材料。《个人信息出境安全评估办法（征求意见稿）》第四条规定：“网络运营者申报个人信息出境安全评估应当提供以下材料，并对材料的真实性、准确性负责：（一）申报书。（二）网络运营者与接收者签订的合同。（三）个人信息出境安全风险及安全保障措施分析报告。（四）国家网信部门要求提供的其他材料。”第十七条规定：“网络运营者关于个人信息出境安全风险及安全保障措施分析报告应当至少包括：（一）网络运营者和接收者的背景、规模、业务、财务、信誉、网络安全能力等。（二）个人信息出境计划，包括持续时间、涉及的个人信息主体数量、向境外提供的个人信息规模、个人信息出境后是否会再向第三方传输等。（三）个人信息出境风险分析和保障个人信息安全和个人信息主体合法权益的措施。”《网络安全审查办法（修订草案征求意见稿）》第八条规定：“运营者申报网络安全审查，应当提交以下材料：（一）申报书；（二）关于影响或可能影响国家安全的分析报告；（三）采购文件、协议、拟签订的合同或拟提交的IPO材料等；（四）网络安全审查工作需要的其他材料。”

第四，对于评估内容。《个人信息出境安全评估办法（征求意见稿）》第六条：“个人信息出境安全评估重点评估以下内容：（一）是否符合国家有关法律法规和政策规定。（二）合同条款是否能够充分保障个人信息主体合法权益。（三）合同能否得到有效执行。（四）网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件。（五）网络运营者获得个人信息是否合法、正当。（六）其他应当评估的内容。”《网络安全审查办法（修订草案征求意见稿）》第十条规定：“网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险，主要考虑以下因素：（一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏的风险；（二）产品和服务供应中断对关键信息基础设施业务连续性的危害；（三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；（四）产品和服务提供者遵守中国法律、行政法规、部门规章情况；（五）核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险；（六）国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险；（七）其他可能危害关键信息基础设施安全和国家数据安全的因素。”

第五，对于暂停或终止向境外提供个人信息的情形。《个人信息出境安全评估办法（征求意见稿）》第十一条规定：“出现以下情况之一时，网信部门可以要求网络运营者暂停或终止向境外提供个人信息：（一）网络运营者或接收者发生较大数据泄露、数据滥用等事件。（二）个人信息主体不能或者难以维护个人合法权益。（三）网络运营者或接收者无力保障个人信息安全。”

总体而言，个人信息保护法中本条的规定相对原则，更为细致的规定或许将留待监管部门在实践中进一步明确。个人信息处理者在信息跨境的准备阶段，可以通过评估团队制订相关评估计划，以为后续开展评估做好相应准备。

【相关规定】

《中华人民共和国网络安全法》第三十一条至第三十九条；《关键信息基础设施安全保护条例》；《人口健康信息管理办法（试行）》第十条；《网络预约出租汽车经营服务管理暂行办法》第二十七条；《深圳经济特区数据条例》第八十二条。