ENGLISH
文献资源
当前位置:首页 > 文献资源 > 论文著作 > 理论推演
文献资源
王玎|数据出境安全评估的制度构造
2025年09月28日 【作者】王玎 预览:

【作者】王玎

【内容提要】


数据出境安全评估的制度构造







王玎

北京电子科技学院副教授







摘要:《个人信息保护法》将关键信息基础设施运营者和处理个人信息达到规定数量的个人信息处理者向境外提供数据的活动作为安全评估制度适用的条件。但在实践中,由于《网络安全法》《数据安全法》《个人信息保护法》所规定的数据出境安全评估的要求不同,个人信息、重要数据的类型存在差异,数据出境场景多样,导致安全评估制度目的不清、制度规定错位、适用规则混乱以及实践部门对行政救济机制的误解等问题。对此,应澄清数据出境安全评估属于数据安全审查,明确安全评估的目的是维护国家安全和社会公共利益,将评估作为重要数据出境的必要条件和个人信息出境的附加条件,重新审视数据出境安全评估的适用规则。《数据安全法》第24条规定的数据安全审查制度为数据出境安全评估免予司法审查提供了合法性依据。同时,法院不具备审查数据出境安全评估实体结论的专业能力,如对数据出境安全评估程序进行合法性审查会使行政诉讼程序空转,故而复评作为数据出境安全评估救济机制具有正当性。

关键词:数据出境安全评估;个人信息保护;数据安全;行政救济




一、问题的提出

数据出境安全评估,是数据处理者因向境外提供数据而依法向网信部门进行申报,由网信部门组织开展评估审查,从而决定是否准予数据出境的活动,是平衡国家安全利益和数据处理者合法权益的关键制度,关乎一国维护国家安全的力度和促进数据自由流动的程度。对数据出境安全评估制度进行科学设计,才能实现数据跨境安全、自由流动。

作为我国数据安全评估法律依据的《中华人民共和国网络安全法》(以下简称《网络安全法》)、《中华人民共和国数据安全法》(以下简称《数据安全法》)、《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),分别对关键信息基础设施运营者、重要数据处理者、个人信息处理者三类主体向境外提供数据时需要进行安全评估的情形作出概括规定。2022年国家网络安全和信息化委员会办公室制定的《数据出境安全评估办法》承继上述三部法律精神,就数据出境安全评估的适用情形、评估对象、评估内容、评估程序作出具体规定。2024年国务院审议通过《网络数据安全管理条例》,国家网络安全和信息化委员会办公室出台《促进和规范数据跨境流动规定》,就数据出境需要进行安全评估的范围作出部分调整。从形式上看,《网络安全法》《数据安全法》《个人信息保护法》三部法律均规定了安全评估制度,《数据出境安全评估办法》应就安全评估制度作出总体规定,为三部上位法规定的安全评估制度落地实施提供依据。然而,三部法律的制度目的各有侧重,规定安全评估的适用方式不尽相同,致使《数据出境安全评估办法》法律条文背后的法理逻辑难以协调自洽,导致数据出境安全评估制度目的不清、制度规定错位、出境规则体系混乱、实践部门对复评机制误读等诸多问题。虽然《网络数据安全管理条例》与《促进和规范数据跨境流动规定》对上述问题进行了纠偏,不再将安全评估作为个人信息出境可以选择适用的条件,但这一规定仍不足以从根本上改变安全评估制度存在的定性不清和制度设计系统性不足的问题。因此,从学理上对《网络安全法》《数据安全法》《个人信息保护法》三部法律规定的数据出境安全评估制度进行体系化阐释,澄清不同法律规定的安全评估制度的不同法理逻辑,在此基础上对数据出境安全评估的制度定位、适用条件、救济机制进行体系化阐释与重构,使数据出境安全评估回归应有的法律定位,具有必要性。


二、数据出境安全评估的双重制度目的及其问题

数据出境安全评估是《网络安全法》《数据安全法》《个人信息保护法》三部法律共同规定的法律制度。为全面兼顾上述三部法律的立法目的,《数据出境安全评估办法》中关于安全评估的具体机制设计过于宽泛,引发了一些问题。

(一)数据出境安全评估被赋予的双重制度目的

《数据出境安全评估办法》赋予数据出境安全评估双重制度目的:一是保护个人信息权益;二是维护国家安全和社会公共利益。上述目的都是对《网络安全法》《数据安全法》《个人信息保护法》立法目的的进一步落实。

第一,依据《个人信息保护法》,维护个人信息权益。《个人信息保护法》将《中华人民共和国民法典》中保护个人信息的规定特别化、具体化,形成了保护公民个人信息权益的制度架构。其中,《个人信息保护法》第1条将保护个人信息权益,规范个人信息处理活动确定为立法目的,第3840条分别规定了应将通过安全评估作为个人信息处理者向境外提供个人信息的必要条件。《数据出境安全评估办法》承继《个人信息保护法》的立法目的,将关键信息基础设施运营者和特定体量的个人信息处理者向境外提供个人信息的情形确定为应当通过安全评估的情形,有助于实现保护个人信息权益的立法目的。《数据出境安全评估办法》也在第1条将保护个人信息权益确定为安全评估的制度目的。

第二,依据《数据安全法》和《网络安全法》,维护国家安全和社会公共利益。《网络安全法》和《数据安全法》的立法目的较为接近,均包含维护国家安全和社会公共利益,将关键信息基础设施运营者向境外提供个人信息、其他数据处理者向境外提供重要数据作为应当进行安全评估的情形。《数据出境安全评估办法》在安全评估的范围中对上述情形予以重申,有助于进一步细化落实《网络安全法》和《数据安全法》的具体要求,实现维护国家安全和社会公共利益的目的。虽然《网络安全法》和《数据安全法》均将保护公民、法人和其他组织的合法权益列为立法目的,但这不同于《个人信息保护法》保护个人信息权益的立法目的。《网络安全法》《数据安全法》通过赋予网络运营者、数据处理者网络安全和数据安全保护义务,有助于保障网络运营安全和数据安全,进而维护抽象层面的国家安全和社会公共利益;而《个人信息保护法》旨在通过赋予个人信息处理者个人信息保护义务,确保个人信息处理活动不侵害个人的主观利益,进而维护具体层面的个人信息权益。在数据出境的场景下,保护公民、法人和其他组织的合法权益是维护国家安全和社会公共利益所产生的客观效果,国家安全和社会公共利益又是公民、法人和其他组织的合法权益的抽象集合。因此,《网络安全法》和《数据安全法》所指的公民、法人和其他组织的合法权益是整体法益。而保护个人信息权益是《个人信息保护法》所追求的最具体和直接的立法目标,其所保护的个人信息权益是个体法益。这意味着《网络安全法》和《数据安全法》并不蕴含直接保护个人信息权益的立法目的。

(二)数据出境安全评估双重制度目的引发的问题

我国以重要数据个人信息为抓手,建立了两种独立的数据出境规制制度,分别规定在《数据安全法》《网络安全法》《个人信息保护法》中。但不同上位法的立法定位存在显著差异,使数据出境安全评估制度无法兼顾维护国家安全和社会公共利益、维护个人信息权益的双重制度目的。

1.安全评估与订立标准合同、通过专业机构认证内容的存在混同

将安全评估、标准合同、专业机构认证作为个人信息处理者向境外提供个人信息需满足的三个主要条件,从具体内容来看,三者具有较强的同质性。《数据出境安全评估办法》所规定的评估内容,完全能够被订立标准合同和通过专业认证规定的内容所涵盖。因此,这三个要件容易使安全评估成为叠床架屋式的制度设计。其一,《数据出境安全评估办法》第8条规定的安全评估的内容与《个人信息出境标准合同办法》规定的作为审查依据的个人信息保护影响评估的内容重叠,二者均包括评估数据出境的目的、范围、方式等的合法性、正当性、必要性内容。其二,根据20251月国家网络安全和信息化委员会办公室发布的《个人信息出境个人信息保护认证办法(征求意见稿)》,专业机构认证遵循的法理逻辑是通过设立境外主体白名单等机制,评估境外接收主体或接收国家是否具有维护数据安全和保障个人信息权益的健全制度与技术能力。该机制类似于欧盟《一般数据保护条例》第45条规定的充分性保护认定机制。这一机制完全能够涵盖安全评估中重点审查接收方履行义务的管理和技术措施等诸多内容。因此,应对安全评估与订立标准合同和通过专业机构认证的内容作区别设计,参照《网络安全审查办法》,将审查内容聚焦国家安全或者公共利益风险,重点评估数据出境被非法控制,遭受干扰、篡改、泄露或者破坏的风险以及被外国政府影响、控制、恶意利用的风险。

安全评估、标准合同、专业机构认证三项制度的同质化缘于《个人信息保护法》第38条将三项制度作为个人信息处理者向境外提供个人信息可选择适用的三个并列条件。《个人信息保护法》既然明确个人信息处理者可以选择个人信息出境适用的条件,就表明个人信息处理者满足安全评估、标准合同、专业机构认证三个条件所能够实现保护个人信息权益的效果应当大致相称,数据出境安全评估制度就不得不兼顾维护国家安全和社会公共利益以及维护个人信息权益的立法目的,并对评估内容作出全面规定,由此便导致了三项制度内容的同质化。

2.将数据出境安全评估行为排除在行政诉讼受案范围之外于法无据

根据《数据出境安全评估办法》第13条,数据处理者对评估结果有异议的,可以向国家网信部门申请复评,复评结果为最终结论,这意味着数据处理者只能向国家网信部门申请复评以获得救济,而不得提起行政诉讼。

将数据出境安全评估目的定位于保护个人信息权益,就意味着数据出境安全评估是依据《个人信息保护法》实施的制度。此时,将数据出境安全评估排除于行政诉讼受案范围之外,不仅在《个人信息保护法》中找不到法律依据,而且不符合个人信息处理者依据《个人信息保护法》维护自身合法权益的制度逻辑。一方面,若个人信息处理者没有履行《个人信息保护法》赋予的相关义务,则行政机关可以依法对其作出行政处罚或者追究其他法律责任;另一方面,个人信息处理者若对行政机关依据《个人信息保护法》作出的行政处罚不服,则可以通过行政诉讼来救济自身合法权益。举重以明轻,如果数据出境安全评估也属于国家依据《个人信息保护法》为规范个人信息处理行为而赋予个人信息处理者的法定义务,那么个人信息处理者同样有权就网信部门作出的不准予数据出境的行为提起行政诉讼。救济是保护个人信息权益的重要机制,欧盟《一般数据保护条例》第45条将数据主体能够获得有效的行政和司法救济作为认定某国家或某地区具备充分性保护的条件。这意味着,只要欧盟认为特定国家或地区具备使数据主体能够获得有效的行政和司法救济的条件,欧盟的数据处理者就可以直接向有关国家或地区提供个人数据,无需其他授权。无论是信息主体保护自身信息权益,还是个人信息处理者维护自身合法权益,法律赋予他们获得司法救济的权利都是个人信息治理法治化的必然要求。因此,在《个人信息保护法》没有明确授权国家网络安全和信息化委员会办公室制定规章将数据出境安全评估行为排除在行政诉讼受案范围之外的情况下,《数据出境安全评估办法》不允许个人信息处理者通过行政诉讼方式寻求权利救济的规定,不仅与《个人信息保护法》的制度逻辑相左,而且不符合《行政诉讼法》及相关司法解释的具体规定。


三、数据出境安全评估制度定位反思

在以上因数据出境安全评估承载双重制度目的引发的问题中,安全评估与订立标准合同、通过专业机构认证内容混同,属于在个人信息出境情景下三种机制定位不清、互补不畅的问题;而将数据出境安全评估行为排除在行政诉讼受案范围之外,属于数据出境安全评估制度自身难以实现协调自洽的问题。由此可见,《数据出境安全评估办法》无法兼顾维护国家安全、社会公共利益以及保护个人信息权益两个立法目的,原因在于不同上位法的立法目的决定了数据出境安全评估需要适用不同的评估机制。数据出境安全评估的重心是国家安全风险,而非对个人信息权益带来的损害风险。因此,我国立法将维护个人信息权益作为《数据出境安全评估办法》的立法目的,是上述问题产生的根源。

(一)数据出境安全评估制度目的应定位于维护国家安全和社会公共利益

安全评估除了被《个人信息保护法》第38条列为与订立标准合同、通过专业机构认证并列的个人信息处理者向境外提供个人信息需要适用的三个条件之外,还被《个人信息保护法》《网络安全法》《数据安全法》确定为数据出境的必要条件。《网络安全法》第37条要求关键信息基础设施运营者向境外提供个人信息和重要数据应当进行安全评估;《数据安全法》第31条规定重要数据出境要由国家网信部门会同国务院有关部门制定专门管理办法;《个人信息保护法》第40条规定关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者向境外提供个人信息应当通过安全评估。由此,三部法律以定性+定量的模式,明确了数据处理者向境外提供数据应该通过安全评估的三类情形:一是所有数据处理者的重要数据出境活动,二是关键信息基础设施运营者的个人信息出境活动,三是达到规定数量的个人信息处理者的个人信息出境活动。

从定性来看,凡属数据处理者向境外提供的重要数据、关键信息基础设施运营者向境外提供的个人信息,无论其数量多少,该类活动都需要通过安全评估。重要数据是依据数据在经济社会发展中的重要性进行分级的一种数据类型,根据《数据安全法》规定,因重要数据在经济社会发展中具有重要性,且其一旦被非法获取、非法利用会造成严重危害,故对其实行分级保护。根据《关键信息基础设施安全保护条例》规定,关键信息基础设施是重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。在这些关键领域和行业,如果数据可以随意跨境流动,就可能被他国用于精准画像和情报研判,从而威胁国家安全。由此,向境外提供重要数据以及关键信息基础设施运营者处理的个人信息,无论它们的数量多少,都应通过安全评估,其原因在于这些数据直接关系国家安全和社会公共利益,安全评估的目的就在于防范数据出境可能引发的国家安全和社会公共利益风险。

从定量来看,第三类必须进行安全评估的情形是达到规定数量的个人信息处理者向境外提供个人信息的活动。为何要设定规定数量这一要求?因为单一或少量个人信息出境不会对国家安全和社会公共利益造成损害,但是当个人信息等一般数据汇聚形成一定规模后,就达到了关涉国家安全和公共安全的程度,其他人就有可能从中分析出对国家安全和公共利益造成损害的信息。例如,201711月,美国一款健身应用软件斯特拉瓦(Strava)归属公司发布超过三千万全球用户GPS定位的热力地图,暴露了美军驻阿富汗和叙利亚美军基地与作战地带的准确坐标,即为大体量个人信息汇聚泄露危害国家安全的例证。《网络安全审查办法》第7条明确,掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须申报网络安全审查,该规定正是基于这一逻辑设定。此外,越是敏感信息,越有被分析和利用的价值。《数据出境安全评估办法》和《促进和规范数据跨境流动规定》专门就敏感个人信息与一般个人信息作出区分,规定自当年11日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息的数据处理者,向境外提供个人信息的,均属于需通过安全评估的情形。

综上所述,虽然《网络安全法》《数据安全法》的定性规定和《个人信息保护法》的定量规定的具体内容有所不同,但《数据出境安全评估办法》将此类不同的数据进行统一规定,说明我国并未严格区分不同数据类型,都从风险的角度对其进行一体评估,这体现出数据出境安全评估是维护国家安全和公共利益的制度,承载着数据出境事前评估把关,防范国家安全和公共利益风险的重要作用。

(二)个人信息出境安全评估制度的规定错位

安全评估制度承载维护个人信息权益的制度目的,不仅使得安全评估与订立标准合同、通过专业机构认证内容混同,而且导致安全评估被排除在行政诉讼受案范围之外于法无据,这是由于《网络安全法》《数据安全法》《个人信息保护法》三部上位法具有不同立法目的,且均规定了安全评估制度。而《数据出境安全评估办法》必须兼顾三部上位法的立法目的,并以此为基础设计安全评估的具体机制。因此,问题根源是《个人信息保护法》第3840条规定了个人信息出境安全评估制度,使《数据出境安全评估办法》在立法初衷和具体制度设计上要兼顾《个人信息保护法》维护个人信息权益的要求。

1.《个人信息保护法》不应将安全评估作为个人信息出境可选条件

《个人信息保护法》早于《数据出境安全评估办法》制定,立法者在设计个人信息出境制度时,无法考虑到网信部门未来制定数据出境安全评估制度需要协调与承继《网络安全法》和《数据安全法》关于数据出境安全评估制度的具体要求。因此,《个人信息保护法》第38条将安全评估作为与订立标准合同、通过专业机构认证并列的个人信息处理者向境外提供个人信息需要满足的条件。《个人信息保护法》第38条为个人信息出境设计前提条件,就是为了使个人信息权益得到充分保障,避免因为个人信息接收方的制度不健全、技术不完善等原因而使个人信息权益受到损害。欧盟《一般数据保护条例》为维护个人信息权益,同样对个人信息出境设置门槛。具体而言,欧盟成员国数据处理者在向欧盟外国家或地区提供个人信息时,应先根据《一般数据保护条例》第45条判断个人信息接收方是否属于能够提供充分性保护的国家或地区。如果个人信息接收方处于已被认定为能够提供充分性保护的国家或地区,个人信息处理者就可以无条件向其提供个人信息;如果个人信息接收方未处于已被认定为能够提供充分性保护的国家或地区,则个人信息处理者需要根据《一般数据保护条例》第46条订立标准合同、通过第三方认证等机制满足个人信息出境条件。虽然《个人信息保护法》第38条将安全评估、标准合同、专业机构认证规定为个人信息处理者向境外提供个人信息时可以任意选择的条件,但实际上三种制度的目标定位、实施机制、适用效果不尽相同。例如,比较安全评估和订立标准合同的规定可看出,虽然个人信息处理者通过订立标准合同约定了诸如个人信息出境目的、方式和传输范围等内容,但不等于其已经满足了安全评估所要求的数据安全风险防范标准;而个人信息处理者通过安全评估将个人信息提供给境外主体后就可能失去对个人信息的控制,因此仍然有必要通过订立标准合同对境外主体加以约束。2021年制定的《个人信息保护法》第38条将安全评估、标准合同、专业机构认证作为个人信息出境可选择适用的并列条件,因而,次年制定的《数据出境安全评估办法》,就必须兼顾上位法维护个人信息权益的立法目的,规定大量与维护国家安全、社会公共利益无关的评估内容。若将安全评估从个人信息出境可选条件中剔除,则有利于进一步限缩安全评估适用场景,使立法符合规范和促进数据依法有序自由流动的政策思路。

《促进和规范数据跨境流动规定》明确区分了个人信息处理者向境外提供个人信息应当适用安全评估和选择适用订立标准合同、通过专业机构认证的条件,明确关键信息基础设施运营者以外的数据处理者自当年11日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的,无需申报安全评估、订立标准合同、通过专业机构认证;自当年11日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当订立标准合同或者进行专业机构认证;自当年11日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息的,应当申报安全评估。上述规定与《个人信息保护法》第38条将安全评估、标准合同、专业机构认证作为个人信息出境可以选择适用的条件的规定并不一致。我们既可认为《促进和规范数据跨境流动规定》这一规定是对《个人信息保护法》第38条的细化,也可认为其是对《个人信息保护法》第38条的纠偏。《促进和规范数据跨境流动规定》的出台,不仅明确了安全评估不再作为《个人信息保护法》第38条规定的个人信息出境选择适用的条件,而且对《个人信息保护法》第40条所规定的达到国家网信部门规定数量作了细化规定。综上所述,安全评估不应成为个人信息出境的可选条件。

2.“个人信息出境必须进行安全评估条款归属错位

《个人信息保护法》第40条以定性+定量模式,明确了关键信息基础设施运营者和达到规定数量的个人信息处理者向境外提供个人信息应当通过安全评估。

其一,从定性来看,关键信息基础设施运营者向境外提供个人信息应当通过安全评估。为保障关键信息基础设施安全,2016年制定的《网络安全法》已规定关键信息基础设施运营者收集和产生的个人信息和重要数据出境应通过安全评估。《个人信息保护法》为保证规则体系的完整性,在第三章个人信息跨境提供的规则中重复规定了关键信息基础设施运营者向境外提供个人信息应当通过安全评估的内容。虽然关键信息基础设施运营者向境外提供个人信息属于规范个人信息处理活动的范畴,与《个人信息保护法》第三章个人信息跨境提供的规则有关,但从这一规定的性质和目的来看,要求关键信息基础设施运营者向境外提供个人信息应通过安全评估,不是为了维护个人信息权益,而是为了维护国家安全和社会公共利益。由此,关键信息基础设施运营者向境外提供个人信息应通过安全评估的规定,虽在形式上属于《个人信息保护法》第三章规定的范畴,但从立法目的和规定性质来看,它已经脱离了《个人信息保护法》的立法范畴。

其二,从定量来看,达到一定体量的个人信息处理者向境外提供个人信息应当通过安全评估,这是《个人信息保护法》作出的新规定。处理个人信息达到规定的数量与保护个人信息权益是否有直接关联?对该问题的回答是否定的,保护个人信息权益并不以处理个人信息的数量为标准来设定个人信息处理者的义务。例如,根据《个人信息保护法》第14条第1款,个人信息处理者可以基于个人充分的知情和同意处理个人信息。我们不能认为这是对个人信息处理者处理达到一定数量的个人信息的要求,个人信息处理者即使在一个个人信息处理活动中只处理了一个人的个人信息,也需要遵循这一规定。因为每个个体的个人信息权益都具有独立价值,并非只有个人信息达到一定体量后,才具有保护个人信息权益的必要性。个人信息数量多少与保护个人信息权益是否具有必要性无关,说明《个人信息保护法》的这一规定已经超越了保护个人信息权益的立法目的。如前所述,其目的仍在于维护国家安全和社会公共利益。

既然《网络安全法》《数据安全法》《个人信息保护法》三部法律均在具体规定中提及安全评估制度,《数据出境安全评估办法》和《促进和规范数据跨境流动规定》就需要对上述三部上位法中的规定予以细化落实,贯彻三部法律的立法目的,设计数据出境安全评估的具体机制。因此,当前数据出境安全评估制度存在的问题,并非由《数据出境安全评估办法》和《促进和规范数据跨境流动规定》本身导致,而是由于《个人信息保护法》第3840条规定错位导致的。

(三)个人信息出境安全评估的规范进路

对个人信息出境予以管制,未必均应以保护个人信息权益为目的。作为管理外国投资、维护国家安全专门工作部门的美国外国投资委员会,将涉及关键信息基础设施、关键技术、敏感个人数据的美国企业的外国投资纳入其管辖审查范围,通过国家安全例外限制数据被非美国人访问。《个人信息保护法》第3840条分别规定了安全评估作为个人信息出境可选条件的情形以及安全评估作为个人信息出境必要条件的情形。如前所述,《个人信息保护法》的核心立法目的是保护个人信息权益,通过订立标准合同和专业机构认证两种机制足以满足个人信息出境情形下保护个人信息权益的立法目的。因此,《个人信息保护法》第38条将安全评估作为个人信息出境的可选条件之一的规定不尽合理。而《个人信息保护法》第40条又规定了个人信息出境必须进行安全评估的情形,但该情形下进行安全评估的目的是维护国家安全和社会公共利益,而非个人信息保护立法所承载的保护个人信息权益目的。

如前所述,通过订立标准合同和专业机构认证的规定已经能够满足保护个人信息主体权益的要求。数据出境安全评估是在总体国家安全观指导下,在《网络安全法》《数据安全法》《个人信息保护法》三部上位法有关数据和个人信息出境规则的框架下制定的制度,其目的应定位于维护国家安全和社会公共利益。由此,个人信息出境安全评估属于《数据安全法》的立法范畴,具体条款不应规定在以维护个人信息权益为核心目的的《个人信息保护法》中。而我国之所以在2016年制定的《网络安全法》中规定了关键信息基础设施运营者数据出境安全评估的内容,是因为在制定《网络安全法》时并没有制定《数据安全法》的立法规划,立法者便在《网络安全法》中规定了诸多数据安全的内容。

未来我国在修改《数据安全法》和《个人信息保护法》时,可以通过转致条款的设计,既能解决现行立法错位问题,也保证了《个人信息保护法》中个人信息跨境提供的规则一章的体系完整。具体而言,其一,应将《个人信息保护法》第40条的内容规定在《数据安全法》中,由《数据安全法》规定关键信息基础设施运营者和达到规定数量的个人信息处理者向境外提供个人信息应进行安全评估;其二,在《个人信息保护法》中采用转致条款,将第40条规定的相关内容修改为关键信息基础设施运营者和处理个人信息达到规定数量的个人信息处理者,确需向境外提供个人信息的,适用《数据安全法》相关规定


四、数据出境安全评估的适用规则

根据《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》《数据出境安全评估办法》《促进和规范数据跨境流动规定》的规定,数据出境安全评估适用的情形包括:关键信息基础设施运营者向境外提供个人信息和重要数据,重要数据处理者向境外提供重要数据,关键信息基础设施运营者和达到规定数量的个人信息处理者向境外提供个人信息。以上情形必须通过数据出境安全评估,而无需订立标准合同或者通过专业机构认证。如果个人信息处理者向境外提供个人信息未达到《个人信息保护法》第40条规定的定性+定量条件,但自当年11日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的个人信息处理者,则应当在订立标准合同和通过专业机构认证两种方案中选择其一予以适用。以上两类情形如图1所示:

1 数据出境适用安全评估、标准合同、专业机构认证规则

解决数据出境安全评估与订立标准合同、通过专业机构认证内容混同等问题,不仅需要将安全评估制度的内容由《个人信息保护法》调整至《数据安全法》,而且需要对数据出境适用的安全评估、订立标准合同、通过专业机构认证制度进行体系化重构。从数据类型来看,数据出境通过安全评估的情形可分为重要数据出境和个人信息出境两类。以此分类为基础,可对数据出境规则体系进行科学重构。

其一,安全评估应为重要数据出境的必要条件。《网络安全法》要求关键信息基础设施运营者向境外提供重要数据应当进行安全评估,《数据安全法》则规定所有数据处理者向境外提供重要数据,均需通过安全评估。这意味着,根据现行立法,凡是重要数据出境,均需通过安全评估。从定性来看,作为数据出境风险中塔尖的重要数据,不论其体量大小,一旦被非法利用,就可能对国家安全和社会公共利益造成严重危害。因此,为维护国家安全和社会公共利益,凡向境外提供重要数据的活动,均需通过安全评估。这一制度设计与现行《网络安全法》和《数据安全法》规定一致。而向境外提供未达到规定数量的个人信息的活动,因其与重要数据无关,故不应将安全评估作为个人信息出境的选择条件。

其二,安全评估应成为个人信息出境的附加条件。较之重要数据等非个人信息而言,个人信息出境除了在特定情形下要防范对国家安全和社会公共利益造成的风险之外,在一般情形下仅需要考虑避免对个人信息权益造成损害。在数据出境情景下,维护个人信息权益有多种方式,如《个人信息保护法》规定的安全评估、订立标准合同、通过专业机构认证等三种主要方式可供不同个人信息处理者分情形选择适用。此外《个人信息保护法》为建立其他机制预留了空间,在上述三种方式之外还规定了法律、行政法规或者国家网信部门规定的其他条件。然而,安全评估、订立标准合同、通过专业机构认证三种方式的制度目标、实施机制、适用效果不尽相同。订立标准合同是当事人达成合意,约定个人信息出境事项及保护个人信息权益相关义务的法律行为。其法理逻辑是在遵循自主缔约的基础上,建立以合同条款为约束,以平等民事主体的互信为背书,以民事责任为惩戒的约束机制。通过专业机构认证则是由国家市场监督管理部门批准的专业机构,对数据接收方的管理和技术能力进行评估认定,以确认数据接收方是否具备保护个人信息的能力的制度。其法理逻辑是由专业机构确定境外接收主体或国家是否具有维护数据安全和保障个人信息权益的健全制度与技术能力,类似于欧盟《一般数据保护条例》第45条规定的充分性保护认定机制。订立标准合同和通过专业机构认证采取的方式与追求的效果虽然有所差异,但二者目标都是保护个人信息权益。而数据出境安全评估是由作为行政机关的网信部门全程组织开展,由国家和省两级网信部门就数据出境的合法性、正当性、必要性以及数据出境可能对国家安全和社会公共利益造成的风险进行全面评估审查的程序,其法理逻辑是由国家机关直接介入平等民事主体之间的数据流动活动,对国家安全风险进行把关评估。

个人信息处理者向境外提供个人信息,均关涉信息主体的个人信息权益,应当确保接收方在主观上有意愿、在客观上有能力保护个人信息权益。但并非所有个人信息处理者向境外提供个人信息的活动均会对国家安全和社会公共利益造成风险,只有向境外提供的个人信息达到定性或定量标准时,才有对其加以注意和防范的必要。从稳步扩大制度型开放和更好适应《全面与进步跨太平洋伙伴关系协定》等国际条约的要求来看,应将数据出境安全评估的适用范围限定在必要限度内。《促进和规范数据跨境流动规定》第7条将个人信息出境应当进行安全评估的条件限定在自当年11日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息的情形符合这一思路。但是《促进和规范数据跨境流动规定》把应当适用数据出境安全评估的情形与选择适用订立标准合同或者通过专业机构认证的情形割裂开来,规定向境外提供个人信息可不再订立标准合同或者通过专业机构认证,如此就难以兼顾保护个人信息权益和维护国家安全利益。从个人信息出境的条件来看,个人信息处理者应重视个人信息海外安全风险的境外化解,而非更加注重在个人信息未出境阶段的本国监管。将安全评估定位为国家安全审查制度,而非保护个人信息权益的制度,意味着在对符合条件的个人信息出境活动进行安全评估的同时,应当选择适用订立标准合同或者通过专业机构认证等保护个人信息权益的机制。因此,在个人信息出境情景下,以维护个人信息权益为目的订立标准合同或者通过专业机构认证,应成为达到定量条件的个人信息处理者向境外提供个人信息必须满足的条件。当个人信息出境活动符合定性或定量要求时,还应当附加适用安全评估程序。由此,可以构建个人信息处理者向境外提供个人信息的双阶层规则体系:第一阶层是达到第一层次体量条件的个人信息处理者向境外提供个人信息需满足的条件——订立标准合同或者通过专业机构认证。订立标准合同或者通过专业机构认证制度,目的是保障境外接收方处理个人信息的活动满足个人信息权益保护标准,避免我国公民个人信息流向保护洼地。个人信息处理者可以在订立标准合同或者通过专业机构认证二者间选择其一进行适用;也鼓励个人信息处理者既订立标准合同又通过专业机构认证,为保护个人信息权益构筑多维度屏障。第二阶层是符合定性或者达到第二层次体量要求的个人信息处理者需要满足的附加条件——通过安全评估。安全评估的制度目的是维护国家安全和社会公共利益。安全评估是个人信息出境的必要附加条件,这意味着通过安全评估不能替代订立标准合同和通过专业机构认证,而是在订立标准合同或者通过专业机构认证的基础上,个人信息出境需要满足的额外条件。触发安全评估机制的条件包括定性条件和定量条件。其中,定性条件是关键信息基础设施运营者向境外提供个人信息的情形,定量条件是处理个人信息达到规定数量的个人信息处理者向境外提供个人信息的情形。

将数据出境安全评估设计为订立标准合同或通过专业机构认证的后置条件而非并列条件,是厘清《网络安全法》《数据安全法》《个人信息保护法》三者关系的必然要求,也是兼顾维护国家安全与维护个人信息权益、促进数据跨境自由流动的更优模式。《数据出境安全评估办法》第8条第5项规定,可以从侧面证成这一双阶层规则体系的合理性。该条款将数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务作为评估审核的重点事项。这意味着个人信息出境活动在满足订立标准合同等法律文书之后还需接受安全评估,体现出将安全评估作为标准合同和专业机构认证后置程序的合理性。甚至可以认为,在个人信息出境情境下,订立标准合同和通过专业机构认证的情况应成为安全评估的审查内容。

综上所述,以数据类型为标准构建数据出境规则体系,应当先区分重要数据和个人信息。任何数据处理者向境外提供非属个人信息的重要数据,均直接适用安全评估制度。个人信息处理者向境外提供个人信息则适用双阶层规则:达到第一层次体量的个人信息处理者向境外提供个人信息,应当订立标准合同或者通过专业机构认证。个人信息处理者如果属于关键信息基础设施运营者或者达到第二层次体量的个人信息处理者,则其向境外提供个人信息需要在订立标准合同或者通过专业机构认证的基础上,再通过由网信部门组织的安全评估。以数据类型为标准构建的数据出境规则体系如图2所示:

2 以数据类型为标准构建的数据出境规则体系

图示 AI 生成的内容可能不正确。

五、数据出境安全评估的行政救济机制:复评的正当性证成

数据出境安全评估救济机制是数据出境安全评估制度的组成部分。数据出境安全评估以维护国家安全和社会公共利益为制度目标,这决定了数据出境安全评估制度的性质和相应的救济机制设计。《数据出境安全评估办法》将向国家网信部门申请复评作为数据处理者对安全评估的救济方式,并且明确规定复评结果为最终结论。这意味着作为行政救济机制的复评,是数据处理者对安全评估结果的唯一救济方式。数据处理者如果对网信部门作出的安全评估结果持有异议,就只能向国家网信部门申请复评,而不得通过行政诉讼或行政复议的方式获得救济。此外,国家网信部门作出的复评结果为最终结论,数据处理者即使对复评结果仍持有异议,也不得提起行政诉讼或申请行政复议。从数据出境安全评估的性质和行政诉讼受案范围的理论来看,以复评方式作为安全评估的救济机制,具有法律依据和正当理据。

(一)数据出境安全评估行为不可诉的法律依据

界定数据出境安全评估的性质需厘清两个问题:一是安全评估是否属于《数据安全法》第24条规定的数据安全审查制度;二是安全评估是否属于行政行为。

其一,数据出境安全评估属于《数据安全法》第24条规定的数据安全审查制度。《数据安全法》第24条提出了数据安全审查制度概念,明确对可能影响国家安全的数据处理活动应进行国家安全审查。其依据是《中华人民共和国国家安全法》第59条关于国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险的规定。因此,数据安全审查属于国家安全审查的一种形式,是为有效预防数据处理活动对国家安全造成的风险而进行国家安全审查的行为。然而,数据出境安全评估是否属于数据安全审查制度?学界对这一问题存在争议。有学者认为安全评估尽管与数据安全审查功能相似,但并非同一个制度。安全评估的制度目的是维护国家安全和社会公共利益,数据出境行为又是可能影响数据安全的关键环节。因此,无论从制度目的还是从行为性质均可推出,数据出境安全评估就是数据安全审查的一种形式,数据出境安全评估的性质就是国家安全审查。《促进和规范数据跨境流动规定》颁布前,数据出境安全评估与标准合同、专业认证是个人信息处理者向境外提供个人信息时可以自由选择适用的制度。有学者认为,标准合同、专业认证程序均由企业申请启动,而安全审查则由监管机构主动发起,因此数据出境安全评估不属于数据安全审查。但《促进和规范数据跨境流动规定》颁布后,明确不再将安全评估与标准合同、专业机构认证并行规定并由个人信息处理者自由选择适用,而是区分出适用安全评估与标准合同、专业机构认证的不同情形。这一规定充分印证了数据出境安全评估具有国家安全审查的特殊属性。事实上,国家安全审查制度既包括行政机关主动审查的情形,也包括行政机关依申请进行审查的情形。前者如2021年国家网络安全和信息化委员会办公室等七部门对滴滴出行科技有限公司实施的网络安全审查,2023年国家网络安全和信息化委员会办公室对美光公司实施的网络安全审查;后者如《网络安全审查办法》规定的网络平台运营者赴国外上市必须经过网络安全审查的情形。这意味着某类安全审查是否具有国家安全审查的性质与其启动方式无关。因此,数据出境安全评估属于《数据安全法》第24条规定的数据安全审查制度,是数据安全审查的一种形式。

其二,数据出境安全评估属于典型的行政行为。数据出境安全评估,是数据处理者向境外提供数据时,依据《网络安全法》《数据安全法》《个人信息保护法》三部上位法和《数据出境安全评估办法》向网信部门进行申报,由网信部门组织开展评估审查,从而决定是否准予数据出境的活动。虽然学界对行政行为概念的界定争论不休,对改造行政行为概念的路径也存在有限水平扩展、全局水平扩展、垂直扩展等争议,亦有学者专门就数据出境安全评估是否属于行政行为进行论证。但是,数据出境安全评估行为并不处于行政行为模糊地带,而是清晰且典型的行政行为。准确来说,数据出境安全评估行为具备了行政行为中行政许可的所有外观特征,本质上就是行政主体根据行政相对人申请,经依法审查,准予其从事特定活动的行为。安全评估属于行政许可,行政许可是一种调整社会利益关系的行政行为宏观程序机制,而数据安全审查则是在数据出境安全领域调整国家安全利益与数据处理者利益的中观程序机制。因此,行政许可与数据安全审查不仅不是基于同一标准划分的互斥概念,而且在数据出境安全评估情形下,行政许可程序包含了数据安全审查程序,在形式上属于数据安全审查的上位制度。根据《行政诉讼法》规定,当数据处理者认为网信部门作出的不准予其向境外提供数据的行政决定侵犯其合法权益时,其应有权依法向人民法院提起行政诉讼。但《行政诉讼法》同时将法律规定由行政机关最终裁决的行政行为排除在行政诉讼受案范围之外。《数据出境安全评估办法》作为国家网络安全和信息化委员会办公室制定的部门规章,本身无权将安全评估决定排除在行政诉讼受案范围之外,但作为其上位法的《数据安全法》为将数据安全审查行为排除在行政诉讼受案范围之外提供了法律依据。《数据安全法》第24条对数据安全审查制度作出明确规定:国家依法作出的安全审查决定为最终决定,由此排除了数据处理者在数据安全审查制度中通过行政诉讼获得救济的途径。数据出境安全评估属于数据安全审查制度,这就能够证成数据出境安全评估制度以复评作为救济机制且复评结论为最终结论的合法性。不过,为进一步明确安全评估制度属于《数据安全法》第24条规定的数据安全审查制度,消解理论上对《数据安全法》第24条是否为安全评估不可诉法律依据的困惑,《数据出境安全评估办法》宜将第13复评结果为最终结论的表述改为依据《数据安全法》第24条第2款规定,复评结果为最终结论

(二)数据出境安全评估行为不可诉的正当理据

正因数据出境安全评估属于《数据安全法》第24条规定的数据安全审查制度,因而法律将其排除在行政诉讼受案范围之外就具备了法律依据。但这一规定的理据为何?其合理性在于,行政诉讼既要对行政行为作出的实体结论进行合法性审查,也要对行政行为作出的程序进行合法性审查。然而,在数据出境安全评估行为领域,法院无论对实体结论进行审查还是对程序进行审查,都难以实现维护数据主体合法权益的效果。

其一,法院不具备就数据出境安全评估实体结论进行审查的专业能力。《数据安全法》第24条规定的数据安全审查制度之所以排除当事人通过行政诉讼获得救济的途径,是因为数据安全审查制度并非单纯的法律行为,它在更大程度上是一种审查数据处理活动安全性及其可能带来的国家安全风险的风险评估活动。这一风险评估活动涉及法律以外的诸多复杂因素和专业判断,对各国而言均构成不同程度的挑战。例如,虽然欧盟委员会拥有具备专业技术知识的官员和高水平律师团队,但也无法准确认定第三国立法的数据保护水平。此外,安全评估还涉及数据主权问题,由于各个国家和地区对数据处理活动的政策存在较大差异,具体实践已呈现出政治化和阵营化的发展趋势。尽管尚无任何一个国家全面禁止数据出境,但各国基于特定行业或特定流程和服务而对数据出境施加限制。甚至有学者认为,有必要采用外交原则中的承认和尊重规则、放弃和克制规则来尊重数据主权。从《数据出境安全评估办法》设计的评估程序可以看出,网信部门没有能力独立对数据出境申报事项进行评估审查,而需要根据申报情况组织有关业务主管部门、地方网信部门、专门机构等参与评估。因此,如果数据处理者对安全评估结果不服向法院提起行政诉讼,那么司法机关同样不具备实质审查网信部门不准予数据出境决定是否正确的专业能力。可见,通过行政诉讼对数据出境安全评估行为进行救济在实体上并无实际意义。

其二,法院就数据出境安全评估程序进行合法性审查将使行政和司法程序空转,浪费行政和司法资源。《数据出境安全评估办法》规定的数据出境安全评估程序主要涉及两个方面:一是数据出境安全评估主体。根据《数据出境安全评估办法》第10条规定,国家网信部门受理申报后,应依据属地和行业归口管理等因素,组织数据归口主管部门、地方网信部门、行业领域专业机构相关部门共同进行安全评估。但无论网信部门选择由什么部门、什么机构共同组成评估主体,都属于国家网信部门行使裁量权的范畴,其属于行政行为合理性问题,并不涉及行政行为合法性问题。根据《行政诉讼法》的合法性审查原则,法院几乎不存在司法审查空间,也没有对这一问题进行审查的专业能力。二是数据出境安全评估期限与告知形式。根据《数据出境安全评估办法》第12条规定,国家网信部门安全评估的期限原则上是45个工作日,特殊情况还可以延长;同时,评估结果要以书面形式通知数据处理者。如果发生评估活动超过法定期限或者网信部门未以书面形式将结果通知数据处理者的情形,那么,该行为在行政诉讼中将导致何种结果?根据《行政诉讼法》规定,行政行为程序轻微违法,但对原告权利不产生实际影响的行政行为,应当确认行政行为违法,而不撤销行政行为。又根据2018年《最高人民法院关于适用〈中华人民共和国行政诉讼法〉的解释》(法释〔20181号)规定,处理期限轻微违法和通知程序轻微违法情形,均属于《行政诉讼法》规定的程序轻微违法。在数据出境安全评估程序中,如果网信部门进行安全评估的期限轻微超期或者通知形式错误,均不影响其已经作出的不准予数据出境决定的效力,法院只会确认安全评估过程中的程序违法。质言之,如果网信部门作出安全评估决定时存在严重超期情形,即使对其不适用确认违法判决,而适用撤销判决,那么网信部门还可以严格依照期限规定,重新作出不准予数据出境的决定。这就意味着网信部门之前作出的不准予数据出境的行政决定,在实体上仍然不会得到改变。综上所述,即使允许数据处理者就安全评估的程序问题提起行政诉讼,法院无论作出确认违法判决还是撤销判决,也都不会改变网信部门作出实体决定,反而会使行政和司法程序空转,消耗各方资源。《数据安全法》第24条数据安全审查制度明确依法作出的安全审查决定为最终决定,这一规定不仅将安全评估制度排除在行政诉讼受案范围之外,而且将其排除在行政复议的受案范围之外。该规定将安全评估结论排除在行政复议受案范围之外的论证逻辑与上述将其排除在行政诉讼受案范围之外的论证逻辑大致一致。


六、结语

明确数据出境安全评估应归属于《数据安全法》立法范畴的制度定位,将其制度目的限于维护国家安全和社会公共利益,能够从源头上厘清《网络安全法》《数据安全法》《个人信息保护法》等不同法律规定中关于数据出境安全评估制度的法律关系,理顺数据出境安全评估适用情形以及数据出境安全评估对象、内容、程序等具体机制。更重要的是,该理论能够从法律逻辑上阐明数据出境安全评估与标准合同、专业机构认证在制度目标、实施机制、适用效果方面的显著区别,为重构兼顾维护国家安全和个人信息权益、实现各种制度差序精准发挥作用的数据出境规则体系提供了理论依据。未来我国修改《网络安全法》《数据安全法》《个人信息保护法》三部法律时,需要考虑对数据出境安全评估制度进行重新设计、统筹安排。



原文刊载于《法律科学》2025年第5期,感谢微信公众号法律科学期刊授权转载。