《資料安全法》第四條及《個人資訊保護法》第三章對資料出境、個人資訊跨境提出明確要求，《資料安全法》與《個人資訊保護法》存在互相包含、被包含、銜接、特性、獨立性、相互補充等內涵。

本文透過上位法互相銜接、關聯、特性的思路，去觀察《個人資訊出境標準合同辦法》和《資料出境安全評估辦法》的包含、被包含、獨立性等，比對分析，量化不同與相同之處的要求，並進行相應詮釋。

1 “個人資訊合同方式出境”與“申報資料出境安全評估” 要點比對分析

透過對《個人資訊出境標準合同辦法》與《資料出境安全評估辦法》第四條進行比對可看出，以訂立合同方式向境外提供個人資訊的無論是屬性級別、資料量等級都要低於透過所在地省級網信部門向國家網信部門申報資料出境安全評估的要求。具體如下：

相同屬性：

兩部辦法在資料出境的基本要求上，都是從屬性、屬性級別、出境資料/個人資訊的數量、出境資料/個人資訊的數量範圍的角度進行的量化。

不同屬性：

屬性：

屬性級別：

數量：

《個人資訊出境標準合同辦法》要求： 個人資訊總量不滿100萬人、個人資訊不滿10萬人 （自上年1月1日起）、敏感個人資訊不滿1萬人（自上年1月1日起）；
《資料出境安全評估辦法》要求： 100萬人以上個人資訊、自上年1月1日起向境外提供10萬人個人資訊、1萬人敏感個人資訊 （大於等於）。

數量級別：

2 出境前開展評估要求比對分析

相同屬性：

不同屬性：

在風險方向側： 《個人資訊出境標準合同辦法》更多強調的是“可能對個人資訊權益帶來的風險”。而《資料出境安全評估辦法》更多從全域性性風險的角度出發，涵蓋了國家安全、公共利益，同時，也包括了個人或者組織合法權益帶來的風險。

在風險細節側： 《個人資訊出境標準合同辦法》在圍繞風險方向強調的“個人資訊權益帶來的風險”，強調了面向對個人資訊的非法利用和維權渠道是否通暢的角度進行了約束，同時，對出境後可能面對的風險進行了要求（即：篡改、破壞、洩露、丟失等）；而《資料出境安全評估辦法》對映出境中的風險應包括非法獲取、對映出境後的風險應包括非法利用，同時，《資料出境安全評估辦法》既涵蓋“國家安全、公共利益”，也涵蓋了“個人或者組織合法權益”（即：個人資訊權益維護的渠道是否通暢）。

合同履行側： 在《資料出境安全評估辦法》第五條第五項中強調“雙方訂立的資料出境合同是否充分約定了資料安全保護責任義務”，其內涵包括雙方要求以我國法律法規為主體，擬定資料出境相關合同，並圍繞我國法律內涵及要求量化雙方資料安全保護責任及義務，如果境外國家的法律法規與我國法律法規方向差異較大或進行了內容變動，對履行資料安全保護責任是存在安全隱患的。回到《個人資訊出境標準合同辦法》第五條第五項中，將境外接收方所在國家或地區的個人資訊保護政策和法規對標準合同履行的影響視為了個人資訊保護影響評估的環節。

3 “重新開展個人資訊評估”與“資料處理者重新申報評估”比對分析

相同屬性：

發生變化或延長儲存期限屬性： 在《個人資訊出境標準合同辦法》第八條第一項和《資料出境安全評估辦法》第十四條第一項中都要求在目的、範圍、方式、種類、用途、方式發生變化，或延長儲存期限的需要重新評估及重新申報評估；

政策法規變化： 在《個人資訊出境標準合同辦法》第八條第二項和《資料出境安全評估辦法》第十四條第二項中，均提到政策法規發生變化需要重新評估及重新申報評估。

不同屬性：

資料/個人資訊級別屬性： 資料是具有級別屬性的（如：一般資料、重要資料、核心資料），在《資料出境安全評估辦法》第十四條第一項中提到了個人資訊和重要資料，強調了資料的級別屬性。針對個人資訊如需從級別的角度來看，可將個人資訊劃分為一般個人資訊、敏感個人資訊等。相對於《資料出境安全評估辦法》第十四條第一項中提到的重要資料，在《個人資訊出境標準合同辦法》第八條第一項強調的是個人資訊敏感程度；

政策法規變化： 在《資料出境安全評估辦法》第十四條第二項中除圍繞資料安全保護政策法規的變化外，還相對於《個人資訊出境標準合同辦法》第八條第二項中增加了網路安全環境變化、其他不可抗力情形、境內外主體實際控制權變化等要求；

4 “個人資訊出境堅持原則”與“資料出境安全評估堅持原則”比對分析

相同屬性：

不同屬性：

《個人資訊出境標準合同辦法》第三條，從合同的自主訂立、強化對合同的管理、保障個人資訊權益、風險角度進行的明確 ——即：堅持自主締約與備案管理相結合、保護權益與防範風險相結合；

《資料出境安全評估辦法》第三條，從對資料出境前的強化風險、防範風險、安全評估角度，及對事前、事中、事後持續監督角度進行要求——即：堅持事前評估和持續監督相結合、風險自評估與安全評估相結合等。

解讀：“出境標準合同”與“出境安全評估”要點與異同

相關文章