數安條例百問64、65：關于數據出境的幾種條件和例外情況

小貝案語

11月14日，國家互聯網信息辦公布了《網絡數據安全管理條例（征求意見稿）》。為此，小貝說安全設立《網絡數據安全管理條例（征求意見稿）》（后文簡稱《條例》）解讀專欄，以百問百答的形式對《條例》進行系列解讀。

需要指出，這些解讀只是專家個人觀點，不代表官方意見；且這些解讀針對的是征求意見稿，未來條文本身可能會發生變化，不排除會有新增和刪除。

對應條款

第三十五條數據處理者因業務等需要，確需向中華人民共和國境外提供數據的，應當具備下列條件之一：

（一）通過國家網信部門組織的數據出境安全評估；

（二）數據處理者和數據接收方均通過國家網信部門認定的專業機構進行的個人信息保護認證；

（三）按照國家網信部門制定的關于標準合同的規定與境外數據接收方訂立合同，約定雙方權利和義務；

（四）法律、行政法規或者國家網信部門規定的其他條件。

數據處理者為訂立、履行個人作為一方當事人的合同所必需向境外提供當事人個人信息的，或者為了保護個人生命健康和財產安全而必須向境外提供個人信息的除外。

解讀

《條例》第三十五條規定了數據出境的幾種條件。其中，第二個條件是數據處理者和數據接收方均通過國家網信部門認定的專業機構進行的個人信息保護認證。對此，一些人提出，如要求數據接收方也通過認證，這恐難實現，故建議只保留對境內數據發送方的認證。這一建議很難被采納，現從幾個角度分析如下：

一、認證與數據安全認證

“認證”是一個嚴肅的話題。我們常見到一些機構聲稱開展認證、頒發證書，但很多都是違法的，不能寫個報告蓋個章就叫“認證”。認證來自于社會化大生產時代的商品流通需求。買方對于賣方的產品或服務天然不信任，最初由賣方自己證明，這稱為一方認證，但如此便有“王婆賣瓜自賣自夸”之嫌；此后發展成了由買方對賣方的產品或服務進行證明，這稱為二方認證，此時買方肯定是放心了，但如果每個買方都這么干，顯然會帶來極高的社會成本，而且買方也未必具有相應的技術和能力；于是三方認證應用而生，即由買方和賣方都認可的第三方機構對產品和服務給出證明，這就是現代認證制度的由來。現如今人們所說的“認證”，都是指第三方認證。

顯然，既然認證機構要對產品和服務作背書，頒發的證書要供商品流通過程采信，其自身必須很靠譜，故認證活動必然要處于嚴格監管之下。為此，我國在2003年9月頒布了《中華人民共和國認證認可條例》，目前正在修訂。

《中華人民共和國認證認可條例》規定，取得認證機構資質，應當經國務院認證認可監督管理部門批準，并在批準范圍內從事認證活動。未經批準，任何單位和個人不得從事認證活動。這里的“國務院認證認可監督管理部門”是指國家認證認可監督管理委員會（國家認監委），目前設置在國家市場監管總局。

那么，什么是認證呢？根據《中華人民共和國認證認可條例》，是指由認證機構證明產品、服務、管理體系符合相關技術規范、相關技術規范的強制性要求或者標準的合格評定活動。這一定義說明，認證的對象分為三種：產品、服務、管理體系。但并不是獲得認證機構資格后，就可以對任何對象頒發證書了，其只能在國家認監委批準的范圍內從事認證。即，批準你只對木材產品進行認證，便不得對軟件產品進行認證。

《中華人民共和國認證認可條例》還要求，從事產品認證活動的認證機構，還應當具備與從事相關產品認證活動相適應的檢測、檢查等技術能力。那么認證機構的能力由誰評價呢？這便引出了“認可”的概念，即由認可機構對認證機構、檢查機構、實驗室以及從事評審、審核等認證活動人員的能力和執業資格，予以承認的合格評定活動。這里的“認可機構”是指中國合格評定國家認可委員會。所以，認證機構除必須由國家認監委審批成立外，其能力還要經過國家認可委的驗證。

既然要頒發證書，標準是什么？《中華人民共和國認證認可條例》規定，認證機構應當按照認證基本規范、認證規則從事認證活動。認證基本規范、認證規則由國務院認證認可監督管理部門制定；涉及國務院有關部門職責的，國務院認證認可監督管理部門應當會同國務院有關部門制定。屬于認證新領域，前款規定的部門尚未制定認證規則的，認證機構可以自行制定認證規則，并報國務院認證認可監督管理部門備案。這意味著，一般要首先有明確的標準，基于標準制定認證基本規范和認證規則后，認證機構據此作出認證決定。

數據安全認證是認證的一種，也要符合以上的管理框架。而且，數據安全認證涵蓋全部三種認證類型：產品認證，服務認證，管理體系認證。

二、歐盟的數據安全認證

歐盟《通用數據保護條例》（GDPR）在設計之初便考慮了數據安全認證問題。其提供了多種途徑幫助企業證明其合規性。其中，第42條和第43條引入了對數據控制者或處理者的數據處理行為進行認證的制度，規定了各參與方的作用和要求，以及認證和認可過程的總體原則。

GDPR第42條（1）款要求：成員國、監管機構、歐盟數據保護委員會和歐盟委員會應鼓勵建立數據保護認證機制，設立數據保護印章、標識，特別是歐盟整體級別的印章和標識，以便證明數據控制者和處理者的數據處理操作符合本條例要求。應考慮中小微型企業的特定需求。這便是GDPR數據安全認證的由來。

GDPR數據安全認證制度的特點是：其不限定具體的對象，即針對產品、服務、管理體系開展數據安全認證均可；也不限制具體的認證品牌和數量，即某個認證機構可以頒發全歐洲承認的數據安全認證證書，也可以頒發某個國家或某幾個國家承認的認證證書，區別在于由誰對其進行認可。這意味著，全歐洲可以有上百種數據安全認證證書，類型不一樣，有效范圍也不一樣。

既然GDPR允許成員國和監管機構采用多種方式實施數據安全認證制度，但這種新穎和靈活的機制所帶來的不確定因素也不可忽視。為此，自2018年起，歐盟委員會、歐盟數據保護委員會和第29條工作組內的國家監管機構進行了大量研究，發布了一系列指南和報告，力圖為GDPR創建便捷的合規環境。

2018年5月，EDPB發布了《針對GDPR第42、43條認證規定的指南》，并于2019年6月4日發布第三版，對認證制度的可重復性原則、問責工具作用、關鍵概念和認證范圍等進行了更加詳細的闡釋。指南的附錄部分《認證標準評估指南（第1/2018號指南附錄，關于認證和根據GDPR第42、43條確定認證標準）》經修改于2021年4月14日至5月26日公開征求意見。

2018年12月4日，EDPB發布了《依據GDPR第43條要求的數據保護認證機構的認可指南》，對成員國的角色職責、國家認可機構的職責、監管機構的職責、監管機構自行開展認證的情況以及對認證機構的認可要求提出指導。

2019年5月，歐盟委員會發布了研究報告《數據保護認證機制——對歐盟第2016/679號條例（GDPR）第42、43條的研究》。具體目的是：在認證領域語義下，解釋GDPR第42、43條的各種術語；了解成員國現有的數據安全認證方案和相關技術標準，了解歐盟主要貿易伙伴中現有的數據安全認證方案和相關技術標準；分析選定的15個認證方案（包括其實質性和程序性要求）和相關技術標準；為歐盟委員會提出建議。

三、數據安全認證監管體系

GDPR第43條（1）款規定，成員國應確保數據安全認證組織獲得以下組織（至少其中一類）的認可：

(a)數據保護監管機構；

(b)國家認可機構。

即，歐盟既考慮了認證認可制度的一般規定，也考慮了數據安全認證制度的特殊性。數據安全認證機構既可以按照傳統渠道，由認可機構進行資質評估，也可由各國數據保護監管機構進行批準。

但相對于傳統的國家認可機構對認證機構的監管，GDPR賦予了各國數據保護監管機構很重要的任務和很大的權力。如圖所示

GDPR數據安全認證監管框架如下圖所示。

這對我國建立數據安全認證制度帶來了很好的啟示。將來中國的數據安全認證也會分很多種（產品、服務、管理體系），國內會成立一批數據安全認證機構。但這些機構由誰來批準呢？批準機構的職責是什么呢？從歐盟經驗看，可以由國家認監委批準，也可以由中央網信辦批準。但客觀看，僅由國家認監委批準可能還不夠，畢竟數據安全的專業性太強，歐盟也是打破慣例允許由各國數據保護監管機構（數據保護委員會）批準。因此，將來我國數據安全認證的監管模式很可能是國家認監委（或其上級單位國家市場監管總局）與中央網信辦聯合監管。

四、數據安全認證與數據出境

我國《個人信息保護法》第三十八條規定，個人信息處理者因業務等需要，確需向中華人民共和國境外提供個人信息的，應當具備下列條件之一：（一）依照本法第四十條的規定通過國家網信部門組織的安全評估；（二）按照國家網信部門的規定經專業機構進行個人信息保護認證；三）按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務；（四）法律、行政法規或者國家網信部門規定的其他條件。

其中，第（二）項將認證制度引入到了數據出境安全管理中來。但這不是我國的首創，其借鑒了GDPR的規定。GDPR第42（2）款及第46（2）款共同提出了可將數據保護認證作為數據跨境傳輸合法依據的方法。即，位于未獲得充分性認定的第三國的數據處理者或控制者申請并獲得認證，并與數據傳輸方或認證機構做出有約束力的承諾（如合同條款等），即可合法接收歐盟的個人數據。

其原文表述如下：除了本條例規范的數據控制者和處理者外，數據保護認證機制、印章或標識可用于證明，不受GDPR第3條規范的數據控制者和處理者提供了適宜的保障措施，符合本條例第46條(2)(f)項提出的個人信息轉移至第三國或國際組織的框架。此類數據控制者和處理者應通過合約或其他具有法律約束力的文件，做出有約束力且可強制執行的承諾，以便應用這些保障措施，包括有關數據主體權利的保障措施。

在對跨境傳輸認證機制的描述中，GDPR非常明確地指出：申請者是位于歐盟外、且不具備充分性認定的國家/地區的數據控制者或處理者（數據接收方），接收方還需要與認證機構和/或數據傳輸方簽訂有約束力的承諾。

歐盟還指出，在GDPR提出的幾種數據出境機制中，當事機構可以自由選擇不同的機制，但相比于其他機制，認證的優勢在于，沒有與歐盟達成充分性認定協議的第三國企業不必與歐盟境內企業形成數據跨境合作就可申請數據保護認證（即，在沒有數據跨境傳輸場景的時候就可以申請認證）。而且，其他機制更適合于具體行業的企業，而認證機制可以不考慮行業的特殊性，更加靈活，適用于更廣泛的數據控制者和處理者。

歐盟委員會在《數據保護認證機制——對歐盟第2016/679號條例（GDPR）第42、43條的研究》中，提出了數據跨境傳輸認證機制應確定的數據處理操作保障措施最低要求：

1）關于處理條件的認證標準：應關注數據處理原則（第5條）和法律依據（第6條）。認證方案應研究數據接收方如何在其處理過程中應用數據最小化原則、目的限制，以及GDPR第5條的其他原則。認證標準應包括對每項標準意圖的定義和簡要說明，不提出實現標準的方法。

2）關于數據主體權利的認證標準：認證方案應檢查數據接收方如何實現實質性和程序性的數據主體權利（獲得有效救濟的權利）。

3）關于各方責任的認證標準：認證方案還應包括針對數據控制者、處理者責任的標準，如通過設計和默認實現數據保護（第25條），數據安全（第32條），數據處理活動記錄（第30條），數據泄露（第33、34條），數據保護影響評估（第35條）等。

4）認證機構評估：認證機構負責評估數據接收方是否符合GDPR第42（2）款所述數據保護認證機制中的認證標準。評估的內容可以包括：

l 文檔，例如策略，商業和雇傭合同，條款和條件，用戶手冊，文件管理和/或存檔系統，同意書，隱私聲明和隱私政策等；

l IT安全措施，例如假名化和加密，IT軟件和基礎設施（包括備份系統和存儲系統）；

l 工作流程和程序，例如雇員對包含個人數據的文檔的訪問權和授權，投訴處理和爭議解決，行使數據主體權利的流程，審查和幫助達成數據主體的訴求等。

不僅如此，《數據保護認證機制——對歐盟第2016/679號條例（GDPR）第42、43條的研究》還對境外數據接收方的承諾作了進一步規定。理論上，數據接收方有義務承諾執行認證方案中要求的適當保護措施（第42條第2款）。這是因為，在第三國（或國際組織）中缺乏基于監管機構對數據傳輸進行特定授權或充分性保護認定而形成的義務，故GDPR要求位于第三國的控制者或處理者做出額外的承諾，來為認證所規定的保障措施提供可執行性和約束力。

1）承諾的內容：執行認證方案中要求的適當保護措施，應包括保護數據主體相關條款。通常，認證協議會包含所授予認證的維持條件。實踐中，通常是承諾繼續遵守認證標準并向認證機構報告可能影響認證的任何變更。在跨境傳輸認證的語境下，認證機構和位于歐盟外數據控制者/處理者之間的認證協議可能還要包括數據接收方承諾遵守認證機制的標準和總體條件（例如，如何使用認證標記等）。認證機構還應要求數據傳輸方也做出承諾，或要求數據接收方在提供有關認證的證據外，還承諾要求數據傳輸方實施保護措施。

2）承諾的形式：合同或其他具有法律約束力的文書，主要包括合同（雙邊合同或多邊合同）和條約。使用合同手段來加強認證機制在數據跨境傳輸方面的效果時，以下兩個合同極為關鍵：

l 認證機構與數據接收方之間的認證合同。可通過在認證合同中加入適當的保證、罰則（撤銷或暫停認證等）和其他制裁措施，來強化承諾。

l 位于歐盟境內的數據控制者/處理者與位于歐盟外的數據控制者/處理者之間的數據處理合同。可以規定獲得/維持有效證書的義務，并通過擔保和制裁（罰金、違約責任、終止協議）條款來保障此類義務的履行，從而增強認證合同的效力。為了確保獲得經濟補償（罰款、賠償損失等）的效力，可以使用諸如銀行擔保之類的途徑。條約在國家之間建立義務，例如承認法院的判決，也可以賦予個人權利。2017年，歐盟委員會宣布將研究GDPR第50條的可能應用，具體來說，是制定歐盟數據保護機構與第三國執法機構之間合作框架協議。

毫無疑問，在跨境傳輸認證機制下，重點是對境外的數據接收方進行認證，歐盟已經多次表達了這一觀點。這一點沒有任何疑義，否則認證機制對于跨境傳輸還有什么意義呢？借鑒歐盟經驗，《條例》第三十五條提出，數據處理者和數據接收方均通過國家網信部門認定的專業機構進行的個人信息保護認證后，數據可以出境。因此，只對數據處理者進行認證是完全不夠的。至于有人擔心，如何到國外對數據接收者進行認證？這當然有賴于國家間合作。如國外機構申請認證確實有困難，則完全可以通過其他機制實施數據出境，數據出境的大門并未關死。事實上，GDPR規定的幾種數據出境條件中，也是各有利弊，需當事機構根據具體情況權衡。