出過(guò)國(guó)的朋友都知道，出境要過(guò)安檢，過(guò)海關(guān)，由海關(guān)對(duì)進(jìn)出口貨物、旅客行李和郵遞物品、進(jìn)出境運(yùn)輸工具等實(shí)施監(jiān)督管理。但大家知不知道，數(shù)據(jù)出境也需要過(guò)"安檢"！

"數(shù)據(jù)出境"知多少？

關(guān)于“數(shù)據(jù)出境”的最早規(guī)定是由《網(wǎng)絡(luò)安全法》提出，《網(wǎng)絡(luò)安全法》三十七條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定的辦法進(jìn)行安全評(píng)估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。

個(gè)人信息：根據(jù)《網(wǎng)絡(luò)安全法》第七十六條，個(gè)人信息，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等。

重要數(shù)據(jù)：2017年4月11日發(fā)布的《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》第十七條明確規(guī)定，重要數(shù)據(jù)，是指與國(guó)家安全、經(jīng)濟(jì)發(fā)展，以及社會(huì)公共利益密切相關(guān)的數(shù)據(jù)，具體范圍參照國(guó)家有關(guān)標(biāo)準(zhǔn)和重要數(shù)據(jù)識(shí)別指南。隨后，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)先后發(fā)布兩稿《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南》征求意見(jiàn)，其中對(duì)重要數(shù)據(jù)的定義更新為：相關(guān)組織、機(jī)構(gòu)和個(gè)人在境內(nèi)收集、產(chǎn)生的不涉及國(guó)家秘密，但與國(guó)家安全、經(jīng)濟(jì)發(fā)展以及公共利益密切相關(guān)的數(shù)據(jù)(包括原始數(shù)據(jù)和衍生數(shù)據(jù))。同時(shí)提供了附錄《重要數(shù)據(jù)識(shí)別指南》，列明了各行業(yè)中重要數(shù)據(jù)的范圍。

到目前為止，我國(guó)有關(guān)“數(shù)據(jù)出境”的法規(guī)標(biāo)準(zhǔn)共有4部，按頒布順序分別是，《網(wǎng)絡(luò)安全法》、《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》、《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南（草案）》、《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南（征求意見(jiàn)稿）》。

隨著時(shí)間的推移，相關(guān)法規(guī)標(biāo)準(zhǔn)不斷完善，相關(guān)定義條款不斷豐滿、細(xì)化，安數(shù)網(wǎng)絡(luò)帶你一圖看懂“數(shù)據(jù)出境”配套法規(guī)的演化：

說(shuō)了這么久，“數(shù)據(jù)出境”的定義到底是什么？

根據(jù)最新發(fā)布的《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南（征求意見(jiàn)稿）》，數(shù)據(jù)出境是指網(wǎng)絡(luò)運(yùn)營(yíng)者通過(guò)網(wǎng)絡(luò)等方式，將其在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)，通過(guò)直接提供或開(kāi)展業(yè)務(wù)、提供服務(wù)、產(chǎn)品等方式提供給境外的機(jī)構(gòu)、組織或個(gè)人的一次性活動(dòng)或連續(xù)性活動(dòng)。

《評(píng)估辦法》與《評(píng)估指南》的差異

《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法》（下稱《評(píng)估辦法》）是由國(guó)家互聯(lián)網(wǎng)信息辦公室制定并發(fā)布，而《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南》（下稱《評(píng)估指南》）是由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)制定并發(fā)布，《評(píng)估指南》僅為推薦性國(guó)家標(biāo)準(zhǔn)（GB/T），但《評(píng)估辦法》第十七條在闡述重要數(shù)據(jù)概念時(shí)，提到其具體范圍參照國(guó)家有關(guān)標(biāo)準(zhǔn)和重要數(shù)據(jù)識(shí)別指南，而這個(gè)重要數(shù)據(jù)識(shí)別指南恰恰就藏在《評(píng)估指南》中。

可見(jiàn)，在《網(wǎng)絡(luò)安全法》與《評(píng)估辦法》對(duì)數(shù)據(jù)出境安全評(píng)估的具體規(guī)則留有空白的情形下，《評(píng)估指南》作為數(shù)據(jù)出境安全評(píng)估制度的重要組成部分，填補(bǔ)了上述兩項(xiàng)法規(guī)的空白，為數(shù)據(jù)出境的安全評(píng)估提供了指引，增強(qiáng)了其可操作性。

《評(píng)估指南》與《評(píng)估辦法》存在關(guān)聯(lián)和相互映射的關(guān)系，也存在些許差異，前者對(duì)后者已有的規(guī)定進(jìn)行了細(xì)化，使其更容易落地。具體細(xì)化的內(nèi)容包括：

1、細(xì)化數(shù)據(jù)出境安全評(píng)估的適用范圍及例外

《評(píng)估辦法》規(guī)定，數(shù)據(jù)出境，是指網(wǎng)絡(luò)運(yùn)營(yíng)者將在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)，提供給位于境外的機(jī)構(gòu)、組織、個(gè)人。

《評(píng)估指南》則將數(shù)據(jù)出境的定義細(xì)化為網(wǎng)絡(luò)運(yùn)營(yíng)者通過(guò)網(wǎng)絡(luò)等方式，將其在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)，通過(guò)直接提供或開(kāi)展業(yè)務(wù)、提供服務(wù)、產(chǎn)品等方式提供給境外的機(jī)構(gòu)、組織或個(gè)人的一次性活動(dòng)或連續(xù)性活動(dòng)，相較《評(píng)估辦法》更為具體。

《評(píng)估指南》還以注解的形式進(jìn)一步界定了數(shù)據(jù)出境的內(nèi)涵，排除例外的情況，使數(shù)據(jù)出境安全評(píng)估范圍更為清晰。

2、細(xì)化個(gè)人信息及重要數(shù)據(jù)的類型

《評(píng)估指南》通過(guò)注解形式建議個(gè)人信息的范圍和類別可參考《信息安全技術(shù)個(gè)人信息安全規(guī)范》（下稱《安全規(guī)范》）。網(wǎng)絡(luò)運(yùn)營(yíng)者在收集個(gè)人信息時(shí)應(yīng)結(jié)合《安全規(guī)范》與《評(píng)估辦法》的規(guī)定，針對(duì)需要出境的個(gè)人信息的數(shù)量、范圍、類型、敏感程度，以及個(gè)人信息主體是否同意其個(gè)人信息出境等內(nèi)容進(jìn)行詳細(xì)分類以應(yīng)對(duì)數(shù)據(jù)出境安全評(píng)估的需要。

作為《評(píng)估指南》附錄的《重要數(shù)據(jù)識(shí)別指南》明確了包括石油天然氣、煤炭、石化、電力、通信、電子信息、鋼鐵等在內(nèi)的二十七個(gè)行業(yè)（領(lǐng)域）的重要數(shù)據(jù)范圍，相關(guān)行業(yè)的主管部門(mén)應(yīng)結(jié)合實(shí)際情況，明確本行業(yè)（領(lǐng)域）重要數(shù)據(jù)定義、范圍或判定依據(jù)，并根據(jù)行業(yè)（領(lǐng)域）發(fā)展變化，及時(shí)更新或替換相關(guān)內(nèi)容。因此，相關(guān)行業(yè)的網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)及時(shí)了解本行業(yè)主管部門(mén)有關(guān)重要數(shù)據(jù)的規(guī)定及更新，對(duì)相關(guān)重要數(shù)據(jù)分類備案，一旦需要跨境傳輸，及時(shí)加工處理以滿足安全評(píng)估的要求。

3、增加網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)個(gè)人信息出境的告知義務(wù)

關(guān)于個(gè)人信息出境，《評(píng)估辦法》要求網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)向個(gè)人信息主體說(shuō)明數(shù)據(jù)出境的目的、范圍、內(nèi)容、接收方及接收方所在的國(guó)家或地區(qū)并經(jīng)其同意，明令禁止個(gè)人信息未經(jīng)個(gè)人信息主體同意即出境。

《評(píng)估指南》則在此基礎(chǔ)上增加了網(wǎng)絡(luò)運(yùn)營(yíng)者的告知義務(wù)，要求網(wǎng)絡(luò)運(yùn)營(yíng)者在取得個(gè)人信息主體同意前，應(yīng)將數(shù)據(jù)出境的目的、類型、數(shù)據(jù)接收方情況及數(shù)據(jù)出境可能存在的風(fēng)險(xiǎn)，網(wǎng)絡(luò)運(yùn)營(yíng)者的聯(lián)系人及其聯(lián)系方式等信息明確告知個(gè)人信息主體。

4、細(xì)分評(píng)估流程，區(qū)別安全自評(píng)估與主管部門(mén)評(píng)估

《評(píng)估辦法》僅在條文中規(guī)定行業(yè)主管或監(jiān)管部門(mén)負(fù)責(zé)本行業(yè)數(shù)據(jù)出境安全評(píng)估工作以及網(wǎng)絡(luò)運(yùn)營(yíng)者在數(shù)據(jù)出境前自行組織數(shù)據(jù)出境安全評(píng)估并對(duì)結(jié)果負(fù)責(zé)的內(nèi)容。

《評(píng)估指南》則在《評(píng)估辦法》基礎(chǔ)上分別闡述了安全自評(píng)估與主管部門(mén)評(píng)估兩類模式各自的程序，體現(xiàn)了安全自評(píng)估與主管部門(mén)評(píng)估在啟動(dòng)條件、評(píng)估工作組組成、評(píng)估報(bào)告以及評(píng)估流程上的差異。

值得注意的是，《評(píng)估辦法》第九條列舉了網(wǎng)絡(luò)運(yùn)營(yíng)者主動(dòng)報(bào)請(qǐng)行業(yè)主管或監(jiān)管部門(mén)組織安全評(píng)估的情形，《評(píng)估指南》在所列舉的主管部門(mén)評(píng)估的啟動(dòng)條件中增加了大量用戶投訴、舉報(bào)以及全國(guó)性行業(yè)協(xié)會(huì)建議兩類啟動(dòng)條件，增加了主管部門(mén)根據(jù)公眾反饋主動(dòng)采取安全評(píng)估的靈活性。

安數(shù)網(wǎng)絡(luò)特別整理了兩者對(duì)啟動(dòng)主管部門(mén)安全評(píng)估所涉條件的差異：

"數(shù)據(jù)出境第一案"解讀

在數(shù)據(jù)出境相關(guān)法律法規(guī)頒布1年之后，2018年10月24日，科技部公開(kāi)了6條處罰信息，涉及華大基因、藥明康德、復(fù)旦大學(xué)附屬華山醫(yī)院、昆皓睿誠(chéng)、廈門(mén)艾德生物、阿斯利康等6家單位，其中華大基因的《行政處罰判決書(shū)》赫然寫(xiě)著：華大科技未經(jīng)許可將部分人類遺傳資源信息從網(wǎng)上傳遞出境。

截圖自科技部官網(wǎng)

這是公開(kāi)可查的第一例數(shù)據(jù)出境處罰案例。據(jù)科技部官網(wǎng)顯示，華大基因的涉案數(shù)據(jù)為“中國(guó)女性單相抑郁癥的大樣本病例對(duì)照研究”相關(guān)的人類遺傳資源信息。

對(duì)照現(xiàn)行的”數(shù)據(jù)出境“相關(guān)法規(guī)標(biāo)準(zhǔn)，我們來(lái)看看華大基因踩了哪些雷？

對(duì)照《網(wǎng)絡(luò)安全法》解讀

《網(wǎng)絡(luò)安全法》第三十七條：關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)進(jìn)行安全評(píng)估。

首先判定華大基因是否為關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者。打開(kāi)華大基因的官網(wǎng)，可以發(fā)現(xiàn)該公司從事多個(gè)基因、遺傳學(xué)相關(guān)的重大項(xiàng)目研究，其中最聲名顯赫的要數(shù)國(guó)家基因庫(kù)，下面是華大基因官網(wǎng)對(duì)國(guó)家基因庫(kù)的介紹：

截圖自華大基因官網(wǎng)

按照介紹，華大基因的國(guó)家基因庫(kù)存儲(chǔ)了海量的人類遺傳資源信息和個(gè)人DNA信息，對(duì)照中央網(wǎng)信辦下發(fā)的《關(guān)鍵信息基礎(chǔ)設(shè)施確定指南(試行)》,一旦發(fā)生事故，可能造成以下影響之一：

（3）導(dǎo)致5人以上死亡或50人以上重傷；

（4）直接造成5000萬(wàn)元以上經(jīng)濟(jì)損失；

（5）造成超過(guò)100萬(wàn)人個(gè)人信息泄露；

（6）造成大量機(jī)構(gòu)、企業(yè)敏感信息泄露；

（7）造成大量地理、人口、資源等國(guó)家基礎(chǔ)數(shù)據(jù)泄露；

選自《關(guān)鍵信息基礎(chǔ)設(shè)施確定指南(試行)》

因此，可以判定運(yùn)營(yíng)著國(guó)家基因庫(kù)以及多個(gè)重大基因項(xiàng)目的華大基因?qū)儆陉P(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者。那么，只要華大基因未經(jīng)安全評(píng)估，就將收集的個(gè)人信息（人類遺傳資源信息）傳輸?shù)骄惩猓厝粚儆谶`反《網(wǎng)絡(luò)安全法》無(wú)疑。

對(duì)照《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法》解讀

《評(píng)估辦法（征求意見(jiàn)稿）》中，將數(shù)據(jù)出境的定義擴(kuò)大到：網(wǎng)絡(luò)運(yùn)營(yíng)者將在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)，提供給位于境外的機(jī)構(gòu)、組織、個(gè)人。

如何定義網(wǎng)絡(luò)運(yùn)營(yíng)者？《網(wǎng)絡(luò)安全法》和《評(píng)估辦法》給出的釋義都是：指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。華大基因?qū)儆谄髽I(yè)互聯(lián)網(wǎng)、局域網(wǎng)、信息系統(tǒng)等各類網(wǎng)絡(luò)的所有者、管理者，可判定為網(wǎng)絡(luò)運(yùn)營(yíng)者。

《評(píng)估辦法》第九條規(guī)定了應(yīng)報(bào)請(qǐng)主管部門(mén)組織安全評(píng)估的情況:

截圖自《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》

顯然，作為網(wǎng)絡(luò)運(yùn)營(yíng)者的華大基因，如果要將屬于人口健康領(lǐng)域的數(shù)據(jù)（人類遺傳資源信息），應(yīng)當(dāng)先申報(bào)主管部門(mén)進(jìn)行安全評(píng)估，如未申報(bào)，則屬于違反《評(píng)估辦法》。

對(duì)照《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南》解讀

盡管《評(píng)估指南（征求意見(jiàn)稿）》目前只是推薦性國(guó)家標(biāo)準(zhǔn)，不能作為違法處置的依據(jù)，但對(duì)于企事業(yè)單位積極做好數(shù)據(jù)出境安全保護(hù)工作，仍然有重要的借鑒作用。

《評(píng)估指南（征求意見(jiàn)稿）》對(duì)數(shù)據(jù)出境的定義進(jìn)一步細(xì)化：

網(wǎng)絡(luò)運(yùn)營(yíng)者通過(guò)網(wǎng)絡(luò)等方式，將其在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)，通過(guò)直接提供或開(kāi)展業(yè)務(wù)、提供服務(wù)、產(chǎn)品等方式提供給境外的機(jī)構(gòu)、組織或個(gè)人的一次性活動(dòng)或連續(xù)性活動(dòng)。

注1：以下情形屬于數(shù)據(jù)出境:

向本國(guó)境內(nèi)，但不屬于本國(guó)司法管轄或未在境內(nèi)注冊(cè)的主體提供個(gè)人信息和重要數(shù)據(jù)；

數(shù)據(jù)未轉(zhuǎn)移存儲(chǔ)至本國(guó)以外的地方，但被境外的機(jī)構(gòu)、組織、個(gè)人訪問(wèn)查看的（公開(kāi)信息、網(wǎng)頁(yè)訪問(wèn)除外）；

網(wǎng)絡(luò)運(yùn)營(yíng)者集團(tuán)內(nèi)部數(shù)據(jù)由境內(nèi)轉(zhuǎn)移至境外，涉及其在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)的。

注2：非在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)經(jīng)由本國(guó)出境，未經(jīng)任何變動(dòng)或加工處理的，不屬于數(shù)據(jù)出境。

注3：非在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)在境內(nèi)存儲(chǔ)、加工處理后出境，不涉及境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)的，不屬于數(shù)據(jù)出境。

《評(píng)估指南（征求意見(jiàn)稿）》增加了安全自評(píng)估這一流程，規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)每年進(jìn)行安全自評(píng)估，在數(shù)據(jù)出境之前首先啟動(dòng)安全自評(píng)估，并且至少保存2年，涉及以下數(shù)據(jù)出境時(shí)，上報(bào)自評(píng)估報(bào)告：

截圖自《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南（征求意見(jiàn)稿）》

因此，只要華大基因在數(shù)據(jù)出境之前未啟動(dòng)安全自評(píng)估，未保存至少2年的自評(píng)估報(bào)告并上報(bào)主管部門(mén)，則屬于違反《評(píng)估指南》。

另外，根據(jù)《評(píng)估指南（征求意見(jiàn)稿）》的附錄A《重要數(shù)據(jù)識(shí)別指南》，個(gè)人和家族的遺傳信息被歸劃到重要數(shù)據(jù)行列，因此華大基因的涉案數(shù)據(jù)（人類遺傳資源信息）不僅觸碰了”個(gè)人信息“的紅線，也觸碰了”重要數(shù)據(jù)“的紅線。