穆忠和：从法律视角看《数据出境安全评估办法（征求意见稿）》

我主要从法律的角度来谈点学习体会吧，我是德恒律师事务所的律师，我们所对数据跨境流动问题近期比较关注。

今天听到大家讲的都特别好，有很多高屋建瓴的观点，我就谈几点体会，可能有的略有重复。

《办法》制定的背景

 关于这个立法的背景和原则，我也在想就像大家刚才谈到的，它主要是想维护国家的安全，还有一些是公众利益，当然也包括个人信息权益，但是还要同时兼顾和平衡的就是一个数字经济的自由化问题。

现在我们也申请加入“数字经济伙伴关系协定”。这个协定虽然现在签署的国家不多，但是应该也代表了未来的一个发展方向，并且我国政府也正在申请加入这个协定。可见我国政府实际上在数据的跨境移动问题上的总体立场是兼顾促进自由化与维护安全。接下来我们应该也不必太过担心，会不会监管将来的手伸的太长，或者监管的力度太大，把数据流动管得太死啦。这种可能性很低。

重要数据的讨论

    关于大家提到的“重要数据”的定义问题，我也有同感。大家理解，一般叫“办法”的这种规章，应该是非常有可操作性，非常具体的，但实际上现在大家看到这个文件，确实还比较原则比较宽泛，像“重要数据”这么重要的一个概念也没有做定义。真正作为从业者来说，如果我想去遵从这个办法，实际上也很难评估我自己的数据到底算不算“重要数据”。

刚才有专家提到了，现在其实同步在征求意见的还有一个《网络数据安全管理条例》，它这里面对“重要数据”给出了定义，也列举了一些具体情形。并且它也给出“重要数据”认定的一个程序，但是它只是针对网络数据安全，所以也不能直接适用于我们现在讨论的这个《办法》。所以这个《办法》实际上还是面临着“重要数据”定义的缺失问题。我认为下一步如果考虑在《办法》中对“重要数据”进行定义，可以参考《网络数据安全管理条例》对“重要数据”作定义的模式。

如何审查

    关于从程序上大家怎么理解这个办法。我们做反垄断领域的经营者集中审查业务比较多，我觉得二者有类似之处。当企业自己对自己的某一个经营行为，有可能需要去申报的时候，那它确实面临的一个选择，其实包括反垄断也是一样的，比如这个行为是不是触发了经营者集中申报，自己也拿不准。如果抱着侥幸心理不去申报，就有可能被抽查。最近反垄断局抽查并处罚了很多企业。

如何进行具体的处罚

   这个《办法》也没有规定具体罚则，只规定“违反本办法规定的，依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规的规定处理”。我看了一下这三个上位法的罚则，根据具体适用起来还是有难度。如果《办法》罚则部分不做修改补充，将来在面临企业违规行为时，比如企业该申请评估而未申请，监管部门要对企业进行行政处罚，具体怎么罚，可操作性还是有提升空间。

    总体上，面临现在一些带有不确定性的监管规则，从企业的角度，包括我们现在一些现有的客户，我的建议是要积极地利用各种渠道，跟监管部门，特别是现在的立法部门保持沟通，积极地反馈自身的修订意见，要跟律师团队，跟企业内部的法务、合规团队共同做好研究和准备工作。

评估的时间问题

    关于刚才大家提到评估的时间问题，我也有同感。这个《办法》对评估程序规定得比较宽泛，对于评估的时限，它规定的是45个到60个工作日，我也感觉这个时限偏长，会对企业的经营造成不必要的阻碍。

关于“需要补充材料的”的情况，建议修改为“需要补充材料的，评估时间从收到完整补充材料之日起算”。

关于“但一般不超过六十个工作日”的规定，建议删除“一般”二字，否则评估时限并未真正确定，这种不确定性对于被监管对象而言意味着对行政行为 不可预期性。

注：

本文为穆忠和律师在2021年11月23日全联并购公会信用管理委员会组织召开的“企业征信数据出境”研讨会上发言整理而成。关于本次研讨会，国内官方媒体新华财经也给予重磅报道：https://bm.cnfic.com.cn/sharing/share/articleDetail/2574472/1。

专家简介：穆忠和博士

北京徳恒律师事务所合伙人，中国人民大学法学博士，美国斯坦福大学客座教授（2012）。具有8年的执业律师和15年的国家商务部工作经历。在国家商务部工作期间，主要从事WTO谈判事务。在律师执业期间，承办过多起重大诉讼和非诉讼项目。主要执业领域包括资本市场、诉讼仲裁、跨境投资等。