《Cách chơi casino Roulette安全法》第三十一条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要Cách chơi casino Roulette的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他Cách chơi casino Roulette处理者在中华人民共和国境内运营中收集和产生的重要Cách chơi casino Roulette的出境安全管理办法，由国家网信部门会同国务院有关部门制定。

（一）Cách chơi casino Roulette出境的主体：关键信息基础设施的运营者 & 其他Cách chơi casino Roulette处理者

《Cách chơi casino Roulette安全法》并非要求所有Cách chơi casino Roulette出境均应进行审查，而是针对企业在中华人民共和国境内运营中收集和产生的重要Cách chơi casino Roulette进行Cách chơi casino Roulette出境安全管理。对于“重要Cách chơi casino Roulette”的范畴，《Cách chơi casino Roulette安全法》第二十一条在概念界定的基础之上提出了“重要Cách chơi casino Roulette目录”，该目录则是由国家Cách chơi casino Roulette安全工作协调机制统筹协调有关部门制定。

《Cách chơi casino Roulette安全法》第二十一条规定，国家建立Cách chơi casino Roulette分类分级保护制度，根据Cách chơi casino Roulette在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对Cách chơi casino Roulette实行分类分级保护。国家Cách chơi casino Roulette安全工作协调机制统筹协调有关部门制定重要Cách chơi casino Roulette目录，加强对重要Cách chơi casino Roulette的保护。

关系国家安全、国民经济命脉、重要民生、重大公共利益等Cách chơi casino Roulette属于国家核心Cách chơi casino Roulette，实行更加严格的管理制度。

各地区、各部门应当按照Cách chơi casino Roulette分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要Cách chơi casino Roulette具体目录，对列入目录的Cách chơi casino Roulette进行重点保护。

目前《Cách chơi casino Roulette安全法》的相关配套法律法规还未出台，尤其是最核心的“重要Cách chơi casino Roulette目录”，但跨国公司Cách chơi casino Roulette出境需求并不会因为政策尚未颁布而停止。

在此期间，我们建议跨国公司可以参照现有分类分级规范对“重要Cách chơi casino Roulette”界定开展工作，部分规范和行业标准仍处于征求意见阶段，但并不意味其内容毫无参考价值。

·《信息安全技术 Cách chơi casino Roulette出境安全评估指南（征求意见稿）》附录A“重要Cách chơi casino Roulette识别指南”中对27个重点行业的重要Cách chơi casino Roulette做了概括性的描述，如石油、电力、金融等。

·《汽车Cách chơi casino Roulette安全管理若干规定（征求意见稿）》首次明确界定汽车行业重要Cách chơi casino Roulette的范围，具体包括：

（一）军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流Cách chơi casino Roulette；

（二）高于国家公开发布地图精度的测绘Cách chơi casino Roulette；

（三）汽车充电网的运行Cách chơi casino Roulette；

（四）道路上车辆类型、车辆流量等Cách chơi casino Roulette；

（五）包含人脸、声音、车牌等的车外音视频Cách chơi casino Roulette；

（六）国家网信部门和国务院有关部门明确的其他可能影响国家安全、公共利益的Cách chơi casino Roulette。

（三）Cách chơi casino Roulette出境的内容：“出境”

《信息安全技术 Cách chơi casino Roulette出境安全评估指南（征求意见稿）》将“Cách chơi casino Roulette出境”（data cross-boder transfer）界定为网络运营者将在中华人民共和国境内收集和产生的电子形式的个人信息和重要Cách chơi casino Roulette，提供给境外机构、组织、个人的一次性活动或连续性活动。并且注明，未经任何变动或加工处理的Cách chơi casino Roulette中转情形不属于Cách chơi casino Roulette出境。

并将“提供”（provide）界定为网络运营者主动向境外机构、组织或个人提供Cách chơi casino Roulette，或通过其他途径发布Cách chơi casino Roulette的行为，包括其用户使用网络运营者提供的产品或服务的功能，向境外机构、组织或个人提供Cách chơi casino Roulette的行为。但排除了网络运营者提供已经被依法公开披露的Cách chơi casino Roulette。

从立法原意看，之所以要求网络运营者应当对向境外提供重要Cách chơi casino Roulette进行安全评估，是为了防范国家Cách chơi casino Roulette安全风险，维护国家安全，保障公共利益，因此《评估指南》排除了单纯的Cách chơi casino Roulette中转行为，而是强调网络运营者提供行为的主动性。

（一）什么时候需要进行Cách chơi casino Roulette出境自评估

根据《信息安全技术 Cách chơi casino Roulette出境安全评估指南（征求意见稿）》4.2.2 条，存在下列情况时，需要进行Cách chơi casino Roulette出境自评估：

1.涉及Cách chơi casino Roulette出境的；

2.关键信息基础设施运营者进行Cách chơi casino Roulette出境之前的；

3.已完成Cách chơi casino Roulette出境安全自评估的产品或业务所涉及的个人信息和重要Cách chơi casino Roulette出境，在目的、范围、类型、数量等方面发生较大变化、Cách chơi casino Roulette接收方变更或发生重大安全事件的；

4.按照行业主管或者监管部门要求启动的。

（二）如何开展Cách chơi casino Roulette出境自评估工作

1.成立安全自评估工作组，制定Cách chơi casino Roulette出境计划

开展Cách chơi casino Roulette出境自评估工作应当建立Cách chơi casino Roulette出境安全自评估工作组，工作组主要包含法务、政策、安全、技术、管理相关专业人员。Cách chơi casino Roulette出境安全自评估工作组应负责审查业务部门提交的Cách chơi casino Roulette出境计划，并定期对Cách chơi casino Roulette出境情况开展检查、抽查。而有Cách chơi casino Roulette出境需求的业务部门应制定Cách chơi casino Roulette出境计划，该计划是开展评估工作的重要依据。

Cách chơi casino Roulette出境计划的内容包括但不限于：

a) 涉及个人信息情况，包括个人信息的类型、数量、范围和敏感程度等；

b) 涉及重要Cách chơi casino Roulette情况，包括重要Cách chơi casino Roulette的类型、数量和范围等；

c) 涉及的信息系统情况；

d) Cách chơi casino Roulette发送方安全保护能力；

e) Cách chơi casino Roulette接收方安全保护能力及其所在的国家或地区的基本情况。

2.评估Cách chơi casino Roulette出境计划的合法性和正当性

Cách chơi casino Roulette出境安全自评估首先应当考虑本次Cách chơi casino Roulette出境计划的合法性和正当性，如果Cách chơi casino Roulette出境活动不具有合法性和正当性，则禁止出境。在此基础上再评估Cách chơi casino Roulette出境计划是否风险可控，有效避免Cách chơi casino Roulette出境及再转移后被泄露、损毁、篡改、滥用等风险。

自评估的评估要点可以参考《评估指南》第5章，评估方法可以参考《评估指南》附录 B。安全评估但结果为出境安全风险为极高或高的，则禁止出境。

3.形成评估报告，进行相应调整

Cách chơi casino Roulette出境安全自评估工作组在完成对Cách chơi casino Roulette出境计划的评估后，应形成安全自评估报告。安全自评估报告内容应包括但不限于：

1.安全自评估对象基本情况；

2.安全自评估组织实施情况；

3.安全自评估结果；

4.Cách chơi casino Roulette出境安全风险点；

5.检查修正建议。

安全自评估报告应至少保存2年，并在如下情况下将安全自评估报告上报行业主管部门，行业主管部门不明确的，报国家网信部门。

a）关键信息基础设施运营者开展的安全自评估；

b）一年内出境的个人信息数量达到国家网信部门、行业主管部门上报要求的；

c）包含核设施、生物化学、国防军工、人口健康等领域Cách chơi casino Roulette，大型工程活动、海洋环境敏感地理信息Cách chơi casino Roulette，以及其他重要Cách chơi casino Roulette的；

d）涉及关键信息基础设施的安全缺陷、具体安全防护措施等网络安全信息的；

e）其他可能影响国家安全、经济发展和社会公共利益的。

如果安全自评估结果为禁止出境的，网络运营者应采用相关措施降低Cách chơi casino Roulette出境安全风险，并修正Cách chơi casino Roulette出境计划，重新开展安全自评估。

可用于降低Cách chơi casino Roulette出境安全风险的措施包括但不限于：

1.精简出境Cách chơi casino Roulette内容；

2.使用技术措施处理Cách chơi casino Roulette降低敏感程度；

3.提升Cách chơi casino Roulette发送方安全保障能力；

4.限定Cách chơi casino Roulette接收方的处理活动；

5.更换Cách chơi casino Roulette保护水平更高的接收方；

6.选择政治法律环境保障能力较高地区的Cách chơi casino Roulette接收方等。

在企业进行相应调整后，可重新对Cách chơi casino Roulette出境进行安全风险评估。

（一）跨国公司是否必须在中国境内设立用于存储Cách chơi casino Roulette的服务器？

《Cách chơi casino Roulette安全法》并未直接对Cách chơi casino Roulette本地化存储进行规制，对于此问题可以参考此前已实施生效对《网络安全法》第三十七条。

《网络安全法》第三十七条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要Cách chơi casino Roulette应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

简言之，如果“关键信息基础设施的运营者”直接在境外服务器上存储境内重要Cách chơi casino Roulette，将违反本地化存储的相关规定，导致企业和相关直接责任人员面临被予以行政处罚的风险。

《网络安全法》仅对“关键信息基础设施对运营者”提出了Cách chơi casino Roulette本地化存储的要求，但由于此前仅对“关键信息基础设施对运营者”进行了行业和程度的界定，实践中跨国公司的落实情况并不理想。而本次《Cách chơi casino Roulette安全法》扩大了Cách chơi casino Roulette出境的被监管主体——从“关键信息基础设施对运营者”到“其他Cách chơi casino Roulette处理者”均被纳入监管范畴。同时，结合近期监管趋势来看，监管部门对于关涉国家安全的行业相继出台法规政策，如针对智能汽车领域的《汽车Cách chơi casino Roulette安全管理若干规定（征求意见稿）》，首次明确界定汽车行业重要Cách chơi casino Roulette的范围，前已述及不再赘述。

可以见得，对于从事《信息安全技术 Cách chơi casino Roulette出境安全评估指南（征求意见稿）》附录A“重要Cách chơi casino Roulette识别指南”中所涉27个重点行业的跨国公司，如果其在境内收集、使用的Cách chơi casino Roulette有涉及国家安全的潜在可能，那么对于“跨国公司是否必须在中国境内设立用于存储Cách chơi casino Roulette的服务器？”这个问题的答案是肯定的，为了应对监管趋势，设立用于Cách chơi casino Roulette存储的本地服务器是有必要的。

（二）境外远程访问是否属于Cách chơi casino Roulette出境？

上文已经对“Cách chơi casino Roulette出境”内涵进行阐述，在此基础上，我们可以讨论“境外远程访问是否属于Cách chơi casino Roulette出境“问题。

首先，如何理解“境外远程访问“，即“境外远程访问“一般包括那些情形。

狭义层面的“远程访问“（remote access）一般是指远端用户通过其他设备访问该计算机及其存储资源的行为，比较常见的是通过在计算机上安装远程访问软件的方式来达到在远端操控计算机的目的。

而法律所规制的“Cách chơi casino Roulette出境”行为要求网络运营者的“提供”行为具有主动性。笔者认为主动性在“远程访问”中体现为此访问行为是否受权限控制。如果境外主体获得权限后访问境内Cách chơi casino Roulette库，则该行为应当落入《评估指南》的规制范畴，属于“Cách chơi casino Roulette出境”行为。

如果网络运营商在中华人民共和国境内收集和产生的重要Cách chơi casino Roulette是因为被恶意攻击者窃取Cách chơi casino Roulette从而导致重要Cách chơi casino Roulette被传输至境外的，不属于Cách chơi casino Roulette出境行为。

而从访问对象看，境外主体所访问的计算机或其资源不存在权限要求，即任何主体在任何时间地点均可对其进行访问，与排除“依法公开披露”立法意相同，也不属于“Cách chơi casino Roulette出境”行为。

（三）境外接收重要Cách chơi casino Roulette的母公司是否也存在合规要求？

——是的

在跨国公司的业务中，收集、传输Cách chơi casino Roulette的主体多为跨国公司的境内公司（外商投资企业），其承担了主要的合规义务，而境外母公司作为接受者也存在一定的监管要求。

网信办在2019年发布的《个人信息出境安全评估办法（征求意见稿）》对“个人信息接收者”规定了相应的法律义务，该办法主要是针对个人信息出境，但由于其内容具有一定实操性和规范性，因此我们建议在《Cách chơi casino Roulette安全法》配套法规尚未出台前，有出境需求的跨国企业可以参照该办法规定开展Cách chơi casino Roulette传输合规工作，力求尽可能规避监管风险。

该办法第十三条规定网络运营者（跨国公司的境内公司）与个人信息接收者（境外母公司）应当签订合同或者其他有法律效力的文件，并对合同所应当约定的内容进行了规定。

该办法第十五条、第十六条明确规定接收者（境外母公司）所应承担的责任和义务，包括：

1.为个人信息主体提供访问其个人信息的途径，个人信息主体要求更正或者删除其个人信息时，应在合理的代价和时限内予以响应、更正或者删除。

2.按照合同约定的目的使用个人信息，个人信息的境外保存期限不得超出合同约定的时限。

3.确认签署合同及履行合同义务不会违背接收者所在国家的法律要求，当接收者所在国家和地区法律环境发生变化可能影响合同执行时，应当及时通知网络运营者，并通过网络运营者报告网络运营者所在地省级网信部门。

4.除非满足一定条件，接收者不得将接收到的个人信息传输给第三方。

对于“重要Cách chơi casino Roulette”而言，其对于“知情同意”的要求力度不如“个人信息”（个人信息自决权的体现），因此第一点对“重要Cách chơi casino Roulette”而言参照性较低。但第2、3、4点的制定逻辑均适用于“个人信息”和“重要Cách chơi casino Roulette”，跨国公司可以参照。

此前，国家网信办官网发布了《网络安全审查办法（修订草案征求意见稿）》并向社会公开征集意见。该办法对赴国外上市公司作了特殊规定，要求掌握超过 100 万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查，且在申报材料中应提供拟提交的 IPO 材料。且在审查关注的国家安全风险方面，针对赴国外上市行为提出了新的规制措施。

可以见得，在未来一段期限内，关涉国家安全的Cách chơi casino Roulette跨境流通将面对更进一步的监管要求。尤其是日常业务涉及高频Cách chơi casino Roulette跨境流动的跨国公司，对此问题应当有所应对。

注释：

*关于国家标准《信息安全技术 Cách chơi casino Roulette出境安全评估指南》征求意见稿征求意见的通知

https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20170830211755&norm_id=20170221113131&recode_id=23883

*国家互联网信息办公室关于《汽车Cách chơi casino Roulette安全管理若干规定（征求意见稿）》公开征求意见的通知

http://www.gov.cn/xinwen/2021-05/12/content_5606075.htm

*国家互联网信息办公室关于《个人信息出境安全评估办法（征求意见稿）》公开征求意见的通知

http://www.cac.gov.cn/2019-06/13/c_1124613618.htm