跨境传输的个人信息和重要数据需要本地存储吗

跨境传输的个人信息和重要数据需要本地存储吗？

由网信办起草的《 个人信息和重要数据出境安全评估办法（征求意见稿）》正在征求意见阶段。第二条规定：“网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据，应当在境内存储。因业务需要，确需向境外提供的，应当按照本办法进行安全评估。”

在境内收集和产生的个人信息和重要数据为什么要在境内存储呢？毫无疑问，是为了个人信息和重要数据的安全，也为了监管的需要。《网络安全法》第三十七条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。” 但是，《 个人信息和重要数据出境安全评估办法（征求意见稿）》中重复“境内存储”这一句却没有多大的实际意义。个人信息和重要数据都传到境外了，可以在境外方便地存储、处理，为了以上安全目的要求在境内存储还有多大意义？况且，这些信息和数据可能在境外长期存储，而在境内也可能存储生命周期很短（往往由”网络运营者“决定）。

本人认为，《 个人信息和重要数据出境安全评估办法（征求意见稿）》要求所有“在中华人民共和国境内运营中收集和产生的个人信息和重要数据”都“应当在境内存储”意义不大（《网络安全法》已有规定），但要求跨境传输的个人信息和重要数据在一定时限内在境内存储却可能有必要。让我们先来看看本办法的监管条款。 第七条规定了在数据（注：按照第三条的表述，其后提到的“数据”实际上是“个人信息和重要数据”的简称）出境前，由网络运营者自行组织安全评估，而第九条规定当数据满足一定的条件，如来自关键信息基础设施等，就不能由网络运营者自行组织安全评估了，而必须由网络运营者“报请行业主管或监管部门组织安全评估”，或由国家网信部门进行。之后，网络运营者必须“每年对数据出境至少进行一次安全评估”，而不论第一次是由谁进行安全评估的；而行业主管或监管部门的职

责则是“定期组织开展本行业数据出境安全检查”。“定期”是多长时间？ 每年还是每两年？这里没说，或意味着行业主管或监管部门内部定期，而外部看起来不定期？ 一般说来，对于跨境传输的数据无论是安全评估还是检查，无外乎是针对两种情况：一种是网络运营者因业务需要或服务种类，需要长期地与境外交换或传输数据，这种情况下可能应该是一次评估，在规定的时间内（例如在一年一次的评估期间或监管部分规定的时期内）可以在评估限定的范围内不限量地传输出境数据；另一种是没有长期的跨境数据传输业务，但某次需要一次性地将大批量数据传输出境，这样就可以一次性地评估，传输完毕后该评估即失效。从时间节点监管来看，无外乎是分事前、事中和事后管理。事前，即是这个安全评估；事中，也许为实时监控向境外传输的数据，或在网络运营者处安装监控设备，显然，事中管理是非常困难的；事后，应该是向境外传输数据后，监管部门定期或不定期检查已经传出境的数据是否符合安全评估的范围（无论是自行安全评估还是行业主管或监管部分进行的安全评估），有没有超范围的数据，有没有向超范围的接受者传输数据，等。显然，这些跨境传输的数据必须在境内存储一定的期限，监管部门才有可能对其进行检查（或包括日志文件等）。

看起来，《 个人信息和重要数据出境安全评估办法（征求意见稿）》没有必要规定“网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据，应当在境内存储”，但是可能有必要按监管工作周期的需要，规定“向境外提供的”个人信息和重要数据必须在境内存储的期限。而这里不必操心不向境外提供的数据在境内存储的问题。