《數據出境安全評估辦法（征求意見稿）》中規定：

　　第四條  數據處理者向境外提供數據，符合以下情形之一的，應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估。

　　（一）關鍵信息基礎設施的運營者收集和產生的個人信息和重要數據；

　　（二）出境數據中包含重要數據；

　　（三）處理個人信息達到一百萬人的個人信息處理者向境外提供個人信息；

　　（四）累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息；

　　（五）國家網信部門規定的其他需要申報數據出境安全評估的情形。

　　其中一百萬、十萬和一萬，分別指向不同的情形。按照本辦法，

　　1、如果境內處理超過100萬人的個人信息了，個人信息處理者對外提供任何數量的個人信息，都應當申報出境安全評估。

　　2、如果境內處理不到100萬人的個人信息，但是累計向境外提供超過10萬人以上個人信息或者1萬人以上敏感個人信息，這時候個人信息處理者也應當申報出境安全評估。

　　再看《個人信息保護法》第40條，“關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者，應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的，應當通過國家網信部門組織的安全評估；法律、行政法規和國家網信部門規定可以不進行安全評估的，從其規定”。

　　很自然就會得到一個推論：第40條中的“處理個人信息達到國家網信部門規定數量的個人信息處理者”中，國家網信部門規定的數量，是不是就是100萬？因為要特別考慮到一個場景，就是假設一個個中國用戶自己注冊了某個外國網站的用戶【注意，這個不屬于要出境評估的場景】，隨著時間的累計，外國網站發現自己的中國用戶數量已經超過了100萬人，這時候，是不是按照第40條規定，外國網站必須將服務器挪到中國？或者至少在國內建立一個個人信息存儲副本？

　　讓我們再看看市場監管總局今天公開的兩個文件。在《互聯網平臺分類分級指南》中，存在以下三個層級的劃分：

　　在《互聯網平臺落實主體責任指南》中，存在以下劃分：

　　很有意思，在一天之內，出現了對個人信息處理者所處理的個人信息規模的不同劃分方式：

　　首先，在數據出境這個場景中，如果個人信息保護法第40條中“國家網信部門規定的數量”就是100萬，那么100萬用戶的個人信息處理者，其重要性和關鍵信息基礎設施運營者是等量齊觀的。

　　在市場監管總局的兩個文件中，大型平臺或超大型平臺是5000萬活躍用戶（即個人）。

　　兩者并列看，大型平臺或超大型平臺，就要比關鍵信息基礎設施還要來的重要。

　　當然，這么簡單比也許沒有任何科學性（也很無聊），就是一點觀察，供大家拍磚。（完）