《数据出境安全评估办法》(以下简称“评估办法”)作为《网络安全法》(以下简称“网络安全法”)《数据安全法》(以下简称“数据安全法”)《个人信息保护法》(以下简称“个人信息保护法”)所规定的数据出境的核心配套法规,其出台经历了2017年《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称“2017年《征求意见稿》”)、2019年《个人信息出境安全评估办法(征求意见稿)》(以下简称“2019年《征求意见稿》”)、2021年《数据出境安全评估办法(征求意见稿)》(以下简称“评估办法《征求意见稿》”)等一系列立法探索的过程。最终,国家互联网信息办公室(以下简称“国家网信办”)于2022年7月7日正式发布了《评估办法》,并确定于2022年9月1日起正式生效。《评估办法》为符合条件的数据出境提供了详细的、可供实操的指引,同时也确立了适用安全评估的数据出境和不适用安全评估的数据出境的区分标准。
本文将结合我们对《评估办法》的理解以及我们办理安全评估业务的实务经验,对《评估办法》的主要内容进行初步梳理,并在此基础上做出一定程度的合规提示,希望能够为涉及数据出境的企业、实体或者机构(包括其内部的法务、合规、技术人员等)判断及办理数据出境业务提供一些参考!
实务中,关于是否适用《评估办法》,第一个难点是判断所涉场景是否构成法律上的数据出境。只有构成法律上的数据出境,才有可能构成需要申报安全评估的数据出境,但是判断是否构成法律上的数据出境则涉及到对数据出境定义的理解。
关于数据出境的定义,《信息安全技术 数据出境安全评估指南(征求意见稿)》(2017年8月30日发布)(以下简称“安全评估指南(征求意见稿)”)第3.7条规定:网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。安全评估指南(征求意见稿)进一步从正反两个角度对数据出境的外延做出了界定。根据该征求意见稿,以下情形属于数据出境:向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据;数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。以下情形不属于数据出境:非在境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动或加工处理的,不属于数据出境;非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的,不属于数据出境。
2022年7月7日,国家网信办正式发布了《评估办法》,有关负责人就《评估办法》相关问题回答了记者提问(以下简称“答记者问”)。在该答复中,国家网信办有关负责人表示:《数据出境安全评估办法》所称数据出境活动主要包括:一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。
2022年08月31日,国家网信办公开发布《数据出境安全评估申报指南(第一版)》(以下简称“申报指南”)。申报指南基本上重申了国家网信办答记者问中陈述的数据出境的定义,仅略有修改。根据申报指南第1条第2款,以下情形属于数据出境行为:(一)数据处理者将在境内运营中收集和产生的数据传输、存储至境外;(二)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;(三)国家网信办规定的其他数据出境行为。
据此,我们认为,认定是否构成数据出境,应以申报指南的定义为准,申报指南的定义中未明确的部分,可以参考安全评估指南(征求意见稿)的定义。
二、 《评估办法》的适用范围(即是否适用安全评估的判断标准)
《网络安全法》《数据安全法》和《个人信息保护法》均提及在符合某些情况的前提之下,数据出境需要履行安全评估等义务,但是,该等规定较为笼统、模糊,缺乏操作空间,《评估办法》首次完整地规定了安全评估的具体适用范围。
《评估办法》第4条规定了应当进行数据出境安全评估的4种情形,其中第4项“国家网信部门规定的其他需要申报数据出境安全评估的情形”为兜底条款。对于这4种情形,数据处理者向境外提供数据的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估,本文在此对前述适用情形进行探讨:
(一) 数据处理者向境外提供重要数据
《数据安全法》明确了重要数据的处理者定期开展风险评估并向主管部门报送的义务[1],《评估办法》与《数据安全法》相衔接,再次强调了重要数据出境的情形下需要履行数据出境安全评估的义务。
关于何为“重要数据”,现行法律法规没有给出明确定义。不过,《网络数据安全管理条例(征求意见稿)》(以下简称“网数条例”)与《信息安全技术 重要数据识别指南(征求意见稿)》(以下简称“重要数据识别指南”)中,均提供了重要数据的识别标准,我们理解可以此作为参考。
《网数条例》指出“重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据”,此外,《网数条例》第73条列举了重要数据的类型,未公开的政务数据、出口管制数据、国家基础数据、重点行业的安全生产数据等均被纳入重要数据的范围之内;《重要数据识别指南》指出,重要数据是以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据,《重要数据识别指南》特别注明了重要数据一般不包括国家秘密和个人信息,同样地,《重要数据识别指南》也给出了重要数据的识别因素,例如反映国家战略储备、应急动员能力的数据、关系科技实力、影响国际竞争力的数据等。可以看到,重要数据的类型是无法穷举的,《网数条例》与《重要数据识别指南》提出的重要数据的类型有重合也有不同之处,但唯一可以明确的是判定重要数据最重要的标准是造成的“危害后果”。
《数据安全法》第21条[2]提出,由国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,进一步参考《网数条例》和《重要数据识别指南》,未来相关数据处理者需要根据各地区、各主管部门的规定去识别重要数据的具体类别和详细特征。此外,另一个需要注意的问题是《评估办法》并未规定重要数据出境的数量标准,也就是说只要重要数据出境,不论数量多寡,都应当履行安全评估义务。
(二) 关键信息基础设施的运营者(以下简称“CIIO”)向境外提供个人信息
本项落实了《网络安全法》第37条[3]提出的“安全评估”义务,即符合CIIO认定规则的主体,确需向境外提供数据,不论数据类型是个人信息还是重要数据,也不论提供数量的多少,都应当按照本条的要求履行安全评估义务。
不过,CIIO应当如何界定,目前法律法规尚未明确。《关键信息基础设施安全保护条例》第9条[4]把制定关键信息基础设施认定规则的权限赋予给了行业、领域的相关部门。重要行业和领域的主管、监管部门可以结合本行业、领域实际,制定关键信息基础设施的认定规则并据此界定何为CIIO。
目前,实务中,部分企业已经收到了行业和领域的主管、监管部门发出的认定通知。就该部分企业,如果涉及到数据出境,应按照《评估办法》的规定申报安全评估,不需要再去界定自身是否属于CIIO。但是CIIO的认定工作是动态的过程,没有收到认定通知并不意味着一定不是CIIO。因此,即使没有收到认定通知,我们仍然建议相关主体根据自身业务和数据处理活动的具体情况进行内部的预评估。如初步判断符合CIIO的认定标准,则我们建议就数据出境进一步征询相关主管、监管部门的意见。
(三) 处理个人信息达到100万人的个人信息处理者向境外提供个人信息
本项从主体与行为两个维度来划定适用范围。其中,主体维度是:处理个人信息达到一百万人次,行为维度是:向境外提供个人信息。我们理解,只要相关主体处理个人信息达到一百万人次的,向境外提供个人信息,不管向境外提供个人信息的数量如何,都应申报安全申报,该标准要求较低,实务中很容易落入《评估办法》规制范围之内,我们建议相关方密切关注本项要求下的申报义务。
(四) 自上一年度1月1日起累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息
本项规定的制定经过了三个阶段:第一个阶段是2017年《征求意见稿》第9条要求的含有或累计含有50万人以上的个人信息应当报请行业主管或监管部门组织安全评估;而后由于门槛过低可能会给监管部门造成巨大压力,《评估办法》征求意见稿将门槛提升至了100万人,但并未明确累计计算的方法;《评估办法》最终确定了滚动、累计计算的模式,即从数量维度上来看,数据处理者数据出境数量计算最长以两年为周期。
根据我们的实务经验,只要曾经向境外提供过个人信息,或敏感个人信息,达到本项规定的标准,就应当履行申报义务。但是,需要留意的是,上述人数的计算可以去重(通常省级网信办在完备性审查阶段会要求申请人对相关个人信息进行去重),如经去重后累计向境外提供个人信息的人数不再满足上述要求,则不符合本项规定的申报条件,不需要按照本项规定申报安全评估。
三、 数据出境风险自评估与数据出境安全评估
(一) 数据出境风险自评估成为申请数据出境安全评估的前置程序
《评估办法》延续了2019年《征求意见稿》的评估体系,要求数据处理者在事先开展数据出境风险自评估(以下简称“自评估”)后再申请数据出境安全评估(以下简称“安全评估”)。结合第6、7条的规定不难发现,设置这一前置程序不仅有利于推动数据处理者自行建立数据出境合规体系,也能减轻网信部门审核的压力。自评估因此成为了数据处理者申报数据出境安全评估的前置程序。
(二) 《评估办法》中自评估与安全评估的异同点
《评估办法》第5条规定了自评估的重点评估事项,第8条规定了安全评估的评估事项,二者要求较为类似,但也存在一定程度的差异,我们以表格的形式总结了具体差异如下:
自评估事项 | 安全评估事项 | 差异点 |
数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性 | 数据出境的目的、范围、方式等的合法性、正当性、必要性 | 自评估比安全评估增加了境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性 |
出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险; 数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人维护个人信息权益的渠道是否通畅等 | 出境数据的数量、范围、种类、敏感程度,出境中和出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险 | 要求基本一致,但自评估事项的规定更为具体。例如,特别强调了“个人维护个人信息权益的渠道是否通畅等”。 |
境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全 | 数据安全和个人信息权益是否能够得到充分有效保障 | 安全评估事项中未明确规定履行责任义务的管理和技术措施、能力方面的要求,但是从整体上提出了保障要求。 |
与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务 | 数据处理者与境外接收方订立的合同中是否充分约定了数据安全保护责任义务 | 要求一致 |
/ | 境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中国法律、行政法规的规定和强制性国家标准的要求 | 安全评估增加了出境目标地法律环境要求 |
/ | 遵守中国法律、行政法规、部门规章情况 | 安全评估提出了合法合规要求 |
其他可能影响数据出境安全的事项 | 国家网信部门认为需要评估的其他事项 | / |
通过比较,我们发现,相较于自评估事项,安全评估更为宏观一些,主要增加事项包括出境目标地法律环境要求以及境外接收方的数据保护水平要求。申报指南进一步修正了上述内容,其附件自评估报告(模板)中明确要求就“境外接收方所在国家或地区数据安全保护政策法规和网络安全环境情况”做出说明,附件申报表中明确要求就“遵守中国法律、行政法规、部门规章情况”做出说明。我们认为,自评估报告增加该部分内容是合理的,能够充分向监管机关说明情况,有利于推动安全评估流程更快进行。
(三) 安全评估所需材料与评估流程
1.根据申报指南,安全评估需要提交如下材料:
(1)数据处理者的基本资料,如统一社会信用代码证件影印件、法定代表人身份证件影印件、经办人身份证件影印件、经办人授权委托书等;
(2)数据出境安全评估申报书,包括承诺书、数据出境安全评估申报表;
(3)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件影印件。目前可以参考《个人信息出境标准合同办法》附件《个人信息出境标准合同》拟定;
(4)数据出境风险自评估报告,重点内容可以参照上表;
(5)其他材料。
2.申报评估的流程:
一般为境内数据处理者自评估→省级网信部门初审→国家网信部门正式评估,具体请见下图。
3.《评估办法》的一些新变化
(1)细化了备案性审查的流程
《评估办法》在《评估办法》征求意见稿的基础上增加了“省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验”,我们理解当数据处理者将材料递交给省级网信部门时,省级网信部门会对材料进行形式审查,如果材料齐全,省级网信部门会进一步上报国家网信部门,若不齐全,会被“打回”,要求重新补正材料。
(2)取消了安全评估时间的上限
《评估办法》征求意见稿原来规定一般应当在45个工作日内完成安全评估,最长不超过60日,但是《评估办法》删除了60日的上限,这一改动可能增加安全评估全流程的时间,给数据处理者带来更长的安全评估时间。我们提示相关方,尤其是处理大量、复杂数据的相关方要预估好业务开展周期,避免因评估时间的不确定性给业务带来影响。
(3)增设异议流程
根据《评估办法》第13条,数据处理者对评估结果有异议的,可以在收到评估结果15个工作日内向国家网信部门申请复评,需要注意的是,复评结果为最终结论。
四、 法律责任
《评估办法》采用了引致的方式规定了违反《评估办法》的法律责任。根据《评估办法》第18条,违反本办法规定的,依据《网络安全法》《数据安全法》《个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。
我们以表格的形式整理了部分法律责任条款供相关各方参考。
法律条文 | 违法行为 | 法律责任 |
《个人信息保护法》第66条 | 1. 违法向境外提供个人信息 2. 向境外提供个人信息未履行保护义务 | 由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款; 对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 |
情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照; 对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。 | ||
《数据安全法》第46条 | 违法向境外提供重要数据 | 由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款; 对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款。 |
情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照; 对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。 | ||
《网络安全法》第66条 | CIIO 1. 违法在境外存储数据 2. 违法向境外提供数据 | 责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照; 对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 国家互联网信息办公室会同相关部门起草、并于2022年9月14日发布了《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》,其中加大了对CIIO的处罚力度,将罚金上限调整为“上一年度营业额的百分之五”。 |
五、 结语
虽然数据出境安全评估是相对独立的法律要求,但是根据我们的实务经验,数据出境安全评估工作实际上是与企业的数据合规体系搭建工作息息相关的。如果企业在申报安全评估前已经进行了较为完善的或者至少是一定程度的数据合规体系搭建工作,则安全评估工作也会较为顺利;但是如果企业在申报安全评估前完全没有进行过数据合规体系的搭建工作,则需要进行补课,相对的工作难度会大很多,所需的时间也会更多。
如果贵公司、企业涉及到数据出境安全评估业务,则我们建议尽快启动数据合规体系的搭建工作或至少参照《评估办法》的要求搭建数据出境自评估体系,以解决迫在眉睫的数据出境安全评估的问题。即便是建立数据出境自评估体系,也不是一项简单的工作,不仅需要符合《评估办法》的要求,也需要参照《网络安全法》《数据安全法》和《个人信息保护法》等相关法律法规的规定,使该体系能够有效运转,需要对出境数据进行分类分级,实现对于分类分级后相关数据的精细化安全管控,需要审查与境外数据接收方合同的合法合规性,并参照《个人信息出境标准合同》对合同条款进行完善等。
需要特别留意的是,与搭建数据合规体系相同,数据出境安全评估工作也需要组织全方位的支持,需要组织人力、物力、财力、资源等全方位的支持方可顺利进行。如相关各方计划启动数据出境安全评估的申报工作,则对此问题应有充分的、清晰的认知,否则未来工作可能面临众多意想不到的问题。
注释:
[1]《数据安全法》第30条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告……
[2]《数据安全法》第21条 国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护……各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
[3]《网络安全法》第37条 ……因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估……
[4]《关键信息基础设施安全保护条例》第9条 保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则,并报国务院公安部门备案……
| 关于作者
本文系中伦文德徐云飞律师团队原创,著作权归中伦文德徐云飞律师团队所有。如需转载,请注明来源。 本文仅供一般性参考,不应视为法律意见,也不应认为可代替个案中的具体法律建议。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...