出台背景
隨著全球化與數字經濟的發展,數據作為具有極大經濟價值的生產要素,在國際間的流動越來越頻繁,而且數量呈逐年增長趨勢。但數據跨境的無序流動會給數據主體和數據安全帶來風險,關乎國家安全和社會公共利益。為防範數據跨境流動中存在的各種風險,我國積極推動相關立法規範數據的跨境流動。
辦法通過
2022年5月19日,國家網際網路信息辦公室主任莊榮文簽發《國家網際網路信息辦公室令第11號》,通過《數據出境安全評估辦法》,自2022年9月1日起施行。
辦法全文
第二條 數據處理者向境外提供在中華人民共和國境內運營中收集和產生的重要數據和個人信息的安全評估,適用本辦法。法律、行政法規另有規定的,依照其規定。
第三條 數據出境安全評估堅持事前評估和持續監督相結合、風險自評估與安全評估相結合,防範數據出境安全風險,保障數據依法有序自由流動。
第四條 數據處理者向境外提供數據,有下列情形之一的,應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估:
(一)數據處理者向境外提供重要數據;
(二)關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息;
(三)自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息;
(四)國家網信部門規定的其他需要申報數據出境安全評估的情形。
第五條 數據處理者在申報數據出境安全評估前,應當開展數據出境風險自評估,重點評估以下事項:
(一)數據出境和境外接收方處理數據的目的、範圍、方式等的合法性、正當性、必要性;
(二)出境數據的規模、範圍、種類、敏感程度,數據出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險;
(三)境外接收方承諾承擔的責任義務,以及履行責任義務的管理和技術措施、能力等能否保障出境數據的安全;
(四)數據出境中和出境後遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等的風險,個人信息權益維護的渠道是否通暢等;
(五)與境外接收方擬訂立的數據出境相關契約或者其他具有法律效力的檔案等(以下統稱法律檔案)是否充分約定了數據安全保護責任義務;
(六)其他可能影響數據出境安全的事項。
第六條 申報數據出境安全評估,應當提交以下材料:
(一)申報書;
(二)數據出境風險自評估報告;
(三)數據處理者與境外接收方擬訂立的法律檔案;
(四)安全評估工作需要的其他材料。
第七條 省級網信部門應當自收到申報材料之日起5個工作日內完成完備性查驗。申報材料齊全的,將申報材料報送國家網信部門;申報材料不齊全的,應當退回數據處理者並一次性告知需要補充的材料。
國家網信部門應當自收到申報材料之日起7個工作日內,確定是否受理並書面通知數據處理者。
第八條 數據出境安全評估重點評估數據出境活動可能對國家安全、公共利益、個人或者組織合法權益帶來的風險,主要包括以下事項:
(一)數據出境的目的、範圍、方式等的合法性、正當性、必要性;
(二)境外接收方所在國家或者地區的數據安全保護政策法規和網路安全環境對出境數據安全的影響;境外接收方的數據保護水平是否達到中華人民共和國法律、行政法規的規定和強制性國家標準的要求;
(三)出境數據的規模、範圍、種類、敏感程度,出境中和出境後遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等的風險;
(四)數據安全和個人信息權益是否能夠得到充分有效保障;
(五)數據處理者與境外接收方擬訂立的法律檔案中是否充分約定了數據安全保護責任義務;
(六)遵守中國法律、行政法規、部門規章情況;
(七)國家網信部門認為需要評估的其他事項。
第九條 數據處理者應當在與境外接收方訂立的法律檔案中明確約定數據安全保護責任義務,至少包括以下內容:
(一)數據出境的目的、方式和數據範圍,境外接收方處理數據的用途、方式等;
(二)數據在境外保存地點、期限,以及達到保存期限、完成約定目的或者法律檔案終止後出境數據的處理措施;
(三)對於境外接收方將出境數據再轉移給其他組織、個人的約束性要求;
(四)境外接收方在實際控制權或者經營範圍發生實質性變化,或者所在國家、地區數據安全保護政策法規和網路安全環境發生變化以及發生其他不可抗力情形導致難以保障數據安全時,應當採取的安全措施;
(五)違反法律檔案約定的數據安全保護義務的補救措施、違約責任和爭議解決方式;
(六)出境數據遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等風險時,妥善開展應急處置的要求和保障個人維護其個人信息權益的途徑和方式。
第十條 國家網信部門受理申報後,根據申報情況組織國務院有關部門、省級網信部門、專門機構等進行安全評估。
第十一條 安全評估過程中,發現數據處理者提交的申報材料不符合要求的,國家網信部門可以要求其補充或者更正。數據處理者無正當理由不補充或者更正的,國家網信部門可以終止安全評估。
數據處理者對所提交材料的真實性負責,故意提交虛假材料的,按照評估不通過處理,並依法追究相應法律責任。
第十二條 國家網信部門應當自向數據處理者發出書面受理通知書之日起45個工作日內完成數據出境安全評估;情況複雜或者需要補充、更正材料的,可以適當延長並告知數據處理者預計延長的時間。
評估結果應當書面通知數據處理者。
第十三條 數據處理者對評估結果有異議的,可以在收到評估結果15個工作日內向國家網信部門申請複評,複評結果為最終結論。
第十四條 通過數據出境安全評估的結果有效期為2年,自評估結果出具之日起計算。在有效期內出現以下情形之一的,數據處理者應當重新申報評估:
(一)向境外提供數據的目的、方式、範圍、種類和境外接收方處理數據的用途、方式發生變化影響出境數據安全的,或者延長個人信息和重要數據境外保存期限的;
(二)境外接收方所在國家或者地區數據安全保護政策法規和網路安全環境發生變化以及發生其他不可抗力情形、數據處理者或者境外接收方實際控制權發生變化、數據處理者與境外接收方法律檔案變更等影響出境數據安全的;
(三)出現影響出境數據安全的其他情形。
有效期屆滿,需要繼續開展數據出境活動的,數據處理者應當在有效期屆滿60個工作日前重新申報評估。
第十五條 參與安全評估工作的相關機構和人員對在履行職責中知悉的國家秘密、個人隱私、個人信息、商業秘密、保密商務信息等數據應當依法予以保密,不得泄露或者非法向他人提供、非法使用。
第十六條 任何組織和個人發現數據處理者違反本辦法向境外提供數據的,可以向省級以上網信部門舉報。
第十七條 國家網信部門發現已經通過評估的數據出境活動在實際處理過程中不再符合數據出境安全管理要求的,應當書面通知數據處理者終止數據出境活動。數據處理者需要繼續開展數據出境活動的,應當按照要求整改,整改完成後重新申報評估。
第十八條 違反本辦法規定的,依據《中華人民共和國網路安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》等法律法規處理;構成犯罪的,依法追究刑事責任。
第十九條 本辦法所稱重要數據,是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等,可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據。
第二十條 本辦法自2022年9月1日起施行。本辦法施行前已經開展的數據出境活動,不符合本辦法規定的,應當自本辦法施行之日起6個月內完成整改。
內容解讀
解讀一
《辦法》旨在落實《網路安全法》、《數據安全法》、《個人信息保護法》的規定,規範數據出境活動,保護個人信息權益,維護國家安全和社會公共利益,促進數據跨境安全、自由流動,切實以安全保發展、以發展促安全。
近年來,隨著數字經濟的蓬勃發展,數據跨境活動日益頻繁,數據處理者的數據出境需求快速增長。明確數據出境安全評估的具體規定,是促進數字經濟健康發展、防範化解數據跨境安全風險的需要,是維護國家安全和社會公共利益的需要,是保護個人信息權益的需要。《辦法》規定了數據出境安全評估的範圍、條件和程式,為數據出境安全評估工作提供了具體指引。
《辦法》明確,數據處理者向境外提供在中華人民共和國境內運營中收集和產生的重要數據和個人信息的安全評估適用本辦法。提出數據出境安全評估堅持事前評估和持續監督相結合、風險自評估與安全評估相結合等原則。
《辦法》規定了應當申報數據出境安全評估的情形,包括數據處理者向境外提供重要數據、關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息、自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息以及國家網信部門規定的其他需要申報數據出境安全評估的情形。
《辦法》提出了數據出境安全評估的具體要求,規定數據處理者在申報數據出境安全評估前應當開展數據出境風險自評估並明確了重點評估事項。規定數據處理者在與境外接收方訂立的法律檔案中明確約定數據安全保護責任義務,在數據出境安全評估有效期內發生影響數據出境安全的情形應當重新申報評估。此外,還明確了數據出境安全評估程式、監督管理制度、法律責任以及合規整改要求等。
解讀二
國家網際網路信息辦公室頒布《數據出境安全評估辦法》(以下簡稱《評估辦法》),將於2022年9月1日起正式施行。《評估辦法》明確了數據出境安全評估的目的、原則、範圍、程式和監督機制等具體規定。
走出去智庫 (CGGT) 特約法律專家、北京德恆律師事務所合伙人王一楠指出,《評估辦法》的頒布實施具有重要現實意義:一是落實上位法的數據出境管理規定和要求;二是保障數字經濟健康有序發展;三是應對數據跨境傳輸和境外匯聚的安全風險。
要 點
CGGT,CHINA GOING GLOBAL THINKTANK
1、雖然上位法《網安法》、《數安法》、《個保法》均從不同角度提到過數據出境需要進行安全評估的情形,而《評估辦法》首次完整地規定了安全評估的具體適用範圍。
2、對於擬進行數據出境的數據處理者來說,先要判斷其出境活動是否適用安全評估,如果適用,需要進行數據出境風險自評估,否則可以通過《個保法》項下的其他路徑(如認證、標準契約)數據出境或依法有序自由流動。
3、《評估辦法》第五條和第八條分別列舉風險自評估和安全評估的重點事項,兩者大部分內容重合,凸顯了風險自評估在申報資料中的重要地位,體現了“風險自評估與安全評估相結合”的評估原則。
正 文
CGGT,CHINA GOING GLOBAL THINKTANK
一、出台背景
隨著全球化與數字經濟的發展,數據作為具有極大經濟價值的生產要素,在國際間的流動越來越頻繁,而且數量呈逐年增長趨勢。然而,數據跨境的無序流動會給數據主體和數據安全帶來風險,還關乎國家安全和社會公共利益。為了防範數據跨境流動中存在的各種風險,我國一直積極推動相關立法規範數據的跨境流動,例如《汽車數據安全管理若干規定(試行)》和《網路安全審查辦法》修訂。
2022年7月7日,國家網際網路信息辦公室出台了《數據出境安全評估辦法》(以下簡稱“評估辦法”),全面和系統地提出了我國數據出境“安檢”的具體要求,也標誌著《網路安全法》(以下簡稱“網安法”)首次確立的數據出境安全評估制度正式落地。
實際上,國家網際網路信息辦公室分別於2017年和2019年就數據出境安全評估出台過兩個辦法的徵求意見稿,即2017年4月11日的《個人信息和重要數據出境安全評估辦法(徵求意見稿)》(“17年版評估辦法”)和2019年6月13日的《個人信息出境安全評估辦法(徵求意見稿)》(“19年版評估辦法”)。隨著《數據安全法》(以下簡稱“數安法”)《個人信息保護法》(以下簡稱“個保法”)的正式頒布實施,國家網信部門持續不斷深入研究國外相關立法現狀,結合17年版評估辦法和19年版評估辦法制定工作經驗,在廣泛吸收社會各方意見基礎上,打磨完善而形成目前的《評估辦法》。
《評估辦法》的頒布實施具有重要現實意義:一是落實上位法的數據出境管理規定和要求;二是保障數字經濟健康有序發展;三是應對數據跨境傳輸和境外匯聚的安全風險。
二、適用範圍
雖然上位法《網安法》、《數安法》、《個保法》均從不同角度提到過數據出境需要進行安全評估的情形,而《評估辦法》首次完整地規定了安全評估的具體適用範圍。
首先,《評估辦法》第二條將“數據出境”定義為“向境外提供”。在實踐中,“提供”可以有多種呈現情形。通常理解的情形是數據處理者將數據轉移至中國境外的地方。但是有一種情形是數據並未轉移至境外,而依舊存儲在境內,不過數據處理者將境內資料庫的訪問登錄信息或接口提供給境外主體,以便後者可以在境外遠程訪問查看(“遠程訪問情形”)。例如,有些外資企業的信息技術團隊部署在中國境外,其通過網際網路訪問並處理境內伺服器上存儲的數據來提供遠程技術服務。鑒於遠程訪問情形也會對境記憶體儲的數據構成一定風險威脅,從數據跨境流動安全管理的角度來看,其理論上屬於“向境外提供”。另外一種情況是數據雖然轉移至境外,但是數據處理者未將存儲在境外數據的訪問權交付給任何一個境外接收方,例如:數據處理者將數據上傳到境外自己的雲存儲空間,僅供自己使用。在這種情況下,雖然不存在明確的境外接收方,但數據已經處於我國司法管轄範圍之外,理論上境外主體(如雲服務商)可以訪問數據,而且也面臨境外政府調取的風險,因此該場景也應屬於“向境外提供”。
其次,《評估辦法》第二條規定需要安全評估的出境數據系在中華人民共和國境內運營中收集和產生的。由此推斷出數據出境排除了境外數據“過境”我國的場景,體現了監管手段與目的之間匹配的適當性和合理性。
而且,《評估辦法》第二條(結合第四條)明確在出境數據涉及重要數據的情況下,安全評估是強制性的。需要注意的是這是首次將重要數據需要進行安全評估的範圍從關鍵信息基礎設施的運營者擴大至所有數據處理者。《網安法》第三十七條明確要求關鍵信息基礎設施的運營者向境外提供重要數據需要進行安全評估。《數安法》第三十一條重申了以上立場,並在此基礎上將其他數據處理者向境外提供重要數據所適用的具體出境安全管理辦法交“由國家網信部門會同國務院有關部門制定”。此次《評估辦法》第二條正是呼應了《數安法》第三十一條,將其他數據處理者向境外提供重要數據的情形也納入安全評估範圍。
而且,《評估辦法》自2017年《網安法》引入重要數據這個概念之後首次在部門規章的高度對其進行全面的界定,即“指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用、可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據”(在此之前,《汽車數據安全管理若干規定(試行)》明確在汽車數據場景下“涉及個人信息主體超過10萬人的個人信息”屬於重要數據,《信息安全技術 重要數據識別規則(徵求意見稿)》從國家標準角度將重要數據定義為“特定領域、特定群體、特定區域或達到一定精度和規模的數據,一旦被泄露或篡改、損毀,可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全”)。
最後,結合《評估辦法》第四條,我們可以看到在出境數據涉及個人信息的情況下,達到一定“門檻“才需進行安全評估。該門檻主要涉及“四種情形、兩大類別”。“四種情形”是指,個人信息的處理者在滿足如下四種情形條件下就要進行安全評估:
(1)關鍵信息基礎設施的運營者;
(2)處理個人信息達到一百萬人;
(3)自上年1月1日起累計向境外提供10萬人個人信息;
(4)自上年1月1日起累計向境外提供1萬人敏感個人信息。“兩大類別”是指個人信息出境需要做安全評估的要求可以分為:主體條件類和客體條件類。兩個類別的區別是:前者關注處理者的主體資質,而不關注向境外提供個人信息的具體數量,後者則相反。具體來說,主體條件類是指當個人信息處理者是關鍵信息基礎設施運營者,或者處理個人信息達到一百萬人的個人信息處理者時,只要其向境外提供個人信息,無論實際出境數量多少個人信息都需要進行安全評估;客體條件類是指當個人信息處理者向境外提供年累計達到一定標準(10萬人個人信息或1萬人敏感個人信息)之後即需要進行安全評估。
三、評估內容
1.評估流程
評估辦法第五至第十四條和第十七條明確了安全評估的具體流程,本文總結如下:
適用分析。對於擬進行數據出境的數據處理者來說,先要判斷其出境活動是否適用安全評估,如果適用,需要進行數據出境風險自評估,否則可以通過《個保法》項下的其他路徑(如認證、標準契約)數據出境或依法有序自由流動。
申報準備。如需進行安全評估,數據處理者需要準備申報書、風險自評估報告、與境外接收方擬簽署法律檔案等申報資料。
受理決定。在處理者提交申報資料之後,國家網信部門將審查並決定是否受理該申報。如果不受理,數據處理者可以通過其他路徑進行數據出境或依法有序自由流動。
進行評估。在受理申報之後,國家網信部門將組織國務院有關部門、省級網信部門、專門機構等進行安全評估。值得注意的是,相對於2021年的徵求意見稿,本《評估辦法》在該環節增加了一次給數據處理者補充或者更正資料的機會,即在安全評估過程中,國家網信部門如果發現申報材料不符合要求的,可以要求數據處理者補充或者更正。而徵求意見稿僅在省級網信部門收到申報材料後賦予數據處理者一個類似的機會。其體現了監管部門對於安全評估工作的審慎態度。
申請複評。如果最終通過了安全評估,數據處理者可以依法有序安排數據自由流動,否則需要終止數據出境活動或者申請複評。同樣,複評環節也是相較於2021年徵求意見稿的新增內容,為數據處理者提供了某種程度上的救濟途徑,在最大程度上確保評估結果的準確性。
重新評估。《評估辦法》第十四條和第十七條規定,已經通過評估的數據處理活動在如下三種情形下需要進行重新評估:(a)兩年期滿;(b) 情勢變化;(c) 違規處理。體現了“事前評估和持續監督相結合”的評估原則。
為了方便讀者理解,本文通過如下圖示說明安全評估的工作流程,並將評估過程中涉及的時限通過如下表格總結。
圖2-評估流程
表1-評估流程中涉及的時限
2.評估事項
《評估辦法》第五條和第八條分別列舉風險自評估和安全評估的重點事項,兩者大部分內容重合,凸顯了風險自評估在申報資料中的重要地位,體現了“風險自評估與安全評估相結合”的評估原則。
為了方便讀者理解,下文通過如下表進行對比,並做簡要分析。
表2 - 風險自評估與安全評估事項對比
3.關於“法律檔案”的幾個問題
在《評估辦法》所要求提交的申報資料中,除了申報書和自評估報告以外,第三個重要資料就是“數據處理者與境外接收方擬訂立的法律檔案”(“法律檔案”),而且《評估辦法》第九條明確規定了“法律檔案”需要包含的內容,即約定數據安全保護責任義務等。
雖然“法律檔案”在內容要求上類似契約,但是不限於契約一種形式,例如有約束的集團公司內部管理制度理論上也符合要求。而且,需要澄清的是這裡提到的“法律檔案”與《個保法》第三十八條第(三)款中提到的“標準契約”不同。兩者區別主要包括如下幾個方面:
(1)前者是安全評估的申報資料之一,而後者是與安全評估、認證共同構成我國個人信息出境安全管理方式之一;
(2)前者的主要條款由數據處理者與境外接收方在滿足安全評估要求的前提下自由約定,而後者主要條款由國家網信部門制定;
(3)前者屬於事前監管的範疇,後者屬於事後監管的範疇。
4.結語
相較於2017年和2019年兩版評估辦法,本《評估辦法》所建立的管理體系更加成熟和完備,無論是在概念還是在制度建設方面都與上位法及其他相關數據跨境流動安全管理規定形成良好的銜接。隨著“重要數據”等概念、範圍的進一步明晰,以及其他配套法規政策檔案的不斷出台,《評估辦法》的實施標誌我國在搭建數據出境安全管理制度的工作中邁出了重要且堅實的一步。