专家解读 - 有序流动 数据红利 -《数据出境安全评估办法》评述

2022-07-26 15:49:41 wfkj 49

2022年7月7日国家互联网信息办公室(以下简称“网信办”)发布了颇受关注的《数据出境安全评估办法》( “出境评估办法”)。短短两周时间,网信办、全国信息安全标准化技术委员会(“TC260”)密集发布了出境评估办法、《个人信息出境标准合同规定(征求意见稿)》(“标准合同规定”),以及《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》(“认证规范”),中国数据出境合规路径与监管体系日渐清晰。

点击了解更多

一、我国数据出境安全评估制度立法沿革简要回顾

然而在2019年,网信办又发布了《数据安全管理办法(征求意见稿)》与《个人信息出境安全评估办法(征求意见稿)》(“19年评估办法”),似乎意图对重要数据与个人信息的出境采取分开立法的模式。而彼时最大的争议恐怕还是来自于19年评估办法中关于“个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估”的规定。纵观该征求意见稿全文,不再见17年评估办法所规定的“自行评估”,这是否意味着任何个人信息的出境都要申报省级网信办?一时间各类市场主体议论纷纷。

囿于网安法关于数据出境的规制范围相对来讲较为狭窄,只限定在关键信息基础设施运营者(Critical Information Infrastructure Operators,“CIIO”)在境内运营中收集和产生的个人信息和重要数据。实践中有大量的个人信息与重要数据出境并非由CIIO为之,因此有赖于后续法律对其他个人信息与重要数据出境行为在法律层面进行规定。随着2021年我国《数据安全法》(“数安法”)《个人信息保护法》(“个保法”)的生效,出境评估办法的出台便有了“名正言顺”的法律基础。2021年10月29日,网信办顺势发布了《数据出境安全评估办法(征求意见稿)》( “征求意见稿”)。

点击了解更多

二、“数据出境”的概念

出境评估办法对于“数据出境”并未给出定义,随后网信办在出境评估办法的答记者问中提及:《办法》 所称数据出境活动主要包括两种情形:一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。我们建议企业同时参照数据出境评估指南第3.7条关于“数据出境data cross-border transfer”的内容进行理解,即通过网络等方式,将数据处理者在境内(不包含香港特别行政区、澳门特别行政区以及台湾地区)运营中收集和产生的数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。此外,也要关注数据出境和数据跨境的联系与区别。

特别需要企业关注如下情形,一般认为属于数据出境:

a)向中国境内,但不属于中国司法管辖或未在境内注册的主体提供个人信息和重要数据;

b)数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);

c)企业集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的数据的。

此外,如下情形一般认为不属于数据出境:

a)非在境内运营中收集和产生的数据经由本国出境,未经任何变动或加工处理的;

b)非在境内运营中收集和产生的数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的数据的。

点击了解更多

三、“出境评估”——数据出境的重要合规路径

从出境数据类型的角度来看,我国对于数据出境的监管主要关注重要数据与个人信息两类数据。

根据出境评估办法第4条的规定,出境评估办法所规定的向网信办申报数据出境安全评估(“出境评估”)是重要数据出境的必经之路。而对于个人信息来说,则需衡量数据处理者身份,以及个人信息的数量。在数据处理者为CIIO,或处理100万人以上个人信息的情况下,任何类型与数量的个人信息传输都需要采取网信办评估的路径;此外,如果自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息,网信办评估同样不可避免。

除此之外的个人信息传输,则可以通过签订“标准合同”或“专业机构认证”的途径出境(具体请参见我们此前发表的 《中国个人信息出境标准合同评述 – 制度设计与现实挑战》 一文内容)。

点击了解更多

四、数据出境评估的要点

根据出境评估办法的规定,个人信息与重要数据的出境评估将就以下重点内容展开:

1)是否符合数据处理的前提条件:合规性、正当性与必要性是数据处理的前提条件,而评估数据处理行为是否符合该等前提条件,必须结合数据处理的目的、范围、方式、类型等要件。

实践中我们注意到,很多企业在思考和讨论数据出境的合规性时,往往忽略了数据处理的前提条件,直接进入关于同意的获取、评估报告制作、跨境传输协议的签订等后续具体合规动作的讨论。需要强调的是,数据处理的合规性、正当性与必要性不仅是出境评估办法明确列明的评估事项,而且其对同意的获取、自评估报告与跨境传输协议的实质性内容都将产生重要影响,将贯穿整个数据出境评估全过程。因此企业必须充分重视数据处理的前提条件,如果仅从形式上满足了数据出境的合规动作完备,忽略了数据处理的前提条件,很可能导致无法通过网信办的数据出境评估。

2)对于数据境外接收方及其法律环境进行评估。为顺利进行该项评估,申报数据出境评估的境内数据处理者应当建立起第三方数据合规管理体系,有效掌握境外数据接收方的数据保护水平以及当地数据安全保护政策、网络安全环境。对于集团内部的数据出境,这一类信息很大程度上有赖于集团境外主体的积极配合;而对于向集团外部第三方提供数据的情形,则要求企业完善第三方合规尽职调查体系。

3)对出境的数据标的及其出境风险展开评估。对数据标的自身的评估应当关注其规模、范围、种类、敏感程度。为了能够对出境数据的规模、范围、种类、敏感程度与出境风险这些“指标”进行有效的梳理与评估,企业应当建立起对于数据处理流程的有效管控,时刻掌握出境数据的内容与规模;同时还应当建立内部数据分类分级制度,以便迅速准确地锚定出境数据的种类与敏感程度。

4)数据安全与个人信息权益保障。该评估事项将与数据接收方所做承诺、采取的数据安全保障措施、当地法律环境密切相关,同时也与个人境内数据处理者与境外数据接收方所采取的个人权益实现方式(例如撤回同意与投诉流程)有关。

5)数据处理者与境外接收方订立的法律文件内容。我们认为此处的法律文件不限于合同,但至于境外接收方的单方允诺、集团内有约束力的制度是否能够被网信办所接受,仍有待观察。通过对标准合同规定的分析,我们认为对于个人信息出境,境外接收方单方允诺以及集团内部制度恐难以完全满足标准合同规定的要求,因此现阶段对于向网信办申报个人信息出境安全评估,我们仍建议数据处理者与境外接收方优先考虑签署标准合同。

点击了解更多

五、与征求意见稿对比——主要变化与关注点

相较其征求意见稿,出境评估办法带来了一些变化。限于篇幅限制,我们在此仅对一些主要的实质性变化及其引出的关注要点展开讨论。

1)对于个人信息“累计”的时间段有了明确规定。出境评估办法第4条中所规定的个人信息数量累计时间起点被明确为上年1月1日。这一点与2022年6月30日网信办发布的标准合同规定保持了一致。

2)明确申报受理部门为省级网信办,并由其进行材料完备性的形式审查,实质性审查由国家网信办做出。值得关注的是这一规定可能意味着实践中数据出境安全评估的时间存在一定的不确定因素,即现实中材料从省级网信办向国家网信办报送的时间消耗,目前还无法预计。

3)行业主管部门是否参与数据出境安全评估?出境评估办法中删除了组织“行业主管部门”进行数据出境安全评估的内容,我们认为这可能对重要数据的认定带来一定的影响。但“行业主管部门”是否被纳入了“国务院有关部门”?我们认为网信办可能在此问题上保留了一定的灵活性,行业主管部门不是必然参与数据出境安全评估,但如果确有需要,其可以作为“国务院有关部门”参与,同样具有法律依据。

4)评估时限的变化。出境评估办法删除了征求意见稿中关于延长评估一般不超过60个工作日的规定,这意味着理论上评估时限没有限制,这一点变化需要在实践中重点关注,并在企业决策时将其纳入外部不可控因素进行考量。

5)明确的评估报告有效期的起始日,同时在征求意见稿第十二条的基础上删除了未重新评估时企业停止数据出境的要求。数据出境安全评估的有效期起始日自评估结果出具之日起计算。在出境评估办法第14条中,网信办删除了在应当进行重新申报评估而未进行的情况下,企业应当停止数据出境的要求,但结合出境评估办法第17条来看,当发生数据出境或者接收方的变化,触发不符合数据出境安全管理要求的条件时,国家网信部门将书面通知数据处理者终结数据出境活动,在这一层次上来看,出境评估办法中新的立法安排更多的从结果而非变化过程上判断是否需要叫停数据出境,而非意味着对于该等行为的“网开一面”。

6)数据处理者可以申请复评作为救济措施。出境评估办法新增了第13条内容,规定如果数据处理者对评估结果有异议的,可以申请复评,此为赋予数据处理者的行政救济措施。该条明确了复评结果为最终结论,因此数据处理者对复评结果仍有异议需寻求进一步救助途径的可能性与实操性(包括行政复议,以及此后可能的行政诉讼或国务院行政裁决)还有待观察。

7)正在进行的数据出境活动仍纳入监管范围。出境评估办法的最后一条不仅明确了施行日期,较为少见的明确了施行前达到监管门槛且已经开始的数据出境活动,同样需要纳入出境评估办法的监管范围,17年评估办法至今在前述立法进程中较为模糊的范围由此得到明晰,数据处理者在这一过程中对于自身数据出境活动应进行何种准备和达成何种要求仍不明晰的,应对照更新法律法规的动态,尤其是个人信息出境标准合同的出台,抓住出境评估办法预留的整改窗口期,尽快完成整改。

点击了解更多

六、 结语:从立法价值取向展望未来

从征求意见稿到出境评估办法,沿用了“促进数据跨境安全、自由流动”的表达,说明我国在数据跨境流动方面并非采取了限制流动的价值取向,而是希望通过包括数据出境评估等手段,在确保安全、合规、个人权益的基础上,实现数据安全有序的流动。基于对此立法价值取向的理解,面对即将生效的出境评估办法,我们建议企业采取如下有效的数据管理措施,尽快建立起符合监管要求的合规体系,采取相应合规措施,确保企业可以安全平稳经营,享受数据时代的红利:

1、认真评估并审视数据出境的必要性;

3、建立企业内部数据合规(包括数据出境)的自评估体系,起草并打磨适用不同主体、不同数据类型的数据出境合同或相关法律文本,根据专业机构认证的标准对集团内部数据出境进行模拟认证;

4、建立企业处理数据的记录,届时如有需要,可以证明企业所处理的数据类型及对应数量;

5、建立对与企业进行数据交互第三方的尽职调查制度。此数据交互第三方既包括数据提供者(即确保企业处理数据具有合法性基础),也包括数据接收方(即出境评估办法中对境外数据接收方情况掌控的要求)。

此前市场热烈讨论的中国数据出境合规路径现已逐渐清晰。未来已来,网信办等监管机关近期密集发布相关重要法规、出台相应指引,必将在我国数据安全、个人信息保护领域留下浓墨重彩的一笔,也将深刻地影响我国的数据安全、个人信息保护态势,对各类市场主体的经营与业务模式产生深远的影响。

点击了解更多

文章来源:搜狐网

本文作者:陈文昊 王艺 孙杨 聂千旭

了解更多资讯:http://www.wfnetworks.cn/news1/