2022年7月7日,國家互聯網信息辦公室發布備受行業矚目的《數據出境安全評估辦法》(以下稱《辦法》)。《辦法》秉持安全和發展并重的基本原則,針對作為數據出境重要方式之一的安全評估,進一步明確了具體流程和具體要求,為數據出境提供了具有可操作性的法律依據(具體流程圖附后)。
一、《辦法》明確了需要通過安全評估方式向境外提供數據的幾類場景
安全評估的出境方式是《網絡安全法》《數據安全法》《個人信息保護法》中規定的主要出境方式之一,按照三部立法的規定,關鍵信息基礎設施的運營者收集和產生的個人信息和重要數據(《網絡安全法》第37條)、處理個人信息達到國家網信部門規定數量的個人信息處理者(《個人信息保護法》第40條)是應當通過安全評估才能向境外提供數據的。同時,法律也賦予國家網信部門可以根據實際需要進行調整的權力,如《數據安全法》第31條明確,除關鍵信息基礎設施運營者之外,其他數據處理者在我國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。根據三部立法的規定,《辦法》將需要通過安全評估的數據出境場景細化為四類,即:
第一,數據處理者向境外提供重要數據的。在這一類場景中,《辦法》落實《數據安全法》的規定,將除關鍵信息基礎設施運營者之外的其他數據處理者向境外傳輸重要數據的方式也明確為安全評估。按照《辦法》規定,重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據。
第二,關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息的。《辦法》將處理《個人信息保護法》中處理個人信息數量的要求進行了細化,以具體人數而非個人信息數量為標準,明確處理100萬人以上個人信息的需進行安全評估。《辦法》的規定體現了對用戶數量較多的數據處理者的關注,是維護大量個人信息安全的重要考慮。《網絡安全審查辦法》中也以100萬用戶個人信息為基準,作為網絡安全審查的考慮因素,第7條明確規定掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市,必須向網絡安全審查辦公室申報網絡安全審查。
第三,自上年1月1日起,累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息。《辦法》完善了此前征求意見稿的規定,以特定的期限限制為準,規定了需要進行出境安全評估的累計數量要求。這一要求實質上是以最高兩年時長為準,從上年1月1日起算,達不到數量要求的可以不用安全評估,達到數量要求的應當進行安全評估。兩年期間過后,可以以新的時間起算點開始計算。這一調整方式避免了將在較長期間內達到數量要求的數據處理者均納入評估對象的弊端,為數據出境需求存在動態變化的中小企業設置了寬松的條件。
第四,《辦法》設置了兜底性條款,國家網信部門有權規定其他需要進行數據出境安全評估的情形。
二、《辦法》明確了省級網信部門和國家網信部門的逐級審查要求
此前的征求意見稿雖然也規定,數據處理者應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估,但是并沒有明確省級網信部門在安全評估程序中的具體職責和義務。《辦法》進一步做出了清晰的界定,針對省級網信部門和國家網信部門的職責和權力均予以完善。
在申報安全評估流程中,省級網信部門是第一層審查主體,主要負責形式審查,對申報材料的完備性進行查驗。數據處理者首先要將所有的申報材料提交省級網信部門,省級網信部門根據《辦法》第6條的規定,查驗數據處理者是否提供了所有的材料,對于材料齊全的,可以將材料直接報送國家網信部門,對于材料不齊全的,則有權退回數據處理者,并一次性告知其需要補充的材料。材料補充完之后,數據處理者應當再次提交給省級網信部門,由其再次進行材料完備性查驗。
在申報安全評估流程中,國家網信部門是第二層審查主體,主要負責組織國務院有關部門、省級網信部門、專門機構等開展實質性安全評估。在這一階段,可能產生三種情況。第一種是終止安全評估,即對于數據處理者無故不補充或者更正材料的,國家網信部門可以終止安全評估;第二種是符合出境要求,數據處理者通過安全評估;第三種是不符合出境要求,或者故意提交虛假材料,數據處理者不通過安全評估。同時,《辦法》還賦予了數據處理者申請復評的權利,即數據處理者如果對于安全評估結果有異議,那么可以向國家網信部門申請復評。但需要注意的是,復評的結果為最終結論,數據處理者不得再次申請復評。
三、《辦法》明確了安全評估重點關注的因素,與其他國家和地區對數據跨境流動的關注點具有一致性
當前,全球各個國家和地區之間的數據保護水平和管理制度具有非常大的差異性,主要國家和地區出于保護個人隱私、公共利益等合法公共政策目標的考慮,在開展數據跨境流動過程中也非常關注數據流入國的數據保護情況,如歐盟GDPR中明確規定在涉及數據跨境流動“充分性保護認定”中應重點評估數據流入國的數據保護法律規則、數據保護的監管水平等情況,同時數據流出方的企業也應當對數據接收方的數據安全保障措施、數據接收方所在國的數據保護水平進行評估和擔保;日本《個人信息保護法》、新加坡《個人信息保護法》等立法中規定的“充分性保護”認定中關注的主要因素與此都有共通之處。我國安全評估內容與國際主要國家和地區針對數據跨境流動涉及的關注重點具有一致性。從《辦法》第8條的規定來看,重點評估的事項涉及以下內容:(一)數據出境的目的、范圍、方式等的合法性、正當性、必要性;(二)境外接收方所在國家或者地區的數據安全保護政策法規和網絡安全環境對出境數據安全的影響;境外接收方的數據保護水平是否達到中華人民共和國法律、行政法規的規定和強制性國家標準的要求;(三)出境數據的規模、范圍、種類、敏感程度,出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等的風險;(四)數據安全和個人信息權益是否能夠得到充分有效保障;(五)數據處理者與境外接收方擬訂立的法律文件中是否充分約定了數據安全保護責任義務;(六)遵守中國法律、行政法規、部門規章情況;(七)國家網信部門認為需要評估的其他事項。這些內容均是數據跨境流動過程中為了確保數據安全應當重點關注的,同時也是為了實現保障數據出境安全性的重要目標,維護數據所涉及的個人利益、公共利益,對數據出境進行重要事項評估也是管理過程中應當關注的重點內容。
四、《辦法》明確安全評估結果的有效期原則上為兩年
安全評估的結果并非一次性有效,根據《辦法》第14條規定,評估結果有效期為2年,從評估結果出具之日起開始計算。這意味著,做出安全評估結果之前的提交材料、核驗材料、補充材料、進行評估等期限均不計算在內。在2年有效期屆滿前,如果數據處理者需要繼續開展數據出境活動的,則應當在有效期屆滿前的60個工作日前重新申報評估。否則,數據處理者無法繼續合法開展數據出境。60個工作日是《辦法》綜合前期的各階段時間而計算出的時間,如查驗材料的5個工作日、確定是否受理的7個工作日、安全評估的45個工作日等,為數據處理者保障數據跨境的持續性提供了充分的期間。而且,作為持續性數據出境活動的后續安全評估,只要沒有發生重要因素的改變,安全評估的耗費時間應當會快于首次進行安全評估的時間。因此,60個工作日的期間對于數據處理者的后續業務活動不會產生重大影響。
但是,如果在2年的有效期內出現以下任何一種情況的,安全評估結果不再視為有效,數據處理者應當重新申報評估:一是向境外提供數據的目的、方式、范圍、種類和境外接收方處理數據的用途、方式發生變化影響出境數據安全的,或者延長個人信息和重要數據境外保存期限的。二是境外接收方所在國家或者地區數據安全保護政策法規和網絡安全環境發生變化以及發生其他不可抗力情形、數據處理者或者境外接收方實際控制權發生變化、數據處理者與境外接收方法律文件變更等影響出境數據安全的。三是出現影響出境數據安全的其他情形。
《辦法》的出臺進一步完善了我國數據跨境流動管理制度,為數據處理者跨境提供數據提供了更加具有可操作性和法律確定性的依據,必將進一步促進我國數據跨境安全、自由流動,進一步促進我國數字經濟穩定發展。
附:數據出境安全評估具體流程圖
(部分內容來源網絡,如有侵權請聯系刪除)
