《数据出境安全评估办法》的出台,表明在数据出境中又一项重要的规则正式落地,为我国相关监管机构在数据出境监管层面给出了明确的适用范围、操作流程等等指引;同时也为企业数据出境及内部合规工作内容点明了方向。
数字化经济浪潮席卷全球情况下,数据信息作为重要生产要素,越来越为各国、各企业所关注。我们根据我国自《国家安全法》、《网络安全法》等以来对数据出境问题的法律规制,结合相关国家推荐性标准,对近年来发布的有关数据出境的相关规则和标准梳理如下,为各大企业数据出境合规提供参考。
Q1 数据出境的法律法规出台历程
由此,自2017年出台的《网络安全法》到2022年的《数据出境安全评估办法》,我国政府监管层面不断探索、细化对于数据出境含义及外延的定义,明确数据出境评估的流程和操作,为大量企业涉及数据出境实务给出了指引。
Q2数据出境活动如何界定?
各企业等主体在判断是否会触发《数据出境安全评估办法》的“数据出境”“安全评估”之前,需要先明确判定相关行为是否落入“数据出境”的范畴。
国家互联网信息办公室关于《个人信息和重要数据出境安全评估办法(征求意见稿)》第十七条 “数据出境,是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人。”
《信息安全技术 数据出境安全评估指南(征求意见稿)》第3.7条 “数据出境data cross-border transfer网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。”
Q3 什么情况会触发“安全评估”?
《数据出境安全评估办法》第四条“数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
注:
①《关键信息基础设施安全保护条例》第二条
②《信息安全技术 重要数据识别指南》第3.2条
③《个人信息保护法》第四条
④《信息安全技术 个人信息安全规范》第3.2条
上述规定明确了哪些情况下须申报安全评估,但是仍有一些亟待网信部门进一步释明的问题,如前后2个自然年度出境数据中存在较大部分重叠,则针对重复数据是否在下一年度还会纳入安全评估范围;或仅仅涉及集团内部员工个人信息数据的出境,网信部门是否在针对这类出境数据简单场景会采用更加快捷、简易流程以减轻企业合规成本等等。
Q4 数据出境安全评估流程简图
《数据出境安全评估办法》第五条 数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,重点评估以下事项:
(一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
(二)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
(四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
(五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务;
(六)其他可能影响数据出境安全的事项。
Q5 我们的建议
根据《数据出境安全评估办法》,对于国内有出境数据业务场景的公司可以考虑采取如下的准备:
1、对核心业务所涉及的数据出境,或者所涉数据类型敏感(例如敏感个人信息和重要数据)、风险较高的业务场景,可以作为优先整改项,同时对数据出境的必要性予以自查。
2、尽快制定内部的自评估流程。
3、密切关注接下来的政府评估的政府办事指南以及常见问题说明。根据内部实际情况准备不同的操作预案并评估其可行性以及对业务连续性的影响。