靴子落地?《數據出境安全評估辦法(征求意見稿)》解讀
作者:吳衛明 劉昀東 2021-10-30重要數據出境及個人信息出境是企業跨境運營的常見場景,無論是因為貿易、投資、業務合作而可能產生的跨境數據交互,還是跨國公司內部管控需要而差生的跨境數據交互和個人信息轉移,都是維系正常經貿投資活動的基礎。我國《網絡安全法》、《數據安全法》、《個人信息保護法》確立了重要數據和個人信息出境的安全評估制度,但是對于安全評估流程、評估具體要求并未明確規定。如果申請、如何實施安全評估,一直是困擾企業的重要問題。
2021年10月29日,國家互聯網信息辦公室(以下簡稱“網信辦”)發布《數據出境安全評估辦法(征求意見稿)》(以下簡稱“本次征求意見稿”)并公開征求意見。
在《網絡安全法》(2016年11月7日發布;2017年6月1日生效)第一次規定了數據跨境的安全評估要求后,網信辦分別于2017年4月11日和2019年6月13日發布《個人信息和重要數據出境安全評估辦法(征求意見稿)》及《個人信息出境安全評估辦法(征求意見稿)》(以下統稱“舊征求意見稿”)。但由于《數據安全法》和《個人信息保護法》尚未頒布及生效,正式推出數據出境安全評估制度體系的條件并不成熟。
隨著《數據安全法》和《個人信息保護法》相繼出臺,法律依據逐步明晰,社會對于企業數據跨境問題的關注度也是達到了前所未有的高度。在這一立法基礎與背景下,征求意見稿的及時推出,有利于規范數據出境活動,其內容值得存在數據跨境場景的企業給予重視,以便提前做好準備。
一、立法目標 相比于舊征求意見稿,本次征求意見稿在“規范數據出境活動,保護個人信息權益,維護國家安全和社會公共利益”的基礎上增加了“促進數據跨境安全、自由流動”的目標(本次征求意見稿第一條)。 這一表述與《數據安全法》第一條相比(為了規范數據處理活動,保障數據安全,促進數據開發利用,保護個人、組織的合法權益,維護國家主權、安全和發展利益,制定本法),也存在一定的差異。 本次征求意見稿對于“促進數據跨境安全、自由流動”的規定,體現了國家對于“風險防范”和“開發利用”的同等重視,但“安全”仍然是“自由”的前提。 二、適用條件 經歷了舊征求意見稿從“個人信息和重要數據出境”合并立法,到“個人信息出境”與“重要數據出境”分別立法的變化后,本次征求意見稿采用了對“個人信息與重要數據出境”合并立法的方式(本次征求意見稿第二條)。整合了《網絡安全法》《數據安全法》《個人信息保護法》對于出境安全評估的要求,對于數據出境制度的統一適用打下了基礎。 1、需要安全評估的情形 本次征求意見稿規定的應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估的情形一共五種(本次征求意見稿第四條),除第五種兜底條款外,分別從主體和數據種類來確定,區分主體是否是關鍵信息基礎設施的運營者,數據是否包含重要數據,以及從個人信息角度判斷處理的個人信息是否達到一百萬人或者累計向境外提供的個人信息是否超過十萬人/敏感個人信息是否超過一萬人。各情形具體是: (一)關鍵信息基礎設施[1]的運營者收集和產生的個人信息和重要數據; (二)出境數據中包含重要數據[2]; (三)處理個人信息達到一百萬人的個人信息處理者向境外提供個人信息; (四)累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息; (五)國家網信部門規定的其他需要申報數據出境安全評估的情形。 2、個人信息數量標準的法律意義 (1)一百萬人的個人信息問題 上述規定中的第三種情形可以理解為《個人信息保護法》提及的“處理個人信息達到國家網信部門規定數量的個人信息處理者”。一百萬人的個人信息,可能會成為個人信息處理活動對國家安全影響判斷的重要標準。如2021年7月10日發布的《網絡安全審查(修訂版征求意見稿)》,即規定處理個人信息達到一百萬人的個人信息處理者國外上市,必須通過網絡安全審查,其中提到的審查關注項包括“核心數據、重要數據或大量個人信息被非法利用或出境的風險”。 (2)累計提供超過十萬人以上個人信息的問題 上述規定中的第四種情形采用的是“累計數量”的表述,這一表述在《個人信息保護法》中沒有直接對應的條款。按照《個人信息保護法》第三十八條的規定,對于普通的個人信息處理者,可以在安全評估、個人信息保護認證、簽訂標準合同中選擇其中一種出境方式。“累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息”的規定可以理解是《個人信息保護法》第三十八條所規定得“法律、行政法規或者國家網信部門規定的其他條件”。此外,上述情形未單獨區分國家機關向境外提供個人信息的情形。 關于“累計向境外提供超過十萬人以上個人信息”這一表述的緣由,筆者認為可能存在對于個人信息與重要數據“競合”的考慮。 需要注意的是,國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、交通運輸部于2021年8月16日發布了《汽車數據安全管理若干規定(試行)》,該規定已經于2021年10月1日生效。該規定中,對于“重要數據”的界定,即包括“涉及個人信息主體超過10萬人的個人信息”。由此可見,監管部門認為,十萬人的個人信息,本身具有重要數據的屬性。對于累計向境外提供超過十萬人以上個人信息,除了個人信息出境的考慮外,也有重要數據出境管控的內在邏輯。 (3)出境安全評估情形的法條對比 另附根據《網絡安全法》《數據安全法》《個人信息保護法》的規定,對于應當進行安全評估的情形歸納: 表 不同法律中關于數據跨境安全評估的要求對比 法律名稱 適用主體 數據類型 跨境是否需要安全評估 網絡安全法 關鍵信息基礎設施的運營者 個人信息和重要數據 需要 數據安全法 關鍵信息基礎設施的運營者 適用《網絡安全法》 其他數據處理者 重要數據 另行制定規則 個人信息保護法 關鍵信息基礎設施的運營者和特定個人信息處理者 個人信息 需要,但可以依據法律、行政法規和國家網信部門規定豁免 國家機關 需要 其他個人信息處理者 可能需要,因為須滿足安全評估、專業認證、采用標準合同的條件之一 三、評估要求(含自評估) 本次征求意見稿也吸收了舊征求意見稿中關于自評估的要求。在本次征求意見稿中,自評估是所有涉及向境外提供數據的數據處理者應當履行的義務(本次征求意見稿第五條)。且數據出境安全評估中應當提交的材料也包括數據出境風險自評估報告。本次征求意見稿明確的材料除自評估報告外還包括申報書、數據處理者與境外接收方擬訂立的合同或者其他具有法律效力的文件、安全評估工作需要的其他材料(本次征求意見稿第六條)。 自評估的要求與安全評估有對應關系,梳理如下: 表 自評估與安全評估的要求對比
自評估重點評估事項 (本次征求意見稿第五條) | 安全評估重點評估事項 (本次征求意見稿第八條) |
數據出境及境外接收方處理數據的目的、范圍、方式等的合法性、正當性、必要性; | 數據出境的目的、范圍、方式等的合法性、正當性、必要性; |
數據處理者在數據轉移環節的管理和技術措施、能力等能否防范數據泄露、毀損等風險; | —— |
境外接收方承諾承擔的責任義務,以及履行責任義務的管理和技術措施、能力等能否保障出境數據的安全; | 境外接收方的數據保護水平是否達到中華人民共和國法律、行政法規規定和強制性國家標準的要求; |
出境數據的數量、范圍、種類、敏感程度,數據出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險; 數據出境和再轉移后泄露、毀損、篡改、濫用等的風險,個人維護個人信息權益的渠道是否通暢等;
| 出境數據的數量、范圍、種類、敏感程度,出境中和出境后泄露、篡改、丟失、破壞、轉移或者被非法獲取、非法利用等風險; 數據安全和個人信息權益是否能夠得到充分有效保障; |
與境外接收方訂立的數據出境相關合同是否充分約定了數據安全保護責任義務。 | 數據處理者與境外接收方訂立的合同中是否充分約定了數據安全保護責任義務; |
—— | 境外接收方所在國家或者地區的數據安全保護政策法規及網絡安全環境對出境數據安全的影響; |
—— | 遵守中國法律、行政法規、部門規章情況; |
—— | 國家網信部門認為需要評估的其他事項。 |
通過上述對應關系的梳理可以看出除了數據處理者本身的管理、技術措施、能力外,自評估的重點同時也是安全評估的重點。此外,安全評估會從更宏觀的領域評估合法合規性以及境外國家或者地區的數據安全保護政策、法規及網絡安全環境對出境數據安全的影響。 四、合同要求 針對在評估材料中提及的數據處理者與境外接收方擬訂立的合同,本次征求意見稿對其應當包括的內容,也做出了要求(本次征求意見稿第九條),這些要求應當作為合同的必備條款,也與自評估、安全評估的要求相關聯,可以作為評估重點事項的基礎依據,具體如下: (一)數據出境的目的、方式和數據范圍,境外接收方處理數據的用途、方式等; (二)數據在境外保存地點、期限,以及達到保存期限、完成約定目的或者合同終止后出境數據的處理措施; (三)限制境外接收方將出境數據再轉移給其他組織、個人的約束條款; (四)境外接收方在實際控制權或者經營范圍發生實質性變化,或者所在國家、地區法律環境發生變化導致難以保障數據安全時,應當采取的安全措施; (五)違反數據安全保護義務的違約責任和具有約束力且可執行的爭議解決條款; (六)發生數據泄露等風險時,妥善開展應急處置,并保障個人維護個人信息權益的通暢渠道。 對于數據出境簽訂的合同,需要注意的是與《個人信息保護法》第三十八條的銜接問題。《個人信息保護法》第三十八條規定個人信息出境可以通過簽訂網信部門制定的標準合同實現數據出境目的。 三十八條規定的簽訂合同情形,針對的是不需要進行數據出境安全評估的個人信息處理者,通過簽訂合同,給與個人信息處理者在個人信息出境方面更大的自由度。這里所說的標準合同,與本次征求意見稿第九條對于合同內容的指引應屬于不同概念。 五、流程及期限 根據本次征求意見稿第四條至第十一條的規定,筆者將完整的安全評估工作流程梳理如下: 圖 數據出境安全評估流程圖 數據出境評估結果有效期二年。有效期內發生特定情形應當重新申報評估,有效期屆滿,需要繼續開展原數據出境活動的,數據處理者應當在有效期屆滿六十個工作日前重新申報評估。未重新申報評估的,應當停止數據出境活動(本次征求意見稿第十二條)。 六、法律責任 未履行數據出境安全評估義務的,需要適用《網絡安全法》《數據安全法》《個人信息保護法》的規定(本次征求意見稿第十七條),相關法律責任梳理如下(刑事責任需要結合《刑法》判斷,下表未包含): 表 相關法律責任規定的對比 法律名稱 適用主體 數據 未履行安全評估義務的法律責任 網絡安全法 關鍵信息基礎設施的運營者 個人信息和重要數據 責令改正,給予警告,沒收違法所得,處五萬元以上五十萬元以下罰款,并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。 數據安全法 數據處理者 重要數據 責令改正,給予警告,可以并處十萬元以上一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;情節嚴重的,處一百萬元以上一千萬元以下罰款,并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款。 個人信息保護法 個人信息處理者 個人信息 責令改正,給予警告,沒收違法所得,對違法處理個人信息的應用程序,責令暫停或者終止提供服務;拒不改正的,并處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。 情節嚴重的,責令改正,沒收違法所得,并處五千萬元以下或者上一年度營業額百分之五以下罰款,并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,并可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。 小結 本次征求意見稿是對《網絡安全法》、《數據安全法》、《個人信息保護法》中關于數據出境制度的細化,將不同類型數據跨境的安全評估要求進行了整合,為自評估和安全評估工作的開展確定了方向。企業與其他主體應密切關注本次征求意見的后續修訂或頒布,以便合理規劃自身的數據出境活動。
類型
