數據出境評估常態化機制確立—《數據出境安全評估辦法》解讀
作者:吳衛明 劉昀東 2022-07-09重要數據及個人信息出境是企業跨境運營的常見場景,無論是因為貿易、投資、業務合作而可能產生的跨境數據交互,還是跨國公司內部管控需要而差生的跨境數據交互和個人信息轉移,都是維系正常經貿投資活動的基礎。我國《網絡安全法》《數據安全法》《個人信息保護法》確立了重要數據和個人信息出境的安全評估制度,但是此前對于安全評估流程、評估具體要求并未明確規定。如何實施安全評估一直是困擾企業的重要問題。
2022年7月7日,國家互聯網信息辦公室(以下簡稱“網信辦”)公布《數據出境安全評估辦法》(以下簡稱《評估辦法》),并將于2022年9月1日正式施行,將安全實施評估的要求明確下來。相比于2021年10月29日網信辦發布的《數據出境安全評估辦法(征求意見稿)》(以下簡稱“征求意見稿”),《評估辦法》的內容變化不大但是仍然值得關注。
筆者認為,《評估辦法》的巨大意義在于對數據出境與個人信息出境立法體例的合一規定,并確立了數據出境評估的常態化機制。為方便企業了解自己是否需要進行安全評估,如何開展安全評估,以及了解《評估意見》與征求意見稿的重點區別,筆者特梳理如下。
一、數據出境的統一評估體系正式確立
自我國《網絡安全法》規定了關鍵信息基礎設施運營者的重要數據與個人信息出境評估制度后,至今歷時五年,關于數據出境及個人信息出境安全評估的立法體例、評估機制一直在探索過程中。 其后,國家互聯網信息辦公室2017年4月11日公布的《個人信息和重要數據出境安全評估辦法(征求意見稿)》和2019年5月28日頒布的《數據安全管理辦法(征求意見稿)》也對重要數據出境和個人信息出境有所規定。前者采取了重要數據與個人信息出境安全評估統一規定的立法體例,后者對重要數據與個人信息做了一定區分。 隨后在2019年6月13日,國家互聯網信息辦公室公布的《個人信息出境安全評估辦法(征求意見稿)》中,則采取了將個人信息出境評估單獨立法的體例。但此后,國家互聯網信息辦公室再未單獨公布關于重要數據出境安全評估的征求意見稿。 2021年通過并施行的《數據安全法》規定了重要數據出境評估制度,《個人信息保護法》則規定了個人信息出境評估制度。而隨后頒布的《網絡數據安全管理條例(征求意見稿)》則從數據統一管理的角度,采取了將數據與個人信息共同予以規范的立法體例。 筆者認為,本次《評估辦法》將個人信息出境與重要數據出境放在一個規則中予以規范,也體現了同樣的立法精神。 《評估辦法》的通過與施行,意味著我國關于重要數據與個人信息出境的統一立法體例正式確立,數據出境安全評估的常態化機制得以確立,相關數據處理者的數據出境活動有章可循。
二、適用條件有所放松
相比于征求意見稿,《評估辦法》將適用情形從五種縮減為四種(《評估辦法》第四條)。 除第四種兜底條款外,各情形均是從主體和數據種類的角度來確定的,區分主體是關鍵信息基礎設施的運營者或者處理或者向境外提供的個人信息達到一定數量的數據處理者,區分數據是重要數據或者個人信息。各情形具體是: (一)數據處理者向境外提供重要數據; (二)關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息; (三)自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息; (四)國家網信部門規定的其他需要申報數據出境安全評估的情形。 按照上述規定,對于累計10萬人及1萬人敏感信息出境的情況,做了期間的限定,從而在一定程度上放松了適用的標準。 征求意見稿對此的規定為:累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息。按照這一規定,一旦企業達到了累計向境外提供十萬人以上個人信息或者一萬人以上敏感個人信息,企業后續的個人出境均需要申請出境安全評估。 而《評估辦法》則規定了期間,即以上年1月1日作為期間的起算時點,該時點之前已經出境的數據并不納入累計數量,從而減少了需要申報數據出境安全評估的情形。 另附根據《網絡安全法》《數據安全法》《個人信息保護法》的規定,對于應當進行安全評估的情形歸納: 表 不同法律中關于數據跨境安全評估的要求對比
三、流程及期限
相比于征求意見稿,《評估辦法》不再將自評估作為所有涉及向境外提供數據的數據處理者均應當履行的義務,僅作為申報數據出境安全評估的前置程序(《評估辦法》第五條)。 完整的安全評估工作流程如下(《評估辦法》第五條至第十三條):
圖 數據出境安全評估流程圖
此外,相比于征求意見稿,《評估辦法》增加了對評估結果有異議的復評機制,即數據處理者對評估結果有異議的,可以在收到評估結果15個工作日內向國家網信部門申請復評,復評結果為最終結論(《評估辦法》第十三條)。不過對于復評程序,《評估辦法》沒有進一步的具體規定。 《評估辦法》保留了征求意見稿對于評估結果有效期的內容,即數據出境評估結果有效期二年。有效期內發生特定情形應當重新申報評估,有效期屆滿,需要繼續開展原數據出境活動的,數據處理者應當在有效期屆滿六十個工作日前重新申報評估(《評估辦法》第十四條)。其中應當重新申報評估的特定情形為: (一)向境外提供數據的目的、方式、范圍、種類和境外接收方處理數據的用途、方式發生變化影響出境數據安全的,或者延長個人信息和重要數據境外保存期限的; (二)境外接收方所在國家或者地區數據安全保護政策法規和網絡安全環境發生變化以及發生其他不可抗力情形、數據處理者或者境外接收方實際控制權發生變化、數據處理者與境外接收方法律文件變更等影響出境數據安全的; (三)出現影響出境數據安全的其他情形。
四、評估要求(含自評估)
《評估辦法》與征求意見稿一樣將數據出境安全評估中應當提交的材料確定為申報書、數據出境風險自評估報告、數據處理者與境外接收方擬訂立的法律文件、安全評估工作需要的其他材料(《評估辦法》第六條)。 而且,自評估的要求與安全評估的有對應關系。相比于征求意見稿,《評估辦法》刪除了自評估中對于“數據處理者在數據轉移環節的管理和技術措施、能力等能否防范數據泄露、毀損等風險”的評估,但由于這部分從廣義理解上可以被“數據出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等的風險”這一事項所覆蓋,因此也可以認為未發生實質性的變化。具體對應關系梳理如下: 表 自評估與安全評估的要求對比
通過上述對應關系的梳理可以看出自評估的重點同時均是安全評估的重點。此外,安全評估會從更宏觀的領域評估境內合法合規性以及境外國家或者地區的數據安全保護政策法規和網絡安全環境對出境數據安全的影響。
五、法律文件要求
《評估辦法》在對于數據處理者與境外接收方擬訂立的法律文件的要求上,將征求意見稿提及的法律環境發生變化的情形、數據風險、保障維權通暢渠道等概念進行了進一步的明確,且依然將這些要求作為法律文件的必備條款。其中,法律環境發生變化被明確為“所在國家、地區數據安全保護政策法規和網絡安全環境發生變化”,并被歸類為不可抗力情形,同時增加了兜底性表述“發生其他不可抗力情形導致難以保障數據安全時”。而這些條款內容也與自評估、安全評估的要求相關聯,可以作為評估重點事項的基礎依據,具體如下: (一)數據出境的目的、方式和數據范圍,境外接收方處理數據的用途、方式等; (二)數據在境外保存地點、期限,以及達到保存期限、完成約定目的或者法律文件終止后出境數據的處理措施; (三)對于境外接收方將出境數據再轉移給其他組織、個人的約束性要求; (四)境外接收方在實際控制權或者經營范圍發生實質性變化,或者所在國家、地區數據安全保護政策法規和網絡安全環境發生變化以及發生其他不可抗力情形導致難以保障數據安全時,應當采取的安全措施; (五)違反法律文件約定的數據安全保護義務的補救措施、違約責任和爭議解決方式; (六)出境數據遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等風險時,妥善開展應急處置的要求和保障個人維護其個人信息權益的途徑和方式。
六、法律責任
對于數據出境活動不再符合數據出境安全管理要求的,或者未按規定重新申報評估的后果,《評估辦法》未使用“數據處理者”應當“終止數據出境活動”或“停止數據出境活動”的表述,而是統一調整為規定為國家網信部門應當 “書面通知數據處理者終止數據出境活動”。從字面意思上可以理解為《評估辦法》將數據處理者終止數據出境活動的觸發條件變更為監管機關書面通知后,而非征求意見稿中的數據處理者主動停止。 但這并不意味數據處理者不主動停止不合規的數據出境活動無須承擔任何法律責任。因為與征求意見稿一樣,未履行數據出境安全評估義務的,需要適用《網絡安全法》《數據安全法》《個人信息保護法》的規定承擔法律責任(《評估辦法》第十八條),相關法律責任梳理如下(刑事責任需要結合《刑法》判斷,下表未包含): 表 相關法律責任規定的對比
七、整改期
可能是考慮到《評估辦法》從公布到實施只有短短不到兩個月,所以《評估辦法》還規定了六個月的整改期,即《評估辦法》施行前已經開展的數據出境活動,不符合《評估辦法》規定的應在2023年2月28日前完成整改。
小結
《評估辦法》已經正式公布,對于存在數據跨境情形的企業來說,建議盡快梳理數據出境活動情形,判斷是否應當申報數據出境安全評估,如果涉及的,應當盡快制定完整的數據出境安全評估申報計劃并開展自評估工作。 附:征求意見稿與《評估報告》變化對比
