数据出境评估常态化机制确立—《数据出境安全评估办法》解读
作者:吴卫明 刘昀东 2022-07-09重要数据及个人信息出境是企业跨境运营的常见场景,无论是因为贸易、投资、业务合作而可能产生的跨境数据交互,还是跨国公司内部管控需要而差生的跨境数据交互和个人信息转移,都是维系正常经贸投资活动的基础。我国《网络安全法》《数据安全法》《个人信息保护法》确立了重要数据和个人信息出境的安全评估制度,但是此前对于安全评估流程、评估具体要求并未明确规定。如何实施安全评估一直是困扰企业的重要问题。
2022年7月7日,国家互联网信息办公室(以下简称“网信办”)公布《数据出境安全评估办法》(以下简称《评估办法》),并将于2022年9月1日正式施行,将安全实施评估的要求明确下来。相比于2021年10月29日网信办发布的《数据出境安全评估办法(征求意见稿)》(以下简称“征求意见稿”),《评估办法》的内容变化不大但是仍然值得关注。
笔者认为,《评估办法》的巨大意义在于对数据出境与个人信息出境立法体例的合一规定,并确立了数据出境评估的常态化机制。为方便企业了解自己是否需要进行安全评估,如何开展安全评估,以及了解《评估意见》与征求意见稿的重点区别,笔者特梳理如下。
一、数据出境的统一评估体系正式确立
自我国《网络安全法》规定了关键信息基础设施运营者的重要数据与个人信息出境评估制度后,至今历时五年,关于数据出境及个人信息出境安全评估的立法体例、评估机制一直在探索过程中。 其后,国家互联网信息办公室2017年4月11日公布的《个人信息和重要数据出境安全评估办法(征求意见稿)》和2019年5月28日颁布的《数据安全管理办法(征求意见稿)》也对重要数据出境和个人信息出境有所规定。前者采取了重要数据与个人信息出境安全评估统一规定的立法体例,后者对重要数据与个人信息做了一定区分。 随后在2019年6月13日,国家互联网信息办公室公布的《个人信息出境安全评估办法(征求意见稿)》中,则采取了将个人信息出境评估单独立法的体例。但此后,国家互联网信息办公室再未单独公布关于重要数据出境安全评估的征求意见稿。 2021年通过并施行的《数据安全法》规定了重要数据出境评估制度,《个人信息保护法》则规定了个人信息出境评估制度。而随后颁布的《网络数据安全管理条例(征求意见稿)》则从数据统一管理的角度,采取了将数据与个人信息共同予以规范的立法体例。 笔者认为,本次《评估办法》将个人信息出境与重要数据出境放在一个规则中予以规范,也体现了同样的立法精神。 《评估办法》的通过与施行,意味着我国关于重要数据与个人信息出境的统一立法体例正式确立,数据出境安全评估的常态化机制得以确立,相关数据处理者的数据出境活动有章可循。
二、适用条件有所放松
相比于征求意见稿,《评估办法》将适用情形从五种缩减为四种(《评估办法》第四条)。 除第四种兜底条款外,各情形均是从主体和数据种类的角度来确定的,区分主体是关键信息基础设施的运营者或者处理或者向境外提供的个人信息达到一定数量的数据处理者,区分数据是重要数据或者个人信息。各情形具体是: (一)数据处理者向境外提供重要数据; (二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息; (三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息; (四)国家网信部门规定的其他需要申报数据出境安全评估的情形。 按照上述规定,对于累计10万人及1万人敏感信息出境的情况,做了期间的限定,从而在一定程度上放松了适用的标准。 征求意见稿对此的规定为:累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息。按照这一规定,一旦企业达到了累计向境外提供十万人以上个人信息或者一万人以上敏感个人信息,企业后续的个人出境均需要申请出境安全评估。 而《评估办法》则规定了期间,即以上年1月1日作为期间的起算时点,该时点之前已经出境的数据并不纳入累计数量,从而减少了需要申报数据出境安全评估的情形。 另附根据《网络安全法》《数据安全法》《个人信息保护法》的规定,对于应当进行安全评估的情形归纳: 表 不同法律中关于数据跨境安全评估的要求对比
三、流程及期限
相比于征求意见稿,《评估办法》不再将自评估作为所有涉及向境外提供数据的数据处理者均应当履行的义务,仅作为申报数据出境安全评估的前置程序(《评估办法》第五条)。 完整的安全评估工作流程如下(《评估办法》第五条至第十三条):
图 数据出境安全评估流程图
此外,相比于征求意见稿,《评估办法》增加了对评估结果有异议的复评机制,即数据处理者对评估结果有异议的,可以在收到评估结果15个工作日内向国家网信部门申请复评,复评结果为最终结论(《评估办法》第十三条)。不过对于复评程序,《评估办法》没有进一步的具体规定。 《评估办法》保留了征求意见稿对于评估结果有效期的内容,即数据出境评估结果有效期二年。有效期内发生特定情形应当重新申报评估,有效期届满,需要继续开展原数据出境活动的,数据处理者应当在有效期届满六十个工作日前重新申报评估(《评估办法》第十四条)。其中应当重新申报评估的特定情形为: (一)向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的; (二)境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的; (三)出现影响出境数据安全的其他情形。
四、评估要求(含自评估)
《评估办法》与征求意见稿一样将数据出境安全评估中应当提交的材料确定为申报书、数据出境风险自评估报告、数据处理者与境外接收方拟订立的法律文件、安全评估工作需要的其他材料(《评估办法》第六条)。 而且,自评估的要求与安全评估的有对应关系。相比于征求意见稿,《评估办法》删除了自评估中对于“数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险”的评估,但由于这部分从广义理解上可以被“数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险”这一事项所覆盖,因此也可以认为未发生实质性的变化。具体对应关系梳理如下: 表 自评估与安全评估的要求对比
通过上述对应关系的梳理可以看出自评估的重点同时均是安全评估的重点。此外,安全评估会从更宏观的领域评估境内合法合规性以及境外国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响。
五、法律文件要求
《评估办法》在对于数据处理者与境外接收方拟订立的法律文件的要求上,将征求意见稿提及的法律环境发生变化的情形、数据风险、保障维权通畅渠道等概念进行了进一步的明确,且依然将这些要求作为法律文件的必备条款。其中,法律环境发生变化被明确为“所在国家、地区数据安全保护政策法规和网络安全环境发生变化”,并被归类为不可抗力情形,同时增加了兜底性表述“发生其他不可抗力情形导致难以保障数据安全时”。而这些条款内容也与自评估、安全评估的要求相关联,可以作为评估重点事项的基础依据,具体如下: (一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等; (二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施; (三)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求; (四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施; (五)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式; (六)出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。
六、法律责任
对于数据出境活动不再符合数据出境安全管理要求的,或者未按规定重新申报评估的后果,《评估办法》未使用“数据处理者”应当“终止数据出境活动”或“停止数据出境活动”的表述,而是统一调整为规定为国家网信部门应当 “书面通知数据处理者终止数据出境活动”。从字面意思上可以理解为《评估办法》将数据处理者终止数据出境活动的触发条件变更为监管机关书面通知后,而非征求意见稿中的数据处理者主动停止。 但这并不意味数据处理者不主动停止不合规的数据出境活动无须承担任何法律责任。因为与征求意见稿一样,未履行数据出境安全评估义务的,需要适用《网络安全法》《数据安全法》《个人信息保护法》的规定承担法律责任(《评估办法》第十八条),相关法律责任梳理如下(刑事责任需要结合《刑法》判断,下表未包含): 表 相关法律责任规定的对比
七、整改期
可能是考虑到《评估办法》从公布到实施只有短短不到两个月,所以《评估办法》还规定了六个月的整改期,即《评估办法》施行前已经开展的数据出境活动,不符合《评估办法》规定的应在2023年2月28日前完成整改。
小结
《评估办法》已经正式公布,对于存在数据跨境情形的企业来说,建议尽快梳理数据出境活动情形,判断是否应当申报数据出境安全评估,如果涉及的,应当尽快制定完整的数据出境安全评估申报计划并开展自评估工作。 附:征求意见稿与《评估报告》变化对比