2022年7月7日,经过广泛征求社会各界意见后,国家网信办公布了《数据出境安全评估办法》(以下称《评估办法》),该办法以数据出境安全评估为切入点,为数据出境服务、保护个人信息跨境传输、维护国家安全和社会公共利益、促进数据跨境安全合规流动提供了具体的规范性指引。本文将对《评估办法》进行分析,为大家解读数据出境的安全评估具体要求和流程。
一、数据出境安全评估的制度依据
在《评估办法》出台之前,我国《网络安全法》《数据安全法》《个人信息保护法》三驾马车中都有数据出境如何进行安全评估的相应规定。
2017年《网络安全法》第37条就要求关键信息基础设施运营者如果将在境内收集和产生的个人信息及重要数据出境的,应当按照国家网信部门制定的办法进行安全评估。彼时彼刻,《网安法》只是提出了一个原则性的规定,并没有对条文中的“关键信息基础设施运营者”、“重要数据”等概念进行详细说明,也没有相应的安全评估办法配套出台。
2021年《数据安全法》《个人信息保护法》相继出台,其中《数安法》第31条,沿用了《网安法》第37条的规定;而《个保法》由于是针对个人信息的专门保护法,所以更加关注对个人信息安全的保护,除了《网安法》《数安法》中的网络安全评估主体——“关键信息基础设施运营者”之外,《个保法》第36条、第40条还将国家机关和处理个人信息达到国家网信部门规定人数的个人信息处理者扩展为需要进行网络安全评估的主体。
2021年底,作为三驾马车配套操作指引之一的《网络安全审查办法》正式颁布,该办法明确了启动网络安全审查的条件,申请主体和审查流程,如果说《网安法》《数安法》《个保法》更多的是原则性的顶层设计,那么《网络安全审查办法》就是一部指导如何进行网络安全审查的操作指引,其中第7条明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须要申报网络安全审查,但是纵观整部《审查办法》,数据的出境监管和审查,只是其中的一部分内容,而专门针对数据出境的安全审查规则,此时仍然处于缺位状态。
现在,《评估办法》正式颁布,从体系上确立了自评估—申报评估—复评终局的数据出境安全评估流程,并就相应流程中需要提交审核的资料和审核的内容都进行了规定,对于评估机关的权限、评估时限等具体内容都进行了详细的规定,随着《评估办法》在2022年9月1日正式生效,数据出境之前如何进行评估也变得有据可依,从事相关行业的市场主体务必要高度重视,确保业务合规。
二、《数据出境安全评估办法》重点内容解读
(一)自评估与外评估并重
《评估办法》首先对需要进行评估的拟出境数据范围和申报评估的主体进行了规定。
何为数据出境:一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外;二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。又根据《评估办法》第二条、第三条的规定,以下数据和信息,在出境之前必须要向国家网信部门申报安全评估:
1. 重要数据;
2. 关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
3. 自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
4. 其他需要申报数据出境安全评估的情形。
上述规定从申报主体和数据定性及定量上对于数据出境申报主体进行了界定。其中“关键信息基础设施运营者”的定义应参照《关键信息基础设施安全保护条例》第二条, “是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”
需要注意的是,《评估办法》除了关注数据处理的总量,还特别规定特定时间内累计处理数据的数量门槛。新规实施后,从事数据和个人信息处理的主体如果在一个自然年度内,向境外提供了10万人个人信息,或1万人敏感个人信息的,虽然总量不到100万人处理量级,但鉴于其处理信息的频率较高,也属于需要提请安全评估的主体。
《评估办法》此次还特别规定了申请国家网信部门评估之前需要进行自评估程序。我们对比第五条自评估和第八条网信部门外评估的内容,可见两者在内容上有一定的重合,都是着眼于四点主要内容:一是数据的处理和出境是否合法;二是出境数据是否会影响到国家安全及风险防控措施是否到位;三是境外接收方是否符合国内的数据安全标准要求;四是审查合同文本中是否约定有明确的数据安全保护责任。详见以下对照表:
需要指出的是,结合《评估办法》第五条、第六条的规定可以看出,自新规正式实施后,数据处理者对数据出境开展自评,已经是一项强制性的前置程序,自评报告也是后续向网信部门提交外部评估的必要文件之一。
(二)合同文本中的数据安全保护责任
处理者将数据和信息传输至境外,必然涉及到和境外接收人之间签署各种法律文本,特别是合同文本。前文所述的自评估和外评估事项中都涉及到审查对外法律文本中是否包含数据安全保护责任义务,而该义务包含哪些主要内容,《评估办法》第九条也进行了具体规定:
1. 数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
2. 数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;
3. 对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;
4. 境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施;
5. 违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;
6. 出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。
从上述规定可以看出,“数据安全保护责任义务”包含了从数据传送、接收、保存、主体变化、风险防范、应急处置、补救措施、责任承担等数据出境事先保护、事中监管、事后补救的全流程,具体到数据及信息处理人合规层面,笔者认为相关企业应以《评估办法》第九条的最低义务范围为参照,在自己的对外合同文本中对号入座,设置对应上述规定的合同条款,一方面可以更好地应对网信部门的外部评估;另一方面万一真的出现了出境数据的篡改、泄露等风险,也可以依据合同的约定追究相关主体的法律责任,维护自身的合法权益。
(三)数据出境评估的流程
关于数据信息处理者提交数据出境评估的具体流程及各流程的时限,可以通过以下一张流程图进行了解:
除了常规的评估流程之外,还需注意,即使顺利通过了数据出境安全评估,也不代表可以“一劳永逸”了。根据《评估办法》第十四条,通过评估的结果有效期为两年,自评估结果出具之日起算,申请人应在有效期届满60个工作日之前重新申报评估,而且在有效期内,如果出现了以下特殊情形,也要重新进行申报评估:
1. 向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的;
2. 境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的;
3. 出现影响出境数据安全的其他情形。
除此以外,《评估办法》还赋予国家网信部门另一把“尚方宝剑”,即当国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合安全管理要求的,可以随时终止后续数据出境活动,数据处理者要根据网信部门的要求进行整改,整改完成后要重新进行完整的申报评估。自此以后,数据出境安全领域,国家网信部门具有无可争议的“一票否决权”,从申报前的材料审核,到评估过程中的实质审查,到评估期限的灵活把控,再到可以随时叫停正在进行的数据出境活动,可谓全流程,全覆盖,数据出境,不再可以任意而为,达摩克利斯之剑始终将悬于相关企业头顶。
结语
从《评估办法》各项规定不难看出,国家对于网络数据和个人信息出境的特别关注和监管决心。今年9月1日新规正式实施后,国家各级网信部门,特别是国家网信办将对数据出境将有一票否决的生杀大权。虽然新规中的制度设计仍有值得商榷之处,比如:国家网信部门作为《评估办法》中规定的唯一有权评估机构,后续在开展评估活动时,必然会面临工作量激增带来的工作压力,审核时限不容乐观;又比如:根据《评估办法》的规定,如果申报人对审核结果有异议,也只能想国家网信部门申请复评,而国家网信部门集运动员与裁判员于一身的角色设定,也使得复评结果不容乐观。但是不管怎样,新规的落地实施已进入倒计时,随着包括《评估办法》在内等各种数据及信息安全法规接连密集出台,可以确认数据出境强监管的大势已不可逆转,数据安全已经上升到国家安全、经济安全的高度,从事相关业务,特别是有数据出境需求的企业一定要绷紧合规弦,守牢数据安全底线,切不可掉以轻心,给企业带来不必要的风险。
