中伦观点 | 《数据出境安全评估指南(草案)》解读
2017年5月27日,全国信息安全标准化技术委员会(以下简称“安标委”)对外发布了《信息安全技术数据出境安全评估指南(草案)》(以下简称“《评估指南》”)征求意见稿。作为数据出境安全评估的国家推荐性标准,评估指南规定了数据出境安全评估流程、评估要点、评估方法等内容,还首次公布了重要数据识别指南,非穷尽地列举了27个行业的重要数据的范围,为个人信息和重要数据出境评估提供了规范性指导,为防止因数据流动带来的安全风险提出了指引性措施。
一
《评估指南》出台背景
2017年6月1日正式实施的《网络安全法》首次规定了数据出境的安全评估制度。以此为立法基础,国家网信办于2017年4月11日制定并公布了《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称“《评估办法》”),《评估办法》构建了个人信息和重要数据出境安全评估的基本框架,规定了自行评估和监管机构评估两种评估方式以及安全评估的内容。
《评估指南》是《评估办法》的细化和补充,进一步对安全评估流程、评估要点、评估方法做出了具体规定。尽管《评估指南》作为国家推荐性标准,并不具有法律上的强制效力,但考虑到《网络安全法》和《评估办法》缺乏操作上的指引性,我们认为《评估指南》在一定程度上体现了监管机构的执法方式和理念,并为存在跨境数据传输需求的企业提供了具有实践操作性的指引,有利于各企业有序落实合规工作。
二
适用范围
《评估指南》在第1条中对适用范围予以了明确的规定,其不仅适用于网络运营者开展的个人信息和重要数据出境安全评估工作,同时也适用于行业主管或监管部门对网络运营者开展个人信息和重要数据出境安全评估进行的指导、监督等工作。网信部门、行业主管和监管部门“依职权”开展的安全评估工作,也可以以《评估指南》作为参考标准。
三
个人信息和重要数据的界定
《评估指南》除了将“姓名、出生日期、身份证件号码、通信通讯联系方式、个人生物识别信息、住址”等界定为“个人信息”外,进一步将“账号密码、财产状况、位置和行为信息”囊括其中。这一改变与2017年5月9日双高发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条所规定的个人信息定义相呼应,反映了大数据和互联网业务的趋势和关注热点,体现了立法的与时俱进。
在《评估办法》仍旧留下空白的“重要数据”概念,终于在《评估指南》中予以了明确规定,成为《评估指南》的亮点之一。根据《评估指南》提供的《重要数据识别指南》(附录A)的规定,重要数据是指我国政府、企业、个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据),一旦未经授权披露、丢失、滥用、篡改或销毁,或汇聚、整合、分析后,可能对国家安全、国家经济和金融安全、社会公共利益、个人合法权益等造成相关严重后果的数据。
《重要数据识别指南》列举了27个行业的重要数据及其主管部门供参考,虽然该识别指南中列举的重要数据并非穷尽式列举,并且在最后规定了兜底条款,指出了其他行业判断重要数据的标准,该识别指南实际上已经为行业主管部门、监管部门、具体行业内的企业提供了比较明晰的指引,有利于各企业深入地开展合规工作,保障数据出境安全评估的有效落实。
根据该识别指南的要求,识别指南中所列的各行业(领域)主管部门,比如石化行业的能源局、通信领域的工业和信息化部,会结合实际,明确本行业(领域)重要数据定义、范围或判定依据,并根据行业(领域)发展变化,及时更新或替换识别指南中相关内容。
四
数据出境情形的细化
《评估指南》对于数据出境,也较《评估办法》做出了进一步规定,系指:将在中华人民共和国境内收集和产生的电子形式的个人信息和重要数据,提供给境外机构、组织、个人的一次性活动或连续活动。该定义将数据出境的形式仅限于“电子形式”,同时还排除了如下两种情形:(1)如果数据仅经由我国中转,而未经任何变动或加工处理的,不视为数据出境;(2)网络运营者提供已经被依法公开披露的数据。
需要注意的是,相对于《评估办法》中将数据出境的责任主体仅限于网络运营者,《评估指南》将责任范围扩大为网络运营者及其用户,即,如果网络运营者的用户使用网络运营者提供的产品或服务的功能,向境外机构、组织、个人提供个人信息和重要数据的行为,也将被认为数据出境。
五
评估流程
《评估指南》对于个人信息和重要数据出境安全评估的流程做出基本规定,具体流程如下:
图1 评估流程
5.1评估启动
《评估指南》中规定的自评估的启动情形主要有两种:(1)产品或服务涉及向境外机构、组织或个人提供数据的;(2)已完成数据出境安全评估的产品或业务涉及的数据出境,在目的、范围、类型、数量等方面发生较大变化、数据接收方变更或发生重大安全事件的。
值得注意的是,列举的两种启动情形并不包括年度评估制度,只有在数据跨境传输的基本情况发生重大变化,才有必要进行新的安全评估。在保障国家安全和社会公共利益的同时,减少了企业的合规成本,避免了企业的资源浪费。
5.2制定数据出境计划
根据《评估指南》的要求,网络运营者制定的数据出境计划应包括但不限于:
(1)数据出境目的、范围、类型、规模;
(2)涉及的信息系统;
(3)中转国家和地区(如存在);
(4)数据接收方及其所在的国家或地区的基本情况;
(5)安全控制措施等。
5.3评估数据出境计划
在制定数据出境计划之后,网络运营者将根据《个人信息和重要数据出境安全风险评估方法》(附录B)的流程和判断标准,以《评估指南》中“合法正当”和“风险可控”作为评估要点,对制定的数据出境计划进行安全评估。
经评估,出境安全风险为极高或高的,个人信息和重要数据不得出境。此种情形下,网络运营者可以修正数据出境计划,如精简出境数据内容,或采用相关措施降低数据出境风险,如使用技术措施处理数据,降低敏感度、提升数据发送方安全保障能力、限定数据接收方的处理活动或更换数据保护水平更高的接收方等,并可重新展开评估。
按照上述评估流程及评估要点进行评估后,符合要求的数据,允许出境。同时网络运营者应当在完成上述评估后,形成评估报告,并至少保存5年。
六
评估要点
《评估指南》中的评估要点是《评估办法》第八条的进一步细化,但也对重点评估内容做出了一些调整。《评估办法》第八条第一款中列举的“必要性”并没有被单独列为《评估指南》的评估要点之一,而是被合并到“合法正当”评估要点中。
6.1合法正当
合法性要求,与《评估办法》第十一条对于“数据不得出境”的几类情形相呼应,包括“未经个人信息主体授权同意”。
正当性包括:(1)网络运营者在合法的经营范围内从事正常业务活动所必须的;(2)履行合同义务所必须的;(3)履行我国法律义务所必须的;(4)司法协助需要的;(5)其他维护网络空间主权和国家安全、社会公共利益、保护公民合法利益所需要的。
6.2风险可控
“风险可控”评估需要综合考虑出境数据的属性和数据出境发生安全事件的可能性。
其中个人信息属性评估要点包括个人信息的类型、敏感程度、数量、范围和技术处理情况。重要数据的属性,包括数量、范围、类型和技术处理情况等。《评估指南》在个人信息和重要数据出境范围上,提出了“最小化原则”,包含:(1)出境与功能直接关联;(2)最低频率;(3)最低数量。
数据出境发生安全事件的可能性主要评估:(1)发送方数据出境的技术和管理能力(包括内部的安全管理制度、应急预案等);(2)数据接收方的安全保护能力、采取的措施(包括主体审查、人员能力等);(3)数据接收方所在国家或区域的政治法律环境(包括立法状况、司法机制等)。《个人信息和重要数据出境安全风险评估方法》(附录B),结合具体实施情况,将保障能力等级分为高、中、低三种,供评估主体进行综合判断。
鉴于评估范围和内容较多,覆盖面广,我们建议相关企业委托专业的第三方机构进行。
七
结语
总体而言,《评估指南》作为《网络安全法》和《评估办法》的重要补充,内容详细,为存在跨境数据传输需求的企业提供了具有实践操作性的指引。虽然目前《评估办法》和《评估指南》都在征求意见阶段,还未正式出台,但《网络安全法》所要求的数据本地化存储和数据出境评估已势在必行。我们建议相关企业,及早对照《评估办法》和《评估指南》对自身情况进行初步判定,提前建立内部的安全评估制度,以应对可能的数据出境评估要求。
本解析仅供参考,不构成律师的正式意见,任何企业或个人不得依赖此内容采取任何的法律行动或进行法律上的决策。
作者简介:
合伙人 北京办公室
业务领域:知识产权, 反垄断与竞争法, 信息技术、电信、传媒与娱乐
北京办公室 知识产权部
作者往期文章推荐:
《China's New Measures (draft) on Data Cross-border Transmission》