《网络安全法》配套规则 | 《数据出境安全评估指南》(第二次征求意见稿)解读
BY 网络安全合规团队
一、制度背景
2016年11月7日,《中华人民共和国网络安全法》(“《网络安全法》”)正式颁布,于2017年6月1日起生效。该法首次对关键信息基础设施运营者提出了数据本地化以及出境数据安全评估的要求,同时规定安全评估应当按照国家网信部门会同国务院有关部门制定的办法进行。
2017年4月11日,国家互联网信息办公室(“网信办”)发布《个人信息和重要数据出境安全评估办法(征求意见稿)》(“《评估办法》”),将数据出境安全评估的责任主体由关键信息基础设施运营者扩大至所有网络运营者,确立了安全评估的适用范围、评估程序、监管机构、评估内容等基本规则,构建了个人信息和重要数据出境安全评估的基本框架。
2017年5月27日,全国信息安全标准化技术委员会(“信安标委”)发布《信息安全技术 数据出境安全评估指南(草案)》(“《评估指南》(第一稿)”),对数据出境安全评估流程、评估要点、评估方法、重要数据识别指南等内容进行了具体规定。时隔3个月后,信安标委又于2017年8月25日再次发布《信息安全技术 数据出境安全评估指南(征求意见稿)》(“《评估指南》(第二稿)”)。相较于第一稿,最新发布的《评估指南》对境内运营、数据出境等概念进行了明确,对安全评估的流程进行了进一步细化。
信安标委是由国家标准化管理委员会领导,在信息安全技术专业领域内,从事信息安全标准化工作的技术工作组织。尽管《评估指南》仅为推荐性国家标准(GB/T),但《评估办法》第十七条在阐述重要数据概念时,提到其具体范围参照国家有关标准和重要数据识别指南,而重要数据识别指南则以附录的形式规定于《评估指南》中。可见,在《网络安全法》与《评估办法》对数据出境安全评估的具体规则留有空白的情形下,《评估指南》作为数据出境安全评估制度的重要组成部分,填补了上述两项法规的空白,为个人信息和重要数据的安全评估提供了指引,增强了数据出境安全评估制度的可操作性。
二、新规评述
新发布的《评估指南》第二稿与前一稿相比,并未在结构和内容上做出较大变动,依然是在《评估办法》所确立的数据出境安全评估基本规则的基础上,填补《评估办法》中重要概念的内涵以及评估程序等内容的空白,使数据出境安全评估的适用范围进一步得到明确,也使得安全评估制度在实践中更容易落地。
综合比较《评估指南》两版征求意见稿,新稿有以下四大亮点值得关注:
1.回应了数据出境实践中争议较大的问题,进一步明确数据出境安全评估的适用范围
新版《评估指南》对“境内运营”以及“数据出境”的内涵以注解的形式进行了进一步界定,对数据出境实践中可能出现疑义的情形予以回应,使得数据出境安全评估的适用范围更为清晰。如,对于 “数据出境”的内涵,一方面,将(1)向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据;(2)数据被境外的机构、组织、个人访问查看(公开信息、网页访问除外);以及(3)网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据三种情形纳入“数据出境”的范围;另一方面,也将(1)非在境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动或加工处理的;以及(2)非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的情形予以排除。
2.对数据出境经个人主体同意的要求进行细化
新版《评估指南》要求网络运营者在取得个人信息主体同意前,应将数据出境目的、类型、数据接收方情况及数据出境可能存在的风险,网络运营者的联系人及其联系方式等信息明确告知个人信息主体,并应在网络运营者隐私规则发生变更、数据出境目的、范围、类型、数量发生较大变化、数据接收方发生变更或数据出境风险发生较大变化时,重新取得个人信息主体同意。此外,对于拨打国际及漫游电话、发送国际电子邮件、进行国际即时通信、通过互联网进行跨境交易以及其他个人主动行为,以及将合法向社会公开披露的个人信息出境的情形,在新版《评估指南》中将视为个人信息主体已经同意。
3.明确了在涉及多方主体情况下,评估责任主体的确定规则
新版《评估指南》明确了在涉及多方主体情况下(如云服务、转包服务等),评估的责任主体应根据数据出境发起方来确定。如云服务客户主动要求云服务提供商进行数据出境的,由云服务提供商配合云服务客户开展安全自评估,且由云服务客户承担相应责任。如云服务提供商主动要求进行数据出境的,由云服务客户配合云服务提供商开展安全自评估,且由云服务提供商承担相应责任。如此避免了实践中云服务客户与云服务提供商互相推诿安全评估责任或重复进行安全评估情形的发生。
4.对原先笼统的评估流程进行了进一步细分,体现了安全自评估与主管部门评估在启动条件、评估工作组的组成、评估报告以及评估流程上的差异
新版《评估指南》除分别阐述了安全自评估与主管部门评估两类评估模式各自的程序外,还具体列举了启动数据出境安全自评估和主管部门评估、自评估报告需上报国家网信部门、行业主管部门的条件。值得注意的是,此前《评估办法》中也列举了网络运营者应报请行业主管或监管部门组织安全评估的情形。与《评估办法》相比,新版《评估指南》中所列主管部门评估的启动条件增加了大量用户投诉、举报以及全国性行业协会建议两类启动条件,增加了主管部门根据公众反馈主动进行安全评估的灵活性。
《评估办法》(征求意见稿)第九条 出境数据存在以下情况之一的,网络运营者应报请行业主管或监管部门组织安全评估: | 《评估指南》第二稿 4.3.2主管部门评估启动条件 国家网信部门、行业主管部门根据数据出境类型、数量、范围、重要程度等,酌情组织开展主管部门评估。具有下列情形之一的,国家网信部门、行业主管部门可启动主管部门评估: |
(一)含有或累计含有50万人以上的个人信息; | a) 一年内出境的个人信息数量达到国家网信部门、行业主管部门上报要求的; |
(二)数据量超过1000GB; | |
(三)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等; | b) 包含核设施、生物化学、国防军工、人口健康等领域数据,大型工程活动、海洋环境、敏感地理信息数据,以及其他重要数据的; |
(四)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息; | c) 涉及关键信息基础设施的安全缺陷、具体安全防护措施等网络安全信息的; |
(五)关键信息基础设施运营者向境外提供个人信息和重要数据; | d) 关键基础设施运营者数据出境的; |
(六)其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。 | e) 其他可能影响国家安全、经济发展和社会公共利益的; |
f) 大量用户投诉、举报的; | |
g) 全国性行业协会建议的; | |
h) 其他经国家网信部门、行业主管部门认定有必要启动主管部门评估的。 |
三、重要变化比较
以下将通过表格形式梳理《评估指南》第二稿相较于第一稿的重要变化:
序号 | 变化 | 《评估指南》 (第一稿) | 《评估指南》 (第二稿) |
1 | 增加对“境内运营”的阐释 | 3.2境内运营 网络运营者在中华人民共和国境内开展业务,提供产品或服务的活动。 注1:未在中华人民共和国境内注册的网络运营者,但在中华人民共和国境内开展业务,或向中华人民共和境内提供产品或服务的,属于境内运营。判断网络运营者是否在中华人民共和国境内开展业务,或向中华人民共和境内提供产品或服务的参考因素包括但不限于:使用中文;以人民币作为结算货币;向中国境内配送物流等。 注2:中华人民共和国境内的网络运营者仅向境外机构、组织或个人开展业务、提供商品或服务,且不涉及境内公民个人信息和重要数据的,不视为境内运营。 | |
2 | 增加“重要数据”的例外情形 | 3.5重要数据 与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照附录A。 | 3.5重要数据 相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)。 注1:具体范围见附录A。 注2:经政府信息公开渠道合法公开的,不再属于重要数据。 |
3 | 增加“加工处理”的阐释 | 3.6加工处理 针对个人信息和重要数据实施的操作,包括个人信息和重要数据的收集、存储、访问、修改、转让、披露、匿名化、去标识化、恢复、删除、销毁等。 | |
4 | 进一步解释“数据出境”的含义,列举数据出境的例外情形 | 3.6数据出境 将在中华人民共和国境内收集和产生的电子形式的个人信息和重要数据,提供给境外机构、组织、个人的一次性活动或连续性活动。 注:境外数据经由中华人民共和国中转,未经任何变动或加工处理的情形不属于数据出境。 | 3.7数据出境 网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。 注1:以下情形属于数据出境: a) 向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据; b) 数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外); c) 网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。 注2:非在境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动或加工处理的,不属于数据出境。 注3:非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的,不属于数据出境。 |
5 | 细化安全评估流程,将安全自评估与主管部门评估流程分开阐述,具体变化如下: | ||
(1) 细化安全自评估的启动条件,划分了涉及多方主体时的评估责任 | 4.1自评估启动 网络运营者应在如下情况启动自评估: a)产品或服务涉及向境外机构、组织或个人提供数据的; b)已完成数据出境安全评估的产品或业务所涉及的数据出境,在目的、范围、类型、数量等方面发生较大变化、数据接收方变更或发生重大安全事件的。 | 4.2.2安全自评估启动条件 网络运营者应每年开展安全自评估,满足以下条件之一时启动评估: a) 涉及数据出境的; b) 关键信息基础设施运营者进行数据出境之前的; c) 已完成数据出境安全自评估的产品或业务所涉及的个人信息和重要数据出境,在目的、范围、类型、数量等方面发生较大变化、数据接收方变更或发生重大安全事件的; d) 按照行业主管或者监管部门要求启动的。 注1:当网络运营者的数据出境满足连续出境的条件时,视为一次出境行为,免于重复评估; 注2:连续出境是指数据出境的目的、接收方相同,范围、类型、数量不发生较大变化,且两次数据出境间隔不超过一年的。 注3:数据出境涉及多方主体的如:云服务、转包服务等,根据数据出境发起方,确定安全自评估责任主体。如:云服务客户主动要求云服务提供商进行数据出境的,由云服务提供商配合云服务客户开展安全自评估,且由云服务客户承担相应责任。如云服务提供商主动要求进行数据出境的,由云服务客户配合云服务提供商开展安全自评估,且由云服务提供商承担相应责任。 | |
(2) 细化安全自评估的具体流程 | 在数据出境安全自评估启动后,数据出境安全自评估工作组审查数据出境计划,对个人信息与重要数据依照流程进行评估,并形成评估报告。 数据出境满足上报要求的,评估报告应按要求报送国家网信部门、行业主管部门。 数据出境需获得国家网信部门、行业主管部门同意的,应在数据出境前将评估报告按要求报送国家网信部门、行业主管部门,并获得其同意。 对评估结果为可以出境的,依照出境计划进行出境,对评估结果禁止出境的,提出出境计划修改建议,业务部门修改出境计划,降低数据出境安全风险后,重新进行评估。 | ||
(3) 规定安全自评估报告的保存时间及需上报的情形 | 4.5评估报告 网络运营者在完成对数据出境计划的评估后,应形成评估报告,评估报告应至少保存5年。 | 4.2.6安全自评估报告 网络运营者在完成数据出境安全自评估后,应形成安全自评估报告。安全自评估报告内容应包括但不限于:安全自评估对象基本情况、安全自评估组织实施情况、安全自评估结果、数据出境安全风险点、检查修正建议。安全自评估报告应至少保存2年,并在如下情况下将安全自评估报告上报行业主管部门,行业主管部门不明确的,报国家网信部门。 a) 关键信息基础设施运营者开展的安全自评估; b) 一年内出境的个人信息数量达到国家网信部门、行业主管部门上报要求的; c) 包含核设施、生物化学、国防军工、人口健康等领域数据,大型工程活动、海洋环境敏感地理信息数据,以及其他重要数据的; d) 涉及关键信息基础设施的安全缺陷、具体安全防护措施等网络安全信息的; e) 其他可能影响国家安全、经济发展和社会公共利益的。 | |
(4) 新增主管部门评估的启动条件 | 4.3.2主管部门评估启动条件 国家网信部门、行业主管部门根据数据出境类型、数量、范围、重要程度等,酌情组织开展主管部门评估。具有下列情形之一的,国家网信部门、行业主管部门可启动主管部门评估: a) 一年内出境的个人信息数量达到国家网信部门、行业主管部门上报要求的; b) 包含核设施、生物化学、国防军工、人口健康等领域数据,大型工程活动、海洋环境、敏感地理信息数据,以及其他重要数据的; c) 涉及关键信息基础设施的安全缺陷、具体安全防护措施等网络安全信息的; d) 关键基础设施运营者数据出境的; e) 其他可能影响国家安全、经济发展和社会公共利益的; f) 大量用户投诉、举报的; g) 全国性行业协会建议的; h) 其他经国家网信部门、行业主管部门认定有必要启动主管部门评估的。 注:数据出境涉及多方主体的,如:云服务等,根据数据出境发起方,确定主管部门评估责任主体。 | ||
(5) 细化主管部门评估的具体流程 | 在数据出境主管部门评估启动之后,国家网信部门、行业主管部门确定主管部门评估范围,制定主管部门评估方案,并成立主管部门评估工作组。 网络运营者按要求向主管部门评估工作组提交相关材料,材料包括安全自评估报告以及相关证明资料等。 主管部门评估工作组根据主管部门评估方案,通过远程检测、现场检查等方式进行主管部门评估并形成主管部门评估报告。 专家委员会对主管部门评估工作组做出的主管部门评估报告、安全自评估报告进行审议并给出是否同意数据出境的建议。 国家网信部门、行业主管部门根据专家委员会建议做出决定。 | ||
6 | 调整评估要点,细化个人数据出境的个人主体同意要求 | 合法正当;风险可控
| (数据出境目的)合法性、正当性和必要性;数据出境安全风险 注1:拨打国际及漫游电话、发送国际电子邮件、进行国际即时通信、通过互联网进行跨境交易以及其他个人主动行为,视为个人信息主体已经同意。 注2:将合法向社会公开披露的个人信息出境,视为个人信息主体已经同意。 注3:网络运营者在取得个人信息主体同意前,应将数据出境目的、类型、数据接收方情况及数据出境可能存在的风险,网络运营者的联系人及其联系方式等信息明确告知个人信息主体。 注4:当网络运营者隐私规则发生变更、数据出境目的、范围、类型、数量发生较大变化、数据接收方发生变更或数据出境风险发生较大变化时应重新取得个人信息主体同意。 |
特别声明:
以上所刊登的文章仅代表作者本人观点,不得视为北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜。并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
作者简介:
合伙人 上海办公室
业务领域:收购兼并,信息技术、电信、传媒与娱乐,合规/反腐败,资本市场
上海办公室 公司二部
作者往期文章推荐:
《Regulation of Telecommunications Sector in China: Overview Ⅰ》
《Regulation of Telecommunications Sector in China: Overview Ⅱ》
点击“阅读原文”,可查阅合伙人简历详情。