【律师视点】周杨、郑茂锋:解读与脑图分解 | 《数据出境安全评估办法》(征求意见稿)
北京德和衡律师事务所合伙人
北京德和衡(深圳)律师事务所
实习律师
2021年10月29日,国家互联网信息办公室公布《数据出境安全评估办法(征求意见稿)》。
自《网络安全法》出台以来,因为可能对企业运营产生重大实质影响,个人信息和重要数据如何出境一直是企业最为热切关注的问题之一。自《网络安全法》出台以来,有关数据出境的相关规定已经经过了三次征求意见,分别为2017年4月11日国家互联网信息办公室公布的《个人信息和重要数据出境安全评估办法(征求意见稿)》,2019年6月13日,国家互联网信息办公室再次发布《个人信息出境安全评估办法(征求意见稿)》,以及2021年10月29日,国家互联网信息办公室最新发布的《数据出境安全评估办法(征求意见稿)》。
关于《数据出境安全评估办法(征求意见稿)》解读如下:
1.《数据出境安全评估办法(征求意见稿)》是对《网络安全法》《数据安全法》《个人信息保护法》有关数据出境的原则性要求的具体落地指导,其内容同时兼顾了重要数据和个人信息的内容。
《网络安全法》第37条规定,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”
《数据安全法》第31条规定,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定”。
《个人信息保护法》第40条规定,“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估。”
2.《数据出境安全评估办法(征求意见稿)》确定了基本评估流程为普遍的自评估加上特定条件的申报评估,并确认了需要向国家网信部门申报评估的具体情形。此外,一万、十万、百万等具体数据量级,是对《个人信息保护法》第40条“处理个人信息达到国家网信部门规定数量的个人信息处理者”的数量级回应,大大提高了企业出境门槛的确定性。
第四条 数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
(一)关键信息基础设施的运营者收集和产生的个人信息和重要数据
(二)出境数据中包含重要数据;
(三)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;
(四)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;
(五)国家网信部门规定的其他需要申报数据出境安全评估的情形。
3.《数据出境安全评估办法(征求意见稿)》确定的自评估为申报评估的前提条件,但自评估与申报评估的目的存在不同,分配评估的实质问题也存在差异。因此也为自评估或网信部门评估留下了不同难题:
自评估难点
-需要企业自行对数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险进行评估,但其中的“国家安全”“公共利益”等风险缺乏实质评估标准,企业难以把握评估方式,且从企业的趋利性而言其评估结论的客观性也将天然面临质疑;
- 结合上下文来看,《数据出境安全评估办法(征求意见稿)》并未明确确认是否允许出境后的数据“再转移”,对“再转移”的约定也语义不明。
网信部门评估难点
-针对自评估内容需要进行大量的检查类评估。例如:
(1)需要检查评估“数据出境的目的、范围、方式等的合法性、正当性、必要性”;
(2)需要检查评估“出境数据的数量、范围、种类、敏感程度,出境中和出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险”,同时该评估内容与自评估内容不完全一致,二者的对应关系有待进一步确认;
(3) 需要检查评估“数据处理者与境外接收方订立的合同中是否充分约定了数据安全保护责任义务;”
-针对自评估内容中的部分内容进行了加强检查和补充评估
(1)需要加强检查评估出境数据的数据安全保障和个人信息权益保障是否“有效”;
(2)需要补充评估“境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规规定和强制性国家标准的要求”;
(3)需要补充评估申报方“遵守中国法律、行政法规、部门规章情况”。
4.对比二者评估内容,不难看出网信部门主动承担了部分高难度的评估内容,且不仅“查缺”,同时还积极“补漏”,对于数据出境起到了积极推动的作用。
第五条 数据处理者在向境外提供数据前,应事先开展数据出境风险自评估,重点评估以下事项:
(一)数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
(二)出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
(三)数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险;
(四)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
(五)数据出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;
(六)与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务
第八条 数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项:
(一)数据出境的目的、范围、方式等的合法性、正当性、必要性;
(二)境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规规定和强制性国家标准的要求;
(三)出境数据的数量、范围、种类、敏感程度,出境中和出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险;
(四)数据安全和个人信息权益是否能够得到充分有效保障;
(五)数据处理者与境外接收方订立的合同中是否充分约定了数据安全保护责任义务;
(六)遵守中国法律、行政法规、部门规章情况;
(七)国家网信部门认为需要评估的其他事项。
5.《数据出境安全评估办法(征求意见稿)》对出境合同内容进行了原则性指导
《个人信息保护法》第38条确定了数据处理者出境需要满足的前提条件之一为“按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务”。据了解,该标准合同尚在网信部门牵头下加速制定中。但在此之前,企业可能已经进入了数据跨境的商业场景中,迫切需要得到企业与境外数据接收方合作的相关指导。而《数据出境安全评估办法(征求意见稿)》无疑指出了监管最为关注的要点,可作为企业在数据跨境合作中的重点商讨条款。
第九条 数据处理者与境外接收方订立的合同充分约定数据安全保护责任义务,应当包括但不限于以下内容:
(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施;
(三)限制境外接收方将出境数据再转移给其他组织、个人的约束条款;
(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区法律环境发生变化导致难以保障数据安全时,应当采取的安全措施;
(五)违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款;
(六)发生数据泄露等风险时,妥善开展应急处置,并保障个人维护个人信息权益的通畅渠道。
6.确认了数据出境的事后监督机制
《数据出境安全评估办法(征求意见稿)》将数据评估的有效期从第一稿征求意见的一年延长至两年,该变化兼顾了数据出境的安全性和商业秩序的稳定性考虑。此外,事后监督机制再次强调了监管在数据跨境场景中的关注重点,但对于那些应当停止出境的数据出境活动,对于其已经出境的数据应如何处置,仍处于悬而未决可供讨论的状态。
第十二条 数据出境评估结果有效期二年。在有效期内出现以下情形之一的,数据处理者应当重新申报评估:
(一)向境外提供数据的目的、方式、范围、类型和境外接收方处理数据的用途、方式发生变化,或者延长个人信息和重要数据境外保存期限的;
(二)境外接收方所在国家或者地区法律环境发生变化,数据处理者或者境外接收方实际控制权发生变化,数据处理者与境外接收方合同变更等可能影响出境数据安全的;
(三)出现影响出境数据安全的其他情形。
有效期届满,需要继续开展原数据出境活动的,数据处理者应当在有效期届满六十个工作日前重新申报评估。
未按本条规定重新申报评估的,应当停止数据出境活动。
第十六条 国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当撤销评估结果并书面通知数据处理者,数据处理者应当终止数据出境活动。需要继续开展数据出境活动的,数据处理者应当按照要求进行整改,并在整改完成后重新申报评估。
国家互联网信息办公室关于
《数据出境安全评估办法(征求意见稿)》
公开征求意见的通知
为了规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,我办起草了《数据出境安全评估办法(征求意见稿)》,现向社会公开征求意见。
国家互联网信息办公室
2021年10月29日
数据出境安全评估办法
(征求意见稿)
第一条 为了规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,制定本办法。
第二条 数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息,应当按照本办法的规定进行安全评估;法律、行政法规另有规定的,依照其规定。
第三条 数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。
第四条 数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
(一)关键信息基础设施的运营者收集和产生的个人信息和重要数据;
(二)出境数据中包含重要数据;
(三)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;
(四)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;
(五)国家网信部门规定的其他需要申报数据出境安全评估的情形。
第五条 数据处理者在向境外提供数据前,应事先开展数据出境风险自评估,重点评估以下事项:
(一)数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
(二)出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
(三)数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险;
(四)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
(五)数据出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;
(六)与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。
第六条 申报数据出境安全评估,应当提交以下材料:
(一)申报书;
(二)数据出境风险自评估报告;
(三)数据处理者与境外接收方拟订立的合同或者其他具有法律效力的文件等(以下统称合同);
(四)安全评估工作需要的其他材料。
第七条 国家网信部门自收到申报材料之日起七个工作日内,确定是否受理评估并以书面通知形式反馈受理结果。
第八条 数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项:
(一)数据出境的目的、范围、方式等的合法性、正当性、必要性;
(二)境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规规定和强制性国家标准的要求;
(三)出境数据的数量、范围、种类、敏感程度,出境中和出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险;
(四)数据安全和个人信息权益是否能够得到充分有效保障;
(五)数据处理者与境外接收方订立的合同中是否充分约定了数据安全保护责任义务;
(六)遵守中国法律、行政法规、部门规章情况;
(七)国家网信部门认为需要评估的其他事项。
第九条 数据处理者与境外接收方订立的合同充分约定数据安全保护责任义务,应当包括但不限于以下内容:
(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施;
(三)限制境外接收方将出境数据再转移给其他组织、个人的约束条款;
(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区法律环境发生变化导致难以保障数据安全时,应当采取的安全措施;
(五)违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款;
(六)发生数据泄露等风险时,妥善开展应急处置,并保障个人维护个人信息权益的通畅渠道。
第十条 国家网信部门受理申报后,组织行业主管部门、国务院有关部门、省级网信部门、专门机构等进行安全评估。
涉及重要数据出境的,国家网信部门征求相关行业主管部门意见。
第十一条 国家网信部门自出具书面受理通知书之日起四十五个工作日内完成数据出境安全评估;情况复杂或者需要补充材料的,可以适当延长,但一般不超过六十个工作日。
评估结果以书面形式通知数据处理者。
第十二条 数据出境评估结果有效期二年。在有效期内出现以下情形之一的,数据处理者应当重新申报评估:
(一)向境外提供数据的目的、方式、范围、类型和境外接收方处理数据的用途、方式发生变化,或者延长个人信息和重要数据境外保存期限的;
(二)境外接收方所在国家或者地区法律环境发生变化,数据处理者或者境外接收方实际控制权发生变化,数据处理者与境外接收方合同变更等可能影响出境数据安全的;
(三)出现影响出境数据安全的其他情形。
有效期届满,需要继续开展原数据出境活动的,数据处理者应当在有效期届满六十个工作日前重新申报评估。
未按本条规定重新申报评估的,应当停止数据出境活动。
第十三条 数据处理者应当按照本办法的规定提交评估材料,材料不齐全或者不符合要求的,应当及时补充或者更正,拒不补充或者更正的,国家网信部门可以终止安全评估;数据处理者对所提交材料的真实性负责,故意提交虚假材料的,按照评估不通过处理。
第十四条 参与安全评估工作的相关机构和人员对在履行职责中知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。
第十五条 任何组织和个人发现数据处理者未按照本办法规定进行评估向境外提供数据的,可以向省级以上网信部门投诉、举报。
第十六条 国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当撤销评估结果并书面通知数据处理者,数据处理者应当终止数据出境活动。需要继续开展数据出境活动的,数据处理者应当按照要求进行整改,并在整改完成后重新申报评估。
第十七条 违反本办法规定的,依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规的规定处理;构成犯罪的,依法追究刑事责任。
第十八条 本办法自 年 月 日起施行。
或许您还想看
史蕾、周杨、辛小天:强化统筹协调性与打磨精准性——简评《数据安全法(草案)》二次审议稿
辛小天、周杨:驾驶碰撞数据监管的花火丨《汽车数据安全管理若干规定(征求意见稿)》的疑问号
周杨、辛小天、史蕾:《数据安全法》正式稿的概览和粗议—— 全球数据保护政策下的中国处方
周杨、辛小天、史蕾:《数据安全法》正式稿的概览和粗议—— 全球数据保护政策下的中国处方
辛小天、周杨:深圳经济特区数据条例 | 一图get公共数据管理要点
作者简介
周 杨
北京德和衡律师事务所合伙人
北京市律师协会科技与大数据法律事务专业委员会委员,互联网仲裁院副秘书长,网络空间安全战略与法律委员会委员,曾任职奇虎360法律顾问,负责多个产品线合规工作,《360隐私保护白皮书》首版撰稿人之一,多年来专注从事网络安全及相关互联网产品合规工作,极少数数据保护与法律专业的跨界律师。目前专注于金融领域、互联网高新技术领域及前沿领域研究,擅长领域主要包含数据安全保护、信息安全、GDPR、电子商务、科技金融和网络文化。
手机:18610123230
邮箱:zhouyang@deheng.com
郑茂锋
北京德和衡(深圳)律师事务所实习律师
郑茂锋毕业于西南政法大学经济法学院(法律硕士)。擅长领域为区块链法律、民商事争议、个人信息保护。
电话:18826131257
邮箱:zhengmaofeng@deheng.com
质控人简介
辛小天
合伙人
数字经济与人工智能业务中心总监
xinxiaotian@deheng.com
✦本文仅代表作者观点,如需转载、节选,请在后台留言
视频号:德和衡律师
微博:@北京德和衡律师事务所