律师视点 | 黄斌:元宇宙法律篇(三十六)——元宇宙数据出境操作指引
北京德和衡(深圳)律师事务所
高级联席合伙人
数据出境活动主要包括:一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:(一)数据处理者向境外提供重要数据;(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。不符合上述规定范围之内的个人信息处理者的个人信息出境,可以按照国家网信部门的规定经专业机构进行个人信息保护认证,或按照国家网信部门制定的标准合同与境外接收方订立合同约定双方的权利和义务,来满足个人信息跨境提供条件,便利个人信息处理者依法开展个人信息出境活动。
数据出境的具体流程:一是事前评估,数据处理者在向境外提供数据前,应首先开展数据出境风险自评估;二是申报评估,符合申报数据出境安全评估情形的,数据处理者应通过所在地省级网信部门向国家网信部门申报数据出境安全评估,省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验。申报材料齐全的将申报材料报送国家网信部门,申报材料不齐全的应当退回数据处理者并一次性告知需要补充的材料;三是开展评估,国家网信部门自收到申报材料之日起7个工作日内确定是否受理评估;自出具书面受理通知书之日起45个工作日内完成数据出境安全评估;情况复杂或者需要补充、更正材料的,可以适当延长并告知数据处理者预计延长的时间;四是重新评估和终止出境,评估结果2年有效期届满或者在有效期内出现本办法中规定重新评估情形的,数据处理者应当重新申报数据出境安全评估。已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,在收到国家网信部门书面通知后,数据处理者应终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估。
《网络安全法》
第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
《网络安全审查办法》
第七条 掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
《数据安全法》
第三条 本法所称数据,是指任何以电子或者其他方式对信息的记录。
第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
《个人信息保护法》
第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
第三十八条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。
第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
《数据出境安全评估办法》
第二条 数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法。法律、行政法规另有规定的,依照其规定。
第三条 数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。
第四条 数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
(一)数据处理者向境外提供重要数据;
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。
第七条 省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验。申报材料齐全的,将申报材料报送国家网信部门;申报材料不齐全的,应当退回数据处理者并一次性告知需要补充的材料。
国家网信部门应当自收到申报材料之日起7个工作日内,确定是否受理并书面通知数据处理者。
第十条 国家网信部门受理申报后,根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估。
第十一条 安全评估过程中,发现数据处理者提交的申报材料不符合要求的,国家网信部门可以要求其补充或者更正。数据处理者无正当理由不补充或者更正的,国家网信部门可以终止安全评估。
数据处理者对所提交材料的真实性负责,故意提交虚假材料的,按照评估不通过处理,并依法追究相应法律责任。
第十二条 国家网信部门应当自向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估;情况复杂或者需要补充、更正材料的,可以适当延长并告知数据处理者预计延长的时间。
评估结果应当书面通知数据处理者。
第十三条 数据处理者对评估结果有异议的,可以在收到评估结果15个工作日内向国家网信部门申请复评,复评结果为最终结论。
第十四条 通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算。在有效期内出现以下情形之一的,数据处理者应当重新申报评估:
(一)向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的;
(二)境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的;
(三)出现影响出境数据安全的其他情形。
有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。
第十五条 参与安全评估工作的相关机构和人员对在履行职责中知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供、非法使用。
第十六条 任何组织和个人发现数据处理者违反本办法向境外提供数据的,可以向省级以上网信部门举报。
第十七条 国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当书面通知数据处理者终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估。
第十八条 违反本办法规定的,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。
第十九条 本办法所称重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
《网络数据安全管理条例(征求意见稿)》
第三十九条 数据处理者向境外提供数据应当履行以下义务:
(一)不得超出报送网信部门的个人信息保护影响评估报告中明确的目的、范围、方式和数据类型、规模等向境外提供个人信息;
(二)不得超出网信部门安全评估时明确的出境目的、范围、方式和数据类型、规模等向境外提供个人信息和重要数据;
(三)采取合同等有效措施监督数据接收方按照双方约定的目的、范围、方式使用数据,履行数据安全保护义务,保证数据安全;
(四)接受和处理数据出境所涉及的用户投诉;
(五)数据出境对个人、组织合法权益或者公共利益造成损害的,数据处理者应当依法承担责任;
(六)存留相关日志记录和数据出境审批记录三年以上;
(七)国家网信部门会同国务院有关部门核验向境外提供个人信息和重要数据的类型、范围时,数据处理者应当以明文、可读方式予以展示;
(八)国家网信部门认定不得出境的,数据处理者应当停止数据出境,并采取有效措施对已出境数据的安全予以补救;
(九)个人信息出境后确需再转移的,应当事先与个人约定再转移的条件,并明确数据接收方履行的安全保护义务。
非经中华人民共和国主管机关批准,境内的个人、组织不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
第四十条 向境外提供个人信息和重要数据的数据处理者,应当在每年1月31日前编制数据出境安全报告,向设区的市级网信部门报告上一年度以下数据出境情况:
(一)全部数据接收方名称、联系方式;
(二)出境数据的类型、数量及目的;
(三)数据在境外的存放地点、存储期限、使用范围和方式;
(四)涉及向境外提供数据的用户投诉及处理情况;
(五)发生的数据安全事件及其处置情况;
(六)数据出境后再转移的情况;
(七)国家网信部门明确向境外提供数据需要报告的其他事项。
第四十二条 数据处理者从事跨境数据活动应当按照国家数据跨境安全监管要求,建立健全相关技术和管理措施。
《关键信息基础设施安全保护条例》
第二条 本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
《关键信息基础设施确定指南(试行)》
一、什么是关键信息基础设施
关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。
关键信息基础设施包括网站类,如党政机关网站、企事业单位门户网站、新闻网站等;平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。
二、如何确定关键信息基础设施
关键信息基础设施的确定,通常包括三个步骤,一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度或可能造成的损失认定关键信息基础设施。
(一)确定本地区、本部门、本行业的关键业务。
可参考下表,结合本地区、本部门、本行业实际梳理关键业务。
(二)确定关键业务相关的信息系统或工业控制系统。
根据关键业务,逐一梳理出支撑关键业务运行或与关键业务相关的信息系统或工业控制系统,形成候选关键信息基础设施清单。如电力行业火电企业的发电机组控制系统、管理信息系统等;市政供水相关的水厂生产控制系统、供水管网监控系统等。
(三)认定关键信息基础设施。
对候选关键信息基础设施清单中的信息系统或工业控制系统,根据本地区、本部门、本行业实际,参照以下标准认定关键信息基础设施。
A.网站类
符合以下条件之一的,可认定为关键信息基础设施:
1. 县级(含)以上党政机关门户网站。
2. 日均访问量超过100万人次的网站。
3. 一旦发生网络安全事故,可能造成以下影响之一的:
(1)影响超过100万人工作、生活;
(2)影响单个地市级行政区30%以上人口的工作、生活;
(3)造成超过100万人个人信息泄露;
(4)造成大量机构、企业敏感信息泄露;
(5)造成大量地理、人口、资源等国家基础数据泄露;
(6)严重损害政府形象、社会秩序,或危害国家安全。
4. 其他应该认定为关键信息基础设施。
B.平台类
符合以下条件之一的,可认定为关键信息基础设施:
1.注册用户数超过1000万,或活跃用户(每日至少登陆一次)数超过100万。
2.日均成交订单额或交易额超过1000万元。
3.一旦发生网络安全事故,可能造成以下影响之一的:
(1)造成1000万元以上的直接经济损失;
(2)直接影响超过1000万人工作、生活;
(3)造成超过100万人个人信息泄露;
(4)造成大量机构、企业敏感信息泄露;
(5)造成大量地理、人口、资源等国家基础数据泄露;
(6) 严重损害社会和经济秩序,或危害国家安全。
4.其他应该认定为关键信息基础设施。
C.生产业务类
符合以下条件之一的,可认定为关键信息基础设施:
1.地市级以上政府机关面向公众服务的业务系统,或与医疗、安防、消防、应急指挥、生产调度、交通指挥等相关的城市管理系统。
2.规模超过3000个标准机架的数据中心。
3.一旦发生安全事故,可能造成以下影响之一的:
(1)影响单个地市级行政区30%以上人口的工作、生活;
(2)影响10万人用水、用电、用气、用油、取暖或交通出行等;
(3)导致5人以上死亡或50人以上重伤;
(4)直接造成5000万元以上经济损失;
(5)造成超过100万人个人信息泄露;
(6)造成大量机构、企业敏感信息泄露。
(7)造成大量地理、人口、资源等国家基础数据泄露。
(8)严重损害社会和经济秩序,或危害国家安全。
4.其他应该认定为关键信息基础设施。
《信息安全技术 数据出境安全评估指南》(征求意见稿)
附 录 A
(规范性目录)
重要数据识别指南
《信息安全技术 重要数据识别指南(征求意见稿)》
3.1
重要数据 critical data
以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。
注:重要数据不包括国家秘密和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。
4 识别重要数据的基本原则
识别重要数据遵循的原则如下:
a)聚焦安全影响:从国家安全、经济运行、社会稳定、公共健康和安全等角度识别重要数据,只对组织自身而言重要或敏感的数据不属于重要数据,如企业的内部管理相关数据;
b)突出保护重点:通过对数据分级,明确安全保护重点,使一般数据充分流动,重要数据在满足安全保护要求前提下有序流动,释放数据价值;
c)衔接既有规定:充分考虑地方已有管理要求和行业特色,与地方、部门已经制定实施的有关数据管理政策和标准规范紧密衔接;
d)综合考虑风险:根据数据用途、面临威胁等不同因素,综合考虑数据遭到篡改、破坏、泄露或者非法获取、非法利用等风险,从保密性、完整性、可用性、真实性、准确性等多个角度识别数据的重要性;
e)定量定性结合:以定量与定性相结合的方式识别重要数据,并根据具体数据类型、特性不同采取定量或定性方法;
f)动态识别复评:随着数据用途、共享方式、重要性等发生变化,动态识别重要数据,并定期复查重要数据识别结果。
5 重要数据的识别因素
识别重要数据时,可考虑如下因素:
a)反映国家战略储备、应急动员能力,如战略物资产能、储备量属于重要数据;
b)支撑关键基础设施运行或重点领域工业生产,如直接支撑关键基础设施所在行业、领域核心业务运行或重点领域工业生产的数据属于重要数据;
c)反映关键信息基础设施网络安全保护情况,可被利用实施对关键信息基础设施的网络攻击,如反映关键信息基础设施网络安全方案、系统配置信息、核心软硬件设计信息、系统拓扑、应急预案等情况的数据属于重要数据;
d)关系出口管制物项,如描述出口管制物项的设计原理、工艺流程、制作方法等的信息以及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告属于重要数据;
e)可能被其他国家或组织利用发起对我国的军事打击,如满足一定精度要求的地理信息属于重要数据;
f)反映重点目标、重要场所物理安全保护情况或未公开地理目标的位置,可能被恐怖分子、犯罪分子利用实施破坏,如反映重点安保单位、重要生产企业、国家重要资产(如铁路、输油管道)的施工图、内部结构、安防等情况的数据,以及未公开的专用公路、未公开的机场等的信息属于重要数据;
g)可能被利用实施对关键设备、系统组件供应链的破坏,以发起高级持续性威胁等网络攻击,如重要客户清单、未公开的关键信息基础运营者采购产品和服务情况、未公开的重大漏洞属于重要数据;
h)反映群体健康生理状况、族群特征、遗传信息等的基础数据,如人口普查资料、人类遗传资源信息、基因测序原始数据属于重要数据;
i)国家自然资源、环境基础数据,如未公开的水情信息、水文观测数据、气象观测数据、环保监测数据属于重要数据;
j)关系科技实力、影响国际竞争力,如描述与国防、国家安全相关的知识产权的数据属于重要数据;
k)关系敏感物项生产交易以及重要装备配备、使用,可能被外国政府对我实施制裁,如重点企业金融交易数据、重要装备生产制造信息,以及国家重大工程施工过程中的重要装备配备、使用等生产活动信息属于重要数据;
l)在向政府机关、军工企业及其他敏感重要机构提供服务过程中产生的不宜公开的信息,如军工企业较长一段时间内的用车信息;
m)未公开的政务数据、工作秘密、情报数据和执法司法数据,如未公开的统计数据;
n)其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。
具备以上因素之一的,是重要数据。
6 重要数据描述格式
a)基本信息
1)“处理者”指重要数据处理者;
2)“系统或应用”指重要数据所在的系统或所支撑的应用;
3)“地区或部门”指重要数据处理者所在的地区或部门。
b)分类
1)“类”指重要数据的类别,根据重要数据处理者所在地区、部门的规定确定;
2)“子类”指重要数据的子类别,视情况填写,有的重要数据还可对子类进一步细分。
c)重要性描述
1)“影响”指重要数据对国家安全、公共利益的影响,即重要数据之所以“重要”的理由;
2)“安全威胁”指重要数据在保密性、完整性、可用性、真实性、准确性等方面可能面临的
安全威胁;
3)“重要性时效”指重要数据维持“重要性”的时间长度,时效过后便不再属于重要数据。
d)产生、使用与保护
1)“数量”指重要数据的量;
2)“来源”指重要数据如何收集或产生;
3)“用途”指使用重要数据的目的以及具体方式方法;
4)“共享情况”指与其他组织共享、交易、委托处理或向境外传输重要数据的情况;
5)“保护情况”指对重要数据采取的安全保护措施。
e)“备注”用于描述其他需要说明的事项。
个人信息处理者在向境外提供个人信息时,应当事前进行个人信息保护影响评估,并对处理情况进行记录。数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,重点评估以下事项:(一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;(二)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;(四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;(五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务;
《个人信息保护法》
第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四)向境外提供个人信息;
《数据出境安全评估办法》
第三条 数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。
第五条 数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,重点评估以下事项:
(一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
(二)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
(四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
(五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务;
(六)其他可能影响数据出境安全的事项。
《网络数据安全管理条例(征求意见稿)》
第三十二条 处理重要数据或者赴境外上市的数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门,年度数据安全评估报告的内容包括:
(一)处理重要数据的情况;
(二)发现的数据安全风险及处置措施;
(三)数据安全管理制度,数据备份、加密、访问控制等安全防护措施,以及管理制度实施情况和防护措施的有效性;
(四)落实国家数据安全法律、行政法规和标准情况;
(五)发生的数据安全事件及其处置情况;
(六)共享、交易、委托处理、向境外提供重要数据的安全评估情况;
(七)数据安全相关的投诉及处理情况;
(八)国家网信部门和主管、监管部门明确的其他数据安全情况。
数据处理者开展共享、交易、委托处理、向境外提供重要数据的安全评估,应当重点评估以下内容:
(一)共享、交易、委托处理、向境外提供数据,以及数据接收方处理数据的目的、方式、范围等是否合法、正当、必要;
(二)共享、交易、委托处理、向境外提供数据被泄露、毁损、篡改、滥用的风险,以及对国家安全、经济发展、公共利益带来的风险;
(三)数据接收方的诚信状况、守法情况、境外政府机构合作关系、是否被中国政府制裁等背景情况,承诺承担的责任以及履行责任的能力等是否能够有效保障数据安全;
(四)与数据接收方订立的相关合同中关于数据安全的要求能否有效约束数据接收方履行数据安全保护义务;
(五)在数据处理过程中的管理和技术措施等是否能够防范数据泄露、毁损等风险。
评估认为可能危害国家安全、经济发展和公共利益,数据处理者不得共享、交易、委托处理、向境外提供数据。
《信息安全技术 个人信息安全影响评估指南》
4 评估基本原理和框架
4.1 概述
个人信息安全影响评估是个人信息控制者实施风险管理的重要组成部分,旨在发现、处置和持续监控个人信息处理过程中的安全风险。一般情况下,个人信息控制者必须在收集和处理个人信息前开展个人信息安全影响评估,明确个人信息保护边界,根据评估结果实施适当的安全控制措施,降低收集和处理个人信息的过程对个人信息主体权益造成的影响;另外,个人信息控制者还需按照要求定期开展个人信息安全影响评估,根据业务现状、威胁环境、法律法规、标准要求等情况持续修正个人信息保护边界,调整安全控制措施,使个人信息处理过程处于风险可控的状态。
4.9 评估工作形式
个人信息安全影响评估分为自评估和检查评估两种形式,个人信息安全影响评估应以自评估为主,自评估和检查评估相互结合,相互补充。
自评估是指个人信息控制者自行发起对其个人信息处理行为的评估,自评估可以由本机构组织专门负责评估、审计的部门和角色开展,也可以委托外部专业机构开展评估工作。
申报数据出境安全评估,应当提交以下材料:申报书、数据出境风险自评估报告、数据处理者与境外接收方拟订立的法律文件等。数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项:(一)数据出境的目的、范围、方式等的合法性、正当性、必要性;(二)境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求;(三)出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险;(四)数据安全和个人信息权益是否能够得到充分有效保障;(五)数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务;(六)遵守中国法律、行政法规、部门规章情况;(七)国家网信部门认为需要评估的其他事项。
《数据出境安全评估办法》
第六条 申报数据出境安全评估,应当提交以下材料:
(一)申报书;
(二)数据出境风险自评估报告;
(三)数据处理者与境外接收方拟订立的法律文件;
(四)安全评估工作需要的其他材料。
第八条 数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项:
(一)数据出境的目的、范围、方式等的合法性、正当性、必要性;
(二)境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求;
(三)出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险;
(四)数据安全和个人信息权益是否能够得到充分有效保障;
(五)数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务;
(六)遵守中国法律、行政法规、部门规章情况;
(七)国家网信部门认为需要评估的其他事项。
《数据安全管理办法(征求意见稿)》
第二十八条网络运营者发布、共享、交易或向境外提供重要数据前,应当评估可能带来的安全风险,并报经行业主管监管部门同意;行业主管监管部门不明确的,应经省级网信部门批准。
四、个人信息保护认证
非关键信息基础设施运营者、处理不满100万人个人信息的数据处理者、自上年1月1日起累计向境外提供不满10万人个人信息的数据处理者、自上年1月1日起累计向境外提供不满1万人敏感个人信息的数据处理者向境外提供个人信息的,可以采取按照国家网信部门的规定经专业机构进行个人信息保护认证,或按照国家网信部门制定的标准合同与境外接收方订立合同约定双方的权利和义务的方式向境外提供个人信息。跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动可以由境内一方申请认证,境外个人信息处理者可以由其在境内设置的专门机构或指定代表申请认证。个人信息处理者在跨境处理个人信息时应当满足法律法规的规定,严格按照约定目的并采取对个人信息权益影响最小的方式处理个人信息,同时应当满足处理规则公开、处理过程透明要求,及时向个人信息主体告知个人信息跨境提供的目的、范围和处理方式,确保个人信息主体了解自身个人信息的跨境处理情况。
《网络安全标准实践指南 —个人信息跨境处理活动安全认证规范》
1 适用情形
本文件作为认证机构对个人信息跨境处理活动进行个人信息保护认证的基本要求,适用于以下情形:
a) 跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动;
b)《中华人民共和国个人信息保护法》第三条第二款适用的个人信息处理活动。
五、个人信息出境标准合同
非关键信息基础设施运营者、处理不满100万人个人信息的数据处理者、自上年1月1日起累计向境外提供不满10万人个人信息的数据处理者、自上年1月1日起累计向境外提供不满1万人敏感个人信息的数据处理者向境外提供个人信息的,可以采取按照国家网信部门的规定经专业机构进行个人信息保护认证,或按照国家网信部门制定的标准合同与境外接收方订立合同约定双方的权利和义务的方式向境外提供个人信息。数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,至少包括以下内容:(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;(三)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施;(五)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;(六)出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。
《数据出境安全评估办法》
第九条 数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,至少包括以下内容:
(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;
(三)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;
(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施;
(五)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;
(六)出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。
《个人信息出境标准合同规定(征求意见稿)》
第二条 个人信息处理者依据《中华人民共和国个人信息保护法》第三十八条第一款第(三)项,与境外接收方订立合同向中华人民共和国境外提供个人信息的,应当按照本规定签订个人信息出境标准合同(以下简称“标准合同”)。
个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同,不得与标准合同相冲突。
第四条 个人信息处理者同时符合下列情形的,可以通过签订标准合同的方式向境外提供个人信息:
(一)非关键信息基础设施运营者;
(二)处理个人信息不满100万人的;
(三)自上年1月1日起累计向境外提供未达到10万人个人信息的;
(四)自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。
第五条 个人信息处理者向境外提供个人信息前,应当事前开展个人信息保护影响评估,重点评估以下内容:
(一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;
(二)出境个人信息的数量、范围、类型、敏感程度,个人信息出境可能对个人信息权益带来的风险;
(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全;
(四)个人信息出境后泄露、损毁、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;
(五)境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响;
(六)其他可能影响个人信息出境安全的事项。
第六条 标准合同包括以下主要内容:
(一)个人信息处理者和境外接收方的基本信息,包括但不限于名称、地址、联系人姓名、联系方式等;
(二)个人信息出境的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点等;
(三)个人信息处理者和境外接收方保护个人信息的责任与义务,以及为防范个人信息出境可能带来安全风险所采取的技术和管理措施等;
(四)境外接收方所在国家或者地区的个人信息保护政策法规对遵守本合同条款的影响;
(五)个人信息主体的权利,以及保障个人信息主体权利的途径和方式;
(六)救济、合同解除、违约责任、争议解决等。
第七条 个人信息处理者应当在标准合同生效之日起10个工作日内,向所在地省级网信部门备案。备案应当提交以下材料:
(一)标准合同;
(二)个人信息保护影响评估报告。
个人信息处理者对所备案材料的真实性负责。标准合同生效后个人信息处理者即可开展个人信息出境活动。
第八条 在标准合同有效期内出现下列情况之一的,个人信息处理者应当重新签订标准合同并备案:
(一)向境外提供个人信息的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点和境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;
(二)境外接收方所在国家或者地区的个人信息保护政策法规发生变化等可能影响个人信息权益的;
(三)可能影响个人信息权益的其他情况。
或许您还想看
上下滑动查阅
中小股东权益保护篇三——从事实和合法合章要件判定公司决议不成立
反不正当竞争法保护篇一——商业标识在反不正当竞争法语境下的混淆误认
侵犯商业秘密罪重大修改评述——降门槛加罪名列手段明标准提刑罚
侵犯商业秘密罪中司法鉴定的采信——非公知性、同一性和重大损失鉴定
元宇宙法律篇(二)——建立元宇宙经济系统的NFT法律问题探析
元宇宙法律篇(五)——提供元宇宙流动性之加密货币法律问题探析
元宇宙法律篇(七)——中国式元宇宙钱包之数字人民币法律问题探析
元宇宙法律篇(八)——构建元宇宙虚拟世界之虚拟现实法律问题探析
元宇宙法律篇(十二)——颠覆教育元宇宙入口之脑机法律问题探析
元宇宙法律篇(十四)——构建元宇宙细胞之个人信息法律问题探析
元宇宙法律篇(十五)——打造元宇宙合规之算法相关法律问题探析
作者简介
黄 斌
北京德和衡(深圳)律师事务所高级联席合伙人
黄斌律师,北京德和衡律师事务所数字经济与人工智能业务中心副总监,元宇宙科技与法律研究中心主任,深圳律协数字经济专委会副主任,北京德和衡(深圳)律师事务所高级联席合伙人,公司业务部副主任,北大法律信息网签约作者,《互联网法律评论》特约专家,无讼公开课讲师,无讼专栏作者,百度百家号VIP作者,华中科技大学法律硕士,专利代理人。
擅长专业领域为:数字经济、元宇宙、NFT、虚拟人、区块链、虚拟货币、公司法、建设工程、知识产权。
黄斌律师专注于中小股东保护,深度研究数万个判例进行解码,从董事推荐、公司决议、股东退出等多维度完成了公司中小股东保护法律服务产品;在大学从事近十年建设法规教学,从建工合同的签订、入场、施工、变更、退场等多维度保护建工企业及实际施工人的权益;曾从事三年专利代理工作,参与了武烟集团公司知识产权战略规划。2017年完成江西省工商联课题“民企知识产权保护”,现为中国最大法律人社区无讼阅读“商标有道”专栏作者,在北大法律信息网和无讼阅读平台上发表过《中国好声音:到底是谁的好声音》等100多篇知识产权法文章,《麦当劳中国更名为“金拱门”相关法律问题评析》荣获“无讼”阅读2017年度专业文章第一名,《短视频版权保护的江湖风云》收录在《大数据—北大法律信息网文粹(2018-2019)》一书。代理案件中江西网络电视台诉暴风科技信息网络传播权侵权案入选江西省高院2017年十大知识产权经典案例、田某某侵犯商业秘密罪案(判三缓五)入选2021年江西省检查机关保护知识产权典型案例。
手机:18128820372
邮箱:huangbin@deheheng.com
质控人简介
辛小天
合伙人
数字经济与人工智能业务中心总监
xinxiaotian@deheheng.com