《个人信息和重要数据出境安全评估办法》实现了安全与发展的平衡
今日,中央网信办终于发布了万众翘首的《个人信息和重要数据出境安全评估办法》(以下简称“《出境安全评估办法》”),虽然只是征求意见稿,但该办法构建出的制度框架应该不太会有大的变化。
而在不久前,本公号发布了关于构建“数据跨境流动安全评估制度框架”的系列文章【(一)、(二)、(三)、(四)】。总的看来,《出境安全评估办法》契合了该系列文章提出的制度构建思路。因此,本文将从系列文章提出的主要观点出发,剖析解读《出境安全评估办法》的主要内容。
有一点非常值得在文章的开头就指出:《出境安全评估办法》在第一条就指出,“根据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》等法律法规,制定本办法”。因此,《出境安全评估办法》的上位法律依据不仅是《网络安全法》,更有《国家安全法》。具体来说,就是《国家安全法》的第25条:“国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。”
《国家安全法》和《网络安全法》同时作为《出境安全评估办法》的上位法,除了使得《出境安全评估办法》的管辖范围不仅仅是《网络安全法》第37条规定的关键信息基础设施之外,还有着其他深刻的影响,也将在本文中一并论述。
总结起来,本公号关于“数据跨境流动安全评估制度框架”的系列文章的核心观点是,为了实现在发展和安全之间的平衡,评估数据跨境流动的安全应当基于以下的思路。浓缩起来,就是下图。现在一步步展开论述。
一、数据本地化存储要实现的目标【上图左边的三角形】
“评《网络安全法》对数据安全保护之得与失”和“数据跨境流动安全评估制度框架”的系列文章之三提出:纵观《国家安全法》和《网络安全法》,主要保护的对象是整体层面(包括国家和社会)的安全利益和个人层面的安全利益。两部法律共同价值取向是:
一、个人是弱者,需要法律保护。
二、公共利益和国家安全,是公共产品(public goods),自然人、企业都不会主动提供,因此只能靠组织公权力集体产出这样的公共产品,而法律就是组织公权力的一种清晰、稳定的形式,所以需要法律来保护公共利益和国家安全。
三、纯粹单个企业或组织的安全利益,无需国家直接运用公权力出面保护,现有的刑法、民商法等已经提供了足够的法律手段。
因此,两部法律数据安全保护的对象在于个人和国家;同样数据本地化存储的目标,也在于保护个人和国家。《出境安全评估办法》第2条提出的:“网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储”,将要求境内存储的数据范围确定为个人信息和重要数据,契合了上述思路。
根据《出境安全评估办法》:“重要数据,是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。”很明显,数据之所以重要,是站在国家的角度来说的,绝非是指单单对企业而对国家不重要的数据,但包含在企业手中但对国家非常重要的数据。对此的详细论述,请见“从立法价值取向出发理解《网络安全法》中的‘重要数据’”,《出境安全评估办法》对重要数据的定义也契合了该文章提出的思路。
二、数据本地化存储需求度【上图中间的三角形】
从保护个人和国家的价值取向出发,数据本地化存储要实现的目标主要有以下三个方面【对此三个方面的详细论述,请见“评《网络安全法》对数据安全保护之得与失”和“数据跨境流动安全评估制度框架”的系列文章之三】:
数据安全=保密性+完整性+可用性;
个人数据保护=数据安全+个人信息自决权利+数据控制者等相关方满足个人信息自决权利的义务;
国家层面的数据保护=数据安全+防止敏感数据遭恶意使用对国家安全的威胁。
“数据跨境流动安全评估制度框架”的系列文章之三分析得出,对保障数据安全来说,数据本地化贡献度较小;对个人数据保护,数据本地化存储主要在于使数据能契合本国就个人信息自决方面做出的权利、义务配置选择,具有一定的数据本地存储需要;对国家层面的数据保护,数据本地化存储的功效主要在于杜绝境外国家利用法律、行政等手段,合法、秘密地获取传输至其境内的数据,因此具有较高的数据本地存储需求。
再来看《出境安全评估办法》的有关规定:
第四条 个人信息出境,应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区,并经其同意。未成年人个人信息出境须经其监护人同意。
第八条 数据出境安全评估应重点评估以下内容:
(一)数据出境的必要性;
(二)涉及个人信息情况,包括个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等;
(三)涉及重要数据情况,包括重要数据的数量、范围、类型及其敏感程度等;
(四)数据接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等;
(五)数据出境及再转移后被泄露、毁损、篡改、滥用等风险;
(六)数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险;
(七)其他需要评估的重要事项。
第十一条 存在以下情况之一的,数据不得出境:
(一)个人信息出境未经个人信息主体同意,或可能侵害个人利益;
(二)数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益;
(三)其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。
用上文提出的公式来理解《出境安全评估办法》的第4、8、11条,可得出如下结论:
个人数据保护= | 数据安全+ | 个人信息自决权利+ | 数据控制者等相关方满足个人信息自决权利的义务 |
《出境安全评估办法》 | 第8条(四)、(五) | 第4条、第8条(一)和(二)、第11条(一) | 第8条(四)、(五)、(六) |
个人信息出境的门槛稍微低些,需要个人的明示同意。也就是说,个人如果明确指导其个人信息出境后可能的后果(例如其他国家可能无法保证其行使信息自决方面的权利),仍然同意,那是可以传输至其他国家的。当然,《出境安全评估办法》第11条第一款仍然提供了最低的安全网,即就算个人同意,但是传输至其他国家可能侵害个人利益的,也不行。
国家层面的数据保护= | 数据安全+ | 防止敏感数据遭恶意使用对国家安全的威胁 |
《出境安全评估办法》 | 第8条(四)、(五) | 第8条(六)、第11条(二)和(三) |
重要数据不得出境的红线是不得对国家政治、经济、科技、国防等方面的安全和社会公共利益造成威胁。因此,具有较高的数据本地化的需求。【见“数据跨境流动安全评估制度框架”的系列文章之三所例举的例子】
三、数据本地化存储的严苛度【上图右边的三角形】
看《出境安全评估办法》的有关规定:
第七条 网络运营者应在数据出境前,自行组织对数据出境进行安全评估,并对评估结果负责。
第九条 出境数据存在以下情况之一的,网络运营者应报请行业主管或监管部门组织安全评估:
(一)含有或累计含有50万人以上的个人信息;
(二)数据量超过1000GB;
(三)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;
(四)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;
(五)关键信息基础设施运营者向境外提供个人信息和重要数据;
(六)其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。
行业主管或监管部门不明确的,由国家网信部门组织评估。
数据跨境流动安全评估制度框架”的系列文章之三分析提出,为满足数据安全、个人数据保护而要求数据本地化时,国家主权通过事先设定数据跨境传输的原则或基本条件,以及对涉及的各个私主体通过规则事先设定权利义务即可,并无必要实际参与到各个场景中;在具体场景中,私主体事先知晓各自的权利义务、跨境传输的条件,只要达成的数据传输安排“过了门槛”,即可开展传输。《出境安全评估办法》第7条契合了此种思路。
当数据本地化是为了满足国家安全需求时,国家主权具有广泛的自由裁量权,应一事一议,按照个案实际情况做出裁量,同时可对各个私主体附加任何特定的要求,包括彻底的本地化存储,不允许来自境外的访问请求。《出境安全评估办法》第9条契合了此种思路。
四、整张图串起来看
将《出境安全评估办法》对照上图,展现了很好的契合。
首先是评估流程。最开始,由有跨境数据传输需求的组织机构根据《出境安全评估办法》第8条自评估并提出配套保障措施(对应上图的“步骤1”)。并将评估结果和配套保障措施提交给行业主管部门(对应上图的“步骤2”),亦即《出境安全评估办法》第6条:“行业主管或监管部门负责本行业数据出境安全评估工作,定期组织开展本行业数据出境安全检查”。
在涉及重大国家安全利益的情况下,亦即《出境安全评估办法》第9条,除组织开展自评估外,行业主管或监管部门还要自己组织安全评估,并做出自己的判断(对应上图的“步骤3”),最后要求组织机构按照主管部门的要求形成数据跨境传输的具体安排(对应上图的“步骤4”)。
其次是对评估的实质内容。如果评估显示数据仅仅涉及数据安全,此时公权力采取“轻监管”模式,设定各私主体的权利义务,并事先列出跨境原则和“门槛”,在满足上述条件后,就可放行。如评估显示数据涉及个人数据保护,公权力同样通过事先各私主体的权利义务和跨境的原则的方式,达到监管目的,只不过为保障个人信息自决权利,门槛相对数据安全要更高。见《出境安全评估办法》的第4、8、11(一)条款。
如果评估显示数据涉及国家安全,则公权力开展“强监管”,一事一议,直接介入具体场景,参与设计特定的数据跨境保障措施,或者在风险无法管控的情况下要求数据必须存储于本地。见《出境安全评估办法》的第8、9、11(二)和(三)条款。
当时撰写构建“数据跨境流动安全评估制度框架”的系列文章的初衷,在于希望能将比例原则的精神贯穿于数据跨境的监管过程之中,在安全和发展之间取得平衡。目前的《出境安全评估办法》制度设计,契合了上述思路,因此我举双手赞成。