查看原文
其他

【从零读懂】数据出境合规100问 | Part 3下篇:《数据出境安全评估办法》高频问题与适用解读

王捷 资深出海法律顾问 出海互联网法律观察
2024-08-25

必读收藏

数据出境合规100问

《数据出境安全评估办法》与

《个人信息出境标准合同规定(征求意见稿)》

剖析与解读

导   言


    随着《个人信息出境标准合同规定(征求意见稿)》(以下简称《规定》)、《数据出境安全评估办法》(以下简称《办法》)的相继公布,由《个人信息保护法》第三十八条确定的数据出境选用路径的实践脉络已经越发清晰,可以判断,数据出境合规是企业数据出海必须面对的课题。我们一直专注于网络法实务,特别是数据合规实务工作,在日常为各大企业提供合规服务的过程中,亦遇到各类新型的值得探讨的问题。为了方便实务,让数据出境需求者能够尽快的熟悉,理解我国关于数据出境的各项法律要求与规定,我们计划以《规定》及《办法》作为基础,对我国数据出境有关的法律问题进行一个全方位的解读,一方面对数据出境相关的法律法规进行分析,另一方面也就日常工作中遇到的高频出境问题进行总结。我们热切地期待与各位同行朋友深入探讨各种新型问题,有任何数据合规实务需求与问题探讨,请随时联系王捷律师团队,联系方式见文末。

本系列文章将分为以下四部分

第一部分:初阶--数据出境关键概念剖析

第二部分:进阶--《个人信息出境标准合同规定》高频问题与适用解读(上)

进阶--《个人信息出境标准合同规定》高频问题与适用解读(下)

第三部分:进阶--《数据出境安全评估办法》高频问题与适用解读(上)

进阶--《数据出境安全评估办法》高频问题与适用解读(中)

第四部分:高阶--数据出海实践关键问题与海外SCC要点对比

在认识清楚数据出境相关的基本概念后,后续的内容将开始对数据出境的两部重要法规进行分析,本篇是第三部分进阶篇,主要就《数据出境安全评估办法)》的高频问题与适用进行解读。


文 /  王捷律师团队



第三部分下篇:

《数据出境安全评估办法》高频问题与适用解读

本部分下篇将回答以下问题:

Q73.安全评估结果的有效期持续多久?

Q74.有效期届满时企业何时需要进行重新评估?

Q75.企业在重新申报评估的过程中原评估结果有效期届满,数据出境活动效力为何?

Q76.符合安全评估要求的企业需要现在就着手准备安全评估吗?

Q77.若企业不进行安全评估需要承担何种法律责任?

Q78.现阶段不符合《办法》规定的,《办法》实施后还需要追究责任吗?

Q79.如果申报材料不符合规定或者对安全评估结果有异议的,企业如何进行补救?

Q80.通过安全评估后是否还有其他持续性的审查?

Q81.已经进行了网络安全审核评估的企业,还要做数据出境安全评估吗?

Q82.企业如何合规地进行数据出境活动?


《办法》的发布促进了我国维护数据安全及保护数据利益的制度设计到实践操作的良性衔接,本次《办法》共包括二十条,对安全评估的目的,适用范围,评估程序,评估内容,评估效果等各进行了全面规定。


《办法》实施后,符合要求的企业最好在规定的期限内尽快配合完成评估,尽早熟悉、准备安全评估的相关事项及流程,以避免因违反《办法》规定而导致企业的数据出境活动受到影响。本专题的第三部分,将汇总《办法》的高频问题以及适用难点,结合团队多年的数据出境业务经验,为大家带来详细解读。

Q73.安全评估结果的有效期持续多久?

安全评估活动并非是一劳永逸,《办法》规定评估结果的有效期为出具结果之日起二年,如果企业在评估结果有效期届满后仍计划继续开展数据出境活动的,应当在有效期届满前60个工作日前重新申报评估,即大约三个自然月


从《办法》的时效要求来看,如果达到《办法》规定要求的企业,持续有数据出境相关业务的话,安全评估可能将会是企业未来频繁接触的流程

Q74. 有效期届满时企业何时需要进行重新评估?

需要注意的是,若想确保企业数据出境活动不受评估结果失效而终止,企业需要留够充分的申报时间,虽然流程中有规定申报材料流程的相关部门大概的处理时长,但目前《办法》要求最终出具评估结果的最长时间尚不明确,建议企业需要重新进行安全评估的,应当尽早着手准备。

Q75.企业在重新申报评估的过程中原评估结果有效期届满,数据出境活动效力为何?

既然目前并不确定评估结果出具的最长时间需要多久,那么尽管企业在60个工作日前完成重新申报,也有可能会出现原评估结果有效期届满,但是新评估结果也尚未出具的情形,严格按照《个人信息保护法》以及《办法》的规定来判断,有效的安全评估结果是符合要求的企业开展数据出境活动的前置条件,有效期届满后,企业继续进行数据出境活动的,可能会被因违反《办法》要求而被终止活动

Q76.符合安全评估要求的企业需要现在就着手准备安全评估吗?

自《办法》发布后,近日许多企业都前来咨询该问题,未来一段时间内,很有可能是数据安全评估申报的高峰期。


首先,《办法》要求符合安全评估要求的企业坚持事前评估、风险自评估,并在申报安全评估时提交申报书、数据处理者与境外接收方拟订立的法律文件以及其他材料,这意味企业需要在申报前完成大量的准备工作;


其次,《办法》第二十条规定,《办法》自2022年9月1日起施行。《办法》施行前已经开展的数据出境活动,不符合《办法》规定的,应当自《办法》施行之日起6个月内完成整改,即已有数据出境业务的企业应在实施之日起6个月内整改,即最迟于2023年3月1日完成整改


最后,《办法》规定,国家网信部门应当自向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估,情况复杂或者需要补充、更正材料的,可以适当延长并告知数据处理者预计延长的时间,这意味目前监管部分对于数据出境安全评估审核的期限可能基于情况复杂、材料不足等原因延迟


综上所述,我们建议符合安全评估要求的企业尽快开始着手准备安全评估,避免因提交材料、审核期限等问题导致无法在《办法》实施之日起6个月内整改。

Q77.若企业不进行安全评估需要承担何种法律责任?

《办法》明确了符合安全评估要求的企业违反《办法》要求的法律后果,包括依据《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规处理,若情节严重,构成犯罪的,还有被追究刑事责任的风险。我们为企业梳理以上法律中的相关规定如下,供企业参考:

01

《网络安全法》第六十六条中对违法在境外存储网络数据,或者向境外提供网络数据的行为处罚规定

02

《数据安全法》第四十六条中针对向境外提供重要数据行为的处罚规定

03

《个人信息保护法》第六十六、六十七条中对违反规定处理个人信息,或者处理个人信息未履行《个保法》规定的个人信息保护义务的行为处罚规定

Q78.现阶段不符合《办法》规定的,《办法》实施后还需要追究责任吗?

企业数据出境现阶段不符合《办法》规定的,由于现阶段《办法》尚未实施,目前还不会受到处罚,但是《办法》也给企业预留了整改期,这说明,《办法》是考虑到了企业此时可能不合规的情况,并预留给企业调整时间的,因此,如企业在《办法》实施前已有部分数据出境情形,建议企业在《办法》施行之日起6个月内完成整改,否则可能面临违规风险

Q79.如果申报材料不符合规定或者对安全评估结果有异议的,企业如何进行补救?

与之前2021年征求意见稿的版本相比,《办法》完善了安全评估的救济流程,企业先把材料交给省级网信部门进行材料的完备性审查,当材料不齐全时,会退回数据处理者并告知补充材料,企业可在此时补充材料,并在此向省级网信部门重新提交申报材料;同时,若最终企业无法通过安全评估,数据处理者对国家网信部门的评估结果有异议的,还可以在收到评估结果15个工作日内向国家网信部门申请复评,需注意此复评结果最终结果

Q80.通过安全评估后是否还有其他持续性的审查?

会的,我国数据出境安全坚持事件评估和持续监督相结合,也就是说国家网信部门可以主动对正在进行的各项企业数据出境活动进行监督,一旦发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当书面通知数据处理者终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估

Q81.已经进行了网络安全审核评估的企业,还要做数据出境安全评估吗?

从现有法律的规定与监管的角度来看,完成网络安全审核评估的企业,建议仍然需要根据企业实际情况以及现有规定进行数据出境安全评估。网络安全审查评估与数据出境安全评估在许多内容上都有明显差别,二者共同作为我国数据安全的法治框架的一部分,数据安全既包括数据出境场景,同时也包括境内活动场景

Q82.企业如何合规地进行数据出境活动?

企业马上需要做的内容是判断自身是否符合《办法》规定的需进行申报的要求,具体的事务事项可能受限篇幅无法完全展开,此处可以提供大致的思路,企业可以先对自己日常经营过程中处理的数据类型、规模、范围、业务流程进行一个确认归类,并梳理出企业内部的数据处理流程,以确保企业对其合规的判断足够精确。


其次,若符合《办法》要求的,由于《办法》规定了有限的整改期,且可能近段时间为申报的高峰期,可以尽早按照《办法》的要求完成申报材料的准备。


最后,企业除了考虑《办法》的要求外,本次解读第二部分《规定》的内容也需要关注,尤其《标准合同》中约定的各项权利义务及责任要求,可以成为企业日常数据出境活动中完成法律文件时的参考内容。当然,企业若想要安全合规的完成数据出境,只考虑出境规则是不够的,企业内部数据处理各项环节都可能会有违规的风险,精准的找到出血点,并对症下药,也是保证合规的关键。具体开展企业数据合规的相关事宜时,也非常欢迎企业与王捷律师团队进一步联系。


【附件】

数据出境评估2021年征求意见稿与2022年正式稿对比

向上滑动阅览



本系列文章作者:

王捷 肖锦豪 夏律 黄思妍 刘玫君


【声明】

本文内容系作者对法律及实务的理解,仅代表作者个人观点,不构成法律意见,作者以及本公众号均不对内容的分析正确性以及内容获得者由此采取的任何行为承担法律责任。

本文内容系作者原创,引用、转载均请联系作者并注明出处,禁止抄袭,谢谢!

欢迎联系主编投稿。

主编介绍

王捷 

执业律师,垦丁W&W国际法律团队创始人,联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学研究会理事,荷兰RuG国际经济法与商法硕士,专注于网络法领域的研究和实务,特别是互联网产品合规、出海合规以及全球数据保护与个人信息保护合规,已为多家知名互联网公司及大中型外资企业提供专业法律服务,覆盖智能终端制造、IOT、人工智能、云计算与服务、社交网络平台、移动互联网、电子商务及平台、短视频视听直播、网络游戏、以及个人信息保护、数据安全等行业领域。

王捷律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作,拥有10年的科技型公司实务经验与中外律所从业背景,深耕海内外多条业务线。专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。她能更准确理解客户核心需求,快速响应并提供基础到战略的有效支持,并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。

王捷律师关于《中国与海外多国/地区数据保护及企业合规要点对比》的论文,在全球最高分的六篇论文中,荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖,该文章同时被评为年度隐私政策制定者 “必读” 文章。与此同时,她还是出海互联网法律观察公众号主理人,输出了多篇专业互联网与数据合规文章,部分刊登于国际知名专业数据库。

联系方式:

全球数据合规实务群

为您提供独家出海资讯、最新信息动态

与同行们一起交流时事热点、分享经典案例

尽享互联网出海法律干货

快添加主理人微信(jie-72)加入我们吧!

(入群请详细备注姓名、单位、研究领域)

【入群条件:请提出一个关于数据出境的实务问题】


近期更新:

【从零读懂】数据出境合规100问 | Part 3中篇:《数据出境安全评估办法》高频问题与适用解读

【从零读懂】数据出境合规100问 | Part 3上篇:《数据出境安全评估办法》高频问题与适用解读

【从零读懂】数据出境合规100问 | Part 2下篇:《个人信息出境标准合同规定(征求意见稿)》高频问题与适用解读

【从零读懂】数据出境合规100问 | Part 2上篇:《个人信息出境标准合同规定(征求意见稿)》高频问题与适用解读

【从零读懂】数据出境合规100问 | Part 1:数据出境关键概念剖析

夏至重磅 | 《个人信息保护与数据合规法律汇编V2.0》更新至2022年6月(附下载)

重磅发布 | 元宇宙与NFT合规问答手册

重磅发布 | 元宇宙产业及元规则体系合规蓝皮书

重磅发布 | NFT业务模式与关键法律问题研究

活动回顾 | 垦丁广州开放日暨元宇宙合规分享会

数据抓取 | hiQ与领英案重审判决,抓取公开数据并不违法

元宇宙时代下的隐私风险——AR虚拟试穿遭到数据隐私诉讼

新大西洋数据隐私框架协议及声明将对欧美数据跨境传输带来什么新变化?

欧盟重磅法案 | 为什么《数据治理法》对数据共享很重要?

全球数据合规资讯周报 | 欧盟议会发布实施《数字市场法案》

英国计划要求科技公司提供身份验证工具以应对匿名恶意用户

EDPB公布了作为数据传输工具的行为准则的指南定稿

欧盟重磅法律草案下载 | 为什么欧盟需要《数据法》?

Meta年报指出Facebook和Instagram因受到欧盟的数据传输规则影响,或妨碍其在欧洲继续提供服务

快讯 | 欧盟议会通过数字服务法案DSA-旨在明确平台服务提供商责任

垦丁律所发布《中国个人信息保护法与海外多国/地区数据合规保护 企业合规要点比较报告》

冬至重磅 |《个人信息保护与数据合规法律汇编》发布(附下载)

重磅蓝皮书 | 《中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告》发布

致敬个人信息保护法正式生效| 全方位解读个人信息保护十大合规要点及十国/地区大比对

越南发布新跨境广告法令下的跨境广告服务商的合规要求

大数据杀熟-互联网法律人的周末私享会

佛罗里达州众议院通过了《佛罗里达隐私保护法》

重磅原创 | 个人信息保护法(草案)与多国数据保护法要点对比

个人信息保护:

十国/地区数据保护法十大合规要点对比 | #10 数据保护监管机构与违反数据保护法的处罚规定

十国/地区数据保护法十大合规要点对比 | #9个人信息处理者的主要义务

十国/地区数据保护法十大合规要点对比 | #8 数据保护官(DPO/个人信息保护负责人)任命要求

十国/地区数据保护法十大合规要点对比 | #7 发生安全事件时数据泄露通知的要求

十国/地区数据保护法十大合规要点对比 | #6 数据影响评估(DPIA/PIA)要求

十国/地区数据保护法十大合规要点对比 | #5 数据主体在个人信息处理活动中的权利

十国/地区数据保护法十大合规要点对比 | #4 数据跨境传输规则与要求

十国/地区数据保护法十大合规要点对比 | #3 数据本地化存储要求

十国/地区数据保护法十大合规要点对比 | #2 个人信息处理规则与特别注意事项

十国/地区数据保护法十大合规要点对比 | #1 法律适用范围与域外适用效力

精品解读:

美国封杀Tiktok事件法律依据、起诉可行性简要分析及出海应对方程式

印度封杀中国APP,谈谈出海印度企业的风险应对策略

针对印度政府禁止59款中国APP最完全版解读

【如何做一块安全的饼干】之cookies的用户告知与法律基础

民法典专题系列 | 对比:《民法典》隐私权&个人信息与GDPR视角下的隐私权&个人数据权利

从印度“删除中国APPs”被Google Play下架谈谈平台合规

游戏出海:

实务|Adjust手游出海指南-东南亚篇

干货|Google移动游戏东南亚出海策略

【游戏出海】国产手游厂商如何应对韩国游戏分级?

游戏出海如何进行合规?听听垦丁律所海外业务负责人王捷怎么说

游戏出海三人游—日本篇

游戏出海三人游-韩国篇(下)

游戏出海三人游-韩国篇(上)

网络法沙龙 | 垦丁网络法广州站第十一期:游戏作品IP化过程中的风控管理与游戏直播背景下著作权法律关系的再思考

跨境电商:

「大咖观点」卓志科技合规管理中心副总监黄颖|跨境电商零售进口实务分享

你真的读懂社交电商吗?——社交电商生态架构的合规设计(含海外社交电商专题)

【值得收藏】中国跨境电商的商业模式与生态链条剖析

「大咖观点」电子商务法立法专家姚志伟|跨境电子商务零售进口中的“中文标签”问题

重磅」《跨境电子商务零售进口法规案例汇编》发布

「大咖观点」 “全球购骑士特权”法总叶意 | 海外支付法律问题分析



继续滑动看下一个
出海互联网法律观察
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存