引 言
2021年10月29日,国家互联网信息办公室(“国家网信办”)在其官网上发布了《数据出境安全评估办法(征求意见稿)》(下称“《征求意见稿》”),向社会公开征求意见,意见反馈截止时间为2021年11月28日。作为《网络安全法》《数据安全法》和《个人信息保护法》的重要配套监管制度之一,《数据出境安全评估办法》将对数据出境安全评估的适用范围、评估事项、申报材料、评估流程、评估后果等重要事项进行规定,该办法的制定和出台备受各界瞩目。根据现行有关生效法律法规的规定以及该征求意见稿中的具体条文,现对《征求意见稿》体现且实务中咨询较多的八个问题简要解读如下,供广大企业、机构开展合规工作参考。
根据《征求意见稿》第二条的规定,数据出境是指“数据处理者向境外提供在中华人民共和国境内收集和产生的重要数据和依法应当进行安全评估的个人信息”。据此规定,所谓“出境”,强调的是将境内收集和产生的数据提供给境外,但现行有效的法律法规并未对“出境”一词或者说“向境外提供”的具体含义做进一步解释。结合全国信息安全标准化技术委员会正在制定中的国家标准《信息安全技术-数据出境安全评估指南》,一般认为,除了传统的物理和地理意义上的转移外,如下三种情况也属于“出境”:(一)向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据;(二)数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);(三)网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。根据《网络安全法》第三十七条,《数据安全法》第三十一条以及《个人信息保护法》第三十六条、第四十条的规定,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,需要向境外提供数据的,应当通过国家网信部门组织的安全评估。换句话说,对于法律规定的情形,安全评估是实现合法数据出境的必选项,不做就是违法。
如前所述,对于法律规定的情形,必须进行数据出境安全评估,那么法律规定情形具体包括哪些呢?作为《征求意见稿》的主要亮点之一,其第四条规定,应当进行数据出境安全评估的情形包括如下五种:(一)关键信息基础设施的运营者收集和产生的个人信息和重要数据;(三)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;(四)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;(五)国家网信部门规定的其他需要申报数据出境安全评估的情形。
根据《征求意见稿》第五条和第八条规定,数据出境安全评估分为自评估和国家网信办评估两个阶段。数据处理者在向境外提供数据前,应当先开展自评估,再向国家网信办申报评估。此外,根据《征求意见稿》第十条规定,国家网信办不是单独进行安全评估,而是会组织行业主管部门、国务院有关部门、省级网信部门、专门机构等共同进行安全评估。涉及重要数据出境的,国家网信办将征求相关行业主管部门的意见。
数据处理者自评估和国家网信办评估两个阶段重点评估的事项存在一定的重叠,但又有一定的区别。
(一)数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;(二)出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;(三)数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险;(四)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;(五)数据出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;(六)与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。
(一)数据出境的目的、范围、方式等的合法性、正当性、必要性;(二)境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规规定和强制性国家标准的要求;(三)出境数据的数量、范围、种类、敏感程度,出境中和出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险;(四)数据安全和个人信息权益是否能够得到充分有效保障;(五)数据处理者与境外接收方订立的合同中是否充分约定了数据安全保护责任义务;
就数据处理者与境外接收方订立的合同,《征求意见稿》第九条要求应当包含如下内容:(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施;(三)限制境外接收方将出境数据再转移给其他组织、个人的约束条款;(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区法律环境发生变化导致难以保障数据安全时,应当采取的安全措施;(五)违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款;(六)发生数据泄露等风险时,妥善开展应急处置,并保障个人维护个人信息权益的通畅渠道。我们理解,这里的必备合同条款,与《个人信息保护法》第三十八条第三款规定的标准条款不能完全等同,后者的主要条款很可能与此处的要求高度类似,但应该会有适当简化。
《征求意见稿》第六条规定,申报数据出境安全评估,应当提交的材料包括:申报书、数据出境风险自评估报告、数据处理者与境外接收方拟订立的合同或者其他具有法律效力的文件和安全评估工作需要的其他材料。
在处理期限上,《征求意见稿》第七条和第十一条规定,国家网信部门将在收到申报材料之日起7个工作日内确定是否受理,并在受理后45个工作日内完成安全评估,情况复杂或者需要补充资料的,可以适当延长,但一般不超过60个工作日。是否受理的结果以及是否通过的结果均将以书面形式通知数据处理者。
数据出境安全评估结果具有有效期,根据《征求意见稿》第十二条,有效期为二年。有效期满,或者在有效期内有下列情形之一的,应当重新申报评估:(一)向境外提供数据的目的、方式、范围、类型和境外接收方处理数据的用途、方式发生变化,或者延长个人信息和重要数据境外保存期限的;(二)境外接收方所在国家或者地区法律环境发生变化,数据处理者或者境外接收方实际控制权发生变化,数据处理者与境外接收方合同变更等可能影响出境数据安全的;(三)出现影响出境数据安全的其他情形。符合重新申报评估条件而未重新申报评估的,应当停止数据出境活动。
八、未通过数据出境安全评估擅自开展数据出境活动的后果
如前所述,对于符合法律规定的情形,数据出境安全评估是实现数据合法出境的必选项,未通过数据出境安全评估,相关数据就不能出境,否则就构成违法。根据《网络安全法》第六十六条,《数据安全法》第四十六条以及《个人信息保护法》第六十六条等规定,违规进行数据出境可能面临的行政处罚包括责令改正、警告、没收违法所得、罚款、责令暂停相关业务、关闭网站、停业整顿、吊销业务许可、吊销营业执照等。除此之外,根据《民法典》《刑法》及其他相关法律法规规定,违规进行数据出境还可能产生民事赔偿责任甚至刑事责任。
结 语
作为《网络安全法》《数据安全法》和《个人信息保护法》的重要配套监管制度之一,可以预见的是,《数据出境安全评估办法》一经正式实施,将在很大程度上规范相关主体开展的数据出境活动,并将对与我国有关的数据跨境流动产生深远影响。值得注意的是,从《征求意见稿》的条文上看,该办法未设置过渡期(当然,这不代表最终生效的版本不会设置过渡期),也就是说,该办法的最终颁布和生效时间离现在不会太遥远,留给相关企业机构进行整改的窗口期也不会太长。考虑到《征求意见稿》是在《网络安全法》《数据安全法》和《个人信息保护法》的基础上制定的,相关规则已经非常清晰,最终生效的版本预计不会有太大的变动,建议涉及数据出境活动的相关企业机构尽快参照《征求意见稿》的相关规定,对所涉及的数据出境行为进行梳理和合规性分析,并对有合规风险的数据出境活动制定有针对性的整改方案。
作者简介
陈福中 律师
注册个人信息保护专业人员(CISP-PIP)
业务领域:公司商务/并购重组、网络安全与数据合规、争议解决
潘兴琦 律师
业务领域:公司商务/并购重组、网络安全与数据合规、金融、争议解决
刘若愚 律师
业务领域:公司商务/并购重组、网络安全与数据合规、房地产