《数据出境安全评估办法》出台 构建数据跨境安全管理新制度
促进数据跨境安全、自由流动,切实以安全保发展、以发展促安全。
大数据时代,数据安全越来越重要。数据安全已经不只关乎个人隐私和企业的商业利益,更直接关系到国家利益和安全。
2022年7月7日,国家互联网信息办公室7日公布《数据出境安全评估办法》(以下简称《办法》),自2022年9月1日起施行。《办法》规定了数据出境安全评估的范围、条件和程序,为数据出境安全评估工作提供了具体指引。
近年来,随着数字经济的蓬勃发展,数据跨境活动日益频繁,数据处理者的数据出境需求快速增长。
明确数据出境安全评估的具体规定,是促进数字经济健康发展、防范化解数据跨境安全风险的需要,是维护国家安全和社会公共利益的需要,是保护个人信息权益的需要。
保障数据有序自由流动
制定出台《办法》旨在落实《网络安全法》、《数据安全法》、《个人信息保护法》的规定,规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,切实以安全保发展、以发展促安全。
其中,数据出境活动主要包括:一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。
数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,并明确了4种应当申报数据出境安全评估的情形,包括:一是数据处理者向境外提供重要数据。
二是关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息。
三是自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。
四是国家网信部门规定的其他需要申报数据出境安全评估的情形。
近一年来,从某网约车平台赴境外上市,到特斯拉的数据跨境安全问题,数据跨境流动一直是全社会关注的焦点之一。
为此,具有跨境业务的企业也应该在合法合规的前提下保障数据有序自由流动。
首先是保障合规,企业应对自身进行合法合规评估和持续监测。
其次是可查可检,企业在正常业务开展的同时,也需要清晰掌握业务数据、重要数据、个人信息等敏感数据跨境流动详情。
第三是看清流向,企业需要全面了解WHO(什么人)、WHEN(什么时间)、WHERE(什么地点)、HOW(什么方式)、WHAT(什么数据)等整个数据跨境流转的整个过程,实现全局掌控。
跨境数据流动的法律保护
在经济贸易全球化的背景下,跨境数据流动不断加速,在发挥着降低企业成本、盘活线上跨境交易、支撑企业国际运营、促进国际执法合作等积极作用的同时,也对各国的国家安全、产业发展和个人的隐私保护等造成了威胁。
例如,近年来科技巨头滥用数据、境外暗网售卖个人数据等恶性事件层出不穷,2013年的“棱镜门事件”更是引发了世界关注,让世界各国深刻地认识到跨境数据流动会给国家安全与个人隐私带来巨大风险,进而推动了全球跨境数据流动研究和立法潮流。
我国在国家安全主视角下,数据跨境流动规则体系日渐完善,监管力度逐步加强,目前我国主要从个人信息、重要数据、国家秘密、行业数据以及出口管制、境外调取进行多维度的跨境活动监管。
回溯我国数据跨境流动的法律体系构建过程,从最早2016年11月,全国人大通过《网络完全法》。法律的第37条提出了个人信息和重要数据出境安全评估制度,并授权国家网信部门制定出境评估办法。
此条规范的是关键信息基础设施运营者的数据出境,而事实上,有相当多可能危害国家安全的数据出境,发生在商业领域中的中小机构,他们不是关键信息基础设施运营者。
紧接着,2017年4月11日,国家网信部门发布《个人信息和重要数据出境安全评估办法(征求意见稿)》,但尚未对重要数据进行定义。之后,个人信息和重要数据的出境被分别监管。
2019年6月13日,网信部门发布了《个人信息出境安全评估办法(征求意见稿)》。
2021年迎来的重要规范。全国人大先后通过了《数据安全法》和《个人信息保护法》,正式将数据出境安全评估制度的实施范围作了扩展,不再局限于关键信息基础设施运营者,数据出境安全评估制度的上位法依据得以完善。
具体而言,我国对于数据跨境一直以来主要从两个维度进行规制:
一是本地化限制,按照目前中国相关法律法规,本地化要求更多适用于关键信息基础设施运营者(“CIIO”),要求其在境内运营过程中收集和产生的个人信息和重要数据都应当在境内进行存储。
同时部分行业敏感数据也存在分散的本地化要求,包括但不限于征信业、银行业、汽车制造业等接触敏感数据、重要数据较为频繁的领域。
二是限制性数据跨境,我国目前对于数据跨境活动主要采取限制性规范,要求数据控制主体在数据跨境活动前需符合法律规定条件或按照规定完成安全评估、保护认证等条件。
通观我国和全球主要国家和地区数据跨境流动治理模式与规制规则,跨境数据流动治理已经成为经济发展和时代发展的必然要求,全球数据跨境治理正处于高速发展阶段,数据跨境流动背后不仅为数据安全风险,更是逐步涉及国家竞争问题。
数据出境必须“风险消磁”
近年来,我国已有不少掌握海量个人信息的互联网企业开展海外业务,甚至在境外上市,这个过程中,就可能涉及大量数据的出境。
《办法》明确了数据安全评估的具体情形,实际上也就为这些企业在走出去过程中,如何保障数据的合规性,给出了标准和遵循。它不仅有助于保护个人信息权益,维护国家安全和社会公共利益,也有利于降低企业的出海风险。
在过去,企业出海,可能更多强调的是要符合目的国的法律,但在数据成为国家重要的基础性战略资源的今天,数据出境前先依照我国法律做好安全评估和“风险消磁”,越来越具有必要性。
相关企业、机构在处理数据出境时,必须要绷紧安全红线意识,及时按照要求开展或接受相应的数据安全评估,杜绝数据违规出境或带安全风险出境。
数据处理者在向境外提供数据前,应事先开展数据出境风险自评估,像出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险等六种事项,都应重点评估。
这表明,出境数据安全评估,不只是一项必须遵循的程序要求,也是企业理应具备的能力。
可以说,今天任何一家企业开展涉及数据出境的海外业务、海外上市时,都应把数据安全挺在前面。这甚至可能成为比具体的业务能力、盈利状况,更关系企业能否走出去的关键性因素。
数据自由流动是大势所趋,但前提是安全。数据出境安全评估办法为数据处理者向境外提供数据,划清了安全边界,明确了评估程序。
它是技术层面的指导,更是意识上的提醒——企业、机构、个人,开展涉及数据出境的业务和活动,都要守住安全底线,才能走得更远。
责编:孙浪
监制:李红梅
参考资料:
1.《国家互联网信息办公室公布<数据出境安全评估办法>》网信中国
2.《国家网信办:向境外提供重要数据应申报数据出境安全评估》新华社
3.《<数据出境安全评估办法>出台 构建数据跨境安全管理新制度》21世纪经济报道
4.《定了!这些数据出境须经过安全评估》证券时报
5.《马上评|数据出境,必须“风险消磁”》澎湃新闻
6.《<数据出境安全评估办法>答记者问》网信中国
7.《工信部拟规定:境内收集和产生的核心数据不得出境》人民网