数据出境新规征求意见:百万、十万、一万,哪些企业需申报?
个人信息、重要数据等关乎个人信息权益、国家安全和社会公共利益的数据出境将迎来监管。10月29日,国家互联网信息办公室(下称“网信办”)发布《数据出境安全评估办法(征求意见稿)》,并向社会公开征求意见。
南都记者梳理发现,这是网络安全法审议通过以来,网信办第三次对数据出境安全相关的评估办法征求意见。征求意见稿拟对达到申报要求的个人信息规模划出红线,如处理个人信息达到一百万人,或累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息。
文 / 蒋琳 尤一炜个人信息、重要数据等关乎个人信息权益、国家安全和社会公共利益的数据出境将迎来监管。10月29日,国家互联网信息办公室(下称“网信办”)发布《数据出境安全评估办法(征求意见稿)》,并向社会公开征求意见。南都记者梳理发现,这是网络安全法审议通过以来,网信办第三次对数据出境安全相关的评估办法征求意见。征求意见稿拟对达到申报要求的个人信息规模划出红线,如处理个人信息达到一百万人,或累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息。多位专家对南都记者表示,征求意见稿“解决了企业当下迫切关注的问题”,是网络安全法、数据安全法和个人信息保护法共同确立的数据出境安全评估制度的落地细则,而三次征求意见则反映了政策不断完善的过程。
网信办三次对数据出境安全相关评估办法征求意见
据了解,《数据出境安全评估办法》的制定目的是规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动。
“经济全球化条件下,数据跨境流动是常态,为全球经济活动、人类社会发展提供了基础支撑。因此,数据出境评估制度在世界各国的安全和发展战略中,都是一个重要事项,也是近年来国际贸易规则、协定以及多边双边磋商的重大议题”,中国信息安全研究院副院长左晓栋指出。
南都记者注意到,这是2016年网络安全法通过审议以来,网信办第三次对数据出境安全相关的评估办法征求意见。
早在2017年,网信办就会同相关部门起草发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》。2019年,网信办又发布《个人信息出境安全评估办法(征求意见稿)》。时隔两年,此次的《数据出境安全评估办法(征求意见稿)》出台。
值得注意的是,三份征求意见稿对应的数据类型并不相同——从最初的“个人信息和重要数据”,到单独的“个人信息”,再到语义相对笼统的“数据”。其中此次征求意见稿中的“数据”包括了“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息”。
左晓栋对南都记者表示,第一次是为了与网络安全法实施同步,但相关规定并不完善;第二次考虑了重要数据与个人信息的不同,拟对其分别制定出境安全评估办法,所以先起草了《个人信息出境安全评估办法(征求意见稿)》,但该办法并不能解决个人信息出境的所有问题,而重要数据的定义当时尚不明确。“这反映了政策不断完善的过程。”
“直到这一次,在数据安全法和个人信息保护法的补充下,数据出境安全评估制度已经在法律上比较完善,制定具体落地办法的条件终于成熟。”左晓栋说,“随着《数据出境安全评估办法》征求意见,《个人信息和重要数据出境安全评估办法(征求意见稿)》和《个人信息出境安全评估办法(征求意见稿)》自然废止。”
中国人民大学未来法治研究院副院长丁晓东补充指出,网络安全法、数据安全法和个人信息保护法构建了完整的与数据安全相关的法律体系。从健全法律、促进法律落地的背景来说,征求意见稿将关键信息基础设施运营者收集产生的数据、重要数据和个人信息等囊括其中,是一个整体性思考。
另一个明显的变化是,前两份评估办法的规制主体都是“网络运营者”,与网络安全法中的表述一致;而此次征求意见稿的规制主体则是数据“处理者”,与数据安全法和个人信息保护法表述一致。
资深数据法律师袁立志指出,网络运营者是网络安全法中的概念,而数据出境评估办法归管的主体应该遵从数据安全法和个人信息保护法中的相关规定,即数据处理者。“虽然两者在大部分情况下是同一个主体,但也有一些情况下是不同的,使用数据处理者的表述会更加准确。”
“相较‘网络运营者’,‘数据处理者’代表的范围更大,比如没有实现网络化、数字化的企业也包含在‘数据处理者’的范围中。”丁晓东说。
“一百万”“十万”适用于不同数据处理场景
第四条 数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
(一)关键信息基础设施的运营者收集和产生的个人信息和重要数据;
(二)出境数据中包含重要数据;
(三)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;
(四)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;
(五)国家网信部门规定的其他需要申报数据出境安全评估的情形。
左晓栋指出,网络安全法第三十七条首次规定了数据出境安全评估制度,但范围只限定在关键信息基础设施运营者在中国境内运营中收集和产生的个人信息和重要数据。“事实上,很多数据出境行为未必同关键信息基础设施相关”,他说,后来数据安全法从重要数据出境方面、个人信息保护法从个人信息出境方面进行了弥补。
根据个人信息保护法,处理个人信息达到国家网信部门规定数量的个人信息处理者,确需向境外提供的,应当通过国家网信部门组织的安全评估。多位专家均表示,征求意见稿中规定的100万是对上述规定数量的明确。
谈及关于达到申报要求的个人信息规模的规定,丁晓东表示,100万不是一个绝对标准,并不代表拥有99.99万用户量的企业向境外传输数据时,就不需要进行安全评估。他认为“这个红线是为了区分小型商家和大型平台”。
左晓栋则提出,规定中的“一百万”和“十万”的条件值适用于不同的情况,这反映了在信息技术广泛应用的情况下,网络运营者、数据处理者的复杂性、多样性为立法工作带来的挑战。
“传统互联网企业动辄处理几十万、上百万的个人信息。如果把这个阈值定得过低,会导致大量互联网企业在数据出境时只能选择网信部门安全评估方式,无论对企业还是政府部门工作而言都带来太高成本。但同时也要看到……有的时候几万、几十万个人信息已经达到了一个企业处理个人信息的天花板,但这几十万的量却影响十分巨大。”他举例说,一个车企一年卖十万辆智能汽车是不错的成绩了,如果把阈值定在一百万,一些可能存在严重国家安全、数据安全隐患的智能汽车企业将被排除在外,“这显然也是不合适的。”
在袁立志看来,相对于中国市场的体量,100万是“比较低的标准”,很容易触发。将红线划在100万,可能是主管部门认为当前国际数据安全形势比较严峻,出于对国家数据安全、争夺国际数据控制权等的考量。另一方面,该红线会倒逼企业在本地存储数据,减少数据出境的需求。
南都记者注意到,一百万的“红线”在今年7月公布的《网络安全审查办法(修订草案征求意见稿)》中也被提及。上述文件拟规定,掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
对此,左晓栋认为,“处理个人信息达到一百万人的个人信息处理者向境外提供个人信息”涵盖了“掌握超过100万用户个人信息的运营者赴国外上市”的情况。换言之,后者是一种典型的数据出境行为,既然达到了“100万”,就自然进入国家网信部门的安全评估程序。
除了第四条,征求意见稿的第五条和第九条也十分重要——它们分别针对数据处理者事先开展数据出境风险重点评估的事项和数据处理者与境外接收方订立的合同应包含的内容做出规定。
“《办法》的第五条和第九条具有通用性。”左晓栋认为,无论任何一种数据出境,至少要遵循两类要求:一是出境前的自评估,二是数据发送方与数据接收方的安全保护义务。
数据出境评估结果有效期为两年
11月1日,个人信息保护法将正式实施,而数据安全法也已于9月1日生效。“随着两部法律的正式实施,许多企业有数据出境评估的迫切需求,如果不做,担心被事后追责,而没有这个评估办法的话,企业又不知道怎么做。”袁立志认为,征求意见稿“解决了企业当下迫切关注的问题”。
征求意见稿拟规定,数据出境评估结果有效期为两年,如有效期届满需继续开展数据出境活动,数据处理者应当在有效期届满六十个工作日前重新申报评估。
南都记者注意到,上述条款基本延续了2019年《个人信息出境安全评估办法(征求意见稿)》拟规定的“每2年或者个人信息出境目的、类型和境外保存时间发生变化时应当重新评估”,并在其基础上做出了更加具体的规定。
如征求意见稿提到,在有效期内出现以下情形之一的,数据处理者应当重新申报评估:向境外提供数据的目的、方式、范围、类型和境外接收方处理数据的用途、方式发生变化,或者延长个人信息和重要数据境外保存期限的;境外接收方所在国家或者地区法律环境发生变化,数据处理者或者境外接收方实际控制权发生变化,数据处理者与境外接收方合同变更等可能影响出境数据安全的;出现影响出境数据安全的其他情形的。
丁晓东认为,征求意见稿会对具有强数据出境需求的企业带来合规压力,这是“毫无疑问的”。与此同时,还会对个人带来间接影响——根据个人信息保护法的要求,企业在跨境传输数据时,需要经过用户的同意。
“历经四年,我国终于在法律层面建立了数据出境安全评估制度。” 左晓栋表示,征求意见稿是网络安全法、数据安全法和个人信息保护法共同确立的数据出境安全评估制度的落地细则。根据法律的授权,网信办制定征求意见稿,使数据出境安全评估制度落地。
不过他同时指出,当前我国需要建立的不仅仅是数据出境安全评估制度,而是完整的数据出境安全管理制度。“无论《办法》多么重要,其只能是我国数据出境安全管理制度的一部分,后续还需要制定出台另外的法规政策文件,共同构建我国数据出境安全管理制度。”