隆安律师事务所
作者:张波 苗凯
2021年10月29日,国家互联网信息办公室发布《数据出境安全评估办法(征求意见稿)》(“评估办法”),拟对《中华人民共和国网络安全法》(“网络安全法”)、《中华人民共和国数据安全法》(“数据安全法”)、《中华人民共和国个人信息保护法》(“个人信息保护法”)等法律法规下的安全评估作出细化规定。
《评估办法》规定数据处理者在以下两种情况下应当按照《评估办法》进行安全评估,其一,向境外提供在中国境内运营中收集和产生的重要数据;其二,向境外提供依法应当进行安全评估的个人信息。安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合。
现行的《网络安全法》、《数据安全法》和《个人信息保护法》,只有《数据安全法》提到“风险评估”,其第三十条规定,重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告,风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
而《评估办法》第五条规定了数据处理者在向境外提供数据前皆应当开展数据出境风险自评估,不考虑出境数据是否为“重要数据”。
根据《评估办法》第六条,申报数据出境安全评估提交的材料包括数据出境风险自评估报告。可见,进行安全评估必然要事先开展风险自评估。
数据出境风险自评估重点评估事项包括:
1、数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
2、出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
3、数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险;
4、境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
5、数据出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;
与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。
《网络安全法》第三十七条和《个人信息保护法》第三十六条、第三十八条及第四十条皆提到“安全评估”。《评估办法》细化规定,向境外提供数据,符合下列情形之一的,应当申报数据出境安全评估:
1、关键信息基础设施的运营者收集和产生的个人信息和重要数据;
2、出境数据中包含重要数据;
3、处理个人信息达到100万人的个人信息处理者向境外提供个人信息;
4、累计向境外提供超过10万人以上个人信息或者1万人以上敏感个人信息;
5、国家网信部门规定的其他需要申报数据出境安全评估的情形。
2021年9月1日实施的《关键信息基础设施安全保护条例》将“关键信息基础设施”定义为指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
《网络安全法》、《数据安全法》和《个人信息保护法》未有关于“重要数据”的定义,《数据安全法》第二十一条规定各地方、各部门按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录。2021年国家推荐性标准《信息安全技术 重要数据识别指南》尚在起草过程中。2017年8月25日发布的国家推荐性标准《信息安全技术 数据出境安全评估指南(征求意见稿)》将“重要数据”定义为相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据),并在其附录A中规定重要数据的具体范围。该征求意见稿目前尚未正式批准通过。
《个人信息保护法》对个人信息和敏感个人信息皆有明确定义,对涉及向境外提供个人信息的公司而言,需要留意上述情形4下个人信息主体系累计计算,一旦达到相应人数,则应当申报安全评估。
《评估办法》明确安全评估的重要事项包括:
1、数据出境的目的、范围、方式等的合法性、正当性、必要性;
2、境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响;
3、境外接收方的数据保护水平是否达到中国法律、行政法规规定和强制性国家标准的要求;
4、出境数据的数量、范围、种类、敏感程度,出境中和出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险;
5、数据安全和个人信息权益是否能够得到充分有效保障;
6、数据处理者与境外接收方订立的合同中是否充分约定了数据安全保护责任义务;
7、遵守中国法律、行政法规、部门规章情况;
8、国家网信部门认为需要评估的其他事项。
上述的数据处理者与境外接收方订立的合同中是否充分约定了数据安全保护责任义务,需考虑以下内容:
9、数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
10、数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施;
11、限制境外接收方将出境数据再转移给其他组织、个人的约束条款;
12、境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区法律环境发生变化导致难以保障数据安全时,应当采取的安全措施;
13、违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款;
14、发生数据泄露等风险时,妥善开展应急处置,并保障个人维护个人信息权益的通畅渠道。
目前,国家网信部门尚未发布《个人信息保护法》第三十八条第一款第(三)项的个人信息跨境提供标准合同。现阶段,建议慎重跨境提供个人信息,如确需提供,应酌情参考上述数据处理者与境外接收方订立合同需考虑的内容,与境外接收方签订合同,明确约定双方的权利义务,强化境外接收方的个人信息安全保护责任。
受理部门:通过数据处理者所在地省级网信部门向国家网信部门申报数据出境安全评估。
申报材料:申报书、数据出境风险自评估报告、数据处理者与境外接收方拟订立的合同或其他具有法律效力的文件等、安全评估工作需要的其他材料。
受理审批:国家网信部门在收到申报材料之日起7个工作日内确定是否受理评估并进行书面反馈。
评估部门:国家网信部门受理申报后,组织行业主管部门、国务院有关部门、省级网信部门、专门机构等进行安全评估。涉及重要数据出境的,国家网信部门征求相关行业主管部门意见。
评估时限:出具受理通知书之日起45个工作日完成评估并进行书面反馈,情况复杂或需补充材料的,可适当延长,但一般不超过60个工作日。
评估有效期:2年,期满如需继续开展数据出境活动的,届满60个工作日前重新申请评估。
重新评估:
1、向境外提供数据的目的、方式、范围、类型和境外接收方处理数据的用途、方式发生变化,或者延长个人信息和重要数据境外保存期限的;
2、境外接收方所在国家或者地区法律环境发生变化,数据处理者或者境外接收方实际控制权发生变化,数据处理者与境外接收方合同变更等可能影响出境数据安全的;
3、出现影响出境数据安全的其他情形。
随着《网络安全法》、《数据安全法》和《个人信息保护法》三大基本法的相继实施,我国数据安全的法律体系日臻完善,本次《评估办法》进一步细化了有关规定。《评估办法》征求意见截至2021年11月28日,正式稿预计在征求意见后不久将发布。违反《评估办法》规定的,将面临《网络安全法》、《数据安全法》和《个人信息保护法》等法律法规规定的处罚,依法构成犯罪的,将被追究刑事责任。相关企业需予以重视并加强自身的数据合规建设。
张波
北京市隆安律师事务所上海分所 律师
zhangbo@longanlaw.com
苗凯
北京市隆安律师事务所上海分所 律师
miaokai@longanlaw.com
地址:上海市徐汇区虹桥路1号港汇恒隆广场办公楼1座11层
原文始发于微信公众号(隆安律师事务所):隆安法言|简评《数据出境安全评估办法(征求意见稿)》