2022 年 7 月 7 日,国家互联网信息办公室(“ 网信办”)正式发布《数据出境安全评估办法》(“ 《评 估办法》”),细化和落实《网络安全法》第 37 条、《数据安全法》第 31 条、《个人信息保护法》第 36、38、 40 条等法律中有关数据出境的规定。《评估办法》大体延续了 2021 年 10 月 29 日网信办发布的《数据出境 安全评估办法(征求意见稿)》(“ 《征求意见稿》”)对数据出境从严监管的态度,采纳了《征求意见稿》提出 的制度框架,但在细节处有所放松。本文旨在简析《评估办法》的要点,并提示需重点注意的事项与潜在挑 战。

一、何为“向境外提供”个人信息和重要数据

根据《评估办法》第 2 条的规定,《评估办法》适用的数据出境活动系指数据处理者向境外提供在中华 人民共和国境内运营中收集和产生的重要数据和个人信息的情形。此外,根据《个人信息保护法》第 4 条对 个人信息的定义,向境外提供去标识化的个人信息将同样落入《评估办法》的适用范围中。

对于“向境外提供”的理解,根据网信办有关负责人在《评估办法》答记者问(“ 《评估办法》答记者问”) 1中的介绍,《评估办法》适用的数据出境活动主要包括两大类:一是数据处理者将在境内运营中收集和产生 的数据传输、存储至境外;二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以 访问或者调用。

此外,一个备受关注的问题是,《评估办法》是否适用于《个人信息保护法》第 3 条第 2 款规定的情形, 即境外主体直接从境内个人信息主体收集个人信息是否需要申报安全评估。对此《评估办法》并未明确做出 规定,有待于监管后续在实践中予以明晰。从体系解释的角度看,我们倾向于认为对于个人信息而言,《评 估办法》中的“向境外提供”仅指《个人信息保护法》第三章规范的境内个人信息处理者向境外提供数据的 情形,换言之,境外主体直接从境内个人信息主体收集个人信息可能并不需要履行《评估办法》规定的安全 评估义务。鉴于《评估办法》的适用范围仍存在一定不确定性,建议相关企业密切关注监管动态,并考虑根 据全国信息安全标准化技术委员会秘书处于 2022 年 6 月 24 日正式发布的《网络安全标准实践指南—个人 信息跨境处理活动安全认证规范》,就前述直接从境内主体收集个人信息的场景完成个人信息保护认证。

二、需要申报数据出境安全评估的情况

《评估办法》第 4 条进一步明确了需要申报出境安全评估的四种情形:

  • 数据处理者向境外提供重要数据;
  • 关键信息基础设施运营者和处理 100 万人以上个人信息的数据处理者向境外提供个人信息;
  • 自上年 1 月 1 日起累计向境外提供 10 万人个人信息或者 1 万人敏感个人信息的数据处理者向境外 提供个人信息;
  • 国家网信部门规定的其他需要申报数据出境安全评估的情形。

上述需要申报评估的情形有以下值得关注的要点:

(一)所有重要数据出境均需安全评估 2

根据《数据安全法》第 31 条对网信办制定重要数据出境规则的授权,《评估办法》第 4 条将所有 “数据处理者向境外提供重要数据”的情形均纳入需要申报出境安全评估的范畴,扩展了《网络安全法》 第 37 条关于重要数据出境安全评估的适用范围。

(二)向境外提供个人信息的数量计算最长以两年为周期

《评估办法》整体沿用了《征求意见稿》关于“处理数量”和“提供数量”的计算标准,但“向境 外提供超过 10 万人以上个人信息或者 1 万人以上敏感个人信息”自上年 1 月 1 日起累计,即统计周期 最长被限于 2 年内,不再永久累计。这一调整将减轻个人信息出境规模较小的企业的合规成本。

三、本地化存储和出境安全评估的关系

一个颇具争议的问题是,达到《评估办法》处理或提供个人信息数量标准的企业是否需要履行《个人信 息保护法》第 40 条规定的境内存储义务。我们认为,虽然《评估办法》并未单独提及数据存储的本地化要 求,但《个人信息保护法》第 40 条明确规定“关键信息基础设施运营者”或“处理个人信息达到国家网信 部门规定数量的个人信息处理者”在数据出境方面需履行两项义务,即“境内存储”在境内收集和产生的个 人信息,以及在确需对外提供的情况下通过“出境安全评估”,因此理论上讲“境内存储”实质上应为达到 数量门槛的企业在跨境传输之前必须履行的义务。此外,境内存储亦有助于主管部门更高效地对数据安全开 展监管。考虑到《评估办法》设置的数量门槛较低,实践中在安全评估时主管部门是否会严格将“境内存储” 作为通过安全评估的前提仍有待进一步观察,但考虑到数据出境安全评估冗长的流程和结果的不确定性,数 据本地化(即境内存储并尽量避免数据出境)可能将成为许多企业被迫做出的抉择。

四、出境安全评估以自评估为先导

对于数据出境风险自评估的要求,《评估办法》第 5 条规定“数据处理者在申报数据出境安全评估前, 应当开展数据出境风险自评估”。评估事项包括数据出境和境外接收方处理数据的目的、范围、方式等的合 法性、正当性、必要性;出境数据的规模、范围、种类、敏感程度以及出境行为的风险;境外接收方的保护 能力;数据出境中和出境后的安全风险以及个人信息权益保障;拟订立的数据出境相关合同或者其他具有法 律效力的文件中对双方数据安全保护责任义务的约定情况等。对于个人信息出境,类似的事前内部评估同样 见于《个人信息保护法》第 55 条和《个人信息出境标准合同规定(征求意见稿)》,其均要求数据处理者于 个人信息出境活动前开展个人信息保护影响评估。实践中,我们认为企业可以整合内部评估流程,先行开展 个人信息保护影响评估,并以此为基础按照《评估办法》的要求进而完成数据出境风险自评估。总体而言, 无论企业是否属于关键基础设施运营者或达到个人信息数量门槛,企业开展事前内部评估都是个人信息和 重要数据出境前必须履行的合规义务。

五、申报前应拟定数据出境相关合同或者其他具有法律效力的文件

数据处理者申报安全评估需提交数据处理者与境外接收方拟订立的数据出境相关合同或者其他具有法 律效力的文件。《评估办法》第 9 条指出,法律文件中应包括数据出境行为的目的、方式和数据范围;接收 方的处理行为;数据在境外保存的状况;对再转移的约束性要求;接收方实质控制权和经营范围发生实质性 变化,或其所在国家地区的数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形时 采取的数据安全措施;违反数据安全保护义务时的补救措施、违约责任及争议解决方式;发生安全事件时的 应急处置要求和个人行权渠道保障等。

《个人信息出境标准合同规定(征求意见稿)》及个人信息出境标准合同模板可作为数据出境相关合同 的模板(对个人信息出境而言)或重要参考(对重要数据出境而言)。除合同外,其他法律文件可能包括境 外接收方的单方承诺函或境内外所在各方集团数据安全管理制度或政策等。但根据《评估办法》答记者问, 数据处理者宜在正式通过安全评估后,再与境外接收方正式签订法律文件,或在文件中约定该等法律文件以 安全评估通过为生效条件。

六、严密的评估流程

《评估办法》在第 7 条和第 11-14 条中对评估的流程进行了细致的规定,具体如下图所示。

Click here to continue reading...

Footnotes

1 2022 年 7 月 7 日,《数据出境安全评估办法》答记者问,具体内容请见:http://www.cac.gov.cn/2022- 07/07/c_1658811536800962.htm(最后访问时间:2022 年 7 月 8 日)。

2 《评估办法》第 19 条将重要数据定义为“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经 济运行、社会稳定、公共健康和安全等的数据”。《评估办法》并未明确列举重要数据的具体类型,因此重要数据的识别仍 需要结合其他法律法规、标准予以明确。以《数据安全法》为基础,各地区、各部门负责制定本地区、本部门以及相关行业、 领域的重要数据具体目录。2020 年信安委即立项开始制定相关国家标准,直至 2021 年 1 月 7 日《信息安全技术 重要数据 识别指南(征求意见稿)》已经过多轮审议和修改,其将为各地区、各部门制定重要数据具体目录提供原则性指导。在行业 规定中,目前汽车行业的《汽车数据安全管理若干规定(试行)》将(在汽车设计、生产、销售、使用、运维过程中涉及的) 重要数据定义为“一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法 权益的数据”,并列举了该等重要数据的具体类型。

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.