大家各种解读看的也差不多了,我们也讨论一些进阶问题,为征求意见稿提点意见建议。

1、个人信息和重要数据出境就这样合并评估了?

是的。尽管贝贝在解读中明确说“随着《数据出境安全评估办法(征求意见稿)》征求意见,《个人信息和重要数据出境安全评估办法(征求意见稿)》和《个人信息出境安全评估办法》已自然废止”,理由是个人信息保护法和数据安全法已经颁布施行。但其实还有一个重要的原因贝贝没有明说,就是个人信息和重要数据分别制定出境评估办法的意义已经不大,随着立法进程的深入和相关论证测试的磨合,两者的程序和实质差异并没有之前想象中的辣么大,不再需要进行分别立法——“在国家数据出境安全管理制度中,《办法》的第五条和第九条具有通用性”,而其他的评估程序、内容也有很大通用性。如果一企业就其个人信息和重要数据分别基于不同的评估办法申报评估,恐怕会成为网信部门不能承受之重,堪比DDoS。

因此在征求意见稿中,一旦申报中包括重要数据,即自动的“重要数据”吸收了“个人信息”适用该评估办法进行“评估”,而不能再适用《个人信息保护法》规定的认证、标准合同等方式。

2、安全评估是实质审还是形式审?

实审。从征求意见稿看,已经非常接近于“实质审”(用的是审,但指的都是评估,不是审核、审查)。理由包括:第一,评估时间从之前的“安全评估应当在15个工作日内完成”(《个人信息出境安全评估办法(征求意见稿)》)延长到“国家网信部门自出具书面受理通知书之日起45个工作日内完成数据出境安全评估”,虽然可以认为是因为增加了对重要数据的评估时间也相应延长,但如果仅为“书面审”、“合同审”无论如何也不需要45个工作日;其二是评估内容看,除了“合同审”外还突出对“数据安全和个人信息权益是否能够得到充分有效保障”的数据处理者和境外接收方“管理和技术措施、能力”的“技术审”,同时大量消减了对合同内容的细化要求——换言之,合同只是安全评估的一个方面。

因此,在征求意见稿并没有限定评估申报主体一定也是评估对象主体的前提下,未来安全评估将会涉及对主体范围、数据内容、合同内容等实质性交易内容的评估,也不排除远程、现场核查等组合的评估方式,企业可能面临对交易“穿透”评估的问题。

本来实质审的“好处”之一应该是单次评估的有效期会比较长,而形式审则意味着每年大量、充分的文件传递,但这从征求意见稿中没有看出。这也说明数据出境评估具有不同于传统实质审的特点,因此是否是完全的实质审,还是就某些方面实质审,其他方面形式审,网信部门仍然需要“在一个很长的评估期限内,也有了较大的自由裁量的空间内”,甚至是在不同的多边协定框架下进行持续的尺度平衡与把握。

3、必要性是否还是出境评估的基本原则么?

是的。虽然我们又开始讨论充分性、必要性的问题。目前的征求意见稿还是“首当其冲”的规定了安全评估以数据出境的“合法性、正当性、必要性”为原则。特别庆幸的是,征求意见稿没有出现“充分的必要性”的表述!

但是作为征求意见稿,不能像《个人信息保护法》一样还是停留在就必要论证必要的状态,还应当就企业如何必要申报进行细化规定。这里就主要涉及到出境的业务(目的)替代性和数据出境的形式替代性的问题。

企业如何论证出境的必要性,第一,从目的替代性上,就是需要说明只能进行数据出境,而不能仅通过远程结果提示、比对、校验等方式实现业务目的,这显然和企业在合同中约定的合同目的、交付物的内容相关。换句话说,数据应为实现合同目的的必要手段,甚至在某些情况下,数据的出境本身即是合同目的。其二,从形式替代性上,需要说明必须以网络数据的形式,而非介质、样本、**计算等方式进行出境。不要忘了,网络数据只是《数据安全法》定义的数据的“一小”部分。征求意见稿没有刻意声明仅适用网络数据,但《数据安全法》规定了网信办只负责网络数据,反馈的征求意见接收单位也是网信办网络数据管理局。在《数据安全法》的宏大背景下,特别是结合重要数据分类分级的考虑(数据的形式显然也会影响数据的级别),选择哪种形式的数据出境,这些替代性的考虑将并非易事。

总结一下建议,征求意见稿应在公开的同时说明之前其他意见稿的失效状态,应再适当细化评估要求,还应高远的考虑当网络数据和其他数据形式混杂时如何申报和评估等问题。从企业角度,安全评估只是某一时点或范围的数据出境的合法性评价,评估办法并不涉及对将来企业是否仍然符合申报材料要求做出判断,例如是否持续履行或满足数据出境合同“约定的数据安全保护责任义务”,这些义务的评价体现在《数据安全法》和《个人信息保护法》的其他条款,而一旦开启了数据出境,就将“不可逆”的踏上出境合规的征程漫路。(原浩)

声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。