7月7日,国家互联网信息办公室公布《数据出境安全评估办法》(以下简称《办法》),自2022年9月1日起施行。《办法》是落实《网络安全法》、《数据安全法》、《个人信息保护法》有关数据出境规定的重要举措,目的是进一步规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动。

为了让读者更好了解《办法》的主要内容,笔者在系统梳理近期官方发布的“答记者问”、专家解读等资料后,在“安全评估申报材料”、“安全评估重点内容”、“安全评估法律文件”等方面做一个操作性的解读,供参考使用。

一、法律依据

《网络安全法》

第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。

《数据安全法》

第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。

《个人信息保护法》

第三十六条 国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。

第三十八条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:

(一)依照本法第四十条的规定通过国家网信部门组织的安全评估

(二)按照国家网信部门的规定经专业机构进行个人信息保护认证

(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;

(四)法律、行政法规或者国家网信部门规定的其他条件。

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。

个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准

第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。

二、数据出境活动定义

《办法》所称数据出境活动主要包括:一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。

三、整体框架

04、适用范围

《办法》第二条数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法。法律、行政法规另有规定的,依照其规定。

注:个人信息处理者向境外提供个人信息前需进行个人信息保护影响评估。(《网络安全法》第55条)

《办法》适用范围已经明确重要数据和满足特定条件的个人信息出境要经过数据出境安全评估,所以对于适用安全评估的个人信息处理者的数据出境情形应当申报安全评估;《办法》适用范围外的个人信息处理者的数据出境情形,可以通过个人信息保护认证或者签订国家网信部门制定的标准合同来满足个人信息跨境提供条件。相关文件已在制定中,如《个人信息出境标准合同规定(征求意见稿)》、TC260-PG-20222A 《个人信息跨境处理活动认证技术规范》等。

五、申报材料

材料

个人解读

申报书

具体内容暂未在《办法》中明确,可能包含数据处理者、数据接收方、出境数据的基本情况、数据出境业务场景描述、数据出境安全措施等。

数据出境风险自评估报告

体现《办法》第三条中“风险自评估与安全评估相结合”的评估原则。自评估属于企业自查手段,应由该企业数据安全负责人、数据安全人员、个人信息保护人员、业务人员、法务人员等数据出境安全相关人员组建评估团队开展相关工作;同时,也可以聘请外部第三方机构加入评估团队,从专业实践经验和第三方视角,客观分析可能存在的影响。

数据处理者与境外接收方拟订立的法律文件

《办法》第九条中进行了详细描述。

安全评估工作需要的其他材料

配合网信部门工作所需的其他材料、过程文档、证明材料等。

六、安全评估结果类型

一是申报不予受理。对于不属于安全评估范围的,数据处理者接到国家网信部门不予受理的书面通知后,可以通过法律规定的其他合法途径开展数据出境活动。

二是通过安全评估。数据处理者可以在收到通过评估的书面通知后,严格按照申报事项开展数据出境活动。

三是未通过安全评估。未通过数据出境安全评估的,数据处理者不得开展所申报的数据出境活动。

七、重点评估内容

数据出境风险自评估

数据出境安全评估

个人解读

数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;

数据出境的目的、范围、方式等的合法性、正当性、必要性;

合法性:首要关注点,即出境行为的合法合规情况。

正当性:目的和手段两个角度。目的为提供服务、开展业务还是损害他人权益,手段是否合理,不应存在欺诈、强迫出境等,应得到数据主体知晓。

必要性:出境数据与业务服务、技术需要、贸易等有直接关联,并采取所必需的最低频率、最少数量等。

出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;

出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险;

数据量、类型、敏感程度对风险的影响。针对于个人信息出境,在开展自评估时,可参考GB∕T 39335-2020《信息安全技术 个人信息安全影响评估指南》的相关内容进行风险判断。

境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;

境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求;

实际操作中,数据提供方的安全保障能力(管理和技术措施等)也应进行考察,以及接收方的管理水平能否与提供方保持一致性。

数据安全保护政策法规、网络安全环境建议自评估时也进行评估,利于通过安全评估。

接收方地区数据安全、隐私保护相关法律的完善程度,尤其是政府、执法部门行使职权调取和收集数据的相关法律程序、约束规则是否完善有效,防止数据滥用。

通讯、存储、供应链安全等相关要素是否对数据造成威胁。

数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;

数据安全和个人信息权益是否能够得到充分有效保障;

数据再转移会增加风险,其相关安全要求、管控风险措施是否完善有效。综合考虑接收方的安全能力、数据面临的安全威胁、数据存储位置及期限、流转路径、访问权限等,分析数据出境后风险是否可控。

个人维权方面,是否有个人维权渠道,如有效的投诉渠道,以及相应的诉讼、仲裁、行政等措施。

与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务;

数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务;

法律文件的完备程度是重点评估对象,具有重要的约束力,是保障数据主体权益、防控风险的有效措施。

有效的弥补数据流向数据保护水平较低国家或地区,固化双方保护责任义务。

将国内法律法规等相关要求通过合同形式施加到境外接收方,拉齐不同保护水平的差异。

——

遵守中国法律、行政法规、部门规章情况;

守法情况是数据出境的底线。

其他可能影响数据出境安全的事项。

国家网信部门认为需要评估的其他事项。

根据实际情况判断。

《办法》第九条对评估内容中的法律文件作出明确规定,数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,至少包括以下内容:

法律文件相关要点

个人解读

数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;

用途、方式:提供业务服务或进行专业分析挖掘,以及使用方式的不同,都使得风险有明显差异。

数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;

保存期限长短对风险影响较大,应遵循最小必要原则,并在达到保存期限后及时进行删除、匿名化等处理。

对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;

具备数据再转移后有效控制风险及保障安全的相关要求。

境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施;

明确接受方合并、分立、解散后数据处理方式。当相关法律变更后会影响数据安全风险,如保存期限增加即增加风险,需调整技术管理措施,应对风险及新威胁。

违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;

明确违反法律文件规定后的处置规则。

出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。

明确安全事件后的应急处置要求,并保障个人信息权益维护通道。

综合以上,分析数据出境对国家安全、公共利益、个人或者组织合法权益带来的风险大小、是否可控可接受等情况,最终得到相应结论。

八、具体流程

数据出境安全评估一般流程

评估原则:事前评估和持续监督相结合、风险自评估与安全评估相结合。

事前评估:数据处理者在向境外提供数据前,应首先开展数据出境风险自评估。

申报评估:符合申报数据出境安全评估情形的,数据处理者应通过所在地省级网信部门向国家网信部门申报数据出境安全评估。

开展评估:国家网信部门自收到申报材料之日起7个工作日内确定是否受理评估;自出具书面受理通知书之日起45个工作日内完成数据出境安全评估;情况复杂或者需要补充、更正材料的,可以适当延长并告知数据处理者预计延长的时间。若数据处理者提交的申报材料不符合要求,无正当理由不补充或者更正的,国家网信部门可以终止安全评估。

重新评估和终止出境:评估结果有效期届满或者在有效期内出现本办法中规定重新评估情形的,数据处理者应当重新申报数据出境安全评估。已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,在收到国家网信部门书面通知后,数据处理者应终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估。

评估结果存在异议:数据处理者可以在收到评估结果15个工作日内向国家网信部门申请复评,复评结果为最终结论。

评估有效期:通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算。有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。

九、权益保障与罚则

第十五条 参与安全评估工作的相关机构和人员对在履行职责中知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供、非法使用。

第十六条 任何组织和个人发现数据处理者违反本办法向境外提供数据的,可以向省级以上网信部门举报。

第十八条 违反本办法规定的,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。

相关处罚规定

《网络安全法》第66条

《数据安全法》第46条

《个人信息保护法》第66条

关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。

违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

十、后续工作

《办法》距离9月1日正式施行尚有1个月的时间,笔者认为,仍有很多工作待官方明确或出台细化的实施方案:

首先,安全评估范围中包含重要数据,所以重要数据的识别是企业申请出境安全评估的前提条件,但重要数据识别、各行业重要数据目录等相关标准、指导性文件尚未正式发布。笔者相信,随着《办法》的正式出台,数据分类分级、重要数据识别等相关标准、文件的发布速度将会加快。

其次,《办法》中给出了评估的要点以及重点评估内容,但无论是企业开展自评估,还是国家组织开展安全评估,其评估的方法、评估的流程、评估结论的判定均需要相关标准依据的支撑,而《数据出境安全评估指南》(2020年11月更名为《个人信息出境安全评估指南》)自2017年公开征求意见,仍未定稿发布,其评估内容、方法已于《办法》的要求有所出入;因此,应加快数据出境风险评估相关依据文件的发布。

最后,《办法》的出台只是数据出境合规治理的第一步,相关的各类细则、配套文件、落地方式以及监管尺度仍有待观察和进一步明确;相关企业在继续观望的同时,应利用该窗口期,对所有数据出境的业务场景、出境数据的类型、用途、规模等进行梳理,做到家底清晰,并加强、完善企业数据安全管理机制和出境合规策略,客观识别数据出境安全风险,提前采取应对措施。

作者简介

刘一衡,上海市信息安全测评认证中心,创新研究院检测工程师。

声明:本文来自测评能手,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。