作者 | 北京德恒律师事务所 王一楠 万千惠
2022年8月31日,在《数据出境安全评估办法》(“评估办法”)正式施行的前夜,国家互联网信息办公室(“国家网信办”)出台了《数据出境安全评估申报指南(第一版)》(“指南”),对数据出境安全评估申报方式、申报流程、申报材料等方面做出了具体说明。
在《评估办法》正式出台之后,符合申报条件的相关企业已经在紧锣密鼓地研读法规要求、组建自评估工作团队、开展整改等其他工作。但由于《评估办法》在申报操作层面的颗粒度有限,企业不得不“摸着石头过河”。而《指南》的出台对于这些企业来说无疑是一场“及时雨”。为了方便企业更好地从实务方面理解该文件,笔者将结合正在协助企业进行评估申报的工作实践予以解读。
一、《指南》明确了安全评估的适用范围
《指南》分别从申报门槛和出境行为两个方面进一步解释《评估办法》第二条和第四条的适用范围。
1.重申申报门槛
《指南》第一条重申了《评估办法》第二条(结合第四条)有关适用数据出境安全评估的范围。其明确了在出境数据涉及重要数据的情况下,安全评估是强制性的;当出境数据涉及个人信息的情况下,安全评估需要满足一定前提条件。为了方便读者理解,本文通过如下图示说明安全评估的适用范围:
图1-数据出境安全评估的适用范围
2.分解出境行为
《指南》明确数据处理者将在境内运营中收集和产生的数据“传输、存储至境外”的情形认定为数据出境。虽然这种场景看起来比较常见(即境内A到境外B),但是这里还包含了一个分场景(即境内A到境外A),即境内处理者将数据传输并存储至境外自己控制的服务器上。在这种情况下,因为境内处理者既作为数据传输方又作为数据接收方,企业可以将内部管理制度(而非合同)作为申报法律文件提交。
《指南》还明确了“数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出”的情形属于数据出境行为。其实,国家网信办早在《评估办法》出台答记者问时就指出“数据出境活动包括,数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用”。本次《指南》将境外的“访问和调用”细化为“查询、调取、下载、导出”。这种情形具体指数据尚未转移至境外,但境内处理者将该数据的登录信息或接口提供给境外接收方,以便后者可以在境外远程访问查看。实践中,有些外资企业的信息技术团队部署在境外,该团队通过互联网访问并处理境内服务器上的数据来提供技术服务。鉴于该情形也会对境内存储的数据构成一定风险威胁,从数据跨境流动安全管理的角度来看,其也应被认定为“数据出境”。
二、《指南》明晰了申报方式及流程
《指南》第二条明晰了申报方式及流程中的具体要求,例如,数据处理者申报评估应通过所在地省级网信办申报,申报方式为送达书面申报材料并附带材料电子版。结合《评估办法》第五条至第十四条和第十七条规定,本文将申报方式及流程总结如下:
图2-评估流程(图中括号中的日期为期限上限)
表1-评估流程中涉及的时限
相较于《评估办法》第六条规定的四项申报材料,《指南》第三条申报材料将材料细化为八项,尤其将其他材料明确为数据处理者的公司证照、法定代表人、经办人身份证件、委托授权书等。下文将详细介绍申报书、法律文件、自评估报告这三份需要企业投入较大精力准备的材料文件。
三、《指南》细化了申报材料
表2-申报材料对比表
1.申报书
申报书包括承诺书和申报表两个材料。鉴于承诺书要求包括承诺申报材料的所有内容“真实、完整、准确和有效”的要求,本文将其与申报表的一些具体要求一起分析。
有关申报材料的真实性,《指南》要求“数据处理者对所提交材料的真实性负责,提交虚假材料的,按照评估不通过处理,并依法追究相应法律责任”。删除了《评估办法》第十一条“数据处理者对所提交材料的真实性负责,故意提交虚假材料的,按照评估不通过处理,并依法追究相应法律责任”中的“故意”二字。可见,网信部门对于材料真实性采取更加严格的结果导向而非动机导向的判定标准。
有关申报材料的完整性,《指南》虽未提供明确标准,但是笔者建议企业应予以重视,以免被网信部门据此理由要求补充资料,影响申报进度。以申报表第8项数据出境链路为例,笔者建议填写链路提供商、链路数量与带宽、境内外落地数据中心名称及机房物理位置、IP地址等信息,以体现完整性。在实践中,链路提供商/机房所有者与数据处理者之间签订的合同也建议提供,其中的数据保护条款可作为安全保障措施申报(存在多个链路提供商/机房所有者的,应分别提供相应资料);除了上述合同以外,还建议提供其公司主体是否合法存续的证明材料、数据安全方面认证资质、近年是否存在数据网络安全事件的说明等文件。
有关申报材料的准确性,首先笔者建议企业注意材料之间的一致性,比如在填写申报书13项“相关条款在法律文件中的页码及条款”时应注意填写对应法律文件条款所在的页码,并对相关条款作高亮、线框等显著标识。网信部门提出此类要求的目的是为了提高审核准确性和效率,避免遗漏。笔者建议企业仔细检查申报书中法律文件名称、数据处理者信息、境外接收方信息均与法律文件中是否一致,法律文件中英文信息是否一致,中文译本需要加盖公章,盖章是否与统一社会信用代码证一致等。此外,笔者建议企业注意材料提交形式符合《评估指南》的要求,特别是应当提供原件的经办人授权书委托书、承诺书和申报表、风险自评估报告的,不得提供影印件。针对可以提供影印件的文件需要加盖公章。所有文件应通过书面和光盘电子版两种方式提供。准确性有瑕疵的很可能无法通过省级网信部门最初的完备性查验。
有关申报材料的有效性,企业需注意申报文件和申报工作的时效性。例如,企业应确保自评估工作为申报之日前3个月内完成,且至申报之日未发生重大变化。因此自评估报告初步定稿后还应在申报日之前检查更新一遍,关注数据出境业务、境外接收方信息的重大变化;另需格外注意法律文件的有效性,双方是否签字/盖章(境外接收方一般是以授权代表人签字的形式体现)、法律文件中期限是否明确等。
2.法律文件
《指南》将《评估办法》中要求的“法律文件”明确为“与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件”。虽然法律文件在内容要求上类似合同,但是不限于合同这唯一种形式。当境外接收方和数据传输方属于同一集团公司或有一定关联关系,甚至在某些情形下境外接收方和数据传输方是一个法律实体的,有约束的公司内部管理制度也符合要求。
需要澄清的是这里的“法律文件”与《个保法》第三十八条第(三)款中提到的“标准合同”并非完全一致:1)前者是安全评估的申报资料之一,而后者是与安全评估、认证共同构成的我国个人信息出境安全管理方式之一;2)前者的主要条款由数据处理者与境外接收方在满足安全评估要求的前提下自由约定,而后者主要条款由国家网信部门制定;3)前者属于事前监管的范畴,后者属于事后监管的范畴。当然,企业在起草法律文件时可以参考标准合同的表述。
《指南》附件4的风险自评估报告(模板)重申了《评估办法》第九条的要求,明确规定了法律文件需要包含的内容,即约定数据安全保护责任义务等。在实践中,在同一业务对应大量分散的境外接收方的情形下,笔者建议企业在《用户服务协议》中加入保护境内数据特别条款,以格式合同的形式确立该法律文件。
3.自评估报告
《评估办法》第五条和第八条分别列举风险自评估和安全评估的重点事项,两者大部分内容重合,凸显了风险自评估在申报资料中的重要地位,体现了“风险自评估与安全评估相结合”的评估原则。下文通过如下表进行对比,并做简要分析。
表3 - 风险自评估与安全评估事项对比
值得注意的是,《评估办法》中风险自评估较安全评估缺少两个事项:1)“境外接收方所在国家或者地区数据保护政策法规和网络安全环境情况”和2)“数据处理者遵守数据和网络安全相关法律法规的情况”,而这两个事项在《指南》附件4的风险自评估报告(模板)中仍被提及。可见,企业在风险自评估阶段仍需评估这两个事项。其中第二个事项在《指南》还被归至“数据处理者数据安全保障能力情况”模块项下,这是较《评估办法》的最新细化要求,体现了网信部门对于企业取得数据安全能力认证、安全测评等工作的认可态度。因此,企业可以考虑在自评估阶段同步开展相关认证或测评,合理统筹申报策略。
四、《指南》提供了申报咨询途径
《指南》公布了国家网信部门的申报咨询电子邮箱sjcj@cac.gov.cn和联系电话010-55627135。各地也陆续公布了省级网信部门申报咨询方式,比如北京市互联网信息办公室设立数据出境安全评估申报咨询电话:010-67676912(工作日上午9:30-11:30,下午14:00-17:00)。不过考虑到发文后问题咨询数量较多,我们建议企业在仔细研读《评估办法》和《评估指南》之后仍有问题再联系咨询窗口,以提高沟通效率。
五、结语
《指南》作为《评估办法》首个配套性文件的出台,标志着数据出境安全评估工作无论是从监管部门还是从申报主体角度均已正式进入实际操作阶段。同时,《指南》从诸多细节中也体现监管部门对企业申报准备工作的较高期待和要求。鉴于申报工作的时间紧任务重,涉及的部门多头绪杂,建议企业尽早着手,统筹安排,以免业务受到不利影响。
声明:本文来自网络安全应急技术国家工程实验室,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。