制图:本报融媒体中心 耿晓倩
国家互联网信息办公室日前公布《数据出境安全评估办法》(下称《办法》),自2022年9月1日起施行。近年来,随着数字经济的蓬勃发展,数据跨境活动日益频繁,数据处理者的数据出境需求快速增长。《办法》规定了数据出境安全评估的范围、条件和程序,为数据出境安全评估工作提供了具体指引。
记者了解到,《办法》主要从评估情形、评估内容、流程等方面进行具体规定,企业可以对照开展数据安全评估工作。
《办法》规定了应当申报数据出境安全评估的情形,包括数据处理者向境外提供重要数据、关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息以及国家网信部门规定的其他需要申报数据出境安全评估的情形。
根据《办法》,数据出境安全主要评估以下事项:一是数据出境的目的、范围、方式等的合法性、正当性、必要性。二是境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求。三是出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险。四是数据安全和个人信息权益是否能够得到充分有效保障。五是数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务。六是遵守中国法律、行政法规、部门规章情况。七是国家网信部门认为需要评估的其他事项。
《办法》提出了数据出境安全评估的具体流程,一是事前评估,数据处理者在向境外提供数据前,应首先开展数据出境风险自评估。二是申报评估,符合申报数据出境安全评估情形的,数据处理者应通过所在地省级网信部门向国家网信部门申报数据出境安全评估。三是开展评估,国家网信部门自收到申报材料之日起7个工作日内确定是否受理评估;自出具书面受理通知书之日起45个工作日内完成数据出境安全评估;情况复杂或者需要补充、更正材料的,可以适当延长并告知数据处理者预计延长的时间。四是重新评估和终止出境,评估结果有效期届满或者在有效期内出现本办法中规定重新评估情形的,数据处理者应当重新申报数据出境安全评估。此外,还明确了数据出境安全评估程序、监督管理制度、法律责任以及合规整改要求等。
“值得注意的是,相对于此前的征求意见稿,《办法》增加了自评估重点。”道琼斯公司风险合规专家石龙新告诉记者,《办法》将“数据出境和再转移后泄露、毁损、篡改、滥用等的风险”改为“数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险”。这也意味着,企业应当重点关注境外接收方所在国家或地区、境外接收方自身的数据保护水平等技术方面的要求。
在君合律师事务所律师孙博看来,《办法》实施后,企业面临的数据出境场景可以大致划分为商事场景和司法执法场景两大类。在商事场景中,企业对自身数据合规义务进行识别与分析,既保障数据出境的顺利进行,也有助于防范违法违规风险,避免受到处罚、侵权诉讼、商誉损失等不利影响。而司法执法场景对于多数企业来说可能不常见,但一旦遭遇,其处理难度和成本相较商事场景将大大提高,数据出境的可行性判断、出境要求和限制的识别、出境机制的设计将更为复杂棘手,很多时候需要结合司法执法问题所涉及的法律问题本身、国家安全要求、数据出境限制、个人信息保护基础等进行通盘考虑,制定解决方案。
