2022年7月7日,國家互聯網信息辦公室(“國家網信辦”)發布了《數據出境安全評估辦法》(“《辦法》”)��,并回答了記者的相關提問(“答記者問”)��。《辦法》構建了涵蓋重要數據���、個人信息的數據出境安全評估制度(“安全評估”)����,細化落地了《網絡安全法》《數據安全法》《個人信息保護法》中有關安全評估的規定����。
總體觀之�����,安全評估立足于國家安全的宏觀站位,從處理者性質��、數據量級�、出境方式等維度劃定了較廣的適用范圍�,并界定了評估項����、法律文件等實質內容����。此外��,《辦法》進一步明確了安全評估的程序性事宜�,為其落地執行奠定了基礎�。安全評估可能對企業的數據出境活動甚至業務整體運營產生較大影響�����,建議企業盡快開展數據合規工作,提前規劃數據出境的整體布局��。
一�����、數據出境安全評估的宏觀站位:立足于國家安全個人信息是所有企業均涉及的處理對象�,也是目前大部分企業的關注焦點。安全評估固然是《個人信息保護法》的出境條件之一,《辦法》也有保護個人信息權益的意旨,但值得注意的是,《辦法》更高的站位在于維護國家安全。出境重要數據必須通過安全評估同樣說明安全評估系立足于國家安全�����。
從維護國家安全的視角�����,有助于企業更準確地理解安全評估��。一方面����,企業在盤點自身的數據資產與處理活動、評估相關風險時��,不應僅著眼于個人權益的微觀層面,還應考慮國家安全�、公共利益的宏觀層面。另一方面�����,監管機構在進行安全評估時�,一開始確實可能是廣泛的摸底排查��,但在實踐中終將聚焦于具有宏觀影響、尤其是國家安全風險的特殊業務場景����,長期而言并不會過度影響企業的正常業務經營。
立足于國家安全的另一個典型制度為網絡安全審查���,尤其是針對赴國外上市的場景,與安全評估在適用門檻(100萬人個人信息)��、評估項(國家安全風險)����、審查機構(國家網信部門)等方面頗有共通之處���。此外�,向境外執法或司法機構提供存儲于中國境內數據的審查批準�����,以及對人類遺傳資源�����、地理測繪信息的出境管理��,同樣立足于國家安全����,但相對于安全評估更具針對性。當多個數據出境監管機制出現競合時��,或可在通過上述特定審查的前提下����,適當豁免安全評估�����。
二、適用范圍:特定數據����、特定主體�、特定量級《辦法》明確了安全評估的適用范圍,細化了上位法的規定,并與《個人信息出境標準合同規定(征求意見稿)》相調和。但在落地執行過程中���,《辦法》的適用范圍仍存在一些不確定性���。
1.特定數據:重要數據
只要出境所涉的數據在定性上構成“重要數據”��,則無論其數量如何����,無論數據處理者的性質如何�����,均適用安全評估����。
《辦法》在我國通用且生效的法律法規層面首次定義了“重要數據”����,即“一旦遭到篡改�����、破壞、泄露或者非法獲取����、非法利用等���,可能危害國家安全��、經濟運行、社會穩定�����、公共健康和安全等的數據”��。該定義立足于數據安全事件可能造成的危害�,且限縮于宏觀層面的影響����,并未包含對組織和個人合法權益的影響��。
但是�,重要數據的具體范圍尚不清晰����?�!毒W絡數據安全管理條例(征求意見稿)》《信息安全技術 重要數據識別指南(征求意見稿)》嘗試對重要數據進行列舉���,但該等規定仍未定稿發布、且立法思路也經歷更迭��。一方面��,有待各地區����、各部門確定重要數據具體目錄����;另一方面��,有待我國就重要數據的識別規則形成基本共識。在此之前,建議企業從嚴把握重要數據的認定���,畢竟國家安全無小事。
2.特定主體
(1)關鍵信息基礎設施運營者
只要出境所涉的數據處理者在定性上構成“關鍵信息基礎設施運營者”,則無論其出境的重要數據或個人信息的數量如何,均適用安全評估����。
根據《關鍵信息基礎設施安全保護條例》����,如果企業的網絡設施�����、信息系統被認定為“關鍵信息基礎設施”����,企業將會接到監管機構的通知��。
(2)處理100萬人以上個人信息的數據處理者
根據體系解釋��,《辦法》中“處理100萬人以上個人信息的數據處理者”即為《個人信息保護法》中“處理個人信息達到國家網信部門規定數量的個人信息處理者”,不僅適用安全評估�����,還應將在境內收集和產生的個人信息存儲在境內(“本地化”)��。
3.特定量級:自上年1月1日起累計向境外提供10萬人個人信息或1萬人敏感個人信息的數據處理者
《辦法》新增了已出境數據的累計期限���,最多不超過2年�,放行了只涉及少量���、臨時出境活動的處理者�。
《辦法》并未規定個人信息�����、敏感個人信息可通過折算(如1萬敏感個人信息=10萬個人信息)達到門檻��,但根據常理,敏感個人信息屬于個人信息����,至少可以按1:1計入個人信息的數量����。
此外�����,根據《個人信息保護法》�,匿名化信息不屬于個人信息,而去標識化信息仍屬于個人信息。企業在業務場景中往往無法實現匿名化(即���,無法識別特定自然人且不能復原),而只能達到去標識化。我國現行法并未豁免去標識化信息���,但去標識化的確可以降低實質風險,可作為企業通過安全評估的支撐點之一。
三���、適用范圍:從數據、方式、主體界定“出境”我國現行法并未明確定義“數據出境”,且用詞也有所不同�,如《網絡安全法》的“向境外提供”���,《數據安全法》的“出境”�����,《個人信息保護法》的“跨境提供”和“向境外提供”����。參考2017年的《個人信息和重要數據出境安全評估辦法(征求意見稿)》《信息安全技術 數據出境安全評估指南(征求意見稿)》,“數據出境”一般被定義為網絡運營者將在我國境內運營中收集和產生的個人信息和重要數據���,提供給境外的機構、組織或個人�。
在答記者問中���,國家網信辦進一步解釋了“向境外提供”的情形包括:(1)數據處理者將在境內運營中收集和產生的數據傳輸���、存儲至境外�;(2)數據處理者收集和產生的數據存儲在境內�����,境外的機構�、組織或者個人可以訪問或者調用�。這一解釋頗有啟發,但仍存在一些疑問�。
1.對于數據���,限定于在境內運營中收集和產生的重要數據�、個人信息�,可以理解為不包含純境外數據的過境或僅對純境外數據加工后再出境。
2.對于方式�,“出境”的范圍較廣��,既包括將數據傳輸、存儲至境外��,也包括從境外可以訪問���、調用境內數據的情形�����,即無論數據的物理位置而采用可獲得性標準(類似于歐盟的“make available”)。但在實踐中,訪問、調用的實質風險一般低于物理跨境�����,因為境內的數據處理者可以隨時中斷訪問權限����。
3.對于主體,《辦法》提及的兩類主體為數據處理者(作為數據提供方)和境外接收方����,但存在兩點困惑:
(1)當受托方(如云平臺)作為數據提供方時��,是否由委托方申報安全評估并承擔責任?��!皵祿幚碚摺痹谏Х上律袩o定義,但《個人信息保護法》將“個人信息處理者”定義為在個人信息處理活動中自主決定處理目的�、處理方式的組織��、個人,《網絡數據安全管理條例(征求意見稿)》也要求數據處理者能自主決定處理目的���、處理方式,可以理解為不包含受托方。
(2)如果境外數據處理者直接收集�、傳輸數據�,是否適用安全評估?����?紤]到《個人信息保護法》要求受域外管轄的境外數據處理者在我國境內設立專門機構或指定代表��,《辦法》也未將“數據處理者”限定在境內��,能否排除境外數據處理者對安全評估的適用有待觀察�。
四、自評估、監管評估相結合���,全面拆解數據出境安全風險安全評估需“兩步走”:先由企業自行開展數據出境風險“自評估”,再由國家網信部門開展“監管評估”���。
無論企業通過安全評估、專業認證�、標準合同等任一路徑出境個人信息�����,監管機構均要求企業開展自評估,并提交監管機構審查或備案���。在《個人信息保護法》對于個人信息保護影響評估(“PIA”)的通用要求之外,不同出境路徑的配套制度分別對評估項進行細化甚至增加�����,但本質上仍有相通之處�,而安全評估額外強調數據出境對國家安全的影響。
安全評估的自評估主要包括如下維度和內容:
安全評估中的監管評估覆蓋了自評估的內容,并額外增加如下評估項:
(1)境外接收地的數據安全保護政策法規和網絡安全環境對出境數據安全的影響�����。這既可能上升至該法域的宏觀安全水平(類似于歐盟的充分性認定)�����,也可能僅限于對本次數據出境的影響(類似于歐盟的傳輸影響評估/TIA)����。
(2)境外接收方的數據保護水平是否達到我國法律����、行政法規的規定和強制性國家標準的要求���。這在《個人信息保護法》的同等保護水平的基礎上��,額外增加了強制性國家標準���,進一步細化���、提升了對境外接收方的要求��。
相較于征求意見稿��,《辦法》進一步明確了安全評估的程序,為其落地執行奠定了基礎����。其中�,值得重點關注的程序性規定包括:
1.監管機構的內部分工:一方面��,由省級網信部門對申報材料進行完備性查驗����,合理分配網信部門的工作負擔�����;另一方面�����,由國家網信部門進行安全評估�����,切實保障評估標準的一致性����,避免出現數據出境的高地與洼地。此外�,《辦法》保留了網信部門與國務院有關部門�����、專門機構的合作,但刪除了前一版征求意見稿中關于“征求相關行業主管部門意見”的規定���。
2.監管評估的時間預期:在申報通過完備性查驗(5個工作日內)、并予以受理(7個工作日內)后���,安全評估一般在45個工作日內完成。但情況復雜或需要補正材料的��,可以適當延長時間��,且《辦法》刪除了前一版征求意見稿中“一般不超過60個工作日”的限制����,延長時間更難預估�。
3.申報安全評估的所需材料:(1)申報書,一般為制式文件�����;(2)自評估報告���,參考網絡安全審查�,國家網信辦可能會發布模板,但報告的顆粒度仍可能存在彈性空間���;(3)雙方擬訂立的法律文件����,且國家網信辦建議企業先申報、后簽訂�����,或附生效條件(通過安全評估)����,以避免未通過評估而造成損失;(4)其他材料。
4.申報安全評估的可能結果:(1)不予受理�,可以理解為該次數據出境不適用安全評估��,但個人信息出境仍需滿足專業認證或標準合同;(2)通過安全評估,企業應嚴格按照申報事項開展數據出境活動����,有效期為2年���,但有效期內情況發生變化而影響出境數據安全的�����,應重新申報;(3)未通過安全評估���,企業不得開展其所申報的數據出境活動,且鑒于安全評估的優先地位���,企業也無法適用專業認證或標準合同。此外����,《辦法》新設了復評程序,給企業提供了一次異議機會,復評結果即為最終結論��。
5.《辦法》的寬限期及溯及力:《辦法》自2022年9月1日起施行�����,施行前已經開展的數據出境活動�����,應自施行之日起6個月內完成整改����。一方面��,《辦法》預留了寬限期��,為企業的合規工作提供了合理的準備時間;另一方面,《辦法》可能溯及其施行前已開展的數據出境活動,至少對于目前仍在持續的數據出境活動�,企業應依法申報安全評估�。
六�����、面對安全評估��,建議企業盡快啟動數據合規工作近期,我國關于數據出境的配套規則紛紛出臺或征求意見��,包括安全評估�����、個人信息出境標準合同(點擊查看解讀文章)���、個人信息跨境處理活動安全認證(點擊查看解讀文章)。
尤其是即將正式實施的安全評估��,一般需要57個工作日(5+7+45)�����、近3個月自然日完成�����。根據《辦法》,對于需要開展安全評估的企業���,如果2023年3月1日前未通過安全評估或未收到評估結果,則可能因此影響數據出境��、甚至業務的連續運營���?;诖耍ㄗh企業在《辦法》施行前即開展準備工作���,如需申報,在《辦法》于今年9月1日起施行后盡早申報較為穩妥��。
面對安全評估��,企業可以提前開展的數據合規工作主要包括:
1.盤點數據資產與出境活動�����。企業的數據資產與處理活動紛繁復雜,且涉及眾多的業務場景��、業務部門���,往往缺乏集中���、全面的盤點����。該等盤點是開展自評估與申報的事實基礎���,建議企業盡快對出境所涉的數據規模���、范圍、種類���、敏感程度、以及處理的目的��、范圍�、方式等情況進行盤點。
2.確定數據出境的合規路徑����。不同的數據出境活動可能適用不同的合規路徑����,如安全評估�����、標準合同��、專業認證等。建議企業從自身性質���、數據性質、數據量級等角度����,依法確定其數據出境活動是否需適用安全評估。
3.開展自評估。自評估是所有數據出境活動均適用的內部機制,但根據不同的合規路徑�,具體的評估項存在一定差異�。建議企業設計���、整合自評估的流程與內容����,滿足不同法律法規對自評估的要求,并切實開展自評估工作、形成可提交監管機構的評估報告���。
4.擬定法律文件、落實安全措施。無論適用何種合規路徑,數據處理者和境外接收方均需簽訂具有法律約束力的文件,如合同����、單方承諾�����、有約束力的公司規則等。此外���,該等文件并不只是書面條款,更關鍵的是確保境外接收方具備實質性的安全保護能力�����,尤其是落實各類管理措施����、技術措施。
