題21-1_畫板 1 副本.png)
題21-1_畫板 1.png)
2022年7月7日,國(guó)家互聯(lián)網(wǎng)信息辦公室(“國(guó)家網(wǎng)信辦”)發(fā)布了《數(shù)據(jù)出境安全評(píng)估辦法》(“《辦法》”),并回答了記者的相關(guān)提問(wèn)(“答記者問(wèn)”)。《辦法》構(gòu)建了涵蓋重要數(shù)據(jù)、個(gè)人信息的數(shù)據(jù)出境安全評(píng)估制度(“安全評(píng)估”),細(xì)化落地了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》中有關(guān)安全評(píng)估的規(guī)定。
總體觀之,安全評(píng)估立足于國(guó)家安全的宏觀站位,從處理者性質(zhì)、數(shù)據(jù)量級(jí)、出境方式等維度劃定了較廣的適用范圍,并界定了評(píng)估項(xiàng)、法律文件等實(shí)質(zhì)內(nèi)容。此外,《辦法》進(jìn)一步明確了安全評(píng)估的程序性事宜,為其落地執(zhí)行奠定了基礎(chǔ)。安全評(píng)估可能對(duì)企業(yè)的數(shù)據(jù)出境活動(dòng)甚至業(yè)務(wù)整體運(yùn)營(yíng)產(chǎn)生較大影響,建議企業(yè)盡快開(kāi)展數(shù)據(jù)合規(guī)工作,提前規(guī)劃數(shù)據(jù)出境的整體布局。
個(gè)人信息是所有企業(yè)均涉及的處理對(duì)象,也是目前大部分企業(yè)的關(guān)注焦點(diǎn)。安全評(píng)估固然是《個(gè)人信息保護(hù)法》的出境條件之一,《辦法》也有保護(hù)個(gè)人信息權(quán)益的意旨,但值得注意的是,《辦法》更高的站位在于維護(hù)國(guó)家安全。出境重要數(shù)據(jù)必須通過(guò)安全評(píng)估同樣說(shuō)明安全評(píng)估系立足于國(guó)家安全。
從維護(hù)國(guó)家安全的視角,有助于企業(yè)更準(zhǔn)確地理解安全評(píng)估。一方面,企業(yè)在盤點(diǎn)自身的數(shù)據(jù)資產(chǎn)與處理活動(dòng)、評(píng)估相關(guān)風(fēng)險(xiǎn)時(shí),不應(yīng)僅著眼于個(gè)人權(quán)益的微觀層面,還應(yīng)考慮國(guó)家安全、公共利益的宏觀層面。另一方面,監(jiān)管機(jī)構(gòu)在進(jìn)行安全評(píng)估時(shí),一開(kāi)始確實(shí)可能是廣泛的摸底排查,但在實(shí)踐中終將聚焦于具有宏觀影響、尤其是國(guó)家安全風(fēng)險(xiǎn)的特殊業(yè)務(wù)場(chǎng)景,長(zhǎng)期而言并不會(huì)過(guò)度影響企業(yè)的正常業(yè)務(wù)經(jīng)營(yíng)。
立足于國(guó)家安全的另一個(gè)典型制度為網(wǎng)絡(luò)安全審查,尤其是針對(duì)赴國(guó)外上市的場(chǎng)景,與安全評(píng)估在適用門檻(100萬(wàn)人個(gè)人信息)、評(píng)估項(xiàng)(國(guó)家安全風(fēng)險(xiǎn))、審查機(jī)構(gòu)(國(guó)家網(wǎng)信部門)等方面頗有共通之處。此外,向境外執(zhí)法或司法機(jī)構(gòu)提供存儲(chǔ)于中國(guó)境內(nèi)數(shù)據(jù)的審查批準(zhǔn),以及對(duì)人類遺傳資源、地理測(cè)繪信息的出境管理,同樣立足于國(guó)家安全,但相對(duì)于安全評(píng)估更具針對(duì)性。當(dāng)多個(gè)數(shù)據(jù)出境監(jiān)管機(jī)制出現(xiàn)競(jìng)合時(shí),或可在通過(guò)上述特定審查的前提下,適當(dāng)豁免安全評(píng)估。
《辦法》明確了安全評(píng)估的適用范圍,細(xì)化了上位法的規(guī)定,并與《個(gè)人信息出境標(biāo)準(zhǔn)合同規(guī)定(征求意見(jiàn)稿)》相調(diào)和。但在落地執(zhí)行過(guò)程中,《辦法》的適用范圍仍存在一些不確定性。
1.特定數(shù)據(jù):重要數(shù)據(jù)
只要出境所涉的數(shù)據(jù)在定性上構(gòu)成“重要數(shù)據(jù)”,則無(wú)論其數(shù)量如何,無(wú)論數(shù)據(jù)處理者的性質(zhì)如何,均適用安全評(píng)估。
《辦法》在我國(guó)通用且生效的法律法規(guī)層面首次定義了“重要數(shù)據(jù)”,即“一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等,可能危害國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全等的數(shù)據(jù)”。該定義立足于數(shù)據(jù)安全事件可能造成的危害,且限縮于宏觀層面的影響,并未包含對(duì)組織和個(gè)人合法權(quán)益的影響。
但是,重要數(shù)據(jù)的具體范圍尚不清晰。《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見(jiàn)稿)》《信息安全技術(shù) 重要數(shù)據(jù)識(shí)別指南(征求意見(jiàn)稿)》嘗試對(duì)重要數(shù)據(jù)進(jìn)行列舉,但該等規(guī)定仍未定稿發(fā)布、且立法思路也經(jīng)歷更迭。一方面,有待各地區(qū)、各部門確定重要數(shù)據(jù)具體目錄;另一方面,有待我國(guó)就重要數(shù)據(jù)的識(shí)別規(guī)則形成基本共識(shí)。在此之前,建議企業(yè)從嚴(yán)把握重要數(shù)據(jù)的認(rèn)定,畢竟國(guó)家安全無(wú)小事。
2.特定主體
(1)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者
只要出境所涉的數(shù)據(jù)處理者在定性上構(gòu)成“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者”,則無(wú)論其出境的重要數(shù)據(jù)或個(gè)人信息的數(shù)量如何,均適用安全評(píng)估。
根據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》,如果企業(yè)的網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)被認(rèn)定為“關(guān)鍵信息基礎(chǔ)設(shè)施”,企業(yè)將會(huì)接到監(jiān)管機(jī)構(gòu)的通知。
(2)處理100萬(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者
根據(jù)體系解釋,《辦法》中“處理100萬(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者”即為《個(gè)人信息保護(hù)法》中“處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者”,不僅適用安全評(píng)估,還應(yīng)將在境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)(“本地化”)。
3.特定量級(jí):自上年1月1日起累計(jì)向境外提供10萬(wàn)人個(gè)人信息或1萬(wàn)人敏感個(gè)人信息的數(shù)據(jù)處理者
《辦法》新增了已出境數(shù)據(jù)的累計(jì)期限,最多不超過(guò)2年,放行了只涉及少量、臨時(shí)出境活動(dòng)的處理者。
《辦法》并未規(guī)定個(gè)人信息、敏感個(gè)人信息可通過(guò)折算(如1萬(wàn)敏感個(gè)人信息=10萬(wàn)個(gè)人信息)達(dá)到門檻,但根據(jù)常理,敏感個(gè)人信息屬于個(gè)人信息,至少可以按1:1計(jì)入個(gè)人信息的數(shù)量。
此外,根據(jù)《個(gè)人信息保護(hù)法》,匿名化信息不屬于個(gè)人信息,而去標(biāo)識(shí)化信息仍屬于個(gè)人信息。企業(yè)在業(yè)務(wù)場(chǎng)景中往往無(wú)法實(shí)現(xiàn)匿名化(即,無(wú)法識(shí)別特定自然人且不能復(fù)原),而只能達(dá)到去標(biāo)識(shí)化。我國(guó)現(xiàn)行法并未豁免去標(biāo)識(shí)化信息,但去標(biāo)識(shí)化的確可以降低實(shí)質(zhì)風(fēng)險(xiǎn),可作為企業(yè)通過(guò)安全評(píng)估的支撐點(diǎn)之一。
我國(guó)現(xiàn)行法并未明確定義“數(shù)據(jù)出境”,且用詞也有所不同,如《網(wǎng)絡(luò)安全法》的“向境外提供”,《數(shù)據(jù)安全法》的“出境”,《個(gè)人信息保護(hù)法》的“跨境提供”和“向境外提供”。參考2017年的《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法(征求意見(jiàn)稿)》《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南(征求意見(jiàn)稿)》,“數(shù)據(jù)出境”一般被定義為網(wǎng)絡(luò)運(yùn)營(yíng)者將在我國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù),提供給境外的機(jī)構(gòu)、組織或個(gè)人。
在答記者問(wèn)中,國(guó)家網(wǎng)信辦進(jìn)一步解釋了“向境外提供”的情形包括:(1)數(shù)據(jù)處理者將在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲(chǔ)至境外;(2)數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲(chǔ)在境內(nèi),境外的機(jī)構(gòu)、組織或者個(gè)人可以訪問(wèn)或者調(diào)用。這一解釋頗有啟發(fā),但仍存在一些疑問(wèn)。
1.對(duì)于數(shù)據(jù),限定于在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)、個(gè)人信息,可以理解為不包含純境外數(shù)據(jù)的過(guò)境或僅對(duì)純境外數(shù)據(jù)加工后再出境。
2.對(duì)于方式,“出境”的范圍較廣,既包括將數(shù)據(jù)傳輸、存儲(chǔ)至境外,也包括從境外可以訪問(wèn)、調(diào)用境內(nèi)數(shù)據(jù)的情形,即無(wú)論數(shù)據(jù)的物理位置而采用可獲得性標(biāo)準(zhǔn)(類似于歐盟的“make available”)。但在實(shí)踐中,訪問(wèn)、調(diào)用的實(shí)質(zhì)風(fēng)險(xiǎn)一般低于物理跨境,因?yàn)榫硟?nèi)的數(shù)據(jù)處理者可以隨時(shí)中斷訪問(wèn)權(quán)限。
3.對(duì)于主體,《辦法》提及的兩類主體為數(shù)據(jù)處理者(作為數(shù)據(jù)提供方)和境外接收方,但存在兩點(diǎn)困惑:
(1)當(dāng)受托方(如云平臺(tái))作為數(shù)據(jù)提供方時(shí),是否由委托方申報(bào)安全評(píng)估并承擔(dān)責(zé)任。“數(shù)據(jù)處理者”在生效法律下尚無(wú)定義,但《個(gè)人信息保護(hù)法》將“個(gè)人信息處理者”定義為在個(gè)人信息處理活動(dòng)中自主決定處理目的、處理方式的組織、個(gè)人,《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見(jiàn)稿)》也要求數(shù)據(jù)處理者能自主決定處理目的、處理方式,可以理解為不包含受托方。
(2)如果境外數(shù)據(jù)處理者直接收集、傳輸數(shù)據(jù),是否適用安全評(píng)估。考慮到《個(gè)人信息保護(hù)法》要求受域外管轄的境外數(shù)據(jù)處理者在我國(guó)境內(nèi)設(shè)立專門機(jī)構(gòu)或指定代表,《辦法》也未將“數(shù)據(jù)處理者”限定在境內(nèi),能否排除境外數(shù)據(jù)處理者對(duì)安全評(píng)估的適用有待觀察。
安全評(píng)估需“兩步走”:先由企業(yè)自行開(kāi)展數(shù)據(jù)出境風(fēng)險(xiǎn)“自評(píng)估”,再由國(guó)家網(wǎng)信部門開(kāi)展“監(jiān)管評(píng)估”。
無(wú)論企業(yè)通過(guò)安全評(píng)估、專業(yè)認(rèn)證、標(biāo)準(zhǔn)合同等任一路徑出境個(gè)人信息,監(jiān)管機(jī)構(gòu)均要求企業(yè)開(kāi)展自評(píng)估,并提交監(jiān)管機(jī)構(gòu)審查或備案。在《個(gè)人信息保護(hù)法》對(duì)于個(gè)人信息保護(hù)影響評(píng)估(“PIA”)的通用要求之外,不同出境路徑的配套制度分別對(duì)評(píng)估項(xiàng)進(jìn)行細(xì)化甚至增加,但本質(zhì)上仍有相通之處,而安全評(píng)估額外強(qiáng)調(diào)數(shù)據(jù)出境對(duì)國(guó)家安全的影響。
安全評(píng)估的自評(píng)估主要包括如下維度和內(nèi)容:
安全評(píng)估中的監(jiān)管評(píng)估覆蓋了自評(píng)估的內(nèi)容,并額外增加如下評(píng)估項(xiàng):
(1)境外接收地的數(shù)據(jù)安全保護(hù)政策法規(guī)和網(wǎng)絡(luò)安全環(huán)境對(duì)出境數(shù)據(jù)安全的影響。這既可能上升至該法域的宏觀安全水平(類似于歐盟的充分性認(rèn)定),也可能僅限于對(duì)本次數(shù)據(jù)出境的影響(類似于歐盟的傳輸影響評(píng)估/TIA)。
(2)境外接收方的數(shù)據(jù)保護(hù)水平是否達(dá)到我國(guó)法律、行政法規(guī)的規(guī)定和強(qiáng)制性國(guó)家標(biāo)準(zhǔn)的要求。這在《個(gè)人信息保護(hù)法》的同等保護(hù)水平的基礎(chǔ)上,額外增加了強(qiáng)制性國(guó)家標(biāo)準(zhǔn),進(jìn)一步細(xì)化、提升了對(duì)境外接收方的要求。
相較于征求意見(jiàn)稿,《辦法》進(jìn)一步明確了安全評(píng)估的程序,為其落地執(zhí)行奠定了基礎(chǔ)。其中,值得重點(diǎn)關(guān)注的程序性規(guī)定包括:
1.監(jiān)管機(jī)構(gòu)的內(nèi)部分工:一方面,由省級(jí)網(wǎng)信部門對(duì)申報(bào)材料進(jìn)行完備性查驗(yàn),合理分配網(wǎng)信部門的工作負(fù)擔(dān);另一方面,由國(guó)家網(wǎng)信部門進(jìn)行安全評(píng)估,切實(shí)保障評(píng)估標(biāo)準(zhǔn)的一致性,避免出現(xiàn)數(shù)據(jù)出境的高地與洼地。此外,《辦法》保留了網(wǎng)信部門與國(guó)務(wù)院有關(guān)部門、專門機(jī)構(gòu)的合作,但刪除了前一版征求意見(jiàn)稿中關(guān)于“征求相關(guān)行業(yè)主管部門意見(jiàn)”的規(guī)定。
2.監(jiān)管評(píng)估的時(shí)間預(yù)期:在申報(bào)通過(guò)完備性查驗(yàn)(5個(gè)工作日內(nèi))、并予以受理(7個(gè)工作日內(nèi))后,安全評(píng)估一般在45個(gè)工作日內(nèi)完成。但情況復(fù)雜或需要補(bǔ)正材料的,可以適當(dāng)延長(zhǎng)時(shí)間,且《辦法》刪除了前一版征求意見(jiàn)稿中“一般不超過(guò)60個(gè)工作日”的限制,延長(zhǎng)時(shí)間更難預(yù)估。
3.申報(bào)安全評(píng)估的所需材料:(1)申報(bào)書,一般為制式文件;(2)自評(píng)估報(bào)告,參考網(wǎng)絡(luò)安全審查,國(guó)家網(wǎng)信辦可能會(huì)發(fā)布模板,但報(bào)告的顆粒度仍可能存在彈性空間;(3)雙方擬訂立的法律文件,且國(guó)家網(wǎng)信辦建議企業(yè)先申報(bào)、后簽訂,或附生效條件(通過(guò)安全評(píng)估),以避免未通過(guò)評(píng)估而造成損失;(4)其他材料。
4.申報(bào)安全評(píng)估的可能結(jié)果:(1)不予受理,可以理解為該次數(shù)據(jù)出境不適用安全評(píng)估,但個(gè)人信息出境仍需滿足專業(yè)認(rèn)證或標(biāo)準(zhǔn)合同;(2)通過(guò)安全評(píng)估,企業(yè)應(yīng)嚴(yán)格按照申報(bào)事項(xiàng)開(kāi)展數(shù)據(jù)出境活動(dòng),有效期為2年,但有效期內(nèi)情況發(fā)生變化而影響出境數(shù)據(jù)安全的,應(yīng)重新申報(bào);(3)未通過(guò)安全評(píng)估,企業(yè)不得開(kāi)展其所申報(bào)的數(shù)據(jù)出境活動(dòng),且鑒于安全評(píng)估的優(yōu)先地位,企業(yè)也無(wú)法適用專業(yè)認(rèn)證或標(biāo)準(zhǔn)合同。此外,《辦法》新設(shè)了復(fù)評(píng)程序,給企業(yè)提供了一次異議機(jī)會(huì),復(fù)評(píng)結(jié)果即為最終結(jié)論。
5.《辦法》的寬限期及溯及力:《辦法》自2022年9月1日起施行,施行前已經(jīng)開(kāi)展的數(shù)據(jù)出境活動(dòng),應(yīng)自施行之日起6個(gè)月內(nèi)完成整改。一方面,《辦法》預(yù)留了寬限期,為企業(yè)的合規(guī)工作提供了合理的準(zhǔn)備時(shí)間;另一方面,《辦法》可能溯及其施行前已開(kāi)展的數(shù)據(jù)出境活動(dòng),至少對(duì)于目前仍在持續(xù)的數(shù)據(jù)出境活動(dòng),企業(yè)應(yīng)依法申報(bào)安全評(píng)估。
近期,我國(guó)關(guān)于數(shù)據(jù)出境的配套規(guī)則紛紛出臺(tái)或征求意見(jiàn),包括安全評(píng)估、個(gè)人信息出境標(biāo)準(zhǔn)合同(點(diǎn)擊查看解讀文章)、個(gè)人信息跨境處理活動(dòng)安全認(rèn)證(點(diǎn)擊查看解讀文章)。
尤其是即將正式實(shí)施的安全評(píng)估,一般需要57個(gè)工作日(5+7+45)、近3個(gè)月自然日完成。根據(jù)《辦法》,對(duì)于需要開(kāi)展安全評(píng)估的企業(yè),如果2023年3月1日前未通過(guò)安全評(píng)估或未收到評(píng)估結(jié)果,則可能因此影響數(shù)據(jù)出境、甚至業(yè)務(wù)的連續(xù)運(yùn)營(yíng)。基于此,建議企業(yè)在《辦法》施行前即開(kāi)展準(zhǔn)備工作,如需申報(bào),在《辦法》于今年9月1日起施行后盡早申報(bào)較為穩(wěn)妥。
面對(duì)安全評(píng)估,企業(yè)可以提前開(kāi)展的數(shù)據(jù)合規(guī)工作主要包括:
1.盤點(diǎn)數(shù)據(jù)資產(chǎn)與出境活動(dòng)。企業(yè)的數(shù)據(jù)資產(chǎn)與處理活動(dòng)紛繁復(fù)雜,且涉及眾多的業(yè)務(wù)場(chǎng)景、業(yè)務(wù)部門,往往缺乏集中、全面的盤點(diǎn)。該等盤點(diǎn)是開(kāi)展自評(píng)估與申報(bào)的事實(shí)基礎(chǔ),建議企業(yè)盡快對(duì)出境所涉的數(shù)據(jù)規(guī)模、范圍、種類、敏感程度、以及處理的目的、范圍、方式等情況進(jìn)行盤點(diǎn)。
2.確定數(shù)據(jù)出境的合規(guī)路徑。不同的數(shù)據(jù)出境活動(dòng)可能適用不同的合規(guī)路徑,如安全評(píng)估、標(biāo)準(zhǔn)合同、專業(yè)認(rèn)證等。建議企業(yè)從自身性質(zhì)、數(shù)據(jù)性質(zhì)、數(shù)據(jù)量級(jí)等角度,依法確定其數(shù)據(jù)出境活動(dòng)是否需適用安全評(píng)估。
3.開(kāi)展自評(píng)估。自評(píng)估是所有數(shù)據(jù)出境活動(dòng)均適用的內(nèi)部機(jī)制,但根據(jù)不同的合規(guī)路徑,具體的評(píng)估項(xiàng)存在一定差異。建議企業(yè)設(shè)計(jì)、整合自評(píng)估的流程與內(nèi)容,滿足不同法律法規(guī)對(duì)自評(píng)估的要求,并切實(shí)開(kāi)展自評(píng)估工作、形成可提交監(jiān)管機(jī)構(gòu)的評(píng)估報(bào)告。
京ICP備05019364號(hào)-1 .png "備案圖標(biāo).png"){kind=small}
京公網(wǎng)安備110105011258
近日,北京市海問(wèn)律師事務(wù)所(“本所”)發(fā)現(xiàn),網(wǎng)絡(luò)上存在將一家名為“廣州海問(wèn)睿律咨詢顧問(wèn)有限公司”的主體與本所進(jìn)行不當(dāng)關(guān)聯(lián)的大量不實(shí)信息,導(dǎo)致社會(huì)公眾產(chǎn)生混淆與誤解,也對(duì)本所的聲譽(yù)及正常執(zhí)業(yè)活動(dòng)造成不良影響。
本所特此澄清,本所與“廣州海問(wèn)睿律咨詢顧問(wèn)有限公司”(成立于2025年11月)不存在任何隸屬、投資、關(guān)聯(lián)、合作、授權(quán)或品牌許可關(guān)系,亦從未授權(quán)任何主體以“海問(wèn)”的名義提供法律咨詢服務(wù),該公司的任何行為與本所無(wú)關(guān)。更多詳情,請(qǐng)點(diǎn)擊左下方按鈕查看。
