《数据出境安全评估办法》常见问题汇总、解读和场景应用 | 数据法评
作者:高云 曾理
国家互联网信息办公室近日公布《数据出境安全评估办法》(以下简称《办法》),自2022年9月1日起施行。该《办法》的指定对于规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,具有重大意义。在此,本文推出《数据出境安全评估办法》的常见问题汇总、解读和场景应用,以供广大读者和相关专业人士共同学习和探讨。
目录
第一部分:关键定义
一、什么是“数据出境”?有哪几种常见类型?
二、“数据出境安全评估”的触发条件有哪几种?
三、什么是“关键信息基础设施运营者”与“重要数据”?
四、什么是“敏感个人信息”?如何判断?
第二部分:安全评估
五、企业向网信部门申报出境安全评估,需提供什么材料?
六、办理数据安全评估的具体步骤?
七、企业内部自评估与国家网信部门安全评估有什么差异?
八、数据出境安全评估的结果有效期系多久?
九、数据出境自评估只能由企业自行开展吗?
十、已订立标准合同或经过个人信息认证的,还需要进行安全评估吗?
第三部分:标准合同
十一、数据处理者与境外接收方签署数据出境合同有什么要求?
十二、“法律文件”与“标准合同”有什么区别?
第四部分:合规建议
十三、律师对于企业数据出境合规项目有什么具体建议?
十四、违反《办法》可能面临何种处罚?
第一部分:关键定义
一、什么是“数据出境”?有哪几种常见类型?
图:主要的数据出境情形判断示例
二、“数据出境安全评估”的触发条件有哪几种?
触发条件有四种,达到其中之一即应当启动出境安全评估,分别为:
(1)向境外提供重要数据;
(2)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(3)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(4)国家网信部门规定的其他需要进行安全评估的情况。
企业应根据以上情况判定是否应当进行出境安全评估。
三、什么是“关键信息基础设施运营者”与“重要数据”?
从实务角度出发,虽然《数据安全法》规定由各地区、各部门负责确定本地区、本部门以及相关行业、领域的重要数据目录,但目前仅汽车领域出台了《汽车数据安全管理若干规定(试行)》对此做出尝试,其他领域的重要数据识别指南仍有待进一步细化。
四、什么是“敏感个人信息”?如何判断?
敏感个人信息属于个人信息的一部分,凡是能够定位到特定主体、特定自然人活动的信息就是个人信息,而在全部个人信息中,一旦泄露能够对个人人身、财产、人格尊严造成伤害的信息属于敏感个人信息。最新发布的《中华人民共和国个人信息保护法》对于敏感个人信息进行了列举,归纳为7类:
(1)生物识别:如人脸识别;
(2)宗教信仰;
(3)特定身份(十四周岁以下未成年人等);
(4)医疗健康;
(5)金融账户;
(6)行踪轨迹;
(7)等信息(现在不能列举的敏感个人信息)。
但对于敏感个人信息的具体认定与适用,目前律师及法务需要结合个人信息的信息主体、信息处理者、使用目的、危害后果等多个维度,以及需要对个案或个别企业的情况及业务场景进行综合考虑来判断相关信息是否应属于敏感个人信息,可以从以下四个方面进行考虑:
第二部分:安全评估
五、企业向网信部门申报出境安全评估,需提供什么材料?
企业向网信部门申报出境安全评估,需提供:
(1)申报书;
(2)数据出境风险自评估报告;
(3)数据处理者与境外接收方拟订立的法律文件;
(4)安全评估工作需要的其他材料。
六、办理数据安全评估的具体步骤?
根据《数据出境安全评估办法》第七条、第十一条、第十二条、第十三条的要求,数据出境安全评估的具体流程如下图:
数据出境安全评估申报流程图
七、企业内部自评估与国家网信部安全评估有什么差异?
八、数据出境安全评估的结果有效期系多久?
根据《办法》第十四条,出境安全评估的结果有效期为2年。如果发生实质性变化,企业应当重新申报评估,启动重评的情形有:
(1)向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的;
(2)境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的;
(3)出现影响出境数据安全的其他情形。
此外,当有效期届满,企业需要继续开展数据出境活动的,应当在有效期届满60个工作日前重新申报评估。
九、数据出境自评估只能由企业自行开展吗?
数据出境风险自评估可由企业自行开展,也可委托第三方机构开展。若企业自行开展自评估,建议评估团队涵盖数据出境安全相关人员;若企业委托第三方机构开展自评估,评估报告应加盖评估机构公章,第三方机构在自评估过程中对知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密;若选择有涉外背景的第三方机构开展自评估,应注意规避数据二次出境或转移风险。
十、已订立标准合同或经过个人信息认证的,还需要进行安全评估吗?
第三部分:标准合同
十一、数据处理者与境外接收方签署数据出境合同有什么要求?
十二、“法律文件”与“标准合同”有什么区别?
在《办法》所要求提交的申报资料包括“数据处理者与境外接收方拟订立的法律文件”(“法律文件”),《评估办法》第九条规定:
数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,至少包括以下内容:
(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;
(三)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;
(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施;
(五)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;
(六)出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。
虽然“法律文件”在内容要求上类似合同,但是不限于合同一种形式,例如有约束的集团公司内部管理制度理论上也符合要求。
《个人信息保护法》第三十八条第一款规定:
个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务:
(四)法律、行政法规或者国家网信部门规定的其他条件。
《数据出境安全评估办法》提到的“法律文件”与《个人信息保护法》提到的“标准合同”不同,两者区别主要包括如下几个方面:
第四部分:合规建议
十三、律师对于企业数据出境合规项目有什么具体建议?
《办法》施行前已经开展的数据出境活动,不符合规定的,应当自办法施行之日起6个月内完成整改,即2023年3月1日后不符合办法规定的数据出境活动应终止。有以下具体建议:
第一,分类整合企业内部跨境业务,制定整改规划。对核心业务所涉及的数据出境,或者所涉数据类型敏感(例如敏感个人信息和重要数据)、风险较高的业务场景,可以作为优先整改项,其他跨境场景则可以作为次优先项进行调整。同时尽快落地数据分级分类管理,建立出境必要性审查制度,非必要信息匿名化或终止出境,分级调整境外信息访问权限。
第二,尽快制定自评估流程,创建评估所需的工具清单,明确对数据出境方和数据接收方的要求,要求境外接收方配合提供自评估和政府评估所需的信息,参考《标准合同规定(征求意见稿)》起草数据出境合同,完善自评估程序。
第三,推动出境数据的本地化存储。关键信息基础设施运营者和处理个人信息达到国家网信办规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估。为顺利通过数据出境通报,企业应尽快在整改期内将境内收集的数据先行存储在境内数据系统或境内云服务平台后再行向境外传输。
十四、违反《办法》可能面临何种处罚?
——————————————————————
作者:
汪宏杰(笔名:高云),广东启源律师事务所高级顾问、“高云合同六法”创始人。汪宏杰于1993年成为执业律师,至今从事法律专业工作30年,长期从事不良资产、IPO、并购重组、网络安全和数据合规等方面法律事务,曾为多家国内外知名企业例如广州点动信息科技股份有限公司提供过网络服务和数据安全方面的尽职调查、风险评估、制度和体系建设等专项法律服务,系国内最早一批涉足数据法律实务并且获得丰富实务操作经验的法律专业人才之一。
曾理,高云律师团队-实习律师、《民法典时代合同实务指南》作者成员,从业至今一直专注于知识产权、不正当竞争、网络数据安全、企业数据合规等新型法律业务,服务客户覆盖了金融、健康医疗、呼叫中心、人工智能、电商等多个行业,系具备“互联网+法律”思维的新锐法律人。
