9月1日,备受关注的《数据出境安全评估办法》(下称《安全评估办法》)正式生效,该办法于5月19日由国家网信办2022年第10次室务会议审议通过,并于7月7日公开发布。
在《安全评估办法》生效的前一天,国家网信办在深夜发布《数据出境安全评估申报指南(第一版)》(下称《申报指南》),对数据出境安全评估的申报方式、申报流程、申报材料等做出具体说明。
按照《安全评估办法》的要求,数据出境活动只要达到相关标准,都应提交安全评估申报。
未来,哪些企业可能需要申报数据安全评估?申报的流程是什么?自评估意味着什么?可能面临哪些挑战?
财经E法采访了多位业内资深人士,对这些问题加以解读。
申报的流程是什么?
《申报指南》要求,数据处理者因业务需要确需向境外提供数据,符合数据出境安全评估适用情形的,应当根据《安全评估办法》规定,申报数据出境安全评估。
相关的申报流程为,符合申报条件的数据出境活动,应当通过所在地省级网信办申报数据出境安全评估,并明确了相应的受理的时间。
具体来说,省级网信办收到申报材料后,在5个工作日内完成申报材料的完备性查验。通过完备性查验的,省级网信办将申报材料上报国家网信办。
国家网信办自收到省级网信办上报申报材料之日起 7个工作日内,确定是否受理并书面通知数据处理者。数据处理者如被告知补充或者更正申报材料,应当及时按照要求补充或者更正材料。无正当理由不补充或者更正申报材料的,安全评估将会终止。情况复杂的,数据处理者将被告知评估预计延长的时间。
评估完成后,数据处理者将收到评估结果通知书。
北京德恒律师事务所合伙人、网络安全应急技术国家工程实验室数据安全咨询专家刘扬对财经E法表示,“从内容来看,《申报指南》旨在引导和帮助数据处理者规范、有序申报数据出境安全评估。”
刘扬自《安全评估办法》征求意见开始,一直在持续关注数据出境领域,也配合相关机构进行一系列的调研。他发现,参与调研的企业对于《安全评估办法》的落地总体上是持欢迎的态度,但对如何具体操作,还存在着一些疑问。刘扬认为,《安全评估办法》正式实施前一天,《申报指南》面世,这正是回应企业关切问题的具体举措。
北京炜衡(成都)律师事务所合伙人魏冬冬律师也表示,《安全评估办法》生效之时,则意味着省级网信办就已开放接收数据出境申报材料的渠道,所以《申报指南》明确申报细节,是很及时的。
据魏冬冬了解,目前许多企业已经在梳理出境的数据流,还有不少企业建立了内部的数据出境项目组,制作相关的时间表,也有部分企业聘请了专业的律所等中介机构开展这项工作。
哪些企业可能需要申报?
《申报指南》对数据出境行为加以明确:(一)数据处理者将在境内运营中收集和产生的数据传输、存储至境外;(二)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;(三)国家网信办规定的其他数据出境行为。
哪些企业会受到《安全评估办法》的规制?
魏冬冬认为,一类是全球化运营的企业,比如中国境内的外资企业,这类企业出于业务和管理需要,大量境内的业务数据和员工数据都有出境的需求;另一类是其业务本身需通过数据出境才能完成的企业,比如开通国际航线的航空公司、在境外开展业务的基础设施建设和能源类企业。
《安全评估办法》明确规定需要申报的四种情形:(一)数据处理者向境外提供重要数据;(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。
北京理工大学法学院助理教授、北京知识产权法研究会副秘书长裴轶则认为,以100万人和10万人个人信息来说,很多企业都会达到这个标准。
“按照目前的申报门槛,基本上会囊括所有开展国际业务的企业,包括平台企业和传统企业”。她以汽车企业举例,“每辆车都有唯一的车架号,这会跟车主信息绑定。对于车企来说,如果不将车主的个人信息备案,无法做后续的售后服务,这就意味着车辆进出口都会涉及跨境数据处理。”裴轶透露,在《安全评估办法》生效之前,已有相关企业邀请业内专家展开评估。
中国法学会网络与信息法学研究会副秘书长、中国社科院法学所网络与信息法室副主任周辉此前对财经E法表示,在《安全评估办法》制定过程中,100万人的标准曾经有过争议,最终还是确定了这一标准,“虽然100万人占中国人口的比重并不大,但是要放在全球范围内来看,已是很大的规模。”
自评估意味着什么?
2016年通过的《网络安全法》首次提出建立“数据出境安全评估”制度。其中第三十七条规定,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定”。
2021年,《数据安全法》和《个人信息保护法》先后出台,扩展了数据出境安全评估制度的实施范围,不再局限于关键信息基础设施运营者。
中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋曾告诉财经E法,通过一系列立法,中国完善了数据出境安全评估制度的法律依据,《安全评估办法》则是明确了数据出境安全评估的具体制度。
毫无疑问,《安全评估办法》和《申报指南》对数据出境活动提出更高的合规要求。虽然安全评估并不属于行政许可,但在数据安全越来越被重视的背景下,企业需要尽到更高的合规义务。
刘扬具体解释,首先,数据出境评估是落实《网络安全法》《数据安全法》和《个人信息保护法》等法律的必然要求;其次,中国作为数据大国,出于对国家安全、公共利益、个人或者组织合法权益角度考虑,有必要对数据出境进行审查。
魏冬冬则指出,数据出境安全评估,其实不只局限于“数据出境”,其实是对企业数据合规体系的全面考验。看起来只是申报,但实质上需要企业对其掌握数据情况,以及相关的处理活动进行全面的梳理。
比如,《申报指南》要求,数据处理者申报数据出境安全评估时需提供自评估报告。自评估报告除了要说明数据出境涉及业务和信息系统情况、拟出境数据情况、境外接收方情况、法律文件约定数据安全保护责任义务的情况等,还需要提供数据处理者数据安全保障能力情况,其中包括数据安全管理能力——管理组织体系和制度建设情况,全流程管理、分类分级、应急处置、风险评估、个人信息权益保护等制度及落实情况;还包括数据安全技术能力——数据收集、存储、使用、加工、传输、提供、公开、删除等全流程所采取的安全技术措施等。
北京科技创新中心研究基地副主任、北京航空航天大学法学院助理教授赵精武指出,对于大规模传输个人信息或涉及重要数据出境业务的企业而言,需要严格遵循《申报指南》的流程,需要从内部管理制度进行业务合规优化,例如设置数据安全负责人岗位,独立负责和履行数据安全保障义务。
赵精武还提醒,在数据出境过程中,数据处理者需要明确股权结构,意图通过股权持有的方式隐藏实际的数据出境方将不再可能。赵精武也指出,目前《申报指南》要求的自评估报告主要以定性层面的风险判断为主,他建议,未来技术性评估指标和评估流程可以进一步细化。
可能面临哪些挑战?
数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险。
刘扬在前期的调研中发现,关于自评估中“出境数据的规模、范围、种类、敏感程度”“出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险”,以及出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险”,以及“境外接收方所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全”“境外接收方将出境数据再转移给其他组织、个人”等情况,是数据处理者最关心的问题。
魏冬冬也指出,境外接收方的配合程度,是许多企业普遍担心的问题。对于全球化运营企业来说问题不大,但对于因为业务需要数据出境的企业而言,《申报指南》要求提供较完整的境外接收方信息,比如“境外接收方处理数据的用途、方式”“境外接收方的数据安全保障能力”“境外接收方处理数据的全流程过程描述”等,对于一些在交易中不占强势地位的企业来说,获取这些信息有一定的困难。
裴轶则谈到另一方面的挑战,“数据出境后的安全保障对企业来说可能有较大的难度,写明合规指南并不难,但是去熟知当地法律,明确司法行政等的救济途径,比如企业在数据出境以后能够抗衡当地的司法或者政府的调取,实际上对企业提出了很高的要求。”
裴轶建议,企业应该提供清晰、明确的自评报告,“越是明确、一目了然的自评估报告,越容易获得通过。”但她也建议,对于达到申报标准的第一类情况,即“数据处理者向境外提供重要数据”的标准应更加明确。
实际上,重要数据的表述,在相关法规中已有出现。《数据安全法》第二十一条规定,要建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
在裴轶看来,重要数据指的是涉及国家安全、国计民生、公共利益等方面的数据。但她也表示,“对于什么是重要数据,在法律条文中,并无明确的列举性定义”。她建议应该在配套法规、相关指南及标准中给予更明确的指引。同时,地方政府也可根据当地的数字经济发展水平,给出“重要数据”的区域标准。
裴轶还指出,不同类型的企业面对合规义务,面临的挑战可能并不相同。具体而言,大企业相对而言有较充足的人力资源和资金支持,压力虽有,但并不算大。对于中小企业和初创企业而言,则可能因为合规成本太高,而被挤出市场。
裴轶表示,合规和市场竞争的不平衡是普遍现象,目前欧盟已经对此加以关注,并尝试减少中小企业的合规义务。她建议,中国在时机成熟时,可以考虑加以借鉴。
裴轶总结,《安全评估办法》和《申报指南》为企业合法合规地进行数据出境活动提供了具体指引,无疑有利于促进跨境数据的规范流动。
