2022年9月,国家互联网信息办公室发布《数据出境安全评估办法》(下称《办法》),规定了数据处理者在数据出境活动中所要承当的数据安全保障义务以及相应的法律责任。由于该《办法》尚未明确企业在申报数据出境安全评估时需要履行哪些流程,企业对于数据出境业务合规一直存在诸多困惑。
由于《办法》自2022年9月1日期施行,并要求不符合该办法的数据出境业务的数据处理者需要在2023年3月1日之前完成整改。这也意味着,留给企业调整的时间已经进入倒计时。并且,在审核流程细节及内部合规流程均未理顺的背景下,企业合规压力陡然提升。
积极的信号是,2022年9月,北京市互联网信息办公室完成了首都医科大学附属北京友谊医院与荷兰阿姆斯特丹大学医学中心合作研究项目的审批,成为全国首个数据合规出境案例。同时,北京市申报的中国国际航空股份有限公司项目作为全国第二个数据出境案例也于近期成功获批通过。这些先行案例意味着《办法》切实落地,数据出境安全评估机制真正成为企业数据业务合规的重要内容,中国数据跨境传输也正式步入“申报评估”时代。
本文力图通过企业和监管机构两方的视角,找到一条既能解决企业当下困惑,又能促进《办法》可持续落地的路径。
企业:数据出境合规转型“迫在眉睫”
企业该如何应对“迫在眉睫”的合规压力?
首先,“3月1日之前完成整改”并不等同于“企业需要在3月1日之前数据出境申报审核通过”。客观计算,企业从省级网信办到国家网信办完成申报审核流程大概需要1个月左右,短时间内企业不可能在“3月1日之前”完成所有数据出境申报流程。法律不可能强人所难。
所以,现阶段,企业更需要在3月1日之前向省级网信部门提交数据出境安全评估申报及其相关材料。因为一旦逾期且继续大规模批量跨境传输数据,根据情节轻重,企业及其主管人员将面临不同程度的民事责任和行政责任。
其次,部分中小企业没有必要出于降低合规成本的目的关停数据出境业务。
此前两个案例的公布,为其他市场主体展示了高效率、低成本的数据合规出境可能性。虽然《办法》规定了复杂的企业风险自评估和申报材料填写,但公开案例显示,网信部门正在努力优化审批流程,细化申报材料填写标准,尽可能缩减审核周期。
最后,为了尽可能降低数据合规成本,企业需理解网信部门的监管标准和审核立场。
一方面,为了预防数据出境不规范可能造成的国家安全和社会公共利益受损,网信部门通常会要求申报机构提交《数据出境安全评估申报书》《数据出境风险自评估报告》等申报材料,确保申报机构对于自身数据出境风险形成全面准确认知。如《数据出境风险自评估报告》中,明确了申报机构有关数据安全保障能力、出境数据规模和类型等评估事项。其中,“风险可控”正是通过全面且细致的风险自评估与他评估实现事前可预防、事中可响应、事后可救济的风险控制能力。
另一方面,为确保企业的数据出境风险可控,监管机构对于申报材料的审批既包括形式查验,即确认申报机构是否按照模板填写和提交申报材料;也包括实质查验,即针对申报材料填写内容的完整性、真实性和准确性进行查验。通过双重查验,监管机构能够全面评估企业可能遭遇的风险类型以及应对方案。
实践中,部分企业不清楚需要具体填写哪些内容以及详细程度。结合此前两个案例来看,数据出境安全评估申报材料的填写原则是“重点突出,风险可控”,以能够准确反映潜在风险以及安全保障措施为具体判断标准。如企业在填写《数据出境安全评估申报书》中第14项“数据处理”时,无需事无巨细地罗列所有的数据业务合规情况,突出具有较强的安全风险管理能力以及规范化的合规能力即可。
监管机构:兼顾数据安全和利用
良好的制度离不开有效的实施,首个数据合规出境案例发挥了示范效用,也表明安全评估机制将成为中国数据安全出境的重要保障。
首先,该案例有三个“特殊性”:第一,出境数据类型特殊。涉及医疗领域重要数据和敏感个人信息,这为国际医疗科研合作指明了业务合规方向。第二,数据接收方特殊。境外数据接收方是荷兰阿姆斯特丹大学医学中心,一旦中荷双方展开科研数据双向交流合作,势必会涉及到欧盟《通用数据保护条例》与《办法》之间的业务合规协调。第三,案例公布时间特殊。该案例公布恰好在《关于构建数据基础制度更好发挥数据要素作用的意见》(又称《数据二十条》)发布后的一个月内,这证明了数据安全评估机制不是为了数据出境增设不必要的门槛,而是为了进一步推动数据要素的市场化配置,数据出境同样是“数据基础制度”的组成部分。
其次,企业需要理解,数据合规出境不是模板式合规,也不是流程式合规,而是根据申报主体的行业属性、出境数据类型与数量以及具体的审核单位,进行有差异化的安全风险评估。因为,从实践情况来看,地方网信部门的数据安全评估流程以及需要提交的审核材料存在地域差异性。
需要澄清的是,这种监管活动的差异性并非反映了中央与地方、各地方监管标准不统一,而是监管机构为了完善贴合商业实践和行业需求,所必须经历的先行探索过程。
此外 ,申报主体填写的申报信息需要反映本行业数据安全风险特性。“第一案”和“第二案”分别涉及了医疗健康数据、航空工业数据。因此,企业在决定提出数据出境安全评估之前,还需要结合自身业务特征,填写具有行业和个案特征的安全风险信息。
总结来说,此前两个案例的审批通过,说明了中国数据合规出境的基本监管立场是兼顾数据安全和数据利用。申报材料看似麻烦,实则是为了通过流程化、标准化的审批流程,一步步将风险控制在可接受范围内。
展望:如何“规范化”“多元化”“体系化”
北京市互联网信息办公室公布的数据合规出境案例以及相关出境咨询业务数据表明,中国数据出境正在朝向“规范化”“流程化”和“体系化”的特征发展。
面向未来,在落实和完善《办法》的过程中,首先,国家网信办及各级网信部门应该会尽可能明确彼此之间的审核标准和审核流程,在统一的审核评估框架下兼顾申报主体和出境数据的差异性。
例如,为了降低企业数据合规出境的实际成本,网信部门应该会明确内部工作流程,为前来咨询的企业提供更为准确的申报信息。此外,伴随申报主体数量的日益增多,过往的申报信息应当尽可能详细地加以披露,以供相同行业的申报主体参考。
总而言之,探索“规范化”和“多元化”的数据合规出境模式,提升监管措施的灵活性和动态性是应有之义。既要保障数据安全出境,也要实现数据高效出境和高质量数据双向流动。
其次,在深入的数据出境商业实践和监管实践中,数据安全风险的预防与治理需要在评估制度基础上,不断优化风险评估流程和评估事项,遵循数据流动方式和基本特征,持续优化数据合规出境机制的实践路径。
最后,在“体系化”方面,除了《办法》,已经公布的《个人信息出境标准合同规定(征求意见稿)》《个人信息保护认证实施规则》等也将为企业数据出境提供更符合自身商业模式需求的制度方案。
未来,“规范化”“多元化”“体系化”的数据合规出境路径,也将与《个人信息保护法》涉及的个人信息合规出境体系予以衔接,更能灵活适应信息技术创新、应用场景、行业属性以及境外风险等因素的变化。
