数据出境须接受安全评估,有何意义和影响?

作者 | 财经E法 樊瑞 编辑 | 朱弢  

2022年07月08日 19:57  

本文4146字,约6分钟

中国对数据出境的安全评估有了明确规则。

7月7日,国家互联网信息办公室(下称“国家网信办”)公布《数据出境安全评估办法》(下称《办法》)。该《办法》自2022年9月1日起施行。

国家网信办有关负责人表示,出台《办法》旨在落实《网络安全法》《数据安全法》《个人信息保护法》的规定,规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,切实以安全保发展、以发展促安全。

多位专家在接受财经E法采访时表示,《办法》弥补了数据出境的安全漏洞,健全了数据出境安全屏障。他们建议,相关企业在数据出境活动发生前,应依法开展风险自评估、申报,并通过数据出境安全评估。

01

什么情况需要安全评估?

《办法》中明确,其适于数据处理者向境外提供在中国境内运营中收集和产生的重要数据和个人信息的安全评估。同时,提出数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合等原则。

《办法》明确,数据出境活动包括两种情况:一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或调用。

《办法》还规定,在四种情况下,数据处理者应当申报数据出境安全评估。

(一)数据处理者向境外提供重要数据;(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。

根据《关键信息基础设施安全保护条例》,关键信息基础设施运营者,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等的运营企业,大型电信运营商、能源企业、民航公司、金融机构等都属于此类主体范围。

而为何将处理100万人的个人信息作为是否需要进行安全评估的标准?中国法学会网络与信息法学研究会副秘书长、中国社科院法学所网络与信息法室副主任周辉透露,在《办法》制定中,100万人的标准曾经有过争议,“虽然许多中国企业的用户都可能超过这一标准,虽然100万人占中国人口的比重并不大,但是要放在全球范围内来看,这是很大的一个规模。”

北京德恒律师事务所合伙人、网络安全应急技术国家工程实验室数据安全咨询专家刘扬对财经E法表示,“我的理解是,对达到100万人以上个人信息的数据处理者的安全要求,应当等同于关键信息基础设施运营者”。也就是说,相关机构如果出现数据安全问题,对公众造成的影响不低于关键信息基础设施运营者。

那么,哪些类型的个人信息会受到重点关注?周辉指出,结合《个人信息保护法》的有关规定来看,个人信息是以电子或者其他方式记录的,与已识别或者可识别的自然人有关的各种信息,但不包括匿名化处理后的信息。例如,个人的账号密码、身份证件号码、出生日期等。此外,还包括敏感个人信息,即一旦被泄露或被非法使用,容易导致具体个人人格尊严受到侵害,或人身、财产安全受到危害的个人信息,具体包括生物识别、宗教信仰、特定身份、健康状况、金融账户、行踪轨迹等信息,以及不满14周岁的未成年人的信息。

02

如何进行安全评估?

根据《办法》,数据出境安全评估主要包括七个方面。

一是数据出境的目的、范围、方式等的合法性、正当性、必要性。

二是境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中国法律、行政法规的规定和强制性国家标准的要求。

三是出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险。

四是数据安全和个人信息权益是否能够得到充分有效保障。

五是数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务。

六是遵守中国法律、行政法规、部门规章情况。

七是国家网信部门认为需要评估的其他事项。

《办法》也明确了数据出境安全评估的具体流程。

首先是数据处理者在申报前,应当开展自评。此后,应通过所在地省级网信部门向国家网信部门提交申报,而国家网信部门在收到申报材料之日起7个工作日内,确定是否受理,并通知申报者。受理申报后,国家网信部门组织国务院有关部门、省级网信部门、专门机构等进行安全评估。国家网信部门在发出受理通知书之日起45个工作日内完成评估。通过数据出境安全评估的结果有效期为2年。如果在有效期内,发生影响出境数据安全的情况,需要重新申报评估。

距离《办法》正式生效不足两月,将对企业产生什么影响?

世辉律师事务所合伙人王新锐指出,本身用户数量较多(即超过100万)的企业,以及业务中涉及大量出境场景的跨国企业,都会受到较大影响,可能触发安全评估。

周辉表示,《办法》实施后,将对达到评估申报标准的数据处理者产生约束性影响,尤其是金融、电信、卫生健康、能源、民航等重要行业和领域。这些领域的机构向境外提供的数据,一方面可能涉及国家安全、经济运行、社会稳定、公共健康和安全的重要数据;另一方面因为自身被确定为关键信息基础设施运营者,同时,其处理数据的量级轻易即可达到“100万人以上”。

周辉建议,上述相关行业,应当尽快适应《办法》的要求,在数据出境活动发生前依法开展自评估、申报并通过评估。如果目前不符合《办法》的管理要求,应当在《办法》规定的期限(2023年3月1日)前完成整改。周辉还表示,这可能意味着数据出境活动频率、数量会受到一定程度的影响。一些难以在期限内完成整改的数据出境业务,可能因合规要求而暂停甚至终止。

刘扬建议,在进行数据出境安全评估过程中,应当结合企业实际情况,聘请专业人员辅助评估,形成规范化流程。

03

补齐数据出境的安全屏障

在全球化的背景下,中国的数据出境已呈常态化趋势。

周辉指出,随着全球数字经济的快速发展和大数据、互联网等技术的广泛应用,数据出境活动日益普遍。目前,一些国家和地区已建立起有关数据出境的管理制度,几乎都将数据跨境安全作为重点和出发点。

2022年5月19日,《办法》经国家网信办2022年第10次室务会议审议通过。《办法》共有20条,规定了数据出境安全评估的范围、条件和程序,为数据出境安全评估提供了具体指引。

中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋告诉财经E法,数据是国家的战略资源,“如果一个国家对于数据出境不设防,相当于国家安全大门洞开。在当今社会,每一个国家都应当建立数据出境安全的有关管理制度”。《办法》要求,对可能会影响国家安全、公共利益的数据出境,要经过网信部门的安全评估。左晓栋指出,《办法》在很大程度上弥补了国家安全漏洞,健全了国家数据出境安全的屏障。

实际上,中国近年正在逐步完善对于数据出境的相关立法。

2016年11月,全国人大常委会通过《网络安全法》,其中第37条中规定,关键信息基础设施的运营者在中国境内收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当进行安全评估。同时明确,安全评估办法由国家网信部门会同国务院有关部门制定。

2021年,全国人大常委会先后通过了《数据安全法》和《个人信息保护法》,将数据出境安全评估制度的实施范围作出扩展,不再将其局限于关键信息基础设施运营者。

左晓栋指出,根据一系列立法,中国完善了数据出境安全评估制度的法律依据。他还指出,《数据安全法》和《个人信息保护法》建立了中国数据出境安全管理的基本框架,但具体落地还有待细则和明确。2021年10月29日,国家网信办发布了《数据出境安全评估办法(征求意见稿)》,8个月后,《办法》正式出台。

周辉指出,在《数据安全法》《个人信息保护法》实施前,国内不少机构的数据出境活动基本处于“裸奔”状态,有时数据权利人甚至都不清楚自己数据被出境,严重威胁着个人信息权益、社会公共利益乃至国家安全。通过立法确立了数据出境安全评估的基本制度后,涉及数据出境的机构也迫切希望尽快明确具体的规则,以解决合规标准不清晰的问题,《办法》由此应运而生。

04

数据安全出境的全球趋势

如何保证数据跨境流动的安全,是一个全球命题。

欧盟的数据跨境规则主要集中在《通用数据保护条例》(GDPR)中。周辉向财经E法介绍,GDPR强调向欧盟境外提供个人信息不得削弱对个人信息的保护力度,除了获得个人信息主体知情同意等特定例外情况外,具体要求包括:

第一,需要获得欧盟充分保护认定,这种认定实质上是欧盟对他国法律制度、监管机构设置、参加国际条约等方面的评估,是最严格的方式。一旦进入这一白名单,数据跨境的便利性最大。目前只有新加坡、瑞士、日本等极少数国家通过了认定。

第二,未通过认定国家的数据接收方,满足以下条件之一,欧盟的数据可以出境:1.其所在国与欧盟有数据跨境协议;2.采用欧盟委员会或欧盟委员会批准的成员国通过的标准数据保护条款;3.遵守经欧盟监管机构批准的行为准则,以及数据处理者自身的数据保护承诺。

第三,对于企业集团或跨国企业内部子公司及其雇员的数据跨境,可以遵循“有约束力的公司规则”。该规则由企业集团跨国企业制定,且需要经过欧盟监管机构批准。

左晓栋表示,中国的数据出境安全管理制度,应该说和国际惯例,特别是欧盟保持一致,“明确了数据出境安全的几种情形”。

而美国则有不同的处理方式。周辉表示,美国虽然自称数据自由流动,对数据跨境没有严格的法律限制,更多通过市场机制解决。但在2022年4月,美国宣布了全球跨境隐私规则 (CBPR)声明,试图将APEC框架下的数据跨境传输机制(CBPR)的适用扩展至全球范围。CBPR的核心是建立基于CBPR和处理者隐私识别系统(PRP)的国际认证体系,通过在全球推广CBPR和PRP系统,支持所谓的数据自由流动。