Part2:数据出境安全评估高频问题与适用解读(二)

来源:出海互联网法律观察

文章摘要
导言 随着《数据出境安全评估办法》《个人信息保护认证实施规则》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》的公布,由《个人信息保护法》第三十八条确定的数据出境路径的实践脉络已经越发清晰,
导言
随着《数据出境安全评估办法》《个人信息保护认证实施规则》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》的公布,由《个人信息保护法》第三十八条确定的数据出境路径的实践脉络已经越发清晰,可以判断,数据出境合规是企业开展国际业务必须面对的课题。
我们一直专注于网络法实务,特别是数据合规实务工作,在日常为各大企业提供合规服务的过程中,亦遇到各类新型的值得探讨的问题。为了方便实务,让数据出境需求者能够尽快的熟悉、理解我国关于数据出境的各项法律要求与规定,我们计划以前述规定为基础,对我国数据出境有关的法律问题进行一个全方位的解读,一方面对数据出境相关的法律法规进行分析,另一方面也就日常工作中遇到的高频出境问题进行总结。
报告全文获取方式:跨境无忧,合规先行|《数据出境100问》PRO版重磅发布:您的全球合规导航手册
我们热切地期待与各位同行朋友深入探讨各种新型问题,有任何数据合规实务需求与问题探讨,请随时联系王捷律师团队,联系方式见文末。
更新说明
本文章的V1.0版本更新于2022年7月,彼时《个人信息出境标准合同办法》仍在征求意见稿阶段,《数据出境安全评估办法》亦刚刚发布。
在本次2024年4月的更新中,本专题补充了个人信息保护认证、粤港澳大湾区标准合同、境外个人信息跨境传输部分,根据《促进和规范数据跨境流动规定》、《数据出境安全评估申报指南(第二版)、《个人信息出境标准合同备案指南(第二版)》的最新规定进行了更新,对原有部分,包括数据出境关键概念剖析、数据出境安全评估、个人信息出境标准合同等部分,均进行了更新或更正。
系列预告
本系列文章将分为以下七部分,将在本公众号持续更新。
第一部分:数据出境关键概念剖析
第二部分:数据出境安全评估高频问题与适用解读
第三部分:标准合同高频问题与适用解读
第四部分:粤港澳大湾区(内地、香港)个人信息跨境流动标准合同
第五部分:个人信息保护认证高频问题与适用解读
第六部分:数据出海实践关键问题与海外SCCS要点对比
第七部分:境外个人信息跨境传输
本篇是第二部分内容,主要就数据出境安全评估高频问题与适用进行梳理和解读。
第二部分:数据出境安全评估高频问题与适用解读
《安全评估办法》的发布促进了我国维护数据安全及保护数据利益的制度设计到实践操作的良性衔接,《安全评估办法》共包括二十条,对安全评估的目的、适用范围、评估程序、评估内容、评估效果等各进行了全面规定。随后发布的《安全评估申报指南》,对数据出境安全评估的相关定义、申报方式、申报流程和申报材料等做出了进一步说明,为企业申报安全评估提供了明确的指引。此外,在实践过程中,部分省级网信部门通过发布指引,补充了一些申报评估的操作细节。
2024年3月22日,《数据跨境流动规定》的发布对数据出境安全评估路径进行了重大调整,同期发布了《安全评估申报指南》的第二版。
需要通过数据出境安全评估开展数据跨境传输的企业,需要参照《安全评估办法》和《安全评估申报指南》申报安全评估,准备申报安全评估的相关事项及流程,以避免因违反《安全评估办法》、《安全评估申报指南》的规定而导致企业的数据出境活动受到影响。本专题的第二部分,将汇总《安全评估办法》《安全评估申报指南》《数据跨境流动规定》的高频问题以及适用难点,以各省网信部门新增的细节为补充,结合团队多年的数据出境业务经验,为大家带来详细解读。
Q44:企业开展自评估有哪些难点?
01、启动自评估的时间节点:企业开展自评估的时间不能过早,应在申报前3个月内完成。
02、法律文件的规范性:《安全评估办法》和《安全评估申报指南》第二版中对数据处理者与境外接收方签订的法律文件提出了较高的规范要求。法律文件看似只明确提及要求约定数据安全保护责任义务,但这些义务的涵盖范围非常广泛。企业必须事先了解相关立法,从而起草符合规范要求的法律文件条款,同时避免违法违规风险和法律冲突;事中关注法律和数据出境动态等,确保境外接收方可持续保障数据安全;约定安全事件发生后应当启动的补救措施,以全方位确保在数据出境活动中的合法性和合规性。
03、文件或数据的收集和整理困难:自评估涉及企业管理组织体系和制度建设、技术措施、数据规模等多项内容,涉及的文件或数据的时间跨度大,涉及的范围广,且可能需要联合或调度多个部门(如合规部门、业务部门、信息化部门、信息安全部门等)收集相关文件和数据并整理,因此企业组织自评估的难度大且专业要求高。
04、风险评估的客观性:自评估第三部分为风险评估,而风险评估涉及到主观判断和预测,不同人对风险的认知和评估可能存在差异,因此对进行风险评估的人员提出了较高要求,需要确保风险评估过程的客观性、全面性。
05、整改措施的落实和效果评估:自评估不仅需要评估问题和风险,还需要确定相应的整改措施并确保其有效实施,同时还需要对整改效果进行评估和监测,这需要企业具备一定的管理和执行能力。
综上,在评估实施过程中,建议企业以涉及数据出境的业务为主线,全面梳理和掌握数据出境活动所涉及的主体、技术、管理制度、法律合同的全貌和细节。企业将自评估纳入企业日常的数据合规管理体系中,从业务开展之初即开始筹划,把自评估贯穿企业数据出境的全程,实现降本增效的同时,更好地把握自评估的开展进程,既符合申报前3个月内完成风险自评估的规定,又降低申报不通过的可能性。
Q45:企业是否需要分开做个人信息保护影响评估以及数据出境风险自评估?
个人信息保护影响评估主要适用数据类型为个人信息的情形,数据出境风险自评估则可能涉及到更多数据类型,由于个人信息保护影响评估以及数据出境风险涉及的评估广度以及深度上的差异,对于不同类型的数据,企业都需要完成数据出境的,有可能存在分别需进行个人信息保护影响评估以及数据出境风险自评估的情况。
Q46:企业进行数据出境风险自评估以及个人信息保护影响评估的材料是否有可以共用的部分?
承接上一问,由于个人信息保护影响评估以及数据出境风险自评估涉及的评估广度以及深度上的差异,企业可能需要分别进行个人信息保护影响评估以及自评估。但是,这并不意味着二者没有可以共用的部分。
相反,许多企业在进行两项评估的过程中实际上有许多调查的事项材料是重合的,比如涉及到个人信息相关的目的、类型、使用范围、境外接收者保障信息安全的技术和管理制度、境外的责任承担义务等,这也提醒企业,在进行各项评估时,相关的评估材料可以进行及时备份和保存,以提高企业经办数据出境流程的效率。
在对个人信息主体的保护方面,数据出境风险自评估涵盖了个人信息保护影响评估的内容,可以合并进行评估。而对于涉及接收方所在国/地区的政策评估,则需要在个人信息保护影响评估中额外进行。
Q47:安全评估结果的有效期持续多久?什么情形下需要重新申报安全评估?
根据最新的《数据跨境流动规定》,数据出境安全评估的结果有效期为3年,自评估结果出具之日起算,延长了《安全评估办法》中的原本“2年”的有效期;同时亦删除了原有的有效期届满时需重新申报的规定,改为有效期届满但未发生需重新申报数据出境安全评估情形时的“延长评估结果”的制度,在该情形下数据处理者应当在有效期届满前60个工作日前通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请,经国家网信部门批准,可以延长评估结果有效期3年,但根据目前规定无法确定是否可多次延长、以及审批延长评估结果时需要提交哪些材料。
另外,根据《安全评估办法》第十四条的规定,如果企业在安全评估结果有效期内发生出现以下情形(即使是在评估结果有效期内),则需要重新申报评估:
01、向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的;
02、境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的;
03、出现影响出境数据安全的其他情形。
对于评估结果有效期即将届满且同时满足需重新申报安全评估(若如新涉及数据出境的业务)的企业,若想避免企业原有数据出境活动因原有的评估结果失效而终止,可考虑采用同时申请延长评估结果和开展重新申报安全评估的方式进行。
Q48:若企业不申报安全评估需要承担何种法律责任?
《安全评估办法》明确了企业违反《安全评估办法》规定的法律后果,包括依据《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规处理,若情节严重,构成犯罪的,还有被追究刑事责任的风险。我们为企业梳理以上法律中的相关规定如下,供企业参考:
01、《网络安全法》第六十六条中对违反在境外存储网络数据,或者向境外提供网络数据的行为处罚规定;
02、《数据安全法》第四十六条中针对向境外提供重要数据行为的处罚规定;
03、《个人信息保护法》第六十六、六十七条中对违反规定处理个人信息,或者处理个人信息未履行《个人信息保护法》规定的个人信息保护义务的行为处罚规定。
Q49:如果申报材料不符合规定或者对安全评估结果有异议的,企业如何进行补救?
《安全评估办法》及《安全评估申报指南》第二版完善了安全评估的救济流程,企业先把材料交给省级网信部门进行材料的完备性审查,当材料不齐全时,省级网信部门会退回并告知补充材料,企业可在此时补充材料,并向省级网信部门重新提交申报材料。在国家网信部门受理阶段,国家网信部门可能要求数据处理者补充、更正材料。若经国家网信部门评估后,数据处理者未通过安全评估,数据处理者对国家网信部门的评估结果有异议的,还可以在收到评估结果15个工作日内向国家网信部门申请复评,但需注意此复评结果为最终结果。
Q50:《数据跨境流动规定》施行前已经完成或者正在申报数据出境安全评估的,发现落入数据出境前置程序的豁免情形,应当如何处理?
面对当前的情况,企业可以考虑两个方向:一是继续开展现有程序,二是向国家网信办请求撤回已提交的申报。
企业可权衡各方面的因素,选择最符合自身长远利益和合规要求的方案。
若选择继续开展现有程序,若通过,企业将得到国家网信部门的安全评估结果,可作为企业数据出境方面合规的有效增信文件,但这也意味着企业可能需要继续投入资源来完成整个安全评估申报的过程。
若选择撤回申报,企业则无需承担申报安全评估的义务,但仍需履行其他义务,企业可能不确定目前已采取的合规措施是否完全符合法律法规的规定及监管机构的要求。为此,我们建议企业应当妥善保存与豁免相关的论证材料及其他义务的履行证明,以备后续可能的核查之需。
Q51:若企业安全评估申报未被通过,但落入可豁免情形,应当如何处理?
我们理解,企业仍可依据新规进行数据出境活动。但考虑到的安全评估申报未获通过,可能是因为未取得单独同意、未采取相应的安全保护措施、不符合“必要性”原则等原因而未通过,我们建议企业可进一步向国家网信部门询问不予通过的原因,发现已有的合规敞口,以进行相应合规整改,以面对豁免情形下亦需要受到的数据出境事中事后监管。
Q52:通过安全评估后是否还有其他持续性的审查?
即使通过了安全评估,并不意味着企业可高枕无忧。根据《数据跨境流动规定》第十二条的规定,网信部门从《安全评估办法》中的“坚持事前评估和持续监督相结合”改为《数据跨境流动规定》中的“强化事前事中事后全链条全领域监管”。若国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,将会书面通知数据处理者终止数据出境活动;数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估。
附:《数据出境安全评估申报指南》(第一版)和(第二版)对比表







技术驱动法律,专业成就未来