在“如何把大象装冰箱”的故事里,通过“打开冰箱-放进大象-关闭冰箱”三个一气呵成的动作,就能轻易将一头大象关入冰箱之中。显然,这个略带喜感的故事,似乎也应验在数据出境安全评估场景之中,那些看似云谈风轻评估填表的背后,仍然有着很多实质性障碍需要先行跨越,而这些实质性障碍,就仿佛是一个“套娃”游戏,需要企业提前预备,以逐个揭开他们的合规面纱,否则甚至难以跨出数据出境安全评估申报的第一步。
一、安全评估将成为主流出境路径
单就《网络安全法》《数据安全法》《个人信息保护法》三大顶层立法来看,数据出境安全评估仅仅只是诸多出境链路中的路径之一,且一般只适用于“关基数据”和“重要数据”,这两个处庙堂之高的数据往往看起来只影响一部分运营群体,在市场中看起来有点遥不可及。《个人信息保护法》《网络数据安全管理条例(征求意见稿)》《数据出境安全评估办法》《个人信息出境标准合同规定(征求意见稿)》在“个人信息”领域也明确了数据出境安全评估模式。
“个人信息”出境安全评估适用于静态和动态两类,静态条件是指“处理 100 万人以上个 人信息的数据处理者向境外提供个人信息”的情形,即凡个人信息处理者目前获客达“100 万人以上”的,其个人信息出境行为即需要通过出境安全评估方式实施,而不允许通过其它替代方案。在中国市场,“100 万人以上”应该是一个很容易就能达到的,2022年中国网民规模为10.51亿,我们随意翻阅并参考各大应用市场的app下载量,几乎很少看到低于100万量级的。
动态条件是指“自2021年 1 月 1 日起累计向境外提供 10 万人个人信息或者 1 万人敏感个人信息的数据处理者向境外提供个人信息”。当一个运营者的产品和服务纳入全球范围之中,或者属于大型跨国企业等情况下,上述动态数据仍然是较为容易达到的。当然,实践中也需要考虑何为一条个人信息及如何数据去重的问题。
因此,笔者认为数据出境安全评估将可能成为主流出境模式,适用出境标准合同而实施出境虽然看似“绕过监管”,但因其同样需要有繁锁的自评估工作,还不如一次到位,通过监管评估来得更为安全和合规。
这里需要提示国家机关这一数据处理者注意的是,根据个人信息保护法规定,国家机关处理的个人信息确需向境外提供的,应当进行安全评估。这在历个版本的法律规则中,似乎都被有意无意的疏漏略过了。在全球疫情大环境下,境内疫情个人信息有全球共享等场景中,亦可能多有触达。
二、出境安全评估中的“套娃”
数据出境安全评估并不仅仅只是作一些文字或填表游戏工作,也不仅是运营者在特定阶段决定进行出境安全评估就能马上集齐全部材料手续这么简单。在正式申报之前,还有很多绕不开的“硬骨头”需要预留时间提前准备,否则会在申报时发现“缺斤少两”而申报不得,错过预想的申报窗口。这些绕不开的“硬骨头”就像是一个俄罗斯套娃游戏,让看似平谈无奇的申报工作陷入巨大且不确定的准备工作之中,最终成为申报工作的拦路虎,消磨数据法律人的信心。
第一个套娃是《数据出境风险自评估报告》
自评估报告的制作是申报安全评估的前提,且根据《数据出境安全评估申报指南(第一版)》中的承诺书要求:“自评估工作为申报之日前 3 个月内完成,且至申报之日未发生重大变化。”这说明自评估报告和核酸报告有点类似,具有三个月的有效期,在准备申报材料过程中,必须死盯着自评估报告的落款日期。当然,企业往往也会通过延后自评估完成日的方式来“续命”。笔者尚不清楚“三个月有效期”的科学依据,但上述有效期显然和“数据出境安全评估结果有效期为2年”的有效期不相匹配。
需要说明的是,即使是数据未出境,企业也是需要实施自评估的,原因在于,只有通过自评估才能得出数据未出境且无须申报安全评估的结论。我们在既往实施和诸多数据出境自评估报告中,也难以绕过这个问题。
第二个套娃是数据安全负责人和管理机构
在《数据出境安全评估申报指南(第一版)》中,我们赫然看到《数据出境安全评估申报表》中要求填写“数据安全负责人和管理机构”的详细信息,这似乎是一种“变相”解释《个人信息保护法》关于要求设立负责人的“条款”,各大企业看来又得开始招人或实施人事任命了,毕竟现阶段并不是大部分企业都有这样的专门岗位或人才的。
《个人信息保护法》第五十二条规定:“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。”第五十三条规定:“本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。”《数据安全法》第二十七条规定:“重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。”上述条款规定了数据安全负责人和管理机构的要求,且《个人信息保护法》并未要求所有处理者均落实负责人,故,条款中的“达到国家网信部门规定数量的”显然也可以认定和100万、10万和1万敏感个人信息这些数量有关了,即凡是涉及到上述数据量级的企业均应当设立负责人了,这点才是隐入尘烟的细节。
而且,特别需要注意的是,不仅是境内数据出境方,境外的数据接收方也须配置并填写完整的数据安全责任人和管理机构情况,你怎么看?
第三个套娃是数据安全保障能力评估
《数据出境安全评估申报指南(第一版)》要求对数据安全保障能力实施评估,这看起来就是一个让数据处理者“重新做人”的杀手锏,在现有企业能力之下,几乎大部分企业都难以承受或完善,或者只能实施流于形式的合规。原因在于数据安全保障能力评估是一个非常宽泛的概念,从中抽离出任何一个,都可能成为企业难以在短期内就完成的死穴。
这些能力要求包括:(1)数据安全管理能力(管理组织体系和制度建设情况,全流程管理、分类分级、应急处置、风险评估、个人信息权益保护等制度及落实情况);(2)数据安全技术能力(数据收集、存储、使用、加 工、传输、提供、公开、删除等全流程所采取的安全技术措施等);(3)数据安全保障措施有效性证明(开展的数据安全风险评估、数据安全能力认证、数据安全检查测评、数据安 全合规审计、网络安全等级保护测评等情况)。
例如,数据的分类分级就不是一朝一夕就能完成的,麻策律师团队至今已协助多家客户进行了数据分类分级,出于企业内外部各种原因,几乎都难以在数月之内就完全达成,例如单单一个数据分类分级的制度就非常耗费企业精力,甚至大部分企业根据就没有分类分级的合规意识。更不要说各类安全等级评测、安全能力认证等等外部认证了。
特别需要说明的是,在评估报告中,也需要对境外接收方的数据安全保障能力进行论述。
三、申报评估准备
目前仍不清楚三个核心“套娃”在企业数据出境安全评估申报中是否属于正向评估结果的必填项,也不清楚企业应当完成三个核心“套娃”的合规程度和深度,仍有待实践磨合中达至平衡。
但是,不管如何,凡有需要实施出境安全评估申报的企业,申报大限要实施时间倒推计算了。即,最晚应当在2023年3月1日前最终获得国家网信部门的允许出境的评估结果。最晚应当在理想的评估流程日前提出申报,5个工作日(完备性查验)+7个工作日(受理并书面通知)+45个工作日(完成数据出境安全评估),即理想状态下,至少应当在2023年1月1日前提出申报。当然,上述日期还未包括可能无法纳入考虑的如下因素:系统申报问题、完备性查验退回、提报延迟、完全不可预计的评估流程延长和复评等各个环节。
好吧,再考虑到上述几个重大的套娃问题的事先处理、境外主体事前沟通对接等等工作,掐指一算——明天起床就给我们数据出境申报团队打电话并开始准备申报的话,似乎还来得及!
简评《数据出境安全评估申报指南》:完成一个“套娃”游戏!
作者:麻策来源:网络法实务圈

在“如何把大象装冰箱”的故事里,通过“打开冰箱-放进大象-关闭冰箱”三个一气呵成的动作,就能轻易将一头大象关入冰箱之中。