数据出境安全评估要点分析

来源:大成深圳办公室

文章摘要
随着全球化和数字化的发展,数据跨境流动已成为企业运营和国际合作的重要组成部分。然而,数据出境带来的风险也不容忽视,包括国家安全、公共利益和个人隐私等方面的风险。

随着全球化和数字化的发展,数据跨境流动已成为企业运营和国际合作的重要组成部分。然而,数据出境带来的风险也不容忽视,包括国家安全、公共利益和个人隐私等方面的风险。为了规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,我国相继出台了《数据出境安全评估办法》以及申报指南。本文将对数据出境安全评估的要点进行分析,以期为企业的数据合规工作提供参考。
一、数据出境安全评估的法律背景
我国数据出境涉及多部法律法规,其中三大基本法律体系是《网络安全法》、《数据安全法》、《个人信息保护法》。2022年,《数据出境安全评估办法》、《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》相继实施;2023年,《个人信息出境标准合同办法》正式发布。我国数据跨境的相关法律法规及政策指引文件逐步建成体系,形成了数据出境安全评估、个人信息保护认证、个人信息出境标准合同备案的三大数据出境合规路径。“数据出境安全评估”是其中最重要、也是最为复杂的一条合规路径。
2022年,《数据出境安全评估申报指南(第一版)》施行,对数据出境安全评估路径的实务操作细节作出了说明。2024年3月22日,《数据出境安全评估申报指南(第二版)》发布,对申报数据出境安全评估的方式、流程和材料等具体要求作出了说明,对数据处理者需要提交的相关材料进行了优化简化。
二、数据出境安全评估的要点
根据《数据出境安全评估办法》以及《数据出境安全评估申报指南(第二版)》的规定,进行数据出境安全评估的适用范围、申请程序等要点如下:
1、数据出境安全评估的适用范围
《数据出境安全评估办法》第四条规定:“数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:(一)数据处理者向境外提供重要数据;(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。”
《数据出境安全评估申报指南(第二版)》(以下简称 “《安评申报指南(第二版)》”)第一条规定:“数据处理者向境外提供数据,有下列情形之一的,应当申报数据出境安全评估:(一)关键信息基础设施运营者向境外提供个人信息或者重要数据;(二)关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。
属于《促进和规范数据跨境流动规定》第三条第四条第五条第六条规定情形的,从其规定。
以下情形属于数据出境行为:(一)数据处理者将在境内运营中收集和产生的数据传输至境外;(二)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;(三)符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他数据处理活动。”
《安评申报指南(第二版)》上述规定中提到的《促进和规范数据跨境流动规定》是国家网信办于2023年3月22日发布的,旨在促进数据依法有序自由流动,第三条、第四条、第五条、第六条规定了可免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的具体情形。
笔者团队办理的某知名一站式香港身份规划和咨询服务科技创新型企业的数据出境安全评估项目,数据出境场景属于《数据出境安全评估办法》第四条的第三项情形,因此需要依法向网信部门申报数据出境安全评估。在《促进和规范数据跨境流动规定》发布后,团队就该新规的适用与网信部门进行了多次沟通探讨,最终确认客户的数据出境场景符合新规第五条第一项、第四项情形,可免予申报数据出境安全评估。
2、数据出境安全评估的申报材料
《数据出境安全评估办法》第六条规定:“申报数据出境安全评估,应当提交以下材料:(一)申报书;(二)数据出境风险自评估报告;(三)数据处理者与境外接收方拟订立的法律文件;(四)安全评估工作需要的其他材料。”
《安评申报指南(第二版)》第三条规定:“数据处理者申报数据出境安全评估,应当提交如下材料(材料要求见附件1):1.统一社会信用代码证件影印件;2.法定代表人身份证件影印件;3.经办人身份证件影印件;4.经办人授权委托书(模板见附件2);5.数据出境安全评估申报书(模板见附件3);6.与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件;7.数据出境风险自评估报告(模板见附件4);8.其他相关证明材料。数据处理者对所提交材料的真实性负责,提交虚假材料的,按照评估不通过处理,并依法追究相应法律责任。”
因此,《安评申报指南(第二版)》包含了《数据出境安全评估办法》的内容,但是申报指南规定得更加详细,申报指南后还附上了数据出境安全评估申报材料要求表及部分材料文书的模板,为数据出境安全评估的申报者提供了较为明确的指引。
3、数据出境风险自评估报告的要点
根据《安评申报指南(第二版)》的附件4模板,数据出境风险自评估报告应包含自评估工作情况、出境活动整体情况、出境活动的风险自评估情况及结论这三个部分。其中,“出境活动整体情况”部分又细分为以下部分:数据处理者基本情况、拟出境数据情况、数据处理者数据安全保障能力情况、境外接收方情况、法律文件约定数据安全保护责任义务的情况、数据处理者认为需要说明的其他情况。附件4模板对于上述各细分部分的撰写也作出了具体说明,为实务操作提供了较好的指导。
数据出境风险自评估报告是进行数据出境安全评估的核心工作,也是目前实务申报中的重点、难点。申报者可以参照《安评申报指南(第二版)》的附件模板进行撰写,而对于过程中遇到的一些未作明确规定的具体细节问题,则需要与各地网信部门保持良好的沟通,探讨得出符合监管要求的申报标准。根据笔者团队办理数据出境安全评估项目的经验,安全评估的重点主要包括以下几个方面:
(1)数据出境的目的、范围、方式等的合法性、正当性、必要性:这是数据出境合规的基础,企业需要确保数据出境活动符合相关法律法规的规定,并具备合法、正当、必要的理由。
(2)境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响:企业需要评估境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境,以确保出境数据的安全。
(3)出境数据的规模、范围、种类、敏感程度:企业需要评估出境数据的规模、范围、种类、敏感程度,以及出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险。
(4)数据安全和个人信息权益是否能够得到充分有效保障:企业需要确保数据安全和个人信息权益能够得到充分有效保障,包括采取必要的技术措施和管理措施,确保数据的机密性、完整性和可用性。
(5)数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务:企业需要与境外接收方拟订立的法律文件中充分约定数据安全保护责任义务,以确保双方共同承担数据安全保护的责任。
(6)遵守中国法律、行政法规、部门规章情况:企业需要确保数据出境活动符合中国法律、行政法规、部门规章的规定,并接受相关部门的监管和检查。
4、数据出境安全评估申报流程
根据《安评申报指南(第二版)》第二条的规定,数据出境安全评估的申报主要包括以下流程:
(1)提交申报材料:应当通过数据出境申报系统提交申报材料,系统网址为https://sjcj.cac.gov.cn。关键信息基础设施运营者或者其他不适合通过数据出境申报系统申报数据出境安全评估的,采用线下方式通过所在地省级网信办向国家网信办申报数据出境安全评估,申报方式为送达书面申报材料并附带材料电子版,书面申报材料需装订成册。
(2)省级网信办完备性查验:省级网信办在数据处理者提交申报材料之日起5个工作日内完成申报材料的完备性查验,并向数据处理者告知查验结果。通过完备性查验的,省级网信办将申报材料提请国家网信办受理;未通过完备性查验的,省级网信办向数据处理者告知未通过完备性查验原因。
(3)国家网信办受理:国家网信办自收到省级网信办提交的申报材料之日起7个工作日内,确定是否受理并书面通知数据处理者。
(4)补充或更正申报材料:需要补充或者更正申报材料的,数据处理者应当按照告知要求及时补充或者更正材料。无正当理由不补充或者更正申报材料的,国家网信办可以终止安全评估。情况复杂或者需要补充、更正材料的,国家网信办可以适当延长评估时间,并告知数据处理者预计延长的时间。
(5)评估结果通知:评估完成后,国家网信办向数据处理者出具评估结果通知书。数据处理者应当按照数据出境安全管理相关法律法规和评估结果通知书的有关要求,规范相关数据出境活动。数据处理者对评估结果有异议的,可以在收到评估结果通知书15个工作日内向国家网信办申请复评,复评结果为最终结论。
三、数据出境安全评估的合规建议
涉及数据出境的企业应当关注数据合规相关法律法规的要求,重视数据安全管理的重要性,如依法须申报数据出境安全评估的,应当及时开展安评项目工作,确保数据出境活动的合法性和安全性。具体建议如下:
1、建立健全数据安全管理体系
企业需要根据《网络安全法》、《数据安全法》、《个人信息保护法》等相关法律法规的要求,建立健全数据安全管理体系,包括制定数据保护政策、加强数据加密和访问控制、建立数据泄露应急响应机制等。
2、完善法律文件中关于数据安全保护的约定
企业需要在与境外接收方订立的法律文件中充分约定数据安全保护责任义务,确保双方共同承担数据安全保护的责任。同时,企业还需要关注法律文件的执行情况和效果,及时采取必要的措施进行改进和完善。
3、加强员工培训与意识提升
企业需要加强员工的数据合规意识和技能培训,可以聘请律所等第三方专业机构开展内部讲座培训,提高员工对数据出境安全评估的认识和理解,鼓励员工积极监督、发现数据违规行为,共同维护数据安全。
4、开展数据出境风险自评估
依法须申报数据出境安全评估的企业,可以在律所等第三方专业机构的协助下尽早开展数据出境风险自评估工作,及时梳理数据出境场景,发现和应对潜在的风险和问题。我们还可就相关新规新政策的实践与各地网信部门进行沟通协调,指导企业调整和完善数据出境安全评估的申报工作。
四、结语
申报数据出境安全评估是企业数据出境的重要合规路径之一。网信部门也在不断更新、完善数据出境安全评估制度,以提高评估效率和质量。企业需要加强对相关法律法规及政策文件的学习,规范数据合规管理,建立健全数据保护机制,如依法须申报数据出境安全评估的,应当及时开展数据出境安全评估项目,确保数据出境活动符合网信部门的监管要求。

技术驱动法律,专业成就未来