01 观点摘要
需要注意区分数据出境申报的稳定期和评估期的关系。注意理解稳定期三个月的范围,避免数据统计错误或时效性不足,影响申报。
02 需要注意至少在稳定期、评估期,不应发生的几类重大变化。
分别是:统计数据不发生重大变化;股权结构、实际控制人不发生重大变化;数据出境涉及的业务不发生重大变化;数据处理者不应在稳定期或者评估期出现重大行政处罚或者数据重大数据安全事件;境外接收方不发生重大变化;数据出境相关具体内容不发生重大变化。
03 提交材料的准确性与有序性。
经办人应选择全职人员,且确保可以取得联系。法定代表人签字而非签章,与经办人应该有所区分。纸质材料与光盘材料的一致性。
04 特殊主体应注意其他程序的联动机制。
所在行业主管部门审批路径仍然要推动,不可随意偏废。对于拟IPO企业,需要注意披露进展情况。
2022年9月1日,《数据出境安全评估办法》(以下简称“《办法》”)正式生效实施,数据处理者在申报数据出境安全评估前,需开展数据出境风险评估工作(以下简称“自评估”)。目前离整改期2023年2月28日届满,已经不足3个月,很多数据处理者也计划在2022年12月底可以提交申报材料,那么在提交申报材料之前,需要注意什么呢?对此,本文结合实务以及大家普遍反映的问题,进行解答。
一、数据处理者应注意避免在稳定期和评估期发生“重大变化”
1. 申报日与3个月的关系:稳定期
《数据出境安全评估申报指南(第一版)》中,其明确了数据处理者要签署《承诺书》。《承诺书》中第四条明确,“自评估工作为申报之日前3个月内完成,且至申报之日未发生重大变化。”这里提到的“3个月”是正式向网信办提交材料的申报日之前的3个月,而非从自评估报告盖章出具之日或其他任意选择的日期起算。为此,没有给数据处理者随意调整的空间。假如计划2022年12月30日提交材料,那么往前追溯到2022年9月30日开始的这3个月期间(以下简称“稳定期”),自评估工作需要在此期间完成,且不能发生重大变化。虽然《承诺函》中主要强调稳定期,但是我们理解在申报日至获得安全评估结果期间(以下简称“评估期”),最好也不要发生重大变化。
那么这里的重大变化,需要关注哪些事宜呢?我们认为至少有以下六大类,分别是:统计数据不发生重大变化;股权结构、实际控制人不发生重大变化;数据出境涉及的业务不发生重大变化;数据处理者不应在稳定期或者评估期出现重大行政处罚或者数据重大数据安全事件;境外接收方不发生重大变化;数据出境的目的、方式、范围、种类、境外保存期限等相关具体内容不发生重大变化。
2. “数据”的准确统计,以及不发生重大变化
稳定期内统计数据不要发生重大变化,我们认为是在提交申报材料(申报日)时,需要确保所统计的数据的截止日期落入之前的稳定期内。否则,提交的数据统计结果可能不符合监管要求。例如2022年12月1日提交的申报材料,那么诸如是否向境外提供重要数据、处理个人信息的总人数、自上年1月1日起累计向境外提供的个人信息/敏感个人信息的总人数等《数据出境安全评估办法》第四条规定的统计结果,就不可只统计到2022年8月或更早,而是要至少统计到2022年9月1日。同时,在上述数据统计出来之后的剩余稳定期内,原则上也不要发生重大变化,如数据激增或者急剧下滑等。
3. 股权结构、实际控制人不发生重大变化
自评估报告模板中,第二部分第一项,就载明了需要填写股权结构和实际控制人信息。在稳定期内,以及申报日当日,公司股权结构(含穿透后的结构)以及实际控制人,原则上不应发生变化。如果发生变化,不但可能会引起责任承担主体、境内外投资情况等变化,同时对于原有集团、母公司层面统一实施的数据隔离等数据安全技术措施和统一适用的管理措施,也可能因为股权结构和实际控制人的变化,面临执行上的问题。为此,数据处理者的股权结构、实际控制人在稳定期内不发生重大变化,应该是安全评估申报要求的应有之意。如果公司在申报日前后有重大交易或者收并购安排,应注意提前或者延缓进行。同样,我们理解在提交申报后的评估期内,上述项也不应发生重大变化。
另外需要注意的是,根据《办法》第十四条的规定,境外接收方的实际控制权变化,若可能影响出境数据安全,则会成为需要重新评估的事项。因此我们认为,境外接收方的股权结构和实际控制权的情况,在稳定期、评估期和评估结果有效期(2年)内,也同样需要保持关注。
4. 数据出境涉及的业务不发生重大变化
数据出境安全评估申报的目的,就是针对不同数据出境场景,分别开展数据出境安全评估,确保不违反相关法律法规。如果在稳定期内,数据出境涉及的业务发生重大变化,例如业务模式根本变化、合作方大幅增减,以及可能随之产生的数据出境方式或者链路调整,境外接收方发生重大区域调整,都不利于网信办开展安全评估工作,最后结果即使通过,也可能和企业后续实际业务存在很大差异,导致企业无法按照原有方式开展“数据出境涉及的业务”。
5. 数据处理者不应在稳定期或者评估期出现重大行政处罚或者重大数据安全事件
在自评估报告模板中,数据处理者需要就遵守中国数据和网络安全相关法律、行政法规、部门规章情况进行说明,主要是近2年在业务经营活动中受到行政处罚和有关主管监管部门调查及整改情况。如果在稳定期,数据处理者因为违反法律受到数据安全相关的处罚,或者发生重大数据泄露,这个可能触发《办法》第八条安全评估事项里面的红线,即“数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项:出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险;数据安全和个人信息权益是否能够得到充分有效保障”。为此,在申报期间,数据处理者应该尤其避免发生数据泄露等数据安全事件,以免自身数据安全能力受到质疑。
6. 境外接收方不发生重大变化
《办法》第九条,载明了“数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,至少包括以下内容:境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施”。为此,在稳定期和评估期,数据处理者都应注意境外接收方是否会发生实际控制权变化或者经营范围发生实质性变化,或者其所在国家的数据法,网络安全环境发生重大变化。如果境外接收方是数据处理者的关联方,当然更好掌握。但是如果是非关联方,则可能不太好掌握,需要在双方拟签署的法律文件中,对此进行特别强调。
我们理解这一要求,也是安全评估申报要求的应有之义。因为在稳定期,一方面数据处理者就已经对境外接收方的相关情况予以了评估,甚至尽调;另一方面境外接收方也对其数据安全能力和处理行为做出了相关承诺。如果在评估期内发生重大变化,可能不利于后续数据出境活动的安全开展。
7. 数据出境相关具体内容不发生重大变化
《办法》第十四条,载明了“通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算。在有效期内出现以下情形之一的,数据处理者应当重新申报评估:(一)向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的”。这一条虽然是针对重新申报评估的触发事由之一,但是对于首次申报的数据处理者同样应关注。即因为数据出境场景在申报时已经确定,相关数据出境的目的、方式、范围、种类、存储期限等等都已经明确,如果在评估期内发生变化,相当于是中途撤材料、变更材料,这一做法,无异于将之前整改措施推倒重来。例如涉及个人信息处理的情况发生变化,势必会产生隐私政策更新、重新获得同意等合法性基础等整改需要。为此,我们建议一定不要在评估期内调整数据出境场景中的相关具体内容,避免重新评估机制启动。
二、提交材料的准确性与有序性
1. 经办人的确定
结合上海、浙江网信办的问答,以及《数据出境安全申报指南(第一版)》,经办人应该是数据处理者的全职人员。为此需要注意提前准备好经办人的劳动合同(原则上最好是和数据处理者直接签署),缴纳社保证明,以便备查。同时,该经办人员应尽量避免和法定代表人是同一人。经办人的签字应该是其本人签字,不可以代签或者签章,避免未来在其他材料签字时,出现字迹不一致的问题。实务中,建议经办人应该对整个数据出境安全评估工作比较了解,在申报期间不要出现离职,尽可能不要出国,电话等联系方式保持畅通,不排除监管部门会约谈或者要求到监管单位进行了解。经办人也不应该是外部专业机构的人员。
2. 法定代表人的签字
实务中,很多数据处理者的法定代表人可能不在境内,无法及时签字,希望用签章代替。从目前申报材料的要求来看,是必须要法定代表人签字的。为此需要注意避免使用签章。另外,建议不要委托代签,避免出现和上面经办人一样的问题。
3. 材料提交的一致性(光盘与纸质材料)
所有提交的材料应该是纸质材料和承载电子版材料的光盘。注意这里是光盘,而不是U盘。光盘内的材料顺序,序号,应该与纸质材料一致,避免出现前后不一致的情况,而被省级网信办退回材料等。光盘建议要提前测试,避免无法读取;同时准备好备用光盘,如遇问题可以及时替换。
三、特殊主体应注意相关其他程序的联动机制
1. 其他行业审批机制
对于一些特殊行业,如医疗行业,一些数据处理者的数据出境活动,可能同时触发行业主管部门的审批机制。如人类遗传资源条例中所要求科技部审批的事宜,在目前网信部门和科技部还没有就这项审批合并之前,建议分别开展申请,不要延误或者偏废其他数据出境路径申报的要求。
2. 拟IPO企业申报期间的披露
对于拟IPO企业,在申报材料提交给证券监管部门期间,应在法律意见书或者招股书中如实披露目前数据出境的安全评估进展情况,并就无法通过评估可能对业务造成的影响予以提前揭示。以下近期上市企业的招股书均披露了相关内容:
四、小结
数据出境安全评估工作,是一个非常细致的工程,涉及方方面面,需要申报小组的成员有整体观,全局观,以及动态思维。在稳定期和评估期,不可随意调整数据出境的内容或者合作方,避免触发重大变化,导致评估申报工作失败的风险。同时,在未来也要动态监控自身数据出境的情况,特别是未来战略落地、创新业务发展等可能导致自身触发重新评估机制等话题。
2022年12月2日国务院发布了《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“《数据二十条》”)。其中“十七处”提到“数据跨境”,我国数据出境的规范化、国际化,前景广阔。《数据二十条》的出台,“意味着在国家层面多层次多举措加速推动数据要素跨境流通已然是立足新发展阶段、贯彻新发展理念,构建新发展格局的必然选项。在经济社会全面进入高质量发展新阶段的时代背景下,为了实现数据安全合规有序跨境流通机制的有效构建,《意见》(《数据二十条》)深刻认识我国产业经济的发展现状和数字化转型的客观规律,全面检视域外有关数据跨境流动治理的理念举措及其成败得失,着力从四个方面系统地勾勒了一幅多方主体有序共建、共治、共享的多维生态图景[1]”。相信随着数据出境安全评估工作的有序开展,国内数据要素市场的培育壮大,与境外不同国家开展数据跨境流动的国际经验的积累,我国数据出境的体系会越来越完善,并促进我国更多市场主体融入全球化的发展浪潮中。
本文为2022年数据出境安全评估系列文章最后一篇,感谢读者们的持续关注。随着数据出境的系列规则逐步“靴子落地”,我们将于2023年1月开始,结合我们在数据出境方面的实务工作,不断分享新的数据出境主题和系列文章,敬请期待。
[1]吴沈括:构筑面向数字化和全球化的数据跨境流通生态——读《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》,https://mp.weixin.qq.com/s/Hti6cZJPSleQLl5cHY7Ztw,最后访问时间2022年12月23日
需要注意区分数据出境申报的稳定期和评估期的关系。注意理解稳定期三个月的范围,避免数据统计错误或时效性不足,影响申报。
02 需要注意至少在稳定期、评估期,不应发生的几类重大变化。
分别是:统计数据不发生重大变化;股权结构、实际控制人不发生重大变化;数据出境涉及的业务不发生重大变化;数据处理者不应在稳定期或者评估期出现重大行政处罚或者数据重大数据安全事件;境外接收方不发生重大变化;数据出境相关具体内容不发生重大变化。
03 提交材料的准确性与有序性。
经办人应选择全职人员,且确保可以取得联系。法定代表人签字而非签章,与经办人应该有所区分。纸质材料与光盘材料的一致性。
04 特殊主体应注意其他程序的联动机制。
所在行业主管部门审批路径仍然要推动,不可随意偏废。对于拟IPO企业,需要注意披露进展情况。
2022年9月1日,《数据出境安全评估办法》(以下简称“《办法》”)正式生效实施,数据处理者在申报数据出境安全评估前,需开展数据出境风险评估工作(以下简称“自评估”)。目前离整改期2023年2月28日届满,已经不足3个月,很多数据处理者也计划在2022年12月底可以提交申报材料,那么在提交申报材料之前,需要注意什么呢?对此,本文结合实务以及大家普遍反映的问题,进行解答。
一、数据处理者应注意避免在稳定期和评估期发生“重大变化”
1. 申报日与3个月的关系:稳定期
《数据出境安全评估申报指南(第一版)》中,其明确了数据处理者要签署《承诺书》。《承诺书》中第四条明确,“自评估工作为申报之日前3个月内完成,且至申报之日未发生重大变化。”这里提到的“3个月”是正式向网信办提交材料的申报日之前的3个月,而非从自评估报告盖章出具之日或其他任意选择的日期起算。为此,没有给数据处理者随意调整的空间。假如计划2022年12月30日提交材料,那么往前追溯到2022年9月30日开始的这3个月期间(以下简称“稳定期”),自评估工作需要在此期间完成,且不能发生重大变化。虽然《承诺函》中主要强调稳定期,但是我们理解在申报日至获得安全评估结果期间(以下简称“评估期”),最好也不要发生重大变化。
那么这里的重大变化,需要关注哪些事宜呢?我们认为至少有以下六大类,分别是:统计数据不发生重大变化;股权结构、实际控制人不发生重大变化;数据出境涉及的业务不发生重大变化;数据处理者不应在稳定期或者评估期出现重大行政处罚或者数据重大数据安全事件;境外接收方不发生重大变化;数据出境的目的、方式、范围、种类、境外保存期限等相关具体内容不发生重大变化。
2. “数据”的准确统计,以及不发生重大变化
稳定期内统计数据不要发生重大变化,我们认为是在提交申报材料(申报日)时,需要确保所统计的数据的截止日期落入之前的稳定期内。否则,提交的数据统计结果可能不符合监管要求。例如2022年12月1日提交的申报材料,那么诸如是否向境外提供重要数据、处理个人信息的总人数、自上年1月1日起累计向境外提供的个人信息/敏感个人信息的总人数等《数据出境安全评估办法》第四条规定的统计结果,就不可只统计到2022年8月或更早,而是要至少统计到2022年9月1日。同时,在上述数据统计出来之后的剩余稳定期内,原则上也不要发生重大变化,如数据激增或者急剧下滑等。
3. 股权结构、实际控制人不发生重大变化
自评估报告模板中,第二部分第一项,就载明了需要填写股权结构和实际控制人信息。在稳定期内,以及申报日当日,公司股权结构(含穿透后的结构)以及实际控制人,原则上不应发生变化。如果发生变化,不但可能会引起责任承担主体、境内外投资情况等变化,同时对于原有集团、母公司层面统一实施的数据隔离等数据安全技术措施和统一适用的管理措施,也可能因为股权结构和实际控制人的变化,面临执行上的问题。为此,数据处理者的股权结构、实际控制人在稳定期内不发生重大变化,应该是安全评估申报要求的应有之意。如果公司在申报日前后有重大交易或者收并购安排,应注意提前或者延缓进行。同样,我们理解在提交申报后的评估期内,上述项也不应发生重大变化。
另外需要注意的是,根据《办法》第十四条的规定,境外接收方的实际控制权变化,若可能影响出境数据安全,则会成为需要重新评估的事项。因此我们认为,境外接收方的股权结构和实际控制权的情况,在稳定期、评估期和评估结果有效期(2年)内,也同样需要保持关注。
4. 数据出境涉及的业务不发生重大变化
数据出境安全评估申报的目的,就是针对不同数据出境场景,分别开展数据出境安全评估,确保不违反相关法律法规。如果在稳定期内,数据出境涉及的业务发生重大变化,例如业务模式根本变化、合作方大幅增减,以及可能随之产生的数据出境方式或者链路调整,境外接收方发生重大区域调整,都不利于网信办开展安全评估工作,最后结果即使通过,也可能和企业后续实际业务存在很大差异,导致企业无法按照原有方式开展“数据出境涉及的业务”。
5. 数据处理者不应在稳定期或者评估期出现重大行政处罚或者重大数据安全事件
在自评估报告模板中,数据处理者需要就遵守中国数据和网络安全相关法律、行政法规、部门规章情况进行说明,主要是近2年在业务经营活动中受到行政处罚和有关主管监管部门调查及整改情况。如果在稳定期,数据处理者因为违反法律受到数据安全相关的处罚,或者发生重大数据泄露,这个可能触发《办法》第八条安全评估事项里面的红线,即“数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项:出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险;数据安全和个人信息权益是否能够得到充分有效保障”。为此,在申报期间,数据处理者应该尤其避免发生数据泄露等数据安全事件,以免自身数据安全能力受到质疑。
6. 境外接收方不发生重大变化
《办法》第九条,载明了“数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,至少包括以下内容:境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施”。为此,在稳定期和评估期,数据处理者都应注意境外接收方是否会发生实际控制权变化或者经营范围发生实质性变化,或者其所在国家的数据法,网络安全环境发生重大变化。如果境外接收方是数据处理者的关联方,当然更好掌握。但是如果是非关联方,则可能不太好掌握,需要在双方拟签署的法律文件中,对此进行特别强调。
我们理解这一要求,也是安全评估申报要求的应有之义。因为在稳定期,一方面数据处理者就已经对境外接收方的相关情况予以了评估,甚至尽调;另一方面境外接收方也对其数据安全能力和处理行为做出了相关承诺。如果在评估期内发生重大变化,可能不利于后续数据出境活动的安全开展。
7. 数据出境相关具体内容不发生重大变化
《办法》第十四条,载明了“通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算。在有效期内出现以下情形之一的,数据处理者应当重新申报评估:(一)向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的”。这一条虽然是针对重新申报评估的触发事由之一,但是对于首次申报的数据处理者同样应关注。即因为数据出境场景在申报时已经确定,相关数据出境的目的、方式、范围、种类、存储期限等等都已经明确,如果在评估期内发生变化,相当于是中途撤材料、变更材料,这一做法,无异于将之前整改措施推倒重来。例如涉及个人信息处理的情况发生变化,势必会产生隐私政策更新、重新获得同意等合法性基础等整改需要。为此,我们建议一定不要在评估期内调整数据出境场景中的相关具体内容,避免重新评估机制启动。
二、提交材料的准确性与有序性
1. 经办人的确定
结合上海、浙江网信办的问答,以及《数据出境安全申报指南(第一版)》,经办人应该是数据处理者的全职人员。为此需要注意提前准备好经办人的劳动合同(原则上最好是和数据处理者直接签署),缴纳社保证明,以便备查。同时,该经办人员应尽量避免和法定代表人是同一人。经办人的签字应该是其本人签字,不可以代签或者签章,避免未来在其他材料签字时,出现字迹不一致的问题。实务中,建议经办人应该对整个数据出境安全评估工作比较了解,在申报期间不要出现离职,尽可能不要出国,电话等联系方式保持畅通,不排除监管部门会约谈或者要求到监管单位进行了解。经办人也不应该是外部专业机构的人员。
2. 法定代表人的签字
实务中,很多数据处理者的法定代表人可能不在境内,无法及时签字,希望用签章代替。从目前申报材料的要求来看,是必须要法定代表人签字的。为此需要注意避免使用签章。另外,建议不要委托代签,避免出现和上面经办人一样的问题。
3. 材料提交的一致性(光盘与纸质材料)
所有提交的材料应该是纸质材料和承载电子版材料的光盘。注意这里是光盘,而不是U盘。光盘内的材料顺序,序号,应该与纸质材料一致,避免出现前后不一致的情况,而被省级网信办退回材料等。光盘建议要提前测试,避免无法读取;同时准备好备用光盘,如遇问题可以及时替换。
三、特殊主体应注意相关其他程序的联动机制
1. 其他行业审批机制
对于一些特殊行业,如医疗行业,一些数据处理者的数据出境活动,可能同时触发行业主管部门的审批机制。如人类遗传资源条例中所要求科技部审批的事宜,在目前网信部门和科技部还没有就这项审批合并之前,建议分别开展申请,不要延误或者偏废其他数据出境路径申报的要求。
2. 拟IPO企业申报期间的披露
对于拟IPO企业,在申报材料提交给证券监管部门期间,应在法律意见书或者招股书中如实披露目前数据出境的安全评估进展情况,并就无法通过评估可能对业务造成的影响予以提前揭示。以下近期上市企业的招股书均披露了相关内容:
| 企业名称 | 申报上市板块 | 《招股说明书》或者《补充法律意见书》对于数据出境安全评估的披露口径 |
| 360 DigiTech, Inc. | 港股 | “风险因素……于2022年7月7日,国家网信办发布《数据出境安全评估办法》(《数据出境安全评估办法》),其于2022年9月1日生效,且其中规定,数据处理者向境外提供在中国境内运营中收集和产生的重要数据和个人信息,应当接受国家网信办的安全评估。根据目前的《数据出境安全评估办法》,假若处理个人信息达到一百万人的实体向境外提供个人信息,或自前一年度1月1日起累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息,须向国家网信办申报安全评估。《数据出境安全评估办法》进一步规定安全评估的流程和要求。然而,仍不确定中国政府部门在该情况下将如何监管公司。亦不清楚构成「数据出境」的条件。此为新颁布办法的应用及执行带来更多不确定性,而我们可能需要接受国家网信办的有关数据出境安全评估。我们将密切监察及评估任何相关的立法及监管发展,并在必要时准备进行安全评估……” |
| Atour Lifestyle Holdings Limited | 美股 | "RISK FACTORS ……Furthermore, numerous regulations, guidelines and other measures have been or are expected to be adopted under the umbrella of or in addition to the Cybersecurity Law, Data Security Law and Personal Information Protection Law, including (i) the Measures for the Security Assessment for Cross-border Transfer of Personal Information (Draft for Comments) published by the Cyberspace Administration of China, or CAC, in 2019, which may, upon enactment, require security review before transferring personal information out of China, (ii) the amended Cybersecurity Review Measures published on December 28, 2021, which came into effect on February 15, 2022, provide that a "network platform operator" that possesses personal information of more than one million users and seeks a listing in a foreign country must apply for a cybersecurity review, and (iii) the Measures for the Security Assessment of Cross-boarder Data Transfer, which came into effect on September 1, 2022, provide that certain types of data processors transferring important data or personal information collected and generated during operations within the territory of the PRC to an overseas recipient must apply for security assessment of cross-boarder data transfer. As a network platform operator who possesses personal information of more than one million users for purposes of the Cybersecurity Review Measures, we have applied for and completed a cybersecurity review with respect to our proposed overseas listing pursuant to the Cybersecurity Review Measures……" |
四、小结
数据出境安全评估工作,是一个非常细致的工程,涉及方方面面,需要申报小组的成员有整体观,全局观,以及动态思维。在稳定期和评估期,不可随意调整数据出境的内容或者合作方,避免触发重大变化,导致评估申报工作失败的风险。同时,在未来也要动态监控自身数据出境的情况,特别是未来战略落地、创新业务发展等可能导致自身触发重新评估机制等话题。
2022年12月2日国务院发布了《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“《数据二十条》”)。其中“十七处”提到“数据跨境”,我国数据出境的规范化、国际化,前景广阔。《数据二十条》的出台,“意味着在国家层面多层次多举措加速推动数据要素跨境流通已然是立足新发展阶段、贯彻新发展理念,构建新发展格局的必然选项。在经济社会全面进入高质量发展新阶段的时代背景下,为了实现数据安全合规有序跨境流通机制的有效构建,《意见》(《数据二十条》)深刻认识我国产业经济的发展现状和数字化转型的客观规律,全面检视域外有关数据跨境流动治理的理念举措及其成败得失,着力从四个方面系统地勾勒了一幅多方主体有序共建、共治、共享的多维生态图景[1]”。相信随着数据出境安全评估工作的有序开展,国内数据要素市场的培育壮大,与境外不同国家开展数据跨境流动的国际经验的积累,我国数据出境的体系会越来越完善,并促进我国更多市场主体融入全球化的发展浪潮中。
本文为2022年数据出境安全评估系列文章最后一篇,感谢读者们的持续关注。随着数据出境的系列规则逐步“靴子落地”,我们将于2023年1月开始,结合我们在数据出境方面的实务工作,不断分享新的数据出境主题和系列文章,敬请期待。
[1]吴沈括:构筑面向数字化和全球化的数据跨境流通生态——读《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》,https://mp.weixin.qq.com/s/Hti6cZJPSleQLl5cHY7Ztw,最后访问时间2022年12月23日
