国家互联网信息办公室(“网信办”)制定的《数据出境安全评估办法》(“《评估办法》”)自2022年9月1日正式实施后,涉及数据出境的企业及其他数据处理者,符合《评估办法》规定的情况下,必须进行数据出境风险自评估,并根据自评估情况决定是否应通过所在省级网信部门向国家网信部门申报数据出境安全评估。我们收到很多企业的问询,对于自身是否需要按照评估办法要求展开自评估以及是否需要向国家网信部门申报数据出境安全评估有很多疑问,本文将简要解答并提示合规重点。
一 什么样的企业会涉及数据出境合规问题?
这个问题是经常困惑企业的问题,简化问题就是:什么是“数据出境活动”?有数据出境活动才会涉及出境合规的问题。
依据《评估办法》第二条规定,当数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息,就是数据出境。根据网信办发布的《<数据出境安全评估办法>答记者问》,《办法》所称数据出境活动主要包括:一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。
另外需要注意,《评估办法》第二条提到两种数据,重要数据和个人信息。个人信息,不难理解。重要数据的判定比较复杂一些。《评估办法》的第十九条将重要数据定义为:一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。关于重要数据的判定,还可以参考《信息安全技术重要数据识别规则》等国家标准。重要数据必须经国家网信部门组织的数据出境安全评估,而个人信息出境,可以先自评估后根据情况再决定是否需要报国家网信部门进行出境安全评估。
跨国经营的企业,一般来说都会涉及个人信息出境的问题,比如员工个人信息,供应商联系人个人信息、会员信息等等。基本上可以得出的结论就是涉及跨境经营的企业都应考虑数据出境合规问题并采用法律要求的合规流程和手段完成合规。
尤其需要注意的是,《评估办法》生效前本办法施行前已经开展的数据出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改,即2023年2月28日前完成整改。
二 如何进行数据出境风险自评估?
对于个人信息的出境,依据《评估办法》第五条,数据处理者应就出境风险进行自评估并对不合规的情况进行整改后再出境。自评估的意义在于,经自评估后,数据处理者充分了解自身的数据处理情况以及可能带来的数据出境安全风险,会在向网信部门申报安全评估前进行较全面的整改,一方面提高企业的数据出境的安全能力,另一方面也提高网信安全评估的效率。
虽然《评估办法》第五条已经给出了重点评估事项,但是企业对于如何自评估,还是不知如何开展并形成有效、全面的自评估报告。自评估确实需要有效且全面的评估经验与工具。我们在辅导企业进行自评估时,可以帮助企业全面梳理企业数据处理现状,并对数据出境情况进行合法性分析与判断进而完成首次自评估报告。根据首次自评估报告,我们会判断企业的数据出境情况是否属于《评估办法》强制要求向国家网信部门申报安全评估的情形。如果企业数据处理现状需要及时进行整改,我们会提出整改的措施建议并辅助企业将整改措施进行落地。经过整改后,我们一般会辅导企业再进行一次自评估,以判断企业是否需要向国家网信部门申报安全评估。如果仍然需要申报,我们会辅导企业进行申报直至企业通过网信部门的安全评估可顺利出境。
《评估办法》二十条要求,在《评估办法》施行前已经开展的数据出境活动,不符合《评估办法》规定的,应在《评估办法》施行之日起6个月内完成整改。即有相应情况的企业应当在2023年2月28日前完成整改,很多企业感觉时间非常紧迫,担心在此日期前无法完成整改、不能通过网信部门的安全评估。从目前看,大家不用特别担心。首先,我们要积极与网信部门进行有效沟通,了解网信部门的实时观点及执法动态。再者,经过我们多次服务企业的经验积累,以及我们与国家网信部门的频繁沟通,我们已经形成较全面的、较完善的合规流程标准文件,包括自评估模版、《数据处理协议》/《个人信息处理协议》、《同意函》等和数据出境活动相关的政策、协议模版,可以及时配合企业快速的完成自评估并准备向网信部门申报数据出境安全评估的文件。
三 什么情况下需要向国家网信部门申请数据出境安全评估?
《评估办法》第四条规定了必须向网信部门申报数据出境安全评估的具体情形。需要重点提醒的是,根据《网安法》、《个人信息保护法》及《评估办法》,出境重要数据,向国家网信部门申请数据出境安全评估是唯一合法出境方式,没有其它途径。同时,关键信息基础设施运营者向境外提供个人信息,不论数量多少,都要经网信部门安全评估方可进行数据出境活动。
对于个人信息的出境活动,企业把握住《评估办法》第四条规定的100万,10万和1万这几个数字标准足以避免踩到底线。
有些企业为了避免复杂的申报流程,希望通过整改而停止部分数据出境也是可行的。对于非必要出境的数据,存储在境内进行处理,仅将匿名化的信息或者统计信息出境,避免出境风险也是可行的。但是,我们也遇到有企业因为国际化经营,有员工个人信息等数据不可避免的要出境情形,这个时候我们可以根据企业具体情况协助达至合法、合规目的。
可以肯定的是,国家对于数据安全越来越重视,数据合规将是所有企业的合规重点,而数据出境问题,将是数据安全的重中之重。
我们在此预祝大家都能顺利通过网信部门申报数据出境安全评估。
企业数据出境活动风险以及合规重点解析
作者:王海风来源:大成深圳办公室

国家互联网信息办公室(“网信办”)制定的《数据出境安全评估办法》(“《评估办法》”)自2022年9月1日正式实施后,涉及数据出境的企业及其他数据处理者,符合《评估办法》规定的情况下,必须进行数据出境风