《数据出境安全评估办法》正式稿与征求意见稿核心条款变化对比

来源:君悦律师事务所

文章摘要
国家互联网信息办公室于2022年7月7日发布了《数据出境安全评估办法》(“安全评估办法”或“正式稿”)。安全评估办法将于2022年9月1日起生效实施。

国家互联网信息办公室于2022年7月7日发布了《数据出境安全评估办法》(“安全评估办法”或“正式稿”)。安全评估办法将于2022年9月1日起生效实施。相较《数据出境安全评估办法》征求意见稿(“征求意见稿”),正式稿的核心变化如下:
1正式稿进一步明确了非关键基础设施运营者的数据处理者向境外提供个人信息需要受制于安全评估的数量门槛,该修订与《个人信息出境标准合同规定(征求意见稿)》下适用于通过签订标准合同的方式向境外提供个人信息的情形相互呼应,实现闭环。
2在自评估的重点事项中,“与境外接收方订立的数据出境相关合同”在正式稿中被改为“与境外接收方拟订立的数据出境相关合同”。故,签署数据出境合同由自评估的前提变成了自评估后的一个环节。这一安排与申请数据出境安全评估的文件要求一致(合同草稿而非签字后的合同版本)。我们理解,立法本意要求在完成数据出境安全评估前,相关数据不应出境。
3正式稿明确了从数据处理者递交申请到完成全部评估过程,法定时长为5+7+45个工作日。
4《数据出境安全评估办法》生效前已经开展的需要进行安全评估的数据出境活动应在2023年2月28日前完成安全评估。
下述是正式稿相较征求意见稿的主要实质性修改:

《数据出境安全评估办法(征求意见稿)》

2021年10月29日

《数据出境安全评估办法》

2022年7月7日

MHP君悦简评

第四条 数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。

(一)关键信息基础设施的运营者收集和产生的个人信息和重要数据;

(二)出境数据中包含重要数据;

(三)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;

(四)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;

(五)国家网信部门规定的其他需要申报数据出境安全评估的情形。

第四条 数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:

(一)数据处理者向境外提供重要数据;

(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;

(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;

(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。

1. 正式稿将“重要数据”和“个人信息”进行拆分描述,更清晰地明确安全评估适用于任何重要数据出境、关键信息基础设施运营者的个人信息出境(无论规模)及符合一定规模的非关键信息基础设施运营者的个人信息出境。

2. 正式稿进一步明确了非关键基础设施运营者的数据处理者向境外提供个人信息需要受制于安全评估的数量门槛(与《个人信息出境标准合同规定(征求意见稿)》下适用于通过签订标准合同的方式向境外提供个人信息的情形相互呼应,实现闭环)。

第五条 数据处理者在向境外提供数据前,应事先开展数据出境风险自评估,重点评估以下事项:

(一)数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;

(二)出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;

(三)数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险;

(四)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;

(五)数据出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;

(六)与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。

第五条 数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,重点评估以下事项:

(一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;

(二)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;

(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;

(四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;

(五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务;

(六)其他可能影响数据出境安全的事项。

1. 正式稿保留了自评估环节中“数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性”这些必要原则。

2. 自评估中重点关注的数据的流转环节由征求意见稿中的“数据出境和再转移后”修改为了正式稿中的“数据出境中和出境后”,从文字上扩大了自评估环节下关注的数据流转环节,该修改可以更好地保障数据出境的安全。

3. 此外,将自评估点“数据出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等”修改为“数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等”,措辞上更加严谨、全面,并增加了以结果为导向的“被非法获取、非法利用”等风险的自评估对象,更加全面地从主客观两个方面考察数据出境的安全性。

值得注意的是“与境外接收方订立的数据出境相关合同”在正式稿中被改为“与境外接收方拟订立的数据出境相关合同”。故,签署数据出境合同由自评估的前提变成了自评估后的一个环节。这一安排与申请数据出境安全评估的文件要求一致(合同草稿而非签字后的合同版本)可以使数据处理者根据自评估的结果和其他相关因素更好地完善数据出境合同。更重要的是,从立法本意来看,在完成数据出境安全评估前,相关数据不应出境。

第七条 国家网信部门自收到申报材料之日起七个工作日内,确定是否受理评估并以书面通知形式反馈受理结果。

第七条 省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验。申报材料齐全的,将申报材料报送国家网信部门;申报材料不齐全的,应当退回数据处理者并一次性告知需要补充的材料。

国家网信部门应当自收到申报材料之日起7个工作日内,确定是否受理并书面通知数据处理者。

正式稿明确了省级网信部门是接受申请的主体,且明确了省级网信部门完成完备性查验的时间要求及材料补正程序,而该完备性查验的时间是不计算在国家网信部门作出正式受理的时间之内的,即从申请到完成受理的法定时长为5+7个工作日。

第九条 数据处理者与境外接收方订立的合同充分约定数据安全保护责任义务,应当包括但不限于以下内容:

(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;

(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施;

(三)限制境外接收方将出境数据再转移给其他组织、个人的约束条款;

(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区法律环境发生变化导致难以保障数据安全时,应当采取的安全措施;

(五)违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款;

(六)发生数据泄露等风险时,妥善开展应急处置,并保障个人维护个人信息权益的通畅渠道。

第九条 数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,至少包括以下内容:

(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;

(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;

(三)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;

(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施;

(五)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;

(六)出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。

根据上述条款的修订方针,正式稿进一步完善了数据处理者和境外接收方之间订立的合同等法律文件必须包含的条款内容。

第十条 国家网信部门受理申报后,组织行业主管部门、国务院有关部门、省级网信部门、专门机构等进行安全评估。

涉及重要数据出境的,国家网信部门征求相关行业主管部门意见。

第十条 国家网信部门受理申报后,根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估。

正式稿中将“行业主管部门”从安全评估的主体中剔除,并且将“根据申报情况”组织国务院有关部门、省级网信部门和/或专门机构等进行安全评估。故实践中并非所有的安全评估申请都会要求这些列举的政府部门全部参与。

第十一条 国家网信部门自出具书面受理通知书之日起四十五个工作日内完成数据出境安全评估;情况复杂或者需要补充材料的,可以适当延长,但一般不超过六十个工作日。

第十一条 安全评估过程中,发现数据处理者提交的申报材料不符合要求的,国家网信部门可以要求其补充或者更正。数据处理者无正当理由不补充或者更正的,国家网信部门可以终止安全评估。

数据处理者对所提交材料的真实性负责,故意提交虚假材料的,按照评估不通过处理,并依法追究相应法律责任。

1. 正式稿提供了申报材料不符合要求时的补正程序,也赋予了网信部门在一定情况下终止安全评估的权利。

2. 更重要的一点,正式稿明确了数据处理者对于递交材料真实性的法律责任(征求意见稿第十三条“数据处理者对所提交材料的真实性负责,故意提交虚假材料的,按照评估不通过处理”,没有提及“追究相应法律责任”的后果)。

/

第十二条 国家网信部门应当自向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估;情况复杂或者需要补充、更正材料的,可以适当延长并告知数据处理者预计延长的时间。

评估结果应当书面通知数据处理者。

第十三条 数据处理者对评估结果有异议的,可以在收到评估结果15个工作日内向国家网信部门申请复评,复评结果为最终结论。

1. 正式稿明确了数据出境安全评估的完成时间期限,即自发出书面受理通知书起45个工作日,并且可以延长。故,从数据处理者递交申请到完成全部评估过程,法定时长为5+7+45个工作日。

2. 正式稿亦明确了数据处理者申请复评的权利,以及复评的法律效力。

第十二条 数据出境评估结果有效期二年。在有效期内出现以下情形之一的,数据处理者应当重新申报评估:

(一)向境外提供数据的目的、方式、范围、类型和境外接收方处理数据的用途、方式发生变化,或者延长个人信息和重要数据境外保存期限的;

(二)境外接收方所在国家或者地区法律环境发生变化,数据处理者或者境外接收方实际控制权发生变化,数据处理者与境外接收方合同变更等可能影响出境数据安全的;

(三)出现影响出境数据安全的其他情形。

有效期届满,需要继续开展原数据出境活动的,数据处理者应当在有效期届满六十个工作日前重新申报评估。

未按本条规定重新申报评估的,应当停止数据出境活动。

第十四条 通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算。在有效期内出现以下情形之一的,数据处理者应当重新申报评估:

(一)向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的;

(二)境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的;

(三)出现影响出境数据安全的其他情形。

有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。

1. 正式稿的措辞厘清了并非任何向境外提供的数据发生了变化均需要重新申报评估。如果数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化但并未影响出境数据安全,从行文来说,无需重新申报评估。

2. 正式稿虽然删除了“未按本条规定重新申报评估的,应当停止数据出境活动”的描述,但从立法本意看,若数据处理者未能在评估结果有效期届满前取得新的评估结果,则其数据出境活动应自然终止。

第十六条 国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当撤销评估结果并书面通知数据处理者,数据处理者应当终止数据出境活动。需要继续开展数据出境活动的,数据处理者应当按照要求进行整改,并在整改完成后重新申报评估。

第十七条 国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当书面通知数据处理者终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估。

征求意见稿中,发现数据出境活动不符合监管要求的,国家网信部门的权力在于“撤销评估结果并告知数据处理者”,而终止数据出境活动的义务在于数据处理者本身。正式稿赋予了国家网信部门直接书面通知数据处理者终止数据出境活动的权力。

/

第十九条 本办法所称重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。

正式稿增加了“重要数据”的定义,该定义一定程度上弥补了《网络安全法》、《数据安全法》下没有“重要数据”定义的空白,也使得各数据处理者可以确认相应重要数据的边界。但是,该定义仍然略显宽泛,实践中仍然需要根据个案进行判断和操作。

第十八条 本办法自 年 月 日起施行。

第二十条 本办法自2022年9月1日起施行。本办法施行前已经开展的数据出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改。

正式稿给予了《数据出境安全评估办法》生效前已经开展的数据出境活动6个月的整改期,即符合《数据出境安全评估办法》需要进行数据出境安全评估的,应在2023年2月28日前完成安全评估。


技术驱动法律,专业成就未来