在笔者昨日发布的文章(点击阅读)中,引用的还是《数据出境安全评估办法(征求意见稿)》的条文。话音刚落,征求意见稿便尘埃落定,当晚《数据出境安全评估办法》经正式发布成为了部门规章。
由此,作为数据出境各条路径中要求最为严格的“安全评估”,身先士卒配上了正式的法律依据。《数据出境安全评估办法》的整体框架并没有脱离之前各版征求意见稿的范畴,笔者试就其中核心要点进行快速解读。
一、 何为数据出境?
此处的“出境”应做实质性理解,并不限于向境外提供、传输数据。根据《数据出境安全评估办法》答记者问以及《信息安全技术数据出境安全评估指南》的规定,数据出境活动主要包括:
(一)数据处理者将在境内运营中收集和产生的数据传输、存储至境外。
(二)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。
特别是第二种情形,即使将数据存储在境内,但如果境外主体可以直接访问和调用的,仍然属于数据出境。这种情形很有可能被许多企业所忽略,对此务必纠正认识,严格按照数据出境进行合规准备。
二、 什么情形下的数据出境需要进行安全评估?
简言之就是重要数据+达到一定量的个人信息。《办法》明确了4种应当申报数据出境安全评估的情形:
(一)数据处理者向境外提供重要数据;
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。
以上需要说明的是,情形一中“重要数据”的判定需要遵循《信息安全技术重要数据识别指南》(目前尚为征求意见稿)、《网络安全标准实践指南—网络数据分类级指引》以及具体行业对于数据管理的规范性文件进行,如企业对是否属于重要数据无法确定的,需要及时寻求专业机构的支持。
相较于征求意见稿,正式稿在情形三中增加了“自上年1月1日起”的限定,即不再按照累计提供的个人信息数量计算,这意味着进行安全评估的“法网”更为宽松,诸多中小型企业可以通过标准合同和安全认证之间这两种较为便捷的路径实现数据合规出境。
三、 安全评估的程序如何进行?
根据《数据出境安全评估办法》的规定,程序上安全评估应当按照以下步骤进行:
(一)事前评估,数据处理者在向境外提供数据前,应首先开展数据出境风险自评估。在自评估的过程中,数据处理者需要与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件;
(二)申报评估,符合申报数据出境安全评估情形的,数据处理者应通过所在地省级网信部门向国家网信部门申报数据出境安全评估。申报时,需要提交以下材料:
- 申报书;
- 数据出境风险自评估报告;
- 数据处理者与境外接收方拟订立的法律文件;
- 安全评估工作需要的其他材料。
(三)开展评估,国家网信部门自收到申报材料之日起7个工作日内确定是否受理评估;自出具书面受理通知书之日起45个工作日内完成数据出境安全评估;情况复杂或者需要补充、更正材料的,可以适当延长并告知数据处理者预计延长的时间;
(四)重新评估和终止出境,评估结果有效期届满或者在有效期内出现本办法中规定重新评估情形的,数据处理者应当重新申报数据出境安全评估。已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,在收到国家网信部门书面通知后,数据处理者应终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估。
如果通过安全评估的,结果有效期为2年,自评估结果出具之日起计算。有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。
四、如何应对《数据出境安全评估办法》?
《办法》正式出台可以说给到相关企业不小的合规压力。当下事不宜迟,需要厘清各项合规工作重点,为有序推进数据合规出境做足准备。笔者建议可以按以下方向进行应对:
(一)全面评估数据出境场景,选择合理的出境路径。如笔者昨日发文所述,安全评估、标准合同、安全认证三条出境路径分别对应不同场景,企业首当其冲应当评估自身数据出境情况,在合规前提下选择最为效率的路径;
(二)启动与境外数据接收方的告知与协商,了解境外主体相关法律实践情况,要求境外主体配合境内处理者的合规要求以及相关系统和流程的优化甚至是改造;
(三)起草数据出境相关协议,并对照《办法》第五条1启动出境自评估工作,形成自评估报告;
对于已经进行中的数据出境,如果落入安全评估的情形中,则应当在《办法》给予的6个月宽限期内完成整改,留给企业的时间难言充裕。此外网信部门的评估尺度也有待观察。
[1] 《数据出境安全评估办法》
第五条 数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,重点评估以下事项:
(一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
(二)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
(四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
(五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务;
(六)其他可能影响数据出境安全的事项。
