數據出境��,一直以來都是企業最為關注的數據合規問題之一。從2017年《網絡安全法》提出數據出境安全評估要求以來�,我國關於數據出境的監管思路幾經調整���,天達共和數據合規團隊也曾經在《個人信息安全出境監管趨勢淺析》《草蛇灰線:從<個人信息保護法(草案)>看2021年幾個數據問題的發展和走向(第一篇)》等文章中進行過探討。2021年10月29日�,國家網信辦發布了《數據出境安全評估辦法(征求意見稿)》(“《評估辦法》”)。從《評估辦法》所體現的監管方式和內容來看�,我國關於數據出境的整體監管思路已基本成型��,數據出境監管製度有望加速落地�����,成為《網絡安全法》《數據安全法》和《個人信息保護法》的重要配套製度����,為企業數據合規提供指導。
我們在此將企業普遍關注和最常提出的有關數據出境的問題進行總結�����,並根據《評估辦法》進行解答���,希望為企業更好地理解《評估辦法》提供參考。
Q1:誰需要做安全評估����?
答:根據《評估辦法》第二條���,需要進行數據出境安全評估的主體是數據處理者。《評估辦法》本身及其上位法�����,包括《網絡安全法》《數據安全法》和《個人信息保護法》等�,均未就“數據處理者”給出明確定義����,但根據《數據安全法》第三條對“數據處理”的規定��,隻要組織或個人對數據實施了收集�、存儲�、使用��、加工�����、傳輸���、提供����、公開等任何處理活動����,都將落入“數據處理者”的範圍。考慮到在數字化轉型的經濟背景下����,幾乎所有企業都不可避免地要與數據“打交道”��,因此��,廣泛來講�����,幾乎每一家存在數據出境需求的企業都可能成為《評估辦法》的規製對象。
Q2:哪些情形下數據出境需要評估�?
答:我們剛才講“幾乎每一家存在數據出境需求的企業都可能成為《評估辦法》的規製對象”����,但並不是所有的數據出境都需要進行安全評估。以下情形下的數據出境才需要進行安全評估:
(1)關鍵信息基礎設施運營者(“CIIO”)收集和產生的個人信息和重要數據。根據《關鍵信息基礎設施安全保護條例》�,是否是CIIO應當以主管部門通知的認定結果為準���;
(2)出境數據中包含重要數據。注:無論是否是CIIO�,隻要出境的數據中包含重要數據�,都需要進行安全評估。根據《數據安全法》�,重要數據將由國家數據安全工作協調機製統籌協調有關部門製定具體目錄���;參考《信息安全技術 重要數據識別指南(征求意見稿)》�����,企業未來可能需要根據各地區�����、各主管部門的具體規定����,自行識別本企業內的重要數據��;
(3)處理個人信息達到100萬人的個人信息處理者向境外提供個人信息。這裏的100wanrenbingbuxianyuchujingdegerenxinxisuoduiyingdegetishuliang���,zhiyaoshujuchulizhechulidegerenxinxidadaozheyiliangji����,xiangjingwaitigonggerenxinxijiuxuyaojinxinganquanpinggu����,erbukaolvchujingdegerenxinxishulianghuoshejidegerenxinxizhutideshuliang。cankaoguojiashichangjianduguanlizongjuyu10月29日發布的《互聯網平台分類分級指南(征求意見稿)》�����,超級互聯網平台(在國內上年度活躍用戶不低於5億)�、大型互聯網平台(在國內上年度活躍用戶不低於5,000萬)都將落入監管範圍����;
(4)累計向境外提供超過10萬人以上個人信息或者1萬人以上敏感個人信息。這裏的量級針對的是出境的個人信息數量��;
(5)國guo家jia網wang信xin部bu門men規gui定ding的de其qi他ta需xu要yao申shen報bao數shu據ju出chu境jing安an全quan評ping估gu的de情qing形xing。其qi他ta情qing形xing包bao括kuo哪na些xie�,有you待dai網wang信xin部bu門men進jin一yi步bu出chu台tai詳xiang細xi規gui定ding����,不bu排pai除chu依yi個ge案an具ju體ti情qing形xing要yao求qiu數shu據ju處chu理li者zhe申shen報bao的de可ke能neng性xing。
Q3:什麼是數據出境�����?
答:《評估辦法》並未定義“數據出境”的具體含義。2017年發布的《信息安全技術 數據出境安全評估指南(第二次征求意見稿)》曾嚐試對“數據出境”的情形和範圍進行界定。目前在實踐中���,以下幾種情形普遍被認為屬於“數據出境”:通過線上或線下方式將數據傳輸至境外或以其他方式使數據“物理”轉移到境外的�����;從境外直接訪問位於中國境內的服務器查閱��、調取數據的�;集團內部的中國企業向境外關聯機構提供數據的(例如��,跨國企業在中國的分支機構將員工信息直接錄入到總部部署在境外服務器上的人力資源管理係統中)。
那麼�,過境數據是否屬於數據出境��?從《評估辦法》第二條來看��,如果數據過境不會使數據處理者在中國境內收集或產生新的數據後再出境���,我們理解�,應該不屬於《評估辦法》所規製的數據出境行為。
Q4:數據出境安全評估的流程是什麼����?
答:根據《評估辦法》���,總體上����,數據出境安全評估包括處理者風險自評估和主管部門安全評估兩個環節����,其大致流程是:shujuchulizhezaixiangjingwaitigongshujuqianxiankaizhanfengxianzipinggu��,bingjiangfengxianzipinggubaogaozuoweishujuchujinganquanpinggucailiaozhiyi�����,tongguosuozaidishengjiwangxinbumenxiangguojiawangxinbumenjinxingshenbao。guojiawangxinbumenshoudaoshenbaocailiaohou�����,7個工作日內反饋是否受理����,自出具書麵受理通知書之日起45個工作日內完成數據出境安全評估�;情況複雜或者需要補充材料的��,可以適當延長��,但一般不超過60個工作日。
Q5:數據處理者是否必須與境外接收方訂立合同����,是否必須采用國家網信部門製定的標準合同�?
答:《評估辦法》提到�����,數據出境申報材料中應當包含“數據處理者與境外接收方擬訂立的合同或者其他具有法律效力的文件等”。因此��,與境外接收方訂立合同或類似的對雙方具有法律效力的文件是必要的。
“標準合同”的概念係出自於《個人信息保護法》第di三san十shi八ba條tiao�����,即ji個ge人ren信xin息xi出chu境jing的de合he法fa路lu徑jing之zhi一yi����,是shi按an照zhao國guo家jia網wang信xin部bu門men製zhi定ding的de標biao準zhun合he同tong與yu境jing外wai接jie收shou方fang訂ding立li合he同tong。因yin此ci����,如ru果guo出chu境jing的de數shu據ju屬shu於yu個ge人ren信xin息xi�,且qie數shu據ju處chu理li者zhe采cai取qu上shang述shu數shu據ju出chu境jing路lu徑jing的de�,則ze應ying當dang采cai用yong國guo家jia網wang信xin部bu門men製zhi定ding的de標biao準zhun合he同tong。關guan於yu重zhong要yao數shu據ju出chu境jing的de合he同tong或huo其qi他ta文wen件jian的de形xing式shi����,《評估辦法》及其他相關法律法規並未作出相應要求。
Q6:數據出境安全評估的要素中是否包括個人信息主體的單獨同意�?
答:數據出境安全評估重點評估數據出境活動可能對國家安全�、公共利益�、個人或者組織合法權益帶來的風險。在《評估辦法》列示的主要考慮因素中�����,明確包括“數據出境的目的�����、範圍����、方式等的合法性�����、正當性���、必要性”�,但並沒有特別提及在個人信息出境的場景下�,必須取得個人信息主體的單獨同意。我們理解��,這與《個人信息保護法》的規定是契合的。根據《個人信息保護法》第(di)十(shi)三(san)條(tiao)����,個(ge)人(ren)的(de)同(tong)意(yi)不(bu)再(zai)是(shi)處(chu)理(li)個(ge)人(ren)信(xin)息(xi)的(de)唯(wei)一(yi)合(he)法(fa)基(ji)礎(chu)。因(yin)此(ci)����,如(ru)果(guo)數(shu)據(ju)處(chu)理(li)者(zhe)基(ji)於(yu)個(ge)人(ren)同(tong)意(yi)以(yi)外(wai)的(de)其(qi)他(ta)合(he)法(fa)基(ji)礎(chu)向(xiang)境(jing)外(wai)提(ti)供(gong)個(ge)人(ren)信(xin)息(xi)的(de)�����,我(wo)們(men)認(ren)為(wei)����,並(bing)不(bu)必(bi)須(xu)取(qu)得(de)個(ge)人(ren)的(de)單(dan)獨(du)同(tong)意(yi)�����,但(dan)在(zai)進(jin)行(xing)出(chu)境(jing)安(an)全(quan)評(ping)估(gu)時(shi)���,需(xu)要(yao)證(zheng)明(ming)其(qi)數(shu)據(ju)出(chu)境(jing)行(xing)為(wei)具(ju)備(bei)法(fa)律(lv)規(gui)定(ding)的(de)其(qi)他(ta)合(he)法(fa)基(ji)礎(chu)。
Q7:負責數據出境安全評估的部門有哪些���?
答:國家網信部門負責數據出境的安全評估。國家網信部門受理數據出境安全評估申報的���,將組織行業主管部門����、國務院有關部門(例如公安部門)�����、省級網信部門�、專門機構等進行安全評估。涉及重要數據出境的�����,國家網信部門將征求相關行業主管部門意見。
Q8:《評估辦法》規定的“安全評估”與《網絡安全審查辦法(修訂草案征求意見稿》(“網絡安全審查辦法修訂意見稿”)中的“安全審查”是否相同���?
答:今年7月份發布的網絡安全審查辦法修訂意見稿擴大了現行《網絡安全審查辦法》的適用範圍�����,將數據處理活動納入網絡安全審查範圍����,並將“核心數據�����、重要數據或大量個人信息被竊取����、泄露���、毀損以及非法利用或出境的風險”列入主要考慮因素之中。盡管網絡安全審查辦法修訂意見稿中的網絡安全審查與《評估辦法》所規定的數據出境安全評估�,在數據出境方麵存在一定的相似度�����,但我們理解�����,網絡安全審查與數據出境安全評估並不相同。
首先����,從製度的著眼點和目的來看��,《國家安全法》確立了國家安全審查製度�,網絡安全審查辦法修訂意見稿所規定的安全審查是國家安全審查製度在網絡和數據安全領域的體現�����,其關注點在於CIIO對網絡產品和服務的采購活動���、數據處理者的數據處理活動以及國外上市可能帶來的國家安全風險。而《評估辦法》zhonganquanpingguzhidudemudeshibaohugerenxinxiquanyi�����,weihuguojiaanquanheshehuigonggongliyi����,qipingguzhongdianbingbujinxianyuguojiaanquan�����,haibaokuoshujuchujingduigonggongliyi�����、個人或者組織合法權益可能帶來的風險。
其次����,從審查/評估內容來看��,數據出境安全評估專門圍繞數據出境風險展開�����,而數據出境風險僅是網絡安全審查的內容之一。
最後�����,從機製落實方麵來看�,網絡安全審查係由中央網絡安全和信息化委員會領導����,且存在常設機構——網絡安全審查辦公室�;而數據出境安全評估係由國家網信部門主導並實施�,《評估辦法》中也並未就此設置常設機構。
盡jin管guan如ru此ci�����,從cong優you化hua行xing政zheng監jian管guan機ji製zhi的de角jiao度du而er言yan�,未wei來lai如ru果guo企qi業ye同tong時shi麵mian臨lin網wang絡luo安an全quan審shen查zha和he數shu據ju出chu境jing安an全quan評ping估gu要yao求qiu��,也ye許xu主zhu管guan部bu門men可ke以yi考kao慮lv將jiang數shu據ju出chu境jing安an全quan評ping估gu結jie果guo作zuo為wei網wang絡luo安an全quan審shen查zha申shen報bao材cai料liao��,從cong而er提ti高gao監jian管guan效xiao能neng�����,降jiang低di企qi業ye負fu擔dan。
Q9:通過一次安全評估後是否就可以一勞永逸了���?
答:不是的。首先���,評估結果的有效期為二年。有效期屆滿前�����,數據處理者需要繼續開展原數據出境活動的�,應當在有效期屆滿60個ge工gong作zuo日ri前qian重zhong新xin申shen報bao評ping估gu。其qi次ci����,數shu據ju出chu境jing安an全quan評ping估gu是shi一yi項xiang動dong態tai的de監jian管guan機ji製zhi。一yi方fang麵mian�����,如ru果guo在zai有you效xiao期qi內nei出chu現xian影ying響xiang出chu境jing數shu據ju安an全quan的de情qing形xing�,如ru出chu境jing數shu據ju的de處chu理li目mu的de�、類型����、用(yong)途(tu)等(deng)發(fa)生(sheng)變(bian)化(hua)���,接(jie)收(shou)方(fang)自(zi)身(shen)實(shi)際(ji)控(kong)製(zhi)權(quan)或(huo)其(qi)所(suo)處(chu)法(fa)律(lv)環(huan)境(jing)發(fa)生(sheng)變(bian)化(hua)等(deng)�����,數(shu)據(ju)處(chu)理(li)者(zhe)應(ying)當(dang)重(zhong)新(xin)申(shen)報(bao)評(ping)估(gu)。另(ling)一(yi)方(fang)麵(mian)����,如(ru)果(guo)國(guo)家(jia)網(wang)信(xin)部(bu)門(men)在(zai)評(ping)估(gu)結(jie)果(guo)有(you)效(xiao)期(qi)內(nei)發(fa)現(xian)實(shi)際(ji)的(de)數(shu)據(ju)出(chu)境(jing)活(huo)動(dong)不(bu)再(zai)符(fu)合(he)數(shu)據(ju)出(chu)境(jing)安(an)全(quan)管(guan)理(li)要(yao)求(qiu)的(de)�����,應(ying)當(dang)撤(che)銷(xiao)評(ping)估(gu)結(jie)果(guo)並(bing)書(shu)麵(mian)通(tong)知(zhi)數(shu)據(ju)處(chu)理(li)者(zhe)終(zhong)止(zhi)數(shu)據(ju)出(chu)境(jing)活(huo)動(dong)。如(ru)需(xu)繼(ji)續(xu)開(kai)展(zhan)數(shu)據(ju)出(chu)境(jing)活(huo)動(dong)的(de)���,數(shu)據(ju)處(chu)理(li)者(zhe)應(ying)當(dang)按(an)照(zhao)要(yao)求(qiu)進(jin)行(xing)整(zheng)改(gai)���,並(bing)在(zai)整(zheng)改(gai)完(wan)成(cheng)後(hou)重(zhong)新(xin)申(shen)報(bao)評(ping)估(gu)。
Q10:未經安全評估即進行數據出境活動的���,會受到處罰嗎�?
答:根據《評估辦法》第十七條�����,未經安全評估即進行數據出境屬於違反《評估辦法》的行為���,應當視情況依照《網絡安全法》《數據安全法》《個人信息保護法》等法律法規的規定處理�����;構成犯罪的�����,還將被依法追究刑事責任。
根據《網絡安全法》第六十六條�,CIIO未通過安全評估即在境外存儲網絡數據或者向境外提供網絡數據的��,除麵臨最高50萬元罰款之外��,還可能被處以停業整頓��、吊銷證照等處罰��;另外�����,主管人員可能麵臨最高10萬元的罰款。
根據《數據安全法》第四十六條�,數據處理者違法從事數據出境活動的�,除麵臨最高1,000萬元罰款外��,還可能被處以停業整頓�、吊銷證照等處罰��;另外�����,主管人員可能麵臨最高100萬元的罰款。
根據《個人信息保護法》第六十六條�����,個人信息處理者未經安全評估即進行個人信息出境活動的�,罰款數額可能高達5,000萬元或者上一年度營業額的5%��,並麵臨被吊銷證照等風險�,主管人員還可能麵臨最高100萬元的罰款以及從業限製等法律責任。
