September 2022
簡評中國大陸《數據出境安全評估辦法》
2022.09
溫堅堅、黃郁婷
近年來,數字經濟蓬勃發展、數據跨境活動頻繁,而數據的跨境流動不僅影響個人信息權益,更關係到國家安全及社會公共利益。截至目前為止,中國大陸出臺的與數據跨境活動相關的法律有《網絡安全法》、《數據安全法》及《個人信息保護法》。2022年7月7日,國家互聯網信息辦公室又出臺了《數據出境安全評估辦法》(以下稱《辦法》),就上述法律中有關數據出境的規定進一步予以規定及落實。《辦法》明確了數據出境安全評估的對象、程序、要求、期限等主要因素,為數據出境安全評估提供了具體的指引,以防範數據出境安全風險,保障數據依法有序流動。
《辦法》明確了數據出境活動的概念[1],包括(1)數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外。(2)數據處理者收集和產生的數據存儲在境內,境外的機構、組織或者個人可以訪問或者調用。這裡需提請注意的是上述第二種情形,數據被儲存在境內,如若境外的機構、組織或個人可獲取到該數據的依舊被視為數據出境活動。
《辦法》規定了需要申報數據出境安全評估的具體情形並設有兜底條款,具體包括(1)數據處理者向境外提供重要數據;(2)關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息;(3)自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息;以及(4)國家網信部門規定的其他需要申報數據出境安全評估的情形。值得關注的是,上述第(3)種情形較《辦法》(徵求意見稿)[2]中增加了時間跨度,明確以上年1月1日為起點,累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者,才需要進行數據出境安全評估。對於使用者數量小,出境頻率低的中小企業而言其實是較為有利的規定,只要符合條件便可免去安全評估的義務。
《辦法》明確數據出境風險自評估前置的原則。強制申報數據出境安全評估的適用範圍需滿足上述的具體情形,然風險自評估是所有數據處理者向境外提供數據前的必要程序,該程序也是各企業應當特別予以重視的。提請各企業注意風險自評估所需重點評估的事項,包括數據出境和境外接收方處理數據的目的、範圍、方式等的合法性、正當性、必要性;出境數據的規模、範圍、種類、敏感程度,數據出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險;境外接收方承諾承擔的責任義務,以及履行責任義務的管理和技術措施、能力等能否保障出境數據的安全;數據處理者與境外接收方擬訂立的法律檔中是否充分約定了數據安全保護責任義務;數據安全和個人信息權益是否能夠得到充分有效保障等。
國家網信部門收到數據處理者的申報材料後,應當自向數據處理者發出書面受理通知書之日起45個工作日內完成數據出境安全評估;情況複雜或者需要補充、更正材料的,可以適當延長並告知數據處理者預計延長的時間。通過數據出境安全評估的結果有效期為2年,自評估結果出具之日起計算。
《辦法》於2022年9月1日起施行,提請各企業注意數據出境絕不能“裸奔”不做任何配套措施,建議企業除瞭解上述所提《網絡安全法》、《數據安全法》及《個人信息保護法》,也應仔細研讀前不久發佈的《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規範》及《個人信息出境標準合同規定》,確保企業數據出境合法合規。
(作者意見,不代表事務所立場。)
溫堅堅、黃郁婷
近年來,數字經濟蓬勃發展、數據跨境活動頻繁,而數據的跨境流動不僅影響個人信息權益,更關係到國家安全及社會公共利益。截至目前為止,中國大陸出臺的與數據跨境活動相關的法律有《網絡安全法》、《數據安全法》及《個人信息保護法》。2022年7月7日,國家互聯網信息辦公室又出臺了《數據出境安全評估辦法》(以下稱《辦法》),就上述法律中有關數據出境的規定進一步予以規定及落實。《辦法》明確了數據出境安全評估的對象、程序、要求、期限等主要因素,為數據出境安全評估提供了具體的指引,以防範數據出境安全風險,保障數據依法有序流動。
《辦法》明確了數據出境活動的概念[1],包括(1)數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外。(2)數據處理者收集和產生的數據存儲在境內,境外的機構、組織或者個人可以訪問或者調用。這裡需提請注意的是上述第二種情形,數據被儲存在境內,如若境外的機構、組織或個人可獲取到該數據的依舊被視為數據出境活動。
《辦法》規定了需要申報數據出境安全評估的具體情形並設有兜底條款,具體包括(1)數據處理者向境外提供重要數據;(2)關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息;(3)自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息;以及(4)國家網信部門規定的其他需要申報數據出境安全評估的情形。值得關注的是,上述第(3)種情形較《辦法》(徵求意見稿)[2]中增加了時間跨度,明確以上年1月1日為起點,累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者,才需要進行數據出境安全評估。對於使用者數量小,出境頻率低的中小企業而言其實是較為有利的規定,只要符合條件便可免去安全評估的義務。
《辦法》明確數據出境風險自評估前置的原則。強制申報數據出境安全評估的適用範圍需滿足上述的具體情形,然風險自評估是所有數據處理者向境外提供數據前的必要程序,該程序也是各企業應當特別予以重視的。提請各企業注意風險自評估所需重點評估的事項,包括數據出境和境外接收方處理數據的目的、範圍、方式等的合法性、正當性、必要性;出境數據的規模、範圍、種類、敏感程度,數據出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險;境外接收方承諾承擔的責任義務,以及履行責任義務的管理和技術措施、能力等能否保障出境數據的安全;數據處理者與境外接收方擬訂立的法律檔中是否充分約定了數據安全保護責任義務;數據安全和個人信息權益是否能夠得到充分有效保障等。
國家網信部門收到數據處理者的申報材料後,應當自向數據處理者發出書面受理通知書之日起45個工作日內完成數據出境安全評估;情況複雜或者需要補充、更正材料的,可以適當延長並告知數據處理者預計延長的時間。通過數據出境安全評估的結果有效期為2年,自評估結果出具之日起計算。
《辦法》於2022年9月1日起施行,提請各企業注意數據出境絕不能“裸奔”不做任何配套措施,建議企業除瞭解上述所提《網絡安全法》、《數據安全法》及《個人信息保護法》,也應仔細研讀前不久發佈的《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規範》及《個人信息出境標準合同規定》,確保企業數據出境合法合規。
(作者意見,不代表事務所立場。)
