2021年10月29日,国家互联网信息办公室发布了《数据出境安全评估办法(征求意见稿)》(以下简称“《数据出境评估办法》”)公开征求意见的通知,其征求意见的截止日期为2021年11月28日。
一、现行法律框架下的数据出境安全评估
数据出境安全的评估与管理工作一直是数据合规中十分重要的一个问题。在《中华人民共和国网络安全法》(以下简称“《网安法》”)中就首次明确向关键信息基础设施运营者提出了需要对个人信息和重要数据进行出境安全评估的要求。
在《中华人民共和国数据安全法》(以下简称“《数安法》”)中也明确,关键信息基础设施运营者在我国境内运营中收集和产生的重要数据的出境安全管理,适用《网安法》的规定;其他数据处理者在我国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)第三十八条和第四十条也规定了针对个人信息处理者和关键信息基础设施运营者向境外提供数据时的要求。
二、《数据出境评估办法》的主体
根据《数据出境评估办法》第二条,数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息,应当按照本办法的规定进行安全评估。
三、数据出境安全评估的重点内容
根据《数据出境评估办法》,数据出境安全评估应坚持事前评估和持续监督相结合、风险自评估与安全评估相结合的原则。对于需要向国家网信部门申报安全评估的,数据处理者需要先进行自评估,并提交申报书、自评估报告、与境外数据接收者订立的相关合同以及其他相关材料。
在现行的《网安法》《数安法》和《个人信息保护法》中,对于此项内容的规定较为分散,《数据出境评估办法》对此规定进行了完善与整理。
1.数据出境风险自评估
根据《数据出境评估办法》第五条,首先,数据处理者在向境外提供数据前,应事先开展数据出境风险自评估。在自评估中,数据处理者需要对境外接收数据的合法性、正当性和必要性进行评估,其次还需要对出境数据的数量、性质、敏感程度以及对国家安全、组织或者个人等合法权益所带来的风险,同时还要考虑境外数据接收方是否可以尽到保护数据安全的义务等内容进行评估。
2.向国家网信部门申报安全评估
根据《数据出境评估办法》第四条,下列五种情况应通过所在地省级网信部门向国家网信部门申报数据出境安全评估,具体情形包括:
- 关键信息基础设施的运营者收集和产生的个人信息和重要数据;
- 出境数据中包含重要数据;
- 处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;
- 累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;
- 国家网信部门规定的其他需要申报数据出境安全评估的情形。
3.国家网信部门评估的重点内容
在国家网信部门的评估中,需要先对此次数据出境的合法性、正当性和必要性进行评估审查,其次需要考虑接收方当地的法律等对数据保护的要求及保护水平。同时,数据的类型、数量及性质问题,以及出境后所面临的潜在风险都是国家网信部门需要进行评估的内容。
与数据处理者进行自评估的重点内容相比,国家网信部门的评估内容部分相同,增加了对于接收方所在国家或地区数据保护法律环境和政治环境等宏观层面的评估内容。
四、数据出境协议中约定的数据保护责任义务条款
在数据处理者与境外数据接收者所订立的合同中,与数据保护义务相关的条款十分重要的内容。在这些条款中,通常需要约定如下内容:
- 数据出境的目的及用途;
- 数据的保存方式、期限以及到期后如何处理;
- 禁止数据进行二次转移的条款;
- 境外司法环境、商业环境、政治环境变化时需要采取的措施;
- 相关的违约条款及争议解决条款;
- 发生数据泄露的应急处置方式。
五、违反《数据出境评估办法》的相关法律责任
根据《数据出境评估办法》第十七条,违反本办法规定的,依照《网安法》、《数安法》、《个人信息保护法》等法律法规的规定处理;构成犯罪的,依法追究刑事责任。
其中《网安法》第六十六条、《数安法》第四十六条和《个人信息保护法》第六十六条分别规定了相关情形的处罚措施。但是,需要注意的是,如果数据处理者的违法违规行为涉及其他的法律法规,则同样要承担相应的违法违规责任。
我们的观察
《数据出境评估办法》出台的目的和价值是为了规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动。
如今,《网安法》、《数安法》和《个人信息保护法》构成了我国目前关于网络数据安全及信息保护治理框架的规则性法律。与之相关的配套性法律法规也在逐渐地完善当中,这些配套组合将共同维护和落实我国关于网络安全及信息保护的治理要求。对此,我们将保持关注。