自由与安全:数据出境评估的规则分析
Date: 2022-07-141
前言
所谓数据出境,是指数据处理者将在国内收集、产生的重要数据和个人信息,提供给境外主体的行为。
为应对跨境流动数据数量飙升以及逐步扩张的信息全球化趋势,经济合作与发展组织于1980年发布了《隐私保护和个人数据跨境流动指南》(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)并将“数据跨境流动”纳入法律议题,在世界范围内掀起了关于数据跨境流动监管的立法热潮。
2021年6月10日,第十三届全国人民代表大会常务委员会通过《中华人民共和国数据安全法》,将数据安全提升到国家安全高度,明确规定“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。
2
我国关于数据跨境流动监管的法律规范
在《数据出境安全评估办法》颁布前,我国已颁布、施行数据信息安全保护的法律规范若干,其中关于数据跨境流动监管与安全评估的相关规定如下:
|
法律法规名称 |
具体规定 |
|
中华人民共和国网络安全法 |
第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。 |
|
中华人民共和国个人信息保护法 |
第三十六条 国家机关处理的个人信息应当在中华人民共和国境内存储; |
|
第三十八条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。
个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。 |
|
|
第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。 |
|
|
第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。 |
|
|
第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人权益有重大影响的个人信息处理活动。 |
同时,除已颁布的《数据出境安全评估办法》外,我国关于数据出境安全保护尚有1部行政法规、4部部门规章以及2项标准/行业指南正在立法意见征求过程中。
|
|
规范名称 |
|
行政法规 |
网络数据安全管理条例 |
|
部门规章/部门规范文件 |
数据安全管理办法 |
|
个人信息和重要数据出境安全评估办法 |
|
|
个人信息出境安全评估办法 |
|
|
个人信息出境标准合同规定 |
|
|
标准/行业指南 |
信息安全技术数据出境安全评估指南 |
|
网络安全标准个人信息跨境处理活动认证技术规范 |
根据《数据出境安全评估办法》第四条、第十九条,数据处理者向境外提供数据,有下列情形之一的,应当申报数据出境安全评估:
(一)数据处理者向境外提供重要数据(指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据);
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。
数据出境安全评估的申报材料
需要办理数据出境安全评估的数据处理者,应当根据《数据出境安全评估办法》第五条规定,制作、准备以下申报材料:
根据《数据出境安全评估办法》第五条,数据处理者在申报数据出境安全评估前,应当就以下重点评估项目开展数据出境风险自评估,并制作《数据出境风险自评估报告》。
|
|
申报前自评估的重点评估项目 |
|
1 |
数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性 |
|
2 |
出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险 |
|
3 |
境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全 |
|
4 |
数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等 |
|
5 |
与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等是否充分约定了数据安全保护责任义务 |
|
6 |
其他可能影响数据出境安全的事项 |
数据处理者与境外接收方拟订立的法律文件(例如数据处理协议),既是数据跨境流动的业务活动依据,也是有关部门重点审查的重点。
根据《数据出境安全评估办法》第九条规定,数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,并至少包括以下六项内容:
|
|
拟订立法律文件的必备内容 |
|
1 |
数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等 |
|
2 |
数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施 |
|
3 |
对于境外接收方将出境数据再转移给其他组织、个人的约束性要求 |
|
4 |
境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施 |
|
5 |
违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式 |
|
6 |
出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式 |
数据出境安全评估的办理流程
整体流程具体如下图所示:
6
数据出境安全评估的评估内容
根据《数据出境安全评估办法》第八条规定,国家网信部门进行数据出境安全评估的重点项目主要包括:
|
|
数据出境安全评估的重点评估项目 |
|
1 |
数据出境的目的、范围、方式等的合法性、正当性、必要性 |
|
2 |
境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响; |
|
3 |
出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险 |
|
4 |
数据安全和个人信息权益是否能够得到充分有效保障 |
|
5 |
数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务 |
|
6 |
遵守中国法律、行政法规、部门规章情况 |
|
7 |
国家网信部门认为需要评估的其他事项 |
数据出境的重新申报评估
根据《数据出境安全评估办法》第十四条规定,在数据出境安全评估结果有效期内出现以下情形之一的,数据处理者应当重新申报评估:
(一)向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的;
(二)境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的;
(三)出现影响出境数据安全的其他情形。
有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。
结语
大国数据竞争背景下,数据跨境流动频繁,由于不同国家和地区法律制度、保护水平等的差异,数据出境安全风险也相应凸显。
在实践视角,《数据出境安全评估办法》的出台落地势必会在很大程度上增加数据处理者、网信部门以及相关主体的工作负荷。
