2022年7月7日,国家互联网信息办公室发布《数据出境安全评估办法》,将于2022年9月1日实施。这次出台的外出评价办法,主要是针对应该评价哪些人,具体怎么评价。未来还将与网络数据安全管理条例相衔接,共同落实网络安全法、数据安全法、个人信息保护法等上位法的要求。
笔者根据参与相关工作的经验,解读了《数据出口安全评估方法》的主要制度,澄清了一些常见的误解。
01
什么是“数据出站活动”?
虽然《人身保护法》、《数据安全法》、《网络安全法》都规定了向境外提供数据的法律要求,但并没有解释“向境外提供数据”或“出境”的含义。网信部门相关负责人在《退出评价办法》中回答记者提问时明确解释了“数据退出”的含义。出境数据活动主要包括:一是数据处理器将国内作业中收集生成的数据传输存储到境外。二是数据处理器收集生成的数据存储在中国境内,国外机构、组织或个人可以访问或调用。▼物理转移:第一类是典型的数据出境场景,即处理器收集国内运营产生的数据,将数据传输存储到海外服务器。例如,一家跨境电子商务公司收集国内消费者的数据,并将数据传输和存储到其海外服务器。
▼境外访问:第二类是境内运营产生的数据虽然存储在境内服务器,但境外机构和个人可以访问、查看、调用。比如某跨国公司的员工个人信息存储在海外,但出于全球统一管理的目的,海外母公司有权查看员工在国内子公司服务器中的个人信息。
常见误解的澄清
1)向港澳台传输数据属于数据出境吗?
根据《出入境管理法》第八十条第一款,“出境是指从mainland China前往其他国家或者地区,从mainland China前往香港特别行政区和澳门特别行政区,从中国大陆前往台湾省。”在中国“出境”的语境中,“海外”包括“港澳台”。由于出境考核办法中使用了“海外”而非“国外”,对港澳台的数据传输和存储仍属于数据出境。
2)境外实体通过公共网页访问境内数据计算数据出境?
出境数据的“出国访问”一般是指在国内服务器或系统中对数据的访问和调用。对公共web信息的访问通常不被认为是数据退出。在《信息安全技术数据出境安全评估指南》中,“公共信息和网页访问”也被排除在数据出境范围之外。
02
什么情况下需要申报安全评估?
《退出评估办法》明确,企业符合下列情形之一的,应当申报数据退出安全评估:1)只要涉及重要数据的出境,都要申报数据出境安全评估。《出境评估办法》正式规定了重要数据的定义,即一旦被篡改、销毁、泄露或非法获取、使用,可能危及国家安全、经济运行、社会稳定、公共健康和安全的数据。
2)如果数据处理者被认定为海关操作人员,在境外提供个人信息时需要申报数据出境安全评估。根据《关键信息基础设施安全保护条例》,关键基础设施的运营者是公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的运营者,以及其他一旦遭受破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生和公共利益的重要网络设施和信息系统的运营者。实践中通常以是否取得主管部门的正式通知来确定是否构成关键经营者。
3)处理100万人以上个人信息的处理器,属于数据量大的处理器。他们的数据出站活动影响范围广,可能造成更大的破坏,需要上报进行安全评估。
4)与之前的《出境评估办法》征求意见稿不同,此次正式发布的《出境评估办法》定义了不超过2年的时限,即时限从上一年1月1日起累计。这一制度设计避免了将大部分企业纳入待申报的安全评估范围。
5)最后,退出考核办法还有一个总则,不能排除今后根据工作需要和实践提出其他考核条件的可能。
常见误解的澄清
1)重要数据是对公司业务至关重要的数据?
判断数据的重要标准是当数据被篡改、破坏、泄露或非法获取、使用时是否可能危害国家安全和公共利益,而不是对公司的业务经营是否至关重要。哪些数据重要是由政府主管部门决定的,而不是由企业自己决定的。比如《汽车数据安全管理若干规定》定义了汽车领域重要数据的范围,而工信部发布的相关规则则定义了工业领域重要数据的识别规则。其他行业和领域的重要数据范围仍需进一步明确。今后,各地区、各部门将根据《数据安全法》确定本地区、本部门及相关行业和领域重要数据的具体目录。
2)安全评估触发情况中的“100万”、“10万”、“1万”是指个人信息的条数?
《退出考核办法》明确规定“100万”、“10万”、“1万”单位是人,所以指的是个人信息对应的个人数量,而不是个人信息数量。
03
安全评估和个人信息退出标准合同是什么关系?
《个人保护法》规定了个人信息出境的三条合规路径,即:1)通过网信部门的安全评估;2)专业机构的个人信息保护认证;3)与海外接收方签订标准合同条款。《出境评估办法》规定了数据出境安全评估的触发条件。最近,国家网信部颁布的《关于个人信息出境标准合同的规定》规定了标准合同作为出境合规途径的适用条件。在《出境评估办法》答记者问中,网信部门相关负责人提到,数据处理者申报安全评估的,将收到网信部门的书面驳回通知,数据处理者可以通过法律规定的其他合法渠道进行数据出境活动。
常见误解的澄清
企业申请安全评估需要签署个人信息退出标准合同吗?
明确区分了“安全评估”和“签署个人信息退出标准合同”合规路径的触发情况。符合标准合同适用条件的企业无需申报安全评估,触发安全评估条件申报的企业不适用“签订个人信息退出标准合同”的合规路径。
《出境评估办法》要求,数据处理方应在与境外接收方缔结的法律文件中约定数据安全保护的责任和义务。如果数据处理器向境外提供的数据中包含个人信息,申请安全评估的数据处理器也可以参照“个人信息出境标准合同”的内容拟定法律文件。
04
应该如何进行数据退出风险的自我评估?
数据出口安全评估采用“风险自我评估与安全评估相结合”的方法。在向网信部门申报安全评估之前,需要进行数据出境风险自我评估。可以说,企业自评是申请安全评估的前提。1)自我评估的内容
自我评估主要关注“数据出境的合法性、正当性和必要性”和“数据出境的重要性”两方面的内容,包括:
1)自我评估与个人信息保护影响评估的关系
《个人保护法》第五十五条明确提出,在向境外提供个人信息之前,应当进行个人信息保护的影响评估。因此,在《个人保护法》下,出境前对个人信息进行PIA是一项强制义务,而无论《个人保护法》第三十八条中的任何出境途径,企业都需要PIA。
数据退出风险自我评估可以理解为一种特殊的PIA,但其评估内容和重点与其他场景的PIA有很大不同。
1)风险自我评估只能由企业自己进行?
自评可以由企业自行进行,也可以由企业委托第三方机构进行。委托第三方进行自评的,自评报告需要加盖评估机构公章。
2)风险自我评估等于PIA吗?
数据退出风险自我评估和PIA的目的都是通过评估的方式发现风险,评估内容有相似之处。但PIA更关注对个人权益的影响,自评也关注对国家安全和公共利益带来的风险。虽然两者存在概念上的差异,但在实践中,可以将自我评价和PIA结合起来,避免重复评价造成的资源浪费。
05
应该如何进行出站数据安全评估?
1)数据出口安全评估的主要内容安全评估和风险自我评估都会关注“数据出境的合法性、正当性和必要性”、“数据出境的风险”、“与境外接收方将要缔结的法律文件”等问题。
但对于安全评估,境外接收方所在国家或地区的数据安全保护政策法规以及网络安全环境对出境数据安全的影响应是评估的重点。与自我评估的另一个显著区别是,安全评估也将关注“合规性”。
2)数据出口安全评估流程
退出考核办法规定了逐级审核的流程。第一步是省级网信部门的完整性检查,第二步是国家网信部门、国务院有关部门、省级网信部门和专门机构进行的实质性安全评估。
《退出评估办法》规定数据退出安全评估有效期为2年,自安全评估结果发布之日起计算。2年的有效期为企业开展数据外运活动提供了稳定的预期。有效期届满后需要继续开展数据出境活动的,应当在有效期届满前60个工作日重新申报并进行评估。
常见误解的澄清
1)数据出境安全评估结果有效期从安全评估申报开始计算?
数据安全评估结果的2年有效期自安全评估结果出具之日起计算,而非自安全评估报告之日起计算。因此,安全评估结果作出前的自评、材料申报、实质审查的时间不包括在内。
2)通过评估的数据退出活动不会被终止?
通过企业安全评估后的数据出站活动不会被终止。根据《出境评估办法》,国家网信部门发现通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当书面通知数据处理者终止数据出境活动。企业需要继续开展数据外运活动的,需要按照要求进行整改,整改完成后应当重新申报评估。
06
标签
