跨境數(shù)據(jù)合規(guī) | 數(shù)據(jù)出境“安檢”新規(guī)——《數(shù)據(jù)出境安全評估辦法》深度解讀【走出去智庫】-ESG跨境

走出去智庫觀察

7月7日，國家互聯(lián)網(wǎng)信息辦公室頒布《數(shù)據(jù)出境安全評估辦法》（以下簡稱《評估辦法》），將于2022年9月1日起正式施行。《評估辦法》明確了數(shù)據(jù)出境安全評估的目的、原則、范圍、程序和監(jiān)督機制等具體規(guī)定。

走出去智庫(CGGT) 特約法律專家、北京德恒律師事務(wù)所合伙人王一楠指出，《評估辦法》的頒布實施具有重要現(xiàn)實意義：一是落實上位法的數(shù)據(jù)出境管理規(guī)定和要求；二是保障數(shù)字經(jīng)濟健康有序發(fā)展；三是應(yīng)對數(shù)據(jù)跨境傳輸和境外匯聚的安全風(fēng)險。

《評估辦法》有哪些重要規(guī)定？今天，走出去智庫（CGGT）刊發(fā)王一楠律師的文章，供關(guān)注跨境數(shù)據(jù)合規(guī)管理的讀者參考。

要 點

CGGT，CHINA GOING GLOBAL THINKTANK

1、雖然上位法《網(wǎng)安法》、《數(shù)安法》、《個保護》均從不同角度提到過數(shù)據(jù)出境需要進行安全評估的情形，而《評估辦法》首次完整地規(guī)定了安全評估的具體適用范圍。

2、對于擬進行數(shù)據(jù)出境的數(shù)據(jù)處理者來說，先要判斷其出境活動是否適用安全評估，如果適用，需要進行數(shù)據(jù)出境風(fēng)險自評估，否則可以通過《個保法》項下的其他路徑（如認證、標準合同）數(shù)據(jù)出境或依法有序自由流動。

3、《評估辦法》第五條和第八條分別列舉風(fēng)險自評估和安全評估的重點事項，兩者大部分內(nèi)容重合，凸顯了風(fēng)險自評估在申報資料中的重要地位，體現(xiàn)了“風(fēng)險自評估與安全評估相結(jié)合”的評估原則。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

一、出臺背景

隨著全球化與數(shù)字經(jīng)濟的發(fā)展，數(shù)據(jù)作為具有極大經(jīng)濟價值的生產(chǎn)要素，在國際間的流動越來越頻繁，而且數(shù)量呈逐年增長趨勢。然而，數(shù)據(jù)跨境的無序流動會給數(shù)據(jù)主體和數(shù)據(jù)安全帶來風(fēng)險，還關(guān)乎國家安全和社會公共利益。為了防范數(shù)據(jù)跨境流動中存在的各種風(fēng)險，我國一直積極推動相關(guān)立法規(guī)范數(shù)據(jù)的跨境流動，例如《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》和《網(wǎng)絡(luò)安全審查辦法》修訂。

2022年7月7日，國家互聯(lián)網(wǎng)信息辦公室出臺了《數(shù)據(jù)出境安全評估辦法》（以下簡稱“評估辦法”），全面和系統(tǒng)地提出了我國數(shù)據(jù)出境“安檢”的具體要求，也標志著《網(wǎng)絡(luò)安全法》（以下簡稱“網(wǎng)安法”）首次確立的數(shù)據(jù)出境安全評估制度正式落地。

實際上，國家互聯(lián)網(wǎng)信息辦公室分別于2017年和2019年就數(shù)據(jù)出境安全評估出臺過兩個辦法的征求意見稿，即2017年4月11日的《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》（“17年版評估辦法”）和2019年6月13日的《個人信息出境安全評估辦法（征求意見稿）》（“19年版評估辦法”）。隨著《數(shù)據(jù)安全法》（以下簡稱“數(shù)安法”）《個人信息保護法》（以下簡稱“個保法”）的正式頒布實施，國家網(wǎng)信部門持續(xù)不斷深入研究國外相關(guān)立法現(xiàn)狀，結(jié)合17年版評估辦法和19年版評估辦法制定工作經(jīng)驗，在廣泛吸收社會各方意見基礎(chǔ)上，打磨完善而形成目前的《評估辦法》。

《評估辦法》的頒布實施具有重要現(xiàn)實意義：一是落實上位法的數(shù)據(jù)出境管理規(guī)定和要求；二是保障數(shù)字經(jīng)濟健康有序發(fā)展；三是應(yīng)對數(shù)據(jù)跨境傳輸和境外匯聚的安全風(fēng)險。

二、適用范圍

雖然上位法《網(wǎng)安法》、《數(shù)安法》、《個保護》均從不同角度提到過數(shù)據(jù)出境需要進行安全評估的情形，而《評估辦法》首次完整地規(guī)定了安全評估的具體適用范圍。

首先，《評估辦法》第二條將“數(shù)據(jù)出境”定義為“向境外提供”。在實踐中，“提供”可以有多種呈現(xiàn)情形。通常理解的情形是數(shù)據(jù)處理者將數(shù)據(jù)轉(zhuǎn)移至中國境外的地方。但是有一種情形是數(shù)據(jù)并未轉(zhuǎn)移至境外，而依舊存儲在境內(nèi)，不過數(shù)據(jù)處理者將境內(nèi)數(shù)據(jù)庫的訪問登錄信息或接口提供給境外主體，以便后者可以在境外遠程訪問查看（“遠程訪問情形”）。例如，有些外資企業(yè)的信息技術(shù)團隊部署在中國境外，其通過互聯(lián)網(wǎng)訪問并處理境內(nèi)服務(wù)器上存儲的數(shù)據(jù)來提供遠程技術(shù)服務(wù)。鑒于遠程訪問情形也會對境內(nèi)存儲的數(shù)據(jù)構(gòu)成一定風(fēng)險威脅，從數(shù)據(jù)跨境流動安全管理的角度來看，其理論上屬于“向境外提供”。另外一種情況是數(shù)據(jù)雖然轉(zhuǎn)移至境外，但是數(shù)據(jù)處理者未將存儲在境外數(shù)據(jù)的訪問權(quán)交付給任何一個境外接收方，例如：數(shù)據(jù)處理者將數(shù)據(jù)上傳到境外自己的云存儲空間，僅供自己使用。在這種情況下，雖然不存在明確的境外接收方，但數(shù)據(jù)已經(jīng)處于我國司法管轄范圍之外，理論上境外主體（如云服務(wù)商）可以訪問數(shù)據(jù)，而且也面臨境外政府調(diào)取的風(fēng)險，因此該場景也應(yīng)屬于“向境外提供”。

其次，《評估辦法》第二條規(guī)定需要安全評估的出境數(shù)據(jù)系在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的。由此推斷出數(shù)據(jù)出境排除了境外數(shù)據(jù)“過境”我國的場景，體現(xiàn)了監(jiān)管手段與目的之間匹配的適當(dāng)性和合理性。

而且，《評估辦法》第二條（結(jié)合第四條）明確在出境數(shù)據(jù)涉及重要數(shù)據(jù)的情況下，安全評估是強制性的。需要注意的是這是首次將重要數(shù)據(jù)需要進行安全評估的范圍從關(guān)鍵信息基礎(chǔ)設(shè)施的運營者擴大至所有數(shù)據(jù)處理者。《網(wǎng)安法》第三十七條明確要求關(guān)鍵信息基礎(chǔ)設(shè)施的運營者向境外提供重要數(shù)據(jù)需要進行安全評估。《數(shù)安法》第三十一條重申了以上立場，并在此基礎(chǔ)上將其他數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)所適用的具體出境安全管理辦法交“由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定”。此次《評估辦法》第二條正是呼應(yīng)了《數(shù)安法》第三十一條，將其他數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)的情形也納入安全評估范圍。

而且，《評估辦法》自2017年《網(wǎng)安法》引入重要數(shù)據(jù)這個概念之后首次在部門規(guī)章的高度對其進行全面的界定，即“指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用、可能危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全等的數(shù)據(jù)”（在此之前，《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》明確在汽車數(shù)據(jù)場景下“涉及個人信息主體超過10萬人的個人信息”屬于重要數(shù)據(jù)，《信息安全技術(shù) 重要數(shù)據(jù)識別規(guī)則（征求意見稿）》從國家標準角度將重要數(shù)據(jù)定義為“特定領(lǐng)域、特定群體、特定區(qū)域或達到一定精度和規(guī)模的數(shù)據(jù)，一旦被泄露或篡改、損毀，可能直接危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全”）。

最后，結(jié)合《評估辦法》第四條，我們可以看到在出境數(shù)據(jù)涉及個人信息的情況下，達到一定“門檻“才需進行安全評估。該門檻主要涉及“四種情形、兩大類別”?！八姆N情形”是指，個人信息的處理者在滿足如下四種情形條件下就要進行安全評估：（1）關(guān)鍵信息基礎(chǔ)設(shè)施的運營者；（2）處理個人信息達到一百萬人；（3）自上年1月1日起累計向境外提供10萬人個人信息；（4）自上年1月1日起累計向境外提供1萬人敏感個人信息?！皟纱箢悇e”是指個人信息出境需要做安全評估的要求可以分為：主體條件類和客體條件類。兩個類別的區(qū)別是：前者關(guān)注處理者的主體資質(zhì)，而不關(guān)注向境外提供個人信息的具體數(shù)量，后者則相反。具體來說，主體條件類是指當(dāng)個人信息處理者是關(guān)鍵信息基礎(chǔ)設(shè)施運營者，或者處理個人信息達到一百萬人的個人信息處理者時，只要其向境外提供個人信息，無論實際出境數(shù)量多少個人信息都需要進行安全評估；客體條件類是指當(dāng)個人信息處理者向境外提供年累計達到一定標準（10萬人個人信息或1萬人敏感個人信息）之后即需要進行安全評估。

為了方便讀者理解，本文通過如下圖示說明數(shù)據(jù)出境安全評估的適用范圍：

圖1-數(shù)據(jù)出境安全評估的適用范圍

三、評估內(nèi)容

1.評估流程

評估辦法第五至第十四條和第十七條明確了安全評估的具體流程，本文總結(jié)如下：

適用分析。對于擬進行數(shù)據(jù)出境的數(shù)據(jù)處理者來說，先要判斷其出境活動是否適用安全評估，如果適用，需要進行數(shù)據(jù)出境風(fēng)險自評估，否則可以通過《個保法》項下的其他路徑（如認證、標準合同）數(shù)據(jù)出境或依法有序自由流動。

申報準備。如需進行安全評估，數(shù)據(jù)處理者需要準備申報書、風(fēng)險自評估報告、與境外接收方擬簽署法律文件等申報資料。

受理決定。在處理者提交申報資料之后，國家網(wǎng)信部門將審查并決定是否受理該申報。如果不受理，數(shù)據(jù)處理者可以通過其他路徑進行數(shù)據(jù)出境或依法有序自由流動。

進行評估。在受理申報之后，國家網(wǎng)信部門將組織國務(wù)院有關(guān)部門、省級網(wǎng)信部門、專門機構(gòu)等進行安全評估。值得注意的是，相對于2021年的征求意見稿，本《評估辦法》在該環(huán)節(jié)增加了一次給數(shù)據(jù)處理者補充或者更正資料的機會，即在安全評估過程中，國家網(wǎng)信部門如果發(fā)現(xiàn)申報材料不符合要求的，可以要求數(shù)據(jù)處理者補充或者更正。而征求意見稿僅在省級網(wǎng)信部門收到申報材料后賦予數(shù)據(jù)處理者一個類似的機會。其體現(xiàn)了監(jiān)管部門對于安全評估工作的審慎態(tài)度。

申請復(fù)評。如果最終通過了安全評估，數(shù)據(jù)處理者可以依法有序安排數(shù)據(jù)自由流動，否則需要終止數(shù)據(jù)出境活動或者申請復(fù)評。同樣，復(fù)評環(huán)節(jié)也是相較于2021年征求意見稿的新增內(nèi)容，為數(shù)據(jù)處理者提供了某種程度上的救濟途徑，在最大程度上確保評估結(jié)果的準確性。

重新評估?！对u估辦法》第十四條和第十七條規(guī)定，已經(jīng)通過評估的數(shù)據(jù)處理活動在如下三種情形下需要進行重新評估：（a）兩年期滿；(b) 情勢變化；(c) 違規(guī)處理。體現(xiàn)了“事前評估和持續(xù)監(jiān)督相結(jié)合”的評估原則。

為了方便讀者理解，本文通過如下圖示說明安全評估的工作流程，并將評估過程中涉及的時限通過如下表格總結(jié)。

圖2-評估流程

表1-評估流程中涉及的時限

2.評估事項

《評估辦法》第五條和第八條分別列舉風(fēng)險自評估和安全評估的重點事項，兩者大部分內(nèi)容重合，凸顯了風(fēng)險自評估在申報資料中的重要地位，體現(xiàn)了“風(fēng)險自評估與安全評估相結(jié)合”的評估原則。

為了方便讀者理解，下文通過如下表進行對比，并做簡要分析。

表2 - 風(fēng)險自評估與安全評估事項對比

3.關(guān)于“法律文件”的幾個問題

在《評估辦法》所要求提交的申報資料中，除了申報書和自評估報告以外，第三個重要資料就是“數(shù)據(jù)處理者與境外接收方擬訂立的法律文件”（“法律文件”），而且《評估辦法》第九條明確規(guī)定了“法律文件”需要包含的內(nèi)容，即約定數(shù)據(jù)安全保護責(zé)任義務(wù)等。

雖然“法律文件”在內(nèi)容要求上類似合同，但是不限于合同一種形式，例如有約束的集團公司內(nèi)部管理制度理論上也符合要求。而且，需要澄清的是這里提到的“法律文件”與《個保法》第三十八條第（三）款中提到的“標準合同”不同。兩者區(qū)別主要包括如下幾個方面：1）前者是安全評估的申報資料之一，而后者是與安全評估、認證共同構(gòu)成我國個人信息出境安全管理方式之一；2）前者的主要條款由數(shù)據(jù)處理者與境外接收方在滿足安全評估要求的前提下自由約定，而后者主要條款由國家網(wǎng)信部門制定；3）前者屬于事前監(jiān)管的范疇，后者屬于事后監(jiān)管的范疇。

4.結(jié)語

相較于17年和19年兩版評估辦法，本《評估辦法》所建立的管理體系更加成熟和完備，無論是在概念還是在制度建設(shè)方面都與上位法及其他相關(guān)數(shù)據(jù)跨境流動安全管理規(guī)定形成良好的銜接。隨著“重要數(shù)據(jù)”等概念、范圍的進一步明晰，以及其他配套法規(guī)政策文件的不斷出臺，《評估辦法》的實施標志我國在搭建數(shù)據(jù)出境安全管理制度的工作中邁出了重要且堅實的一步。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。