21世纪经济报道记者 张雅婷 郭美婷 广州报道
7月7日,国家互联网信息办公室公布《数据出境安全评估办法》(以下简称《办法》),自2022年9月1日起施行。
《办法》明确了应当申报数据出境安全评估的4种情形、数据出境安全评估的内容及具体流程等,进一步规范数据出境活动。多位受访专家表示,目前我国出台的跨境数据相关法规政策已对数据出境机制给了新解法,有助于企业在构筑自身跨国商业生态过程中形成更为清晰的合规思路和体系。不过,《办法》仍存落地难点,期待未来相关实施细则的进一步细化。
(相关资料图)
《数据出境安全评估办法》进一步落实《网络安全法》《数据安全法》《个人信息保护法》的规定。作为曾长期参与我国网络安全政策法规研究起草的核心专家,中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋接受21世纪经济报道记者专访,详解政策出台背景与意义,探求数据跨境安全管理的趋势与建议。
数据出境新规范近年来,随着数字经济蓬勃发展,数据跨境活动日益频繁,数据处理者的数据出境需求快速增长。同时,由于不同国家和地区法律制度、保护水平等的差异,数据出境安全风险也相应凸显。数据跨境活动既影响个人信息权益,又关系国家安全和社会公共利益。
《办法》明确,数据出境活动主要包括数据处理者将在境内运营中收集和产生的数据传输、存储至境外,或前述数据存储在境内,但境外的机构、组织或者个人可以访问或者调用。
其中,4种情形应当申报数据出境安全评估:数据处理者向境外提供重要数据;关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;以及国家网信部门规定的其他需要申报数据出境安全评估的情形。
对比征求意见稿,此次发布的《办法》第八条新增了省级网信部门自收到申报材料之日起5个工作日内完成完备性查验的要求。
“这是自评估之后的申报评估流程。”中国政法大学网络法学研究所副所长商希雪分析,由于实务中数据出境的业务需求很多,增设省级网信部门的监管程序,一方面是缓解国家网信办的审核工作压力,另一方面也是通过不同层级的审核机制,增加数据出境的监管力度,确保安全监管效果。
同时,《办法》在第十条删除了国家网信部门在涉及重要数据出境时需征求相关行业主管部门意见的规定。北京师范大学互联网发展研究院院长助理、中国互联网协会研究中心副主任吴沈括认为,这主要体现了集中管辖的思路,有助于提高评估的效率和权威。
不久前,《个人信息出境标准合同规定(征求意见稿)》发布,涵盖了可签订标准合同的条件,个人信息保护影响评估重点等方面。在吴沈括看来,目前出台的多项跨境数据相关法规政策已覆盖了整体的数据出境机制,有助于企业在构筑自身跨国商业生态过程中形成更为清晰的合规思路和体系。“在这些规则落地后,监管、机制设计、责权分配等都将有更为全面的操作细则。”
数据出境安全评估包括哪些具体流程?根据《办法》, 涉及数据出境活动的相关企业应首先开展数据出境风险自评估,若其属于数据出境的安全评估范围,应在数据出境活动发生前、与境外接收方签订数据出境相关法律文件前,申报并通过评估。如果在签订法律文件后申报评估,建议在法律文件中注明此文件须在通过数据出境安全评估后生效,以避免可能因未通过评估而造成损失。
具体到评估流程,企业需通过所在地省级网信部门向国家网信部门申报数据出境安全评估,国家网信部门自收到申报材料之日起7个工作日内确定是否受理评估,自出具书面受理通知书之日起45个工作日内完成数据出境安全评估,情况复杂或需补充、更正材料的,可适当严查时间。
清律律师事务所首席合伙人熊定中认为,从企业的角度来看,目前《办法》落实的难点在于透明度仍然有改进空间。例如企业需向省级网信部门提交申报材料,具体是何种业务科室以及提交流程,网信部门可以公开申报指引,促进申报流程的标准化、规范化。
“《办法》第五条规定,数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,其中重点评估的事项包括出境数据的规模、范围、种类、敏感程度等,如何定义‘敏感程度’,后续或应提供更多的示例或制定示范条款等,未来相关条款也仍有较大的细化空间。”熊定中说。
【专访左晓栋】21世纪:可否简要介绍一下中国的数据出境安全政策近年来的演变?
左晓栋:最早出现是在2016年11月,全国人大通过《网络安全法》。法律的第37条提出了个人信息和重要数据出境安全评估制度,并授权国家网信部门制定出境评估办法。37条规范的是关键信息基础设施运营者的数据出境,而事实上,有相当多可能危害国家安全的数据出境,发生在商业领域中的中小机构,他们不是关键信息基础设施运营者。
紧接着,2017年4月11日,国家网信部门发布《个人信息和重要数据出境安全评估办法(征求意见稿)》,但尚未对重要数据进行定义。之后,个人信息和重要数据的出境被分别监管。2019年6月13日,网信部门发布了《个人信息出境安全评估办法(征求意见稿)》。
2021年迎来的重要规范。全国人大先后通过了《数据安全法》和《个人信息保护法》,正式将数据出境安全评估制度的实施范围作了扩展,不再局限于关键信息基础设施运营者,数据出境安全评估制度的上位法依据得以完善。
趁此东风,2021年10月29日,国家网信部门发布了《数据出境安全评估办法(征求意见稿)》,于今天正式发布《数据出境安全评估办法》。
21世纪:《数据出境安全评估办法》有哪些亮点?
左晓栋:相比征求意见稿,网信部门根据反馈意见情况,针对其中存在的模糊地带进行了修改,主要是为了更方便让政策落地,实现更好的实施效果。
工作制度初步建立,这是《数据出境安全评估办法》最大的意义。同时,前几年各地网信部门在制定地方网络安全“十四五”规划时,常常遇到一个难题:实施数据出境安全评估、网络安全审查等制度时,地方网信部门是否有工作职责?《数据出境安全评估办法》对这类问题作了明确,规定了数据出境安全评估的工作流程。
此外,文件还规定了申报数据出境安全评估时应当提交的材料、网信部门开展评估时重点关注的风险要素等内容。文件也对数据处理者提出了具体要求,包括在数据出境前开展风险自评估,以及与境外接收方订立合同、充分约定数据安全保护责任义务等。
21世纪:对于企业而言,在数据出境问题上面临哪些压力?
左晓栋:最主要的压力就是大家担心法律法规以及实施细则中有些信息不明朗,一些条款与概念比较模糊,不好把握。
比如,“重要数据”是什么?目前,《数据出境安全评估办法》对“重要数据”的定义,是“指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”,重要数据的识别标准仍需进一步完善。以及,什么叫做“境内运营”?如何界定“数据出境”?谁是“数据接收者”?这些概念在面对复杂场景时可能有新解,直接影响数据出境安全评估制度的实施范围。
21世纪:对于数据出境的安全风险评估,有关监管部门应如何平衡数据安全与数据流动之间的关系?
左晓栋:我们对数据出境安全评估制定办法,目的就是对不同的数据进行分类管理。这次的《数据出境安全评估办法》是因为数据比较敏感,可能会影响国家安全、公共利益,因此要通过网信部门的评估。但有些数据出境,比如个人在国外订酒店、买机票等行为,将护照号码传输到国外,那则依据个人需求自由传输。
将数据进行不同区分后,让不同的数据走不同的渠道出境,如此方能促进数据便利的、安全的、有序的跨境流动。去年开始实施的《个人信息保护法》中提到,确需向境外提供个人信息的,应满足4种条件之一,如个人信息安全认证、标准合同等。目前,《数据出境安全评估办法》只是一种数据出境的途径,其他数据的出境应继续建立相关规范,比如日前发布的《个人信息出境标准合同规定(征求意见稿)》是一种途径,还有个人信息保护认证的制度建立也应提上日程。
21世纪:你对国家未来在数据跨境安全管理方面有哪些建议?
左晓栋:我们未来应该建立更加全面的、与国际惯例相衔接的数据出境安全管理制度。
这次出台的是《数据出境安全评估办法》,但“评估”无法代替“管理”,管理涉及数据出境的事前、事中、事后,而“评估”只是一个特定时刻的活动。无论采用何种出境形式,数据出境前都需要进行自评估,个人信息还需要进行个人信息安全影响评估;出境过程中要履行安全保护责任;出境后要监督数据接收方的义务履行,防范数据出境安全风险;出现纠纷后,还涉及到跨境追责问题。当前,我们对于数据跨境安全管理制度的内涵已经基本清楚,但相关规范与实施细则还需更进一步明确,这样才能提高可操作性。