企業數據出境評估指引——暨《數據出境安全評估辦法(徵求意見稿)》解讀_風聞
走出去智库-走出去智库官方账号-2021-11-11 20:14
走出去智庫觀察
10月29日,國家互聯網信息辦公室發佈《數據出境安全評估辦法(徵求意見稿)》,向社會公開徵求意見。徵求意見稿提出,數據處理者在向境外提供數據前,應事先開展數據出境風險自評估。
走出去智庫(CGGT)特約法律專家、環球律師事務所合夥人孟潔指出,****“數據出境”和“數據本地化”實質是一個硬幣的兩面,從境內業務的視角管理數據出境,可以考慮的思路是:基於數據分類設立“數據本地化”的梯度要求,對不同類型數據出境機制配備不同層級的本地化要求,並促成配套的評估、備案/許可和認證機制。
中企如何做好數據出境風險管理?今天,走出去智庫(CGGT)刊發環球律師事務所孟潔、董傑睿、戴暢的文章,供關注跨境數據合規的讀者參考。
要 點
CGGT,CHINA GOING GLOBAL THINKTANK
1、********“跨境傳輸”與“本地存儲”兩者只有有效組合才能設立較為完善的數據出境監管環境。如何設立不同層級的數據本地化嚴苛度/數據出境自由度,應基於不同“數據類型”而差別對待,因此“數據分類分級”是數據跨境傳輸監管的有效抓手和基石。
****2、****重要數據出境安全評估要求不涉及主體性質和數量多少的限制,即只要出境的數據中包含重要數據,不論數據多少,都應當申報安全評估。因此,建議企業應關注涉及出境的數據是否包含重要數據,並根據要求做好合規評估工作。
3、企業在與境外接收方的合同中明確接收方的如下義務:在處理數據的用途、方式發生變化或者接收方所在國家數據保護相關法律發生可能影響數據處理活動安全的變更時,應及時告知企業並確保採取達到境內法律要求同等水平的保護措施。
正 文
CGGT,CHINA GOING GLOBAL THINKTANK
**文/**孟潔 董傑睿 戴暢
環球律師事務所
引言
數據出境關乎國家安全,自2017年6月1日起施行的《中華人民共和國網絡安全法》(“《網絡安全法》”)、2021年9月1日起施行的《中華人民共和國數據安全法》(“《數據安全法》”)和2021年11月1日(暨今天)起施行的《中華人民共和國個人信息保護法》(“《個人信息保護法》”),均從法律層面規範了數據出境的合規機制。從目前數據合規的整體法律體系的構建框架來看,針對數據出境的合規要求,需要針對數據出境主體的不同身份以及擬出境數據的不同類型進行甄別,然後分別按照不同法律法規的要求進行具體規範。本文通過對現行法律法規(包含徵求意見稿)中關於數據出境合規要求的梳理,提出相關合規建議,以供同行參考與交流。
針對數據出境不同的合規要求中,其中一項是針對數據出境進行評估。本文主要是基於2021年10月29日國家互聯網信息辦公室(“網信辦”)發佈的《數據出境安全評估辦法(徵求意見稿)》(“《2021年辦法(徵求意見稿)》”),對數據出境的企業自評估與監管機構的安全評估進行重點評析。另外,“數據出境”和“數據本地化”實質是一個硬幣的兩面,從境內業務的視角管理數據出境,可以考慮的思路是:基於數據分類設立“數據本地化”的梯度要求****,對不同類型數據出境機制配備不同層級的本地化要求,並促成配套的評估、備案/許可和認證機制****。
一、數據出境的基本監管要求
境內數據出境是指網絡運營者通過網絡等方式將其在中國大陸境內(以下簡稱“境內”)運營中收集和產生的個人信息或其他數據,通過直接提供或開展業務、提供服務、產品等方式提供給境外的機構、組織或個人的一次性活動或連續性活動。
需要説明的是:(1)網絡運營者包括所有者、管理者和網絡服務提供者,可能是內資公司、外資工作、合資公司等。(2)****數據出境有多種形式,不囿於數據境外存儲。****數據雖未轉移存儲至本國以外的地方,但被境外機構、組織、個人訪問查看的(公開信息、網頁訪問除外);網絡運營者在境內運營中收集和產生的個人信息(主要指集團內部數據)由境內轉移至境外;向境內但不屬於我國司法管轄或未在境內註冊的主體提供數據。[1](3)出境的數據既可能是個人信息,也可能是非個人信息但構成重要數據或者國家核心數據,或者是非個人信息且非重要數據、國家核心數據的企業其他業務運營類數據。
因此不難理解,在任何部門或行業中使用網絡的任何位於中國境內的企業都有可能屬於“網絡運營者”,進而受到關於個人信息和重要信息出境的規制。我國目前針對數據跨境傳輸而言,沒有針對外企的“特殊待遇”****,內外資企業實施同等國民待遇。內外資企業能夠將其在中華人民共和國境內運營的數據出境,實際需要同時滿足三個層面的要求:數據跨境的一般性要求、特定行業的數據本地化增強要求、外企准入負面清單要求。
《網絡安全法》2016年提出了對於****“關鍵信息基礎設施運營者”(“CIIO”)的數據(無論是個人信息還是重要數據)均有本地化存儲和必要情況下跨境傳輸時的評估義務要求,實踐中引起了監管部門和廣大企業的廣泛關注。2017年4月《個人信息和重要數據出境安全評估辦法(徵求意見稿)》(“《2017年辦法(徵求意見稿)》”)對“個人信息和重要數據”出境的規制主體進一步擴大,由《網絡安全法》規定的CIIO擴展到所有的“網絡運營者”****,但對個人信息和重要數據未予區分,規定了一致的出境規則。隨後,推薦性國家標準《信息安全技術 數據出境安全評估指南(徵求意見稿)》(“《數據出境安全評估指南(徵求意見稿)》”)於2017年10月13日完成了意見徵求,但至今尚未公佈。此外,網信辦於2019年6月13日發佈了《個人信息出境安全評估辦法(徵求意見稿)》(“《2019年辦法(徵求意見稿)》”),針對個人信息的出境情形作出了比較嚴格的規定,但仍然保持着《2017年辦法(徵求意見稿)》針對整個網絡運營者將境內收集個人信息出境的規範立場,重點規定了個人信息出境的安全評估要求,將個人信息和重要數據評估拆分為二,有分別規定評估機制的嘗試。
上述這些辦法雖然制定時間較早,但目前都仍然處於徵求意見稿狀態,並且是在上位法還未全面頒佈之時僅根據《網絡安全法》為依據制定的。如今,《數據安全法》和《個人信息保護法》均已出台並生效,其分別對重要數據出境和個人信息出境的評估要求做出規定:其中,《數據安全法》對於數據出境評估的被規制主體規定為****“CIIO”、“重要信息的處理者”以及“其他數據處理者”[2];《個人信息保護法》對於個人信息出境的被規制主體為“CIIO”和“個人信息處理者”[3];而《2021年辦法(徵求意見稿)》將被規制主體設定為“數據處理者”****。我國目前已經公佈的法律法規、標準尚未對“數據處理者”或“處理者”術語進行定義,在做出判斷時,可參考:《個人信息保護法》第七十三條中對“個人信息處理者”的定義,即“在個人信息處理活動中自主決定處理目的、處理方式的組織、個人”,以及《數據安全法》第三條中對“數據處理”的定義,即“數據處理,包括數據的收集、存儲、使用、加工、傳輸、提供、公開等”的相關規定。
《2021年辦法(徵求意見稿)》題為“數據出境安全評估辦法”,顧名思義,着眼於支撐《數據安全法》下所規定的數據的出境評估,必然包括了“個人信息”及“重要數據”出境評估,更有利於作為《網絡安全法》、《數據安全法》及《個人信息保護法》數據安全出境、安全評估相關規定的實施細則,為法律落地做出細化規定。其規定了數據出境的風險自評估與安全評估的義務主體、監管機構、評估重點等,還細化了數據出境評估申報流程、要求和處理時間節點,為數據安全義務方履行合規義務提供了指引。作為****“網絡運營者”、“數據處理者”****的企業,在參與經濟全球化的過程中,時常會涉及各類數據跨境傳輸的情形,因此,準確界定數據跨境傳輸行為及其法律合規義務,是企業實施跨境商業運營中最基礎的一環。
本文也主要圍繞以上內容,釐清風險自評估與安全評估的義務並提出合規建議;最後提示未依法完成評估工作而可能產生的責任,以期為業務中涉及數據出境場景的數據處理者理解《2021年辦法(徵求意見稿)》並關注後續監管動向,把握合規要點,做好相應的準備工作提供合規思路。
二、數據出境評估相關法律法規
我們在下圖中梳理了數據出境評估相關法律法規(含徵求意見稿)的發佈情況供企業參考:
除此之外,國家網信部門和行業主管部門已經針對部分行業就特定垂直領域的數據本地化出台了相關文件,包括涉及國家秘密、增值電信、徵信信息、審計底稿、地圖、網絡出版、氣象衞星、醫療健康大數據、人類遺傳資源、網約車、個人金融信息、網絡租賃自行車等行業。相關行業的企業也應關注此類文件提出的合規義務。
三、數據出境評估的適用範圍
如前所述,“跨境傳輸”與“本地存儲”兩者只有有效組合才能設立較為完善的數據出境監管環境。如何設立不同層級的數據本地化嚴苛度/數據出境自由度,應基於不同“數據類型”而差別對待****,因此“數據分類分級”是數據跨境傳輸監管的有效抓手和基石。《2021年辦法(徵求意見稿)》對於評估的適用範圍包括針對CIIO及一般網絡運營者,“個人信息”及“重要數據”的出境場景。下文將分別對這不同類型企業針對不同敏感程度的數據出境適用情況分別做出闡述:
(一)針對CIIO數據的評估適用情況****
《網絡安全法》規定了CIIO向境外提供數據的安全評估義務;《數據安全法》亦明確CIIO向境外提供重要數據適用《網絡安全法》的規定;《個人信息保護法》中明確了CIIO向境外提供個人信息的安全評估義務。《2021年辦法(徵求意見稿)》回應了《網絡安全法》、《數據安全法》和《個人信息保護法》的相關規定,明確CIIO收集和產生的個人信息和重要數據應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估。我們提示,作為CIIO的企業,原則上,在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。確有需要向境外提供數據時,不論數據類型為個人信息或重要數據,不論數據量多少,都應進行安全評估。****
(二)針對重要數據的評估適用情況
《數據安全法》要求重要數據的處理者對其數據處理活動定期開展風險評估,除CIIO外,其他數據處理者向境外提供重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。《2021年辦法(徵求意見稿)》也結合了《數據安全法》的相應要求,明確出境數據中包含重要數據出境的業務需要履行數據出境安全評估的要求。
值得關注是,目前已生效法律法規尚未對“重要數據”做出明確定義,《數據安全法》將重要數據的具體目錄的制定工作分配至各地區、各部門,如《汽車數據安全管理若干規定(試行)》中就對重要數據所包含的具體數據類別做出了劃分。在部分法規和標準中我們也可以看到重要數據的相關規定,如《數據安全管理辦法(徵求意見稿)》對重要數據進行了定義,《工業和信息化領域數據安全管理辦法(試行)(徵求意見稿)》對重要數據的危險程度識別特徵進行了列舉;[4]《2017年辦法(徵求意見稿)》中提到重要數據是與國家安全、經濟發展,以及社會公共利益密切相關的數據,具體範圍需參照國家有關標準和重要數據識別指南。而目前《信息安全技術 重要數據識別指南(徵求意見稿)》也尚處於徵求意見階段,尚未正式生效。《網絡安全標註實踐指南——數據分類分級指引》中將重要數據作為一個定級概念;部分國家標準也嘗試對重要數據的範圍做出劃分,如《信息安全技術 數據出境安全評估指南(徵求意見稿)》附件A對重要數據的給出了具體範圍,國家推薦性標準《信息安全技術 重要數據識別指南(徵求意見稿)》提出了重要數據的特徵,明確了識別重要數據的基本流程和對重要數據的描述格式,為識別重要數據提供支撐。同時,《工業和信息化領域數據安全管理辦法(試行)(徵求意見稿)》也對重要數據出境後的管理提出了進一步的要求,即企業須加強對數據出境後的跟蹤掌握。
我們提示,重要數據出境安全評估要求不涉及主體性質和數量多少的限制,即只要出境的數據中包含重要數據,不論數據多少,都應當申報安全評估。因此,建議企業應關注涉及出境的數據是否包含重要數據,並根據要求做好合規評估工作。
(三)針對個人信息的評估適用情況
本次《2021年辦法(徵求意見稿)》的一大亮點是,明確了《個人信息保護法》第四十條規定的“個人信息達到國家網信部門規定數量的個人信息處理者”的數量級別,並且明確了“達到規定數量”應從兩個不同維度的標準計算:
**·**處理個人信息達到一百萬人的個人信息處理者
我們理解,這是以數據處理者處理個人信息的規模進行的評估,如數據處理者處理個人信息達到一百萬人,涉及數據出境業務時,則不論向境外提供個人信息數量多少,都應申請安全評估。
在《2021年辦法(徵求意見稿)》一出台後,很多人會關注的是今年7月發佈的《網絡安全審查辦法(徵求意見稿)》中提及的“掌握超過一百萬用户個人信息的運營者赴國外上市”的安全審查義務和《2021年辦法(徵求意見稿)》中的“處理個人信息達到一百萬人的個人信息處理者向境外提供個人信息”的安全評估義務是否相互衝突,即完成了網絡安全審查是否還需要進行數據出境安全評估。我們理解,根據兩個文件的內容來看,申報網絡安全審查和數據出境安全評估提交的材料、審查重點、審查主體都不盡相同。有些擬向國外上市的中概股企業根本不涉及重要數據和個人信息跨境傳輸給境外實體的情況,因此從業務層面而言,不受《2021年辦法(徵求意見稿)》的規制。但需要注意的是,如果這些企業後續在申報上市過程中可能會被境外監管機構要求提供説明數據運營情況的支持性文件,特別是涉及個人信息和重要數據的情況,那麼是既需要進行網絡安全審查的申報申請,同時還需要進行數據出境自評估與安全評估的。因此,《2021年辦法(徵求意見稿)》與網信辦於2021年7月10日發佈的《網絡安全審查辦法(修訂草稿徵求意見稿)》(“網安審查徵求意見稿”)不存在替代關係,針對的是網信辦所管轄的兩項不同行政審批內容。網安審查徵求意見稿中“掌握超過100萬用户個人信息的運營者赴國外上市,必須向網絡安全審查辦公室申報網絡安全審查”沒有被取代,且其詳細的申報要求和指南亦未在數據出境評估文件中明確,至於當兩個審批事宜發生重合情況時,是否企業只須履行一套流程,尚需等待生效的規定出台以及進一步指引性文件進行闡釋。因此,我們建議涉及以上兩種場景的企業充分了解《網絡安全全審查辦法(徵求意見稿)》和《2021年辦法(徵求意見稿)》的合規要求,提前做好合規工作。
**·**累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息
我們理解,這是針對數據處理者出境個人信息的規模進行的評估,即不論企業所實際掌握的用户個人信息規模多大,也不論數據處理者單次處理個人信息的數量規模,如果累計向境外提供十萬人以上個人信息或者一萬人以上敏感個人信息的,則均應當申報數據出境安全評估。
可以看出,《2021年辦法(徵求意見稿)》中對這兩項數量標準設置得相對較低,體現了國家對於數據出境的管控日趨嚴格,也無形中擬推動了數據本地化的要求。
因此,建議企業儘快開展自查,充分了解內部涉及向境外提供的個人信息數據量及流轉情況,判斷是否達到了上述規定的標準。需要注意的是,只要滿足這兩項標準之一,則企業應申報數據出境安全評估。
(四)其他情形
《2021年辦法(徵求意見稿)》還保留兜底條款,即國家網信部門規定的其他需要申報數據出境安全評估的情形,為後期其他細則的規定留出空間,這就意味着企業應當關注國家網信部門出台的其他文件中對於數據出境安全評估的規定。
根據目前的法律法規規定,我們梳理了各類數據跨境的場景下數據處理者的安全評估義務,當數據處理者存在數據跨境傳輸的要求時,應當明確自身性質結合涉及的數據類型,從而判斷合規義務:(1)CIIO:涉及個人信息和重要數據出境應當完成安全評估;(2)一般網絡運營者:涉及重要數據出境應當進行安全評估,而涉及個人信息則分為兩種情況:a.處理個人信息的梳理未達到網信辦規定的門檻,在獲取了個人信息主體的單獨同意並選擇適當的額外保護措施(如簽署標準合同條款等)後,完成風險自評估後可以進行出境;b.如達到了上文提及的《2021年辦法(徵求意見稿)》規定的兩大類限制出境標準之一的,則應當進行安全評估。除此之外,在做安全評估之前,數據處理者都應該對企業自身的性質、擬出境數量的門檻、出境數據的類型及敏感程序及接受方數據保護能力,以及是否有部門規章對於數據出境或者服務器需要放置於本地有特殊要求等方面做出風險自評估。為了能讓企業具有更為清晰的思路,我們做以下圖表以供參考:
四、數據出境評估義務的梳理與建議
《2021年辦法(徵求意見稿)》規定了數據出境的兩類評估義務,一是《2021年辦法(徵求意見稿)》第4條規定的****“數據出境安全評估”義務,二是《2021年辦法(徵求意見稿)》第5條規定的“數據出境風險自評估”****義務。這兩類評估義務的適用主體以及評估要求略有不同,與此對應的適用場景也有所不同,下文將具體展開分析企業需要在何種情況下分別履行這兩類評估義務。
(一)數據出境風險自評估義務
關於數據出境風險自評估義務,《個人信息保護法》第55條規定,向境外提供個人信息的個人信息處理者應當事前進行個人信息保護影響評估。這是由於根據《個人信息保護法》第38條的規定,在個人信息出境前,企業需要確認境外接收方處理個人信息的活動達到《個人信息保護法》規定的個人信息保護標準,且若選擇通過在專業機構進行個人信息保護認證或提交國家網信部門進行安全評估的方式進行出境,則應當提前充分了解出境個人信息的數量、敏感程度、出境目標國家的個人信息保護水平、境外接收方情況以及個人信息出境頻率等情況,這決定了個人信息保護影響自評估的必要性。除此之外,《網絡安全法》《數據安全法》等現行有效的法律法規均未對風險自評估有所規定,只有2017年發佈的《信息安全技術數據出境安全評估指南(徵求意見稿)》的國家標準中提到了數據出境安全自評估的相關內容,但由於發佈時間較早且未生效,其參考意義有限。
此次出台的《2021年辦法(徵求意見稿)》第5條規定,數據處理者在向境外提供數據前,應事先開展數據出境風險自評估,即明確規定了所有數據處理者無論是關鍵信息基礎設施運營者或一般網絡運營者,其所處理的數據類型無論是國家核心數據、重要數據或一般數據(包括個人信息與非個人信息),均應當在數據出境前進行風險自評估。
根據《2021年辦法(徵求意見稿)》第5條的規定,企業在進行風險自評估時應關注以下要點:
· 數據出境及境外接收方處理數據的目的、範圍、方式等的合法性、正當性、必要性;
· 出境數據的數量、範圍、種類、敏感程度,數據出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險;
· 數據處理者在數據轉移環節的管理和技術措施、能力等能否防範數據泄露、毀損等風險;
· 境外接收方承諾承擔的責任義務,以及履行責任義務的管理和技術措施、能力等能否保障出境數據的安全;
· 數據出境和再轉移後泄露、毀損、篡改、濫用等的風險,個人維護個人信息權益的渠道是否通暢等;
· 與境外接收方訂立的數據出境相關合同是否充分約定了數據安全保護責任義務。
此處需要提醒企業注意的是,上文最後一個評估項“境外接收方訂立的數據出境相關合同”並不完全等同於《個人信息保護法》第38條規定的“按照國家網信部門制定的標準合同”,其包括但不僅限於後續網信部門擬頒佈的標準合同模板。在標準合同尚未公佈的現階段,企業仍應履行上述義務。在與境外接收方訂立合同時,數據處理者可以參考《2021年辦法(徵求意見稿)》第九條的規定對數據安全保護責任義務進行明確約定,以確保符合評估要求,具體如下所示:****
· 數據出境的目的、方式和數據範圍,境外接收方處理數據的用途、方式等;
· 數據在境外保存地點、期限,以及達到保存期限、完成約定目的或者合同終止後出境數據的處理措施;
· 限制境外接收方將出境數據再轉移給其他組織、個人的約束條款;
· 境外接收方在實際控制權或者經營範圍發生實質性變化,或者所在國家、地區法律環境發生變化導致難以保障數據安全時,應當採取的安全措施;
· 違反數據安全保護義務的違約責任和具有約束力且可執行的爭議解決條款;
· 發生數據泄露等風險時,妥善開展應急處置,並保障個人維護個人信息權益的通暢渠道。
在風險自評估後,參照《個人信息保護法》第56條以及《2021年辦法(徵求意見稿)》第6條的規定,企業應當形成《數據出境風險自評估報告》並至少留存三年,以滿足留存評估記錄或進一步申請進行安全評估的要求。****
(二)數據出境安全評估義務
如上文梳理圖所示,《網絡安全法》《數據安全法》與《個人信息保護法》均規定了數據出境安全評估的要求。本次出台的《2021年辦法(徵求意見稿)》也是在這三部法律的基礎上,填補了此前留待進一步解釋的空白地帶。因此,在分析《2021年辦法(徵求意見稿)》中有關數據處理者的數據出境安全評估義務時,需要同時參照《網絡安全法》《數據安全法》與《個人信息保護法》這三部上位法的相關規定:
· 《網絡安全法》第37條規定了關鍵信息基礎設施運營者向境外提供在中國境內收集和產生的個人信息和重要數據時,應當進行安全評估。
· 《數據安全法》側重規定了重要數據的出境安全評估制度,即第31條提到的關鍵信息基礎設施運營者在中國境內收集和產生的重要數據的出境適用於《網絡安全法》的規定,其他數據處理者在中國境內收集和產生的重要數據的出境適用於國家網信部門制定的要求。
· 《個人信息保護法》第40條規定了,關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者進行數據出境活動時,應當事先通過國家網信部門組織的安全評估。
總體而言,結合《2021年辦法(徵求意見稿)》第4條的規定,需要進行數據出境安全評估的主體包括:(1)向境外提供重要數據的所有數據處理者(包括關鍵信息基礎設施運營者與一般數據處理者);及(2)向境外提供個人信息的關鍵信息基礎設施運營者以及處理數量達到《2021年辦法(徵求意見稿)》第4條第3、4款規定的一般數據處理者。具體如下圖所示:
若滿足上述條件,則企業應該履行數據出境安全評估義務,向所在地省級網信部門向國家網信部門申報數據出境安全評估。根據《2021年辦法(徵求意見稿)》第8條,安全評估的內容與數據出境風險自評估的內容雖有重合之處,但前者的範圍大於後者,即也是符合一般企業在完成自評估後再向國家監管部門履行申報數據出境的安全評估義務。監管機構的安全評估不僅會審查雙方合同中對境外接收方義務的約定,而且會更加全方位地審查數據出境活動對於國家以及行業的整體風險係數與其所採取的相應安全保障措施,包括數據處理者對境外接收方的選擇是否妥當,是否採取有效的數據安全保護措施、數據安全與個人信息主體的權益是否得到保障以及是否為違反了其他法律法規的要求。具體而言,安全評估共包括以下七大方面:
· 數據出境的目的、範圍、方式等的合法性、正當性、必要性;
· 境外接收方所在國家或者地區的數據安全保護政策法規及網絡安全環境對出境數據安全的影響;境外接收方的數據保護水平是否達到中華人民共和國法律、行政法規規定和強制性國家標準的要求;
· 出境數據的數量、範圍、種類、敏感程度,出境中和出境後泄露、篡改、丟失、破壞、轉移或者被非法獲取、非法利用等風險;
· 數據安全和個人信息權益是否能夠得到充分有效保障;
· 數據處理者與境外接收方訂立的合同中是否充分約定了數據安全保護責任義務;
· 遵守中國法律、行政法規、部門規章情況;
· 國家網信部門認為需要評估的其他事項。
針對以上評估項,筆者建議若企業的日常經營活動確有數據出境的需要,則應當根據法律法規要求,提前做好合規準備。例如:
· 制定內部數據管理制度和操作規程,對數據實行分類分級管理,根據法律法規要求劃分允許出境的數據範圍;
· 針對部分需要滿足本地化存儲要求的數據,如地圖數據、人口健康信息、金融信息等,應存儲在境內或在完成匿名化後方才能向境外提供;
· 針對未禁止出境的數據,建議制定數據出境安全操作規範指引,明確企業員工進行數據出境活動時應遵守的基本原則、操作流程、禁止出境的數據範圍、與境外接收方的合同要求、安全自評估流程等等;
· 儘量選擇所在國家當地數據保護法律較為完善的境外接收方,如歐盟、英國、日本、韓國、美國加州等;
· 在與境外接收方簽署合同時,應當明確雙方的權利義務,確保接收方採取了充分的數據安全保護措施,並提供了實現個人信息權益的有效途徑等。
根據《2021年辦法(徵求意見稿)》第6、10與12條的規定,數據處理者申報數據出境安全評估時,應當提交的材料包括申報書、數據出境風險自評估報告、數據處理者與境外接收方擬訂立的合同或者其他具有法律效力的文件以及安全評估工作需要的其他材料。國家網信部門會在收到申報材料之日起七個工作日內,確定是否受理評估並書面反饋受理結果。國家網信部門在確認受理後,會組織行業主管部門、國務院有關部門、省級網信部門、專門機構等共同進行安全評估。一般情況下,最終的評估結果會在六十日內以書面通知的形式反饋數據處理者。數據出境評估結果的有效期為2年。若有效期屆滿,數據處理者需要繼續開展原數據出境活動的,應當在有效期屆滿六十日前重新申報評估。****
但請企業特別注意的是,在收到評估結果後,若此前被評估的事項發生改變需要重新申報安全評估。如:
**·**向境外提供數據的目的、方式、範圍和類型發生變化;
**·**境外接收方處理數據的用途、方式發生變化;
**·**延長個人信息和重要數據境外保存期限;
**·**境外接收方所在國家或者地區法律環境發生變化;
**·**數據處理者或者境外接收方實際控制權發生變化;
**·**數據處理者與境外接收方合同變更等可能影響出境數據安全的情況。
也因此,企業應當注意在數據出境活動時,嚴格遵守申報時的數據處理目的、方式等。同時,在與境外接收方的合同中明確接收方的如下義務:在處理數據的用途、方式發生變化或者接收方所在國家數據保護相關法律發生可能影響數據處理活動安全的變更時,應及時告知企業並確保採取達到境內法律要求同等水平的保護措施。
五、違反數據出境評估義務的法律責任
目前《2021年辦法(徵求意見稿)》尚未規定詳細的違規責任與懲罰措施,根據《2021年辦法(徵求意見稿)》第十七條的規定,若違反《2021年辦法(徵求意見稿)》中的相應規定,則將按照《網絡安全法》《數據安全法》《個人信息保護法》進行處理。同時,若數據處理者構成犯罪的,將依法追究刑事責任。以《個人信息保護法》第66條之規定為例,若企業違法處理個人信息,例如未在出境前進行安全評估,則可能面臨最高五千萬元以下或者上一年度營業額百分之五以下罰款、停業整頓、吊銷相關業務許可或者吊銷營業執照等嚴厲的處罰措施;同時,針對直接負責的主管人員和其他直接責任人員,也有可能被處以十萬元以上一百萬元以下罰款,並在一定期限內禁止擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。
由此可見,在《數據安全法》《個人信息保護法》相繼生效之際,企業應當更加重視數據出境合規問題,根據法律法規的要求及時履行相關義務,在日常運營中及時梳理數據出境場景並完成風險自評估,依法向網信部門申請進行數據出境安全評估,樹立守法合規的企業形象,以避免違法數據出境活動帶來的法律責任與負面影響。