作者:北京市大地律师事务所合伙人 殷晨瑀律师丨合伙人 执业领域:资本市场与证券、企业合规、争议解决
前言 7月7日,国家互联网信息办公室公布《数据出境安全评估办法》(以下简称“《办法》”),意味着我国数据出境安全评估制度从制度设计迈向了落地实践。 近年来,随着数字经济的蓬勃发展,数据跨境活动日益频繁,数据处理者的数据出境需求快速增长。同时,由于不同国家和地区法律制度、保护水平等的差异,数据出境安全风险也相应凸显。数据跨境活动既影响个人信息权益,又关系国家安全和社会公共利益。 制定出台《办法》是落实《网络安全法》、《数据安全法》、《个人信息保护法》有关数据出境规定的重要举措,目的是进一步规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动。 本文将对我国数据跨境制度的立法过程进行梳理,对《数据出境安全评估办法》的核心内容进行解读,供企业等数据处理者进行自评估参考。
一、我国数据跨境安全评估制度的立法过程
(一)《网络安全法》奠定制度基础
2016年11月7日,《网安法》出台后,原则上禁止我国境内涵盖关键信息基础设施运营者(“CIIO”)向境外提供在中国境内收集和产生的个人信息或重要数据。《网安法》第三十七条对CIIO因业务原因确需向境外提供个人信息和重要数据的活动设置了安全评估的要求,并将安全评估办法的制定权力赋予国家网信部门,其可会同国家有关部门对安全评估制定具体的操作制度。 (二)若干《征求意见稿》确立制度导向 (1)2019年5月28日,《数据安全管理办法(征求意见稿)》公开征求意见,要求网络运营者发布、共享、交易或向境外提供重要数据前,应评估可能带来的安全风险,并报经行业主管监管部门同意;行业主管监管部门不明确的,应经省级网信部门批准。 (2)2019年6月13日发布的《个人信息出境安全评估办法(征求意见稿)》要求全部网络运营者在进行个人信息出境活动之前必须承担安全评估义务,但未再直接出现“应当在境内存储”的表述。同时,该稿规定向不同的接收方提供个人信息应分别申报安全评估,向同一接收方多次或连续提供个人信息无需多次评估。 (三)《数据安全法》、《个人信息保护法》完成制度框架搭建 (1)2021年6月10日,《数据安全法》正式出台。在数据出境方面,针对与维护国家安全和利益、履行国际义务相关的数据,国家依法实施出口管制。针对外国司法或者执法机构关于提供数据的请求,需先经中国主管机关批准后,境内的组织、个人方可向外国司法或者执法机构提供存储于中国境内的数据。针对在中国境内收集和产生的重要数据,原则上应在中国境内存储,确需向境外提供的,CIIO根据《网安法》通过安全评估,其他数据处理者的重要数据出境管理办法则由国家网信部门会同国务院有关部门制定。 (2)2021年8月20日,《个人信息保护法》正式出台,对一般个人信息处理者规定了四种数据出境方式,并要求CIIO和处理个人信息达到规定数量的个人信息处理者必须经安全评估后方可进行个人信息处理活动。在《个人信息出境安全评估办法(征求意见稿)》中,与数据接收方签订的法律文件(“合同”)是信息处理者通过安全评估的前提。 综上,《数据安全法》与《个人信息保护法》厘清了数据和个人信息之间的关系,完成了数据跨境法律制度框架的搭建,安全评估制度成为数据合法跨境的重要途径。如今《办法》的正式出台,象征着我国数据出境安全评估制度基本实现落地。
二、《数据出境安全评估办法》的内容解读 (一)评估 l评估对象和评估场景 第二条 数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法。法律、行政法规另有规定的,依照其规定。 笔者认为,以下两种情形可理解为“向境外提供”: ◆将数据转移至中国境外储存,传输或携带出境; ◆将境内数据库的访问登录信息或接口提供给境外主体,查询功能或下载功能。 l评估原则 第三条 数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。 第五条 数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估。 笔者发现,《正式稿》第5条将原先《征求意见稿》中“数据处理者在向境外提供数据前”改为“数据处理者在申报数据出境安全评估前”。因此笔者认为,对于明显不属于或者不需要申报出境的情形,自评估程序应并非强制法律义务,至于“明显不属于”的标准,企业并不具有自主判断的权利,企业可采取“自评估”对是否需要进行申报进行验证。 l安全评估的适用范围 数据处理者向境外提供重要数据; 关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息; 自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息; 国家网信部门规定的其他需要申报数据出境安全评估的情形。 l风险自评估与安全评估的区别 风险自评估是数据出境安全评估申报材料的重要组成部分,在申报安全评估前应当开展风险自评估。 安全评估的具体事项与风险自评估的评估事项有高度一致性,但安全评估涵盖的广度和深度均高于风险自评估,安全评估相对风险自评估增加了接收方所在地法律政策环境和数据处理者的合规情况。 (二)申报 l安全评估申报材料 1、申报书 《申报书》的具体内容本次立法并未明确,但一般应包括数据处理者基本情况、数据出境业务场景描述、数据接收方基本情况、出境数据基本情况等方面,后续会在申报指导材料中进一步明确。 2、数据出境风险自评估报告 评估报告应包含以下内容: a) 数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性; b) 出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险; c) 境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全; d) 数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等; e) 与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务; f) 其他可能影响数据出境安全的事项。 3、数据处理者与境外接收方拟订立的法律文件(“合同”) 法律文件(“合同”)应至少包括以下内容: a) 数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等; b) 数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施; c) 对于境外接收方将出境数据再转移给其他组织、个人的约束性要求; d) 境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施; e) 违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式; f) 出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。 4、安全评估工作需要的其他材料 ◆安全评估组织管理形式 数据出境安全评估的组织管理是国家网信部门主导的多级协同,多部门联动的形式。国家网信部门根据申报情况,组织国务院有关部门、省级网信部门、专门机构等进行安全评估。 l评估流程与时限 省级网信部门在5个工作日内完成申报材料的完备性查验; 报送国家网信部门,材料不齐全的应当退回并一次性告知需要补充的材料; 国家网信部门7个工作日内确定是否受理并书面通知; 评估时限在45个工作日内,情况复杂或特殊情况可延长并告知延长时间。 l评估结果时效
通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算。在有效期内出现以下情形之一的,数据处理者应当重新申报评估: ◆向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的; ◆ 境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的; ◆ 出现影响出境数据安全的其他情形。 有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。 (三)法律责任 违反《办法》规定的,依据《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。下表整理了部分重要的法律责任条款: 违规行为 处罚规定 处罚依据 数据处理者 直接负责的主管人员和其他直接责任人员 CIIO非法在境外存储数据或非法向境外提供数据 由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 《网络安全法》第六十六条 非法向境外提供重要数据 由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款。 情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。 对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款。 情节严重的,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。 《数据安全法》第四十六条 非法向境外提供个人信息或向境外提供个人信息未履行个人信息保护义务 由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款。 情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。 对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 情节严重的,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。 《个人信息保护法》第六十六条 违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的 判处罚金 处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。 《刑法》第二百五十三条之一 违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的 判处罚金 处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金,从重处罚。 结语 《数据出境安全评估办法》的颁布与实施,为数据出境安全评估制度提供了法律依据,使该项制度的正式落地及实施又迈出了关键的一步,对促进数据处理者数据管理的合规化、个人信息保护有着重大意义。 广大企业应及时提高自身数据安全管理能力,着手开展相应准备工作,如数据出境自评估工作、起草数据出境合同或其他相关法律文件等。同时,也应加强对数据接收方的安全保护能力和合同履行情况进行追踪,降低发生数据泄露、数据滥用、侵害个人权益等事件的风险。
上一篇:歇业期间如何进行税务申报下一篇:保险车辆发生事故 商业险拒赔是否合理联系人:王老师
地 址:上海市浦东新区(临港新片区)海基六路218弄15号楼305室
律师咨询
当前页面:
