國家互聯網信息辦公室日前公布了《數據出境安全評估辦法》(以下簡稱辦法),自今年9月1日起施行。專家認為,辦法堅持安全和發展并重,明確了數據出境安全評估的流程和要求,對規范促進數據依法有序流動具有十分重要的制度價值和實踐意義,標志著我國數據治理法治實踐走出關鍵一步。
隨著數字經濟的蓬勃發展,數據跨境活動日益頻繁,出臺《數據出境安全評估辦法》,目的是進一步規范數據出境活動,保護個人信息權益,維護國家安全和社會公共利益,促進數據跨境安全、自由流動。
規范數據出境活動
近年來,隨著數字經濟的蓬勃發展,數據跨境活動日益頻繁,數據處理者的數據出境需求快速增長。同時,由于不同國家和地區法律制度、保護水平等的差異,數據出境安全風險也相應凸顯。數據跨境活動既影響個人信息權益,又關系國家安全和社會公共利益。
國家互聯網信息辦公室有關負責人表示,制定出臺辦法是落實網絡安全法、數據安全法、個人信息保護法有關數據出境規定的重要舉措,目的是進一步規范數據出境活動,保護個人信息權益,維護國家安全和社會公共利益,促進數據跨境安全、自由流動。
據了解,辦法所稱數據出境活動主要包括:一是數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外。二是數據處理者收集和產生的數據存儲在境內,境外的機構、組織或者個人可以訪問或者調用。
辦法規定了數據出境安全評估的范圍、條件和程序,為數據出境安全評估工作提供了具體指引。
辦法明確,數據處理者向境外提供在中華人民共和國境內運營中收集和產生的重要數據和個人信息的安全評估適用本辦法。數據出境安全評估堅持事前評估和持續監督相結合、風險自評估與安全評估相結合等原則。
辦法規定了應當申報數據出境安全評估的情形,包括數據處理者向境外提供重要數據、關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息、自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息以及國家網信部門規定的其他需要申報數據出境安全評估的情形。
辦法提出了數據出境安全評估的具體要求,規定數據處理者在申報數據出境安全評估前應當開展數據出境風險自評估并明確了重點評估事項。規定數據處理者在與境外接收方訂立的法律文件中明確約定數據安全保護責任義務,在數據出境安全評估有效期內發生影響數據出境安全的情形應當重新申報評估。此外,還明確了數據出境安全評估程序、監督管理制度、法律責任以及合規整改要求等。
應對數據出境風險
近年來,我國加快完善數據出境安全管理制度。
2016年11月通過的網絡安全法第三十七條規定了對關鍵信息基礎設施運營者的重要數據和個人信息需進行安全評估,但其他主體的重要數據和個人信息出境并未加以明確。2021年6月通過的數據安全法第三十一條在重申關鍵信息基礎設施運營者的重要數據出境的安全評估要求之外,進一步規定“其他數據處理者”的重要數據出境也需進行安全評估。2021年8月通過的個人信息保護法第三十八條第一款第一項和第四十條,在重申關鍵信息基礎設施運營者的個人信息出境安全評估要求之外,進一步規定“達到國家網信部門規定數量的個人信息處理者”的個人信息出境也需進行安全評估。由此,上述三大立法全面建立起數據出境的基礎性制度——安全評估制度。
最新公布的辦法第八條明確了數據出境安全評估重點關注數據出境活動可能對國家安全、公共利益、個人或者組織合法權益帶來的風險,并列舉了七大評估因素。其中,一是關注數據處理者開展數據出境的合法性、正當性和必要性;二是關注境外接收方保障數據安全的能力,以及所在國家和地區的技術和法律環境對該能力的影響;三是關注數據出境可能面臨的安全風險;四是關注數據出境后數據安全和個人信息權益是否最終得到充分保障;五是關注數據處理者對境外接收方的約束能力;六是考慮數據處理者和境外接收方遵紀守法的信譽;七是其他事項,應對數據安全技術、商業模式和境外環境的發展和變化。
“辦法中安全評估的多元考慮因素設計,較為全面地應對了數據出境的各種安全風險。”中央財經大學副教授張金平表示:“正是因為這七大安全評估因素的統籌設計,辦法能夠較為全面地應對數據出境的各種安全風險。”
完善數字經濟立法
中國科學院科技戰略咨詢研究院系統分析與管理研究所副所長孫曉蕾表示,辦法不僅明確指出了數據出境及境外接收方處理數據的目的、范圍、方式等的合法性、正當性、必要性,也明確了出境數據的規模、范圍、種類、敏感程度,出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等風險。這兩項規定是對數據出境安全的頂層設計,不僅保障了我國涉及數據出境相關方利益,也對境外數據接收方提出了安全要求。
國家工業信息安全發展研究中心總工程師黃鵬表示,作為世界數據資源大國,我國面臨的數據安全風險相較于其他國家也更為嚴峻,亟須建立健全數據跨境管理規則。辦法立足維護國家安全和社會公共利益、保護個人信息權益,構建了我國數據出境安全評估的制度,將事前評估和持續監督相結合、風險自評估與安全評估相結合,防范數據出境安全風險,保障數據依法有序自由流動。
中國信息通信研究院政策與經濟研究所所長辛勇飛表示,辦法是落實數字治理頂層設計的重要配套規章。當前,數字經濟加快高質量發展,完善數字經濟立法頂層設計及配套制度,是推動數字經濟更好服務和融入新發展格局的必然要求。我國作為負責任的數據大國,積極開展數據相關立法,營造數字經濟發展良好環境。辦法的出臺,對數據出境管理中最為重要的“安全評估”手段予以明確,實現了規則性立法落地,是完善數字治理頂層制度設計的重要配套性規章。(陳辰)
數據出境具體流程:
一是事前評估,數據處理者在向境外提供數據前,應首先開展數據出境風險自評估。
二是申報評估,符合申報數據出境安全評估情形的,數據處理者應通過所在地省級網信部門向國家網信部門申報數據出境安全評估。
三是開展評估,國家網信部門自收到申報材料之日起7個工作日內確定是否受理評估;自出具書面受理通知書之日起45個工作日內完成數據出境安全評估;情況復雜或者需要補充、更正材料的,可以適當延長并告知數據處理者預計延長的時間。
四是重新評估和終止出境,評估結果有效期屆滿或者在有效期內出現本辦法中規定重新評估情形的,數據處理者應當重新申報數據出境安全評估。已經通過評估的數據出境活動在實際處理過程中不再符合數據出境安全管理要求的,在收到國家網信部門書面通知后,數據處理者應終止數據出境活動。數據處理者需要繼續開展數據出境活動的,應當按照要求整改,整改完成后重新申報評估。