汉盛法评|《数据出境安全评估办法》逐条解读
2022年7月7日,国家互联网信息办公室公布了《数据出境安全评估办法》(以下简称“办法”),并规定该办法于2022年9月1日起施行。为帮助相关企业进一步理解办法内容、有序开展数据跨境活动、促进数据跨境安全、自由流动,特对《办法》予以逐条解释,供相关主体参考。
第一条 为了规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,制定本办法。 【律师解读】本条明确《办法》的制定目标和上位法依据。《办法》制定的上位法依据主要是:《网络安全法》第三十七条、《数据安全法》第三十一条、《个人信息保护法》第三十六条、第四十条等。除以上法律以外,数据出境活动可能涉及的规范性文件还包括已经通过的《网络安全审查办法》、《关键信息基础设施安全保护办法》以及尚未定稿的《网络数据安全管理办法》等部门规章,以及网络和数据安全领域的强制性国家标准。 第二条 数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法。法律、行政法规另有规定的,依照其规定。 【律师解读】本条规定了《办法》的使用范围及例外情形。办法适用主体为“数据处理者”,处理行为含义对应《数据安全法》第三条第二款所指的数据收集、存储、使用、加工、传输、提供、公开等。 网络和数据领域三大法对数据出境评估例外情形规定略有不同。 《网安法》第三十七条规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。” 《数安法》第三十一条规定,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。”仅对关键信息基础设施运营者的重要数据出境安全予以约束,则未提及例外情形或依据,仅转引用了《网络安全法》及相关出境安全管理办法。 《个保法》第四十条规定“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。”根据该条规定,法律、行政法规和国家网信部门可以规定安全评估的豁免情形。 从以上规定来看三大上位法的规定并不统一。若本办法或其他国家网信部门出台规范性文件规定了数据出境可以不予评估的情形,依据后两者可以构成评估的例外,但是根据《网安法》则缺乏免于评估的依据,则需要更高效力的规范性文件才能避免与《网安法》的冲突,数据处理者在评估数据出境活动时应当予以注意。 第三条 数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。 【律师解读】本条规定了数据出境安全评估的主要评估办法,即事前评估+事中持续监督+随时整改或重新申报的持续性监管方式,数据处理者自评估+国家网信部门安全评估的双重评估办法,既保证对数据出境活动的安全性持续动态监管,又保障了数据出境活动的流动性需求。 第四条 数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估: (一)数据处理者向境外提供重要数据; (二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息; (三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息; (四)国家网信部门规定的其他需要申报数据出境安全评估的情形。 【律师解读】本条规定了数据处境应当进行申报的情形和申报途径。相比于征求意见稿,正式版本列举方式在一定程度上参考了《网络数据安全管理办法(征求意见稿)》第三十七条的列举方式,并且沿用了我国一贯的数据分级分类框架思路,将重要数据单独列出,将关键信息基础设施运营者和处理100万人以上个人信息的数据处理者合并,并为累计向境外提供信息数量的情形增加时间限制,分类标准更加清晰,亦更加符合实际数据出境常见情形。 第五条 数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,重点评估以下事项: (一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性; (二)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险; (三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全; (四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等; (五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务; (六)其他可能影响数据出境安全的事项。 【律师解读】本条规定了风险自评估中的重点评估内容。本条规定的六种情形基本与《办法》第八条和《网络数据安全管理办法(征求意见稿)》的重点评估内容保持一致,即:数据出境的目的、方式、范围,风险,接收方情况,法律文件约束力,管理技术能力等。其中,“法律文件”由征求意见稿中的“合同”扩大而来,为数据处理者申报数据出境创造了更加灵活的选择,更有利于数据跨境流通的实现。 第六条 申报数据出境安全评估,应当提交以下材料: (一)申报书; (二)数据出境风险自评估报告; (三)数据处理者与境外接收方拟订立的法律文件; (四)安全评估工作需要的其他材料。 【律师解读】本条规定了数据出境应当提供的材料。与征集意见稿相比,本条第(三)项将“合同”修改为“法律文件”,与第五条第(五)项的修改方式保持一致,扩大了数据处理者与数据接收方约束彼此文件的形式,丰富了数据出境申报使用的材料类型,更有利于数据合规出境的实现。 第七条 省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验。申报材料齐全的,将申报材料报送国家网信部门;申报材料不齐全的,应当退回数据处理者并一次性告知需要补充的材料。 国家网信部门应当自收到申报材料之日起7个工作日内,确定是否受理并书面通知数据处理者。 【律师解读】本条起开始规定数据出境有关部门安全评估的事项。本条规定的是安全评估的流程,即省级网信部门负责完备性查验,国家网信部门负责实质性评估。征求意见稿中原本仅规定国家网信部门负责确定是否受理评估并以书面通知形式反馈受理结果,正式版本增加了省级网信部门查验和告知补充的前置性环节,明确了国级和省级单位的分工,更有利于提升审查效率。 第八条 数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项: (一)数据出境的目的、范围、方式等的合法性、正当性、必要性; (二)境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求; (三)出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险; (四)数据安全和个人信息权益是否能够得到充分有效保障; (五)数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务; (六)遵守中国法律、行政法规、部门规章情况; (七)国家网信部门认为需要评估的其他事项。 【律师解读】本条规定安全评估中的重点评估内容。相较于第五条风险自评估的重点评估事项,网信部门的重点评估事项主要增加了“境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求”和“遵守中国法律、行政法规、部门规章情况”,明确了数据出境和境外接收方需要遵循的规范性文件范围。我国现行的网络、数据和个人信息方面的强制性国家标准数量相对较少,现行标准如《网络关键设备安全通用要求》等,但推荐性标准较多。一方面,数据处理者和境外接收者可积极向推荐性标准靠拢,以提升申报成功的概率;另一方面2021年工业和信息化标准工作要点包含编制网络和数据安全方面的强制性国家标准体系建设指南,意味着未来有关网络和数据安全方面的强制性国家标准编制可能进入快车道,数据处理者和境外接收者应当及时予以关注。 第九条 数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,至少包括以下内容: (一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等; (二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施; (三)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求; (四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施; (五)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式; (六)出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。 【律师解读】本条规定了数据处理者与境外接收方订立的法律文件中应当规定的内容。首先本条与《办法》其他条款一致,将“合同”扩大为“法律文件”;其次第(四)项增加不可抗力情形,并将国家地区环境变化限定为“数据安全保护政策法规和网络安全”环境方面的变化,缩小了影响数据安全的外部因素的情形;第(五)项增加了补救措施;第(六)项则详细规定了处境数据可能遭遇的风险类型。从相关修订来看,《办法》在降低个人信息和数据泄露风险、保障个人信息和数据安全的前提下,尽量尊重双方意思自治、推动合同的有效履行,而非强制干涉合同履行。 数据处理者应当注意的是,本条要求法律文件中所包含的内容虽然不是风险自评估或安全评估的重点评估内容,但若其内容如境外保存时间、境外接收方的实际控制权等发生变化,可能会导致数据处理者必须根据《办法》第十四条重新提出安全评估申报,并影响业务继续开展,因此从数据处理者规避风险的角度考虑,以上内容及其补救措施、违约后果等应当在法律文件中予以安排。 第十条 国家网信部门受理申报后,根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估。 【律师解读】本条规定了有关部门安全评估的主体构成,即国家网信部门负责组织评估,国务院有关部门、省级网信部门、专门机构参与评估。但其他相关部门、机构在何种情况下参与评估、以上三方是否必需全部参与安全评估、若发生应当参与评估但未参与、未能有效识别数据出境风险等问题都需要进一步明确。 第十一条 安全评估过程中,发现数据处理者提交的申报材料不符合要求的,国家网信部门可以要求其补充或者更正。数据处理者无正当理由不补充或者更正的,国家网信部门可以终止安全评估。 数据处理者对所提交材料的真实性负责,故意提交虚假材料的,按照评估不通过处理,并依法追究相应法律责任。 【律师解读】本条规定了数据处理者补充或更正材料的要求。征求意见稿仅规定了一处数据处理者补充或更正材料的情形,正式版本因增加了省级网信部门的前置查验环节,因此分别在省级网信部门的前置查验环节和国家网信部门的实质性审查环节规定了两处补充、更正材料的情形,并增设了故意提交虚假材料、承担法律责任的提示性规定。 第十二条 国家网信部门应当自向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估;情况复杂或者需要补充、更正材料的,可以适当延长并告知数据处理者预计延长的时间。 评估结果应当书面通知数据处理者。 【律师解读】本条至第十四条规定了国家网信部门受理安全评估的关键时间节点和流程。相比于征求意见稿,正式版取消了“情况复杂或者需要补充材料的,可以适当延长,但一般不超过六十个工作日”的时间限制,为国家网信部门预留了更加充分的评估时间,更符合重大事项安全评估的需求。 第十三条 数据处理者对评估结果有异议的,可以在收到评估结果15个工作日内向国家网信部门申请复评,复评结果为最终结论。 【律师解读】本条新增设了数据处理者对评估结果有异议时的救济途径,即向国家网信部门申请复评,以及申请复评的时间限制、复评结果效力。尽管复评结果为最终结论,但《办法》并未限制数据处理者的申请次数,即便复评结果为未予通过安全评估,数据处理者可经过适当整改后再次提出评估。国家网信部门应当注意在公布初次评估结果和复评结果时应向数据处理者充分释明未予通过的原因,以便数据处理者有针对性地予以整改、尽早通过安全评估,顺利开展业务。 第十四条 通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算。在有效期内出现以下情形之一的,数据处理者应当重新申报评估: (一)向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的; (二)境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的; (三)出现影响出境数据安全的其他情形。 有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。 【律师解读】本条规定了数据出境安全评估结果的有效期、数据处理者应当重新申报评估的情形和有效期届满前的申报时间节点。其中,延长境外保存期限、境外接收方实际控制权发生变化、法律文件变更等内容虽然并非重点审查内容,但其变化会导致数据处理者需重新申报安全评估,因此数据处理者应尽量避免发生以上变化、在法律文件中予以相应安排。 本条尚未规定重新申报期内原有数据出境活动是否能够继续进行还是应当暂时中止,还是应当具体情况由网络信息部门决定告知,或许未来相关办法细则会予以明确,数据处理者也应在相关事件发生时及时向国家网信部门确认。 第十五条 参与安全评估工作的相关机构和人员对在履行职责中知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供、非法使用。 【律师解读】本条规定了参与安全评估工作的机构及人员的保密义务。需要进行数据出境安全评估的数据处理者所拥有的数据多为数据处理者因生产经营产生的工业数据、自然获得的用户个人信息或者其他生产经营中必需的数据,与数据处理者的商业利益、用户的信息权益、国家社会的利益息息相关,因此必需确保参评人员具有极强的保密意识,否则一旦数据泄露后果不堪设想。 第十六条 任何组织和个人发现数据处理者违反本办法向境外提供数据的,可以向省级以上网信部门举报。 【律师解读】本条规定了公民的举报权。《网安法》第十四条、《数安法》第十二条、《个保法》第六十五条都规定了组织、个人对违法行为的举报权。《办法》作为三法的下位规范,对数据出境活动中违法行为的有权举报主体和受理举报主体予以进一步规定,但举报人应当通过何种方式实现举报权、举报流程的推进、举报渠道的公开和维护以及举报人的权利保障等详细问题未作规定,期待未来相关细则予以明确。 第十七条 国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当书面通知数据处理者终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估。 【律师解读】征求意见稿曾规定国家网信部门若在事中监管时发现数据处理者不再符合数据处境安全管理的则应撤销评估结果,正式版本修改书面通知数据处理者终止数据出境活动,删除了评估结果撤销的要求。根据本条表述,数据处理者在申报出境时是符合相关条件的,评估通过也是符合相关法律法规要求的,但数据活动相关情况处于动态变化之中,事中监管发现不再符合相关条件的法律效果不应溯及以往数据活动,否则将极大增加数据出境活动的不确定性,因此正式版本予以修改。 第十八条 违反本办法规定的,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。 【律师解读】本条规定了违反《办法》的处罚依据。《办法》属于部门规章,根据我国《行政处罚法》第十三条,《办法》仅能够在法律、行政法规规定的给予行政处罚的行为、种类和幅度的范围内作出具体规定,或对于尚未制定法律、行政法规的、违反行政管理秩序的行为设定警告、通报批评或者一定数额罚款的行政处罚。《网安法》、《数安法》和《个保法》都对违反相应法律的行为规定了承担法律责任的方式,且我国《刑法》对于个人信息保护、计算机信息系统数据也规定了较为完善的刑事责任,因此《办法》仅规定了违反本办法行为应当援引的法律法规。 第十九条 本办法所称重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。 【律师解读】本条定义了重要数据的含义,系正式版本新增内容。“重要数据”自2016年第一次出现在《网络安全法》以来,虽然在网络安全、数据安全问题上具有重要地位,但始终未形成明确定义。2021年12月发布的《网络安全标准实践指南——网络数据分类分级指引》(TC260-PG-20212A)(以下简称“指南”)2.2将重要数据定义为“一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。”可以看出,《办法》几乎完全吸收了《指南》的含义,是对行业实践经验的及时提炼。 第二十条 本办法自2022年9月1日起施行。本办法施行前已经开展的数据出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改。 【律师解读】本条为已经开展的数据出境活动设定了过渡整改期限。整改期限一般是用于法律法规施行时已经广泛发生的、但被新颁布规范性文件认定为违法的现象。2022年5月11日深圳数据交易有限公司推进了全国首批跨境数据交易项目完成,数据跨境早已发生在现实生活动。由于数据活动涉及范围广泛且关系业务连续性,难以根据法律法规、部门规章规定立刻完成申报和整改,因此《办法》设定了6个月的合理整改期限,保障相关企业平稳过渡。
相关研究
-
11-052020
工程量清单项目特征描述不准确导致的争议及规避措施
工程量清单项目的特征决定了工程实体的实质内容,直接决定了工程实体的自身价值(价格),应予以详细而准确的表述和说明。 -
05-292020
企业赴美上市指南
美国的资本市场是以投资人选择为导向,以注册制为原则,赴美上市成功的关键在于企业的基本面和投资人的认可。 -
10-292020
《民法典》《九民纪要》下合同不成立、无效、被撤销或确定不发生效力的情形和法律后果简析
本文重点参考《<民法典>理解与适用》及《<九民纪要>理解与适用》中的观点,并简析《民法典》《九民纪要》下,合同不成立、无效、被撤销或确定不发生效力的情形和法律后果。 -
02-192020
《治安管理处罚法》五十一条第一款第一项不宜随意适用
这段时间,各地均采取了非常严格的防控措施,两高也相继出台文件,要求严打防控期间的种种破坏防疫工作的违法行为。我们也看到很多媒体在一些短视频平台或者微博这样的社交媒体上,发布一些破坏社会秩序、以及不服执法人员管控的视频,最终这些人都受到了法律的制裁。 -
04-222020
建设工程项目部印章对合同效力的影响及使用时的注意事项
本文将对盖章行为不规范引起的合同效力问题进行分析,主要讨论盖章主体没有权限以及使用未经备案公章盖章的行为效力。