河北频道 > 国家安全 钢铁长城 > 聚焦

《数据出境安全评估办法》9月1日起施行!

来源: 法治网微信公众号、无名丰碑  
2022-09-01 17:37:39
分享:

  2021年10月29日,国家网信办公布《数据出境安全评估办法(征求意见稿)》(以下称“征求意见稿”),面向社会征求意见,收到了大量的公开意见,在广泛征求意见的基础上,国家网信办对“征求意见稿”进行了修改和完善。今年7月7日,国家网信办公布了《数据出境安全评估办法》(以下简称《办法》),自9月1日起施行。

  我国数据出境安全评估的目的,是确保防范数据出境安全风险的基础上,保障数据依法有序的自由流动。为实现上述目的,《办法》提出了数据出境安全评估应遵循两项基本原则:一是坚持事前评估和持续监督相结合原则;二是风险自评估与国家安全评估相结合原则。

  《办法》第四条明确,有以下四种情形之一的,应当申报数据出境安全评估,一是数据处理者向境外提供重要数据;二是关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;三是自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;四是国家网信部门规定的其他需要申报数据出境安全评估的情形。申请者申报数据出境安全评估,应当通过所在地省级网信部门向国家网信部门提出。

  值得注意的是,以上规定与此前的《办法》征求意见稿第四条相比,最大的变化有两处:一是将“关键信息基础设施运营者”与“处理100万人以上个人信息的数据处理者向境外提供个人信息”合并为一款,该款的主体为两个——一个是“关键信息基础设施运营者”,另一个是“处理100万人以上个人信息的数据处理者”,前者处理的数据均为重要数据,只要出境,必须无条件申报安全评估,后者只是在达到处理100万以上个人信息这个法定条件,才可申报安全评估;二是在《办法》(征求意见稿)“累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息”的基础上,增加了“自上年1月1日起”,这样就明确了“累计向境外提供超过十万人以上个人信息”的计算依据和起止时间。

  那么,开展数据出境风险自评估的重点是什么?国家数据出境安全评估的风险点又有哪些?笔者认为,对于相关互联网企业来说,以下这些方面应重点注意:

  对数据出境风险进行“自评估”,

  评估重点是什么?

  首先,依据《办法》第五条的规定,数据处理者在申报数据出境安全评估前,应当对以下六项重点内容开展数据出境风险的自评估:一是数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;二是出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;三是境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;四是数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;五是与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务;六是其他可能影响数据出境安全的事项。

  以上自评估的内容有四大特征:一是数据出境的合规性评估,重点评估数据出境的目的、范围和方式是否符合我国数据处理的法定原则——“合法、正当、必要”;二是数据出境的风险性评估,重点从出境数据的规模、范围、种类、敏感度等四个维度分析和评估,出境的数据是否会给国家安全、公共利益、个人或者组织合法权益带来的风险;三是数据出境的安全保障能力评估,重点评估境外接收方是否具备保障所出境数据的安全,尤其是评估境外接收方能否依据诚实信用原则,全面履行合同所约定的安全保障义务;四是数据出境中和出境后的救济渠道评估,重点评估在数据出境期间和出境后,一旦遭到数据的篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险,个人信息权益维护和救济的渠道是否畅通。[图片]

  国家数据出境安全评估的风险点

  有哪些?

  数据处理者在完成了数据出境风险自评估之后,应按照《办法》的要求形成自评估报告,同时应拟订与境外接收方签署的相关法律文件,主要数据出境合同,数据出境合同的拟订应当依据国家网信办制定的个人信息出境标准合同的相关规定。在完成以上环节后,数据处理者应当向省级网信部门提交以下材料:一是申报书;二是数据出境风险自评估报告;三是数据处理者与境外接收方拟订立的法律文件:四是网络部门安全评估工作需要的其他材料。

  省级网信部门应当自收到上述申报材料之日起5个工作日内完成完备性查验。这里的“完备性”是指,申报材料全部齐全,不需要在添加任何其他元素。省级网信部门将具有“完备性”申报材料报送国家网信部门,如果国家网信部门认为申报材料不具备完备性,将退回数据处理者并一次性告知需要补充的材料。

  国家网信部门自收到完备的申报材料之日起,应当在7个工作日内,确定是否受理并书面通知数据处理者,最终的处理结果有三种情形:一是通过安全评估,数据处理者可以在收到国家网信部门通过评估的书面通知后,严格按照《办法》的相关规定开展数据出境活动;二是未通过安全评估,数据处理者数据出境申报安全评估,未通过数的,数据处理者应当立即停止所申报的数据出境活动;三是对于不属于《规定》安全评估范围的情形,国家网信部门通知数据处理者不予受理,数据处理者在接到不予受理的书面通知后,可以依照相关法律法规法开展数据的出境业务。

  国家网信部门受理申报后,将根据申报数据出境的领域组织国务院有关部门、省级网信部门以及专门机构等进行安全评估,安全评估的权重主要是可能对国家安全、公共利益、个人或者组织合法权益带来的风险,着重考虑以下因素:一是数据出境的目的、范围、方式等的合法性、正当性、必要性;二是境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求;三是出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险;四是数据安全和个人信息权益是否能够得到充分有效保障;五是数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务;六是遵守中国法律、行政法规、部门规章情况;七是国家网信部门认为需要评估的其他事项。

  国家网信部门对数据出境安全评估的内容,基本上与数据处理者自评估的内容保持了一致性,但在自评估内容的基础上,更强调了两大方面的内容:一是对境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全影响的评估;二是对境外接收方的数据保护水平是否达到我国法律、行政法规规定和强制性国家标准要求的评估。

  重要数据的出境

  可选择约定运用区块链技术

  我国数据出境安全评估制度不仅要保护个人信息,更重要的是保障重要数据出境活动的安全。个人信息的出境安全评估申报有一定数量的限制,即“处理100万人以上个人信息”或“自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息”;重要数据的出境必须全部申报安全评估,没有任何数量的限制。因为重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。

  笔者建议,对于重要数据的出境,在标准合同中可选择约定运用区块链技术,实现电子数据在出境过程或出境后的处理行为可溯源、可追踪,确保数据出境过程和出境后均得到有效保护和合法利用,并使其处于持续安全的状态,尤其是避免数据出境及再转移后被泄露、毁损、篡改、滥用等风险。

  推介运用区块链技术确保重要数据出境处于安全状态的理由主要基于,区块链技术体系是一个综合性的技术集合体,其中主要汇集了现代密码学、分布式网络技术、链式加密技术结构、智能合约、共识算法等五大技术领域的最新进展,以及数据库技术、时间戳技术、数字签名技术等技术方向的最新成果。由上述诸多技术综合,使得基于区块链技术的系统展现出“四大特征”,即分布式、可追溯、合约执行性、公约自治性,具备了这“五大技术”和“四大特征”的区块链技术体系使得在数据在数字化信息系统上可以进行作为权益载体的信用在确认、转移过程中不会有被泄露、毁坏、篡改、滥用等风险。

  根据《网络数据安全管理条例(征求意见稿)》对重要数据的解释,重要数据主要包括以下七类数据:一是未公开的政务数据、工作秘密、情报数据和执法司法数据;二是出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据;三是国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等;四是工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据;五是达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据;六是国家基础设施、关键信息基础设施建设运行及其安全数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据;七是其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。

  从以上七种“重要数据”的内容上看,主要涉及国家安全和公共利益,这些数据出境后,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能严重危害国家安全、公共利益。笔者建议,重要数据应当以“非必要不出镜”为原则,出境为例外,只有在具有特定的目的和充分必要的条件下,并采取了严格保护措施的基础上,方可出境。

关键词:数据出境责任编辑:郑光昊