《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 業(yè)界動態(tài) > 數(shù)據出境規(guī)則的再次探索:《數(shù)據出境安全評估辦法(征求意見稿)》

數(shù)據出境規(guī)則的再次探索:《數(shù)據出境安全評估辦法(征求意見稿)》

2021-10-31
來源:數(shù)字科技說
關鍵詞: 安全評估

  2021年10月29日,網信辦發(fā)布了《數(shù)據出境安全評估辦法(征求意見稿)》(“本辦法”),作為《網絡安全法》《數(shù)據安全法》《個人信息保護法》的配套規(guī)則。這不是第一次,甚至不是第二次網信部門就數(shù)據出境的規(guī)則征求意見,在2017年4月曾發(fā)布過《個人信息和重要數(shù)據出境安全評估辦法(征求意見稿)》,2019年6月再度發(fā)布《個人信息出境安全評估辦法(征求意見稿)》。

  與之前不同,此次的《數(shù)據出境安全評估辦法(征求意見稿)》是在《網絡安全法》《數(shù)據安全法》《個人信息保護法》塵埃落定的基礎上征求意見。

  雖然征求意見稿的發(fā)布讓數(shù)據出境規(guī)則稍稍清晰,但仍然有大量內容處于迷霧之中。

  一、境外直接處理

  《數(shù)據出境安全評估辦法(征求意見稿)》的立法以境內處理者為核心,需要履行自評估、申報等多項義務。但如果是境外主體直接收集、使用境內數(shù)據,則完全不受本辦法的規(guī)制。境外直接處理主要是依據《個人信息保護法》第53條:“境外的個人信息處理者,應當在中華人民共和國境內設立專門機構或者指定代表,負責處理個人信息保護相關事務,并將有關機構的名稱或者代表的姓名、聯(lián)系方式等報送履行個人信息保護職責的部門?!笨瓷先ブ皇切枰写聿笏图纯?,比起安全評估要容易得多。

  微信圖片_20211031145537.jpg

  數(shù)據出境安全評估的“抓手”是將數(shù)據傳輸至境外的數(shù)據處理者,如果由境外主體面向境內自然人收集,那么境內的自然人顯然不可能去進行數(shù)據出境的評估,那么進而導致數(shù)據出境安全評估無從下手。

  那么這樣的一個可能后果是跨國企業(yè)即使在境內存在數(shù)據處理者,也會通過法律與IT架構的安排,讓境外主體直接處理數(shù)據、境內主體完全與數(shù)據隔離,履行報送義務即可,完全規(guī)避掉安全評估的各項義務。

  如果實踐中出現(xiàn)此種“漏洞”,那么無疑會被跨國企業(yè)所利用,進而導致監(jiān)管部門可能會進一步要求如果有境內實體,海外實體不得直接收集消費者個人信息,給該制度打上補丁。

  二、跨境評估與境外報送

  另一個《數(shù)據出境安全評估辦法(征求意見稿)》未解決的問題是,當數(shù)據出境安全評估完成后,境外的接收方是否還需要履行向中國監(jiān)管部門的報送義務,在境內設立專門機構或任命代表。因為在理論上,境外數(shù)據接收方也同樣屬于《個人信息保護法》第3條第2款適用范圍規(guī)定的情形之一:

  以向境內自然人提供產品或者服務為目的;

  分析、評估境內自然人的行為;

  法律、行政法規(guī)規(guī)定的其他情形。

  在《數(shù)據出境安全評估辦法(征求意見稿)》中對評估事項的羅列,并沒有要求境外接收方提供境內專門機構或代表的信息。我不確定這是意味著數(shù)據接收方無需履行報送與境內任命的義務,或是未來會新設接收方境內任命的制度或申報入口。

  三、雜項與猜想

  申報對象:目前來看,評估辦法是計劃以場景進行劃分,企業(yè)如果數(shù)據出境場景復雜,需要多次申報以覆蓋不同場景。即申報的門檻是根據主體來界定,但只要出現(xiàn)新的場景就可能需要申報。

  申報書:申報書可能是制式的,會由網信部門提供下載或使用在線系統(tǒng)。

  合同之一:審查需要提交“數(shù)據處理者與境外接收方擬訂立的合同或者其他具有法律效力的文件等”,但并不清楚是僅需要提供與數(shù)據處理相關的內容(附件),還是需要提供完整的合同。如果提交根據《個人信息保護法》第38條國家網信部門制定的標準合同,不確定能否達到合同提交的要求。

  合同之二:在一些場景下,比如跨國企業(yè)內部員工個人信息出境(海外統(tǒng)一管理),可能不存在海外總部與中國境內實體之間的數(shù)據處理協(xié)議,可能需要提交包含《數(shù)據出境安全評估辦法(征求意見稿)》第9條的規(guī)章制度。

  合同之三:提交的合同或許是需要完成簽署的版本,沒有簽署的合同模板可能不會被受理。但數(shù)據出境安全評估存在不通過的可能,可能需要在合同中注明此合同須在通過數(shù)據出境安全評估后方可生效,以避免因為沒有通過而造成損失。

  申訴:不確定數(shù)據出境安全評估是否可以申請行政復議或行政訴訟。在《數(shù)據安全法》中,明確了數(shù)據安全審查是最終決定,因此無法申請行政復議或行政訴訟。數(shù)據出境安全評估的效力并不確定,但大概率不會有救濟措施。

  網絡安全審查:網絡安全審查與數(shù)據出境安全評估是兩套獨立的制度,但可能會同時觸發(fā),如關鍵信息基礎設施運營者采購海外具有數(shù)據收集功能的IT設備,就需要同時完成審查和安全評估。

  策略:可能會有企業(yè)為規(guī)避數(shù)據出境安全評估,設立不同實體分別處理不同場景的數(shù)據,比如在集團內,公司A負責集團人事數(shù)據、公司B負責消費者數(shù)據、公司C負責患者敏感個人信息、公司D負責關鍵信息基礎設施運營,互相之間實現(xiàn)隔離數(shù)據。

微信圖片_20211031145540.jpg




電子技術圖片.png

本站內容除特別聲明的原創(chuàng)文章之外,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。