《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 數(shù)據(jù)出境需“安檢”:《數(shù)據(jù)出境安全評(píng)估辦法 (征求意見(jiàn)稿)》深度解讀

數(shù)據(jù)出境需“安檢”:《數(shù)據(jù)出境安全評(píng)估辦法 (征求意見(jiàn)稿)》深度解讀

2021-11-03
來(lái)源:互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: 數(shù)據(jù)出境

  一、 出臺(tái)背景

  隨著全球化與數(shù)字經(jīng)濟(jì)的發(fā)展,數(shù)據(jù)作為具有極大經(jīng)濟(jì)價(jià)值的生產(chǎn)要素,在國(guó)際間的流動(dòng)越來(lái)越頻繁,而且數(shù)量呈逐年增長(zhǎng)趨勢(shì)。然而,數(shù)據(jù)跨境的無(wú)序流動(dòng)會(huì)給數(shù)據(jù)主體和數(shù)據(jù)安全帶來(lái)風(fēng)險(xiǎn),還關(guān)乎國(guó)家安全和社會(huì)公共利益。為了防范數(shù)據(jù)跨境流動(dòng)中存在的各種風(fēng)險(xiǎn),我國(guó)一直積極推動(dòng)相關(guān)立法規(guī)范數(shù)據(jù)的跨境流動(dòng),例如《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》和《網(wǎng)絡(luò)安全審查辦法(修訂草案征求意見(jiàn)稿)》。

  2021年10月29日,國(guó)家互聯(lián)網(wǎng)信息辦公室出臺(tái)了《數(shù)據(jù)出境安全評(píng)估辦法(征求意見(jiàn)稿)》(以下簡(jiǎn)稱評(píng)估辦法),全面和系統(tǒng)地提出了我國(guó)數(shù)據(jù)出境“安檢”的具體要求。

  實(shí)際上,國(guó)家互聯(lián)網(wǎng)信息辦公室分別于2017年和2019年就數(shù)據(jù)出境安全評(píng)估出臺(tái)過(guò)兩個(gè)辦法的征求意見(jiàn)稿,即2017年4月11日的《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法(征求意見(jiàn)稿)》(“以下簡(jiǎn)稱17年版評(píng)估辦法”)和2019年6月13日的《個(gè)人信息出境安全評(píng)估辦法(征求意見(jiàn)稿)》(“以下簡(jiǎn)稱19年版評(píng)估辦法”)。本次公布的評(píng)估辦法一是落實(shí)上位法的數(shù)據(jù)出境管理規(guī)定和要求;二是保障數(shù)字經(jīng)濟(jì)健康有序發(fā)展;三是應(yīng)對(duì)數(shù)據(jù)跨境傳輸和境外匯聚的安全風(fēng)險(xiǎn)。隨著上位法《數(shù)據(jù)安全法》(以下簡(jiǎn)稱數(shù)安法)和《個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱個(gè)保法)的相繼實(shí)施,筆者認(rèn)為這次評(píng)估辦法將在征求意見(jiàn)之后很快正式出臺(tái)。

  二、 適用范圍

  雖然《網(wǎng)絡(luò)安全法》(以下簡(jiǎn)稱網(wǎng)安法)、數(shù)安法、個(gè)保法均從不同角度提到過(guò)數(shù)據(jù)出境需要進(jìn)行安全評(píng)估的情形,而本次發(fā)布的評(píng)估辦法基于上位法的要求完整地規(guī)定了安全評(píng)估的具體適用范圍。

  首先,評(píng)估辦法第二條將“數(shù)據(jù)出境”定義為“向境外提供”。在實(shí)踐中,“提供”可以有多種呈現(xiàn)情形。通常理解的情形是數(shù)據(jù)處理者將數(shù)據(jù)轉(zhuǎn)移至中國(guó)境外的地方。還有一種情形是數(shù)據(jù)并未轉(zhuǎn)移至境外,而依舊存儲(chǔ)在境內(nèi),不過(guò)數(shù)據(jù)處理者將境內(nèi)數(shù)據(jù)庫(kù)的訪問(wèn)登錄信息或接口提供給境外主體,以便后者可以在境外遠(yuǎn)程訪問(wèn)查看(“以下簡(jiǎn)稱遠(yuǎn)程訪問(wèn)情形”)。例如,有些外資企業(yè)的信息技術(shù)團(tuán)隊(duì)部署在中國(guó)境外,其通過(guò)互聯(lián)網(wǎng)訪問(wèn)并處理境內(nèi)服務(wù)器上存儲(chǔ)的數(shù)據(jù)來(lái)提供遠(yuǎn)程技術(shù)服務(wù)。鑒于遠(yuǎn)程訪問(wèn)情形也會(huì)對(duì)境內(nèi)存儲(chǔ)的數(shù)據(jù)構(gòu)成一定風(fēng)險(xiǎn)威脅,從數(shù)據(jù)跨境流動(dòng)安全管理的角度來(lái)看,其理論上也屬于“數(shù)據(jù)出境”。

  其次,評(píng)估辦法第二條明確在出境數(shù)據(jù)涉及重要數(shù)據(jù)的情況下,安全評(píng)估是強(qiáng)制性的。需要注意的是網(wǎng)信辦基于數(shù)安法的授權(quán),明確了重要數(shù)據(jù)需要進(jìn)行安全評(píng)估的范圍包括關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行者和其他數(shù)據(jù)處理者。網(wǎng)安法第三十七條明確要求關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者向境外提供重要數(shù)據(jù)需要進(jìn)行安全評(píng)估。數(shù)安法第三十一條重申了以上立場(chǎng),并在此基礎(chǔ)上將其他數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)所適用的具體出境安全管理辦法交“由國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定”。本評(píng)估辦法第二條正是呼應(yīng)了數(shù)安法第三十一條,將其他數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)的情形也納入安全評(píng)估范圍。

  需要指出的是,超過(guò)一定量的個(gè)人信息可能會(huì)被各部門各地區(qū)界定為重要數(shù)據(jù),納入重要數(shù)據(jù)目錄,應(yīng)當(dāng)按照本辦法關(guān)于重要數(shù)據(jù)的要求管理,如:《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》第三條給出了重要數(shù)據(jù)的定義,其中明確指出“涉及個(gè)人信息主體超過(guò)10萬(wàn)人的個(gè)人信息”屬于重要數(shù)據(jù),依照本評(píng)估辦法的要求,出境數(shù)據(jù)中包含重要數(shù)據(jù)的,應(yīng)申報(bào)安全評(píng)估。

  最后,結(jié)合評(píng)估辦法第四條,我們可以看到在出境數(shù)據(jù)涉及個(gè)人信息的情況下,達(dá)到一定要求才需進(jìn)行安全評(píng)估。該要求可以分為三大類別:主體條件、客體條件及其他。主體條件是:關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者,或處理個(gè)人信息達(dá)到一百萬(wàn)人的個(gè)人信息處理者。客體條件是:累計(jì)向境外提供超過(guò)十萬(wàn)人以上個(gè)人信息,或累計(jì)向境外提供超過(guò)一萬(wàn)人以上敏感個(gè)人信息。其他是:國(guó)家網(wǎng)信部門規(guī)定的其他需要安全評(píng)估的情形。

  為了方便讀者理解,本文通過(guò)如下圖示說(shuō)明數(shù)據(jù)出境安全評(píng)估的適用范圍:

  微信圖片_20211103143145.jpg

  圖1-數(shù)據(jù)出境安全評(píng)估的適用范圍

  三、 評(píng)估原則

  評(píng)估辦法第三條明確了數(shù)據(jù)出境總體評(píng)估原則:事前評(píng)估和持續(xù)監(jiān)督相結(jié)合、風(fēng)險(xiǎn)自評(píng)估與安全評(píng)估相結(jié)合,保障數(shù)據(jù)依法有序自由流動(dòng)。

  “事前評(píng)估”即數(shù)據(jù)在安全評(píng)估通過(guò)之前不得出境?!俺掷m(xù)監(jiān)督”則體現(xiàn)在評(píng)估辦法第十二條和第十六條,即對(duì)已經(jīng)通過(guò)評(píng)估的數(shù)據(jù)處理活動(dòng)在如下三種情形下需要進(jìn)行再評(píng)估:1)兩年期滿;2)情勢(shì)變化;3)違規(guī)處理。

  “風(fēng)險(xiǎn)自評(píng)估”與“安全評(píng)估”的內(nèi)容貫穿評(píng)估辦法第五條至第十一條,具體解讀詳見(jiàn)下文。

  四、 風(fēng)險(xiǎn)自評(píng)估和安全評(píng)估

  1. 評(píng)估流程

  評(píng)估辦法第五條明確“數(shù)據(jù)處理者在向境外提供數(shù)據(jù)前,應(yīng)事先開(kāi)展數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估”,該表述中并未強(qiáng)調(diào)僅在適用安全評(píng)估的情況下才需要事先開(kāi)展風(fēng)險(xiǎn)自評(píng)估。因此理論上,風(fēng)險(xiǎn)自評(píng)估適用于所有數(shù)據(jù)出境情形,無(wú)論是否涉及重要數(shù)據(jù)或上文所述滿足一定條件的個(gè)人信息。

  評(píng)估辦法第六、七、十、十一條規(guī)定了安全評(píng)估的具體流程。為了方便讀者理解,本文通過(guò)如下圖示說(shuō)明安全評(píng)估的工作流程,其中也包括個(gè)保法涉及的其他出境管理制度。

  微信圖片_20211103143149.jpg

  圖2-評(píng)估流程

  需特別說(shuō)明的是本評(píng)估辦法明確了國(guó)家網(wǎng)信部門對(duì)于數(shù)據(jù)出境安全評(píng)估的主導(dǎo)地位。在評(píng)估辦法第十條中首次提到“專門機(jī)構(gòu)”,筆者認(rèn)為此機(jī)構(gòu)可能為國(guó)家網(wǎng)信部門指定的特定評(píng)估機(jī)構(gòu)。

  2. 評(píng)估事項(xiàng)及簡(jiǎn)析

  評(píng)估辦法第五條和第八條分別列舉風(fēng)險(xiǎn)自評(píng)估和安全評(píng)估的重點(diǎn)事項(xiàng),兩者既有區(qū)別也有一致。為了方便讀者理解,下文通過(guò)如下表進(jìn)行對(duì)比,并做簡(jiǎn)要分析。

  表1-風(fēng)險(xiǎn)自評(píng)估與安全評(píng)估事項(xiàng)對(duì)比

  微信圖片_20211103143151.jpg

  3. 關(guān)于涉及合同的幾個(gè)問(wèn)題

  如以上表格所示,評(píng)估辦法第五條和第八條均要求評(píng)估數(shù)據(jù)處理者與境外接收方訂立的合同。不過(guò),這里提到的合同與個(gè)保法第三十八條第(三)款中提到的“標(biāo)準(zhǔn)合同”不同。兩者區(qū)別主要包括如下幾個(gè)方面:1)前者是安全評(píng)估的申報(bào)資料之一,而后者是與安全評(píng)估并列的個(gè)人信息出境的安全管理制度之一,2)前者的主要條款由數(shù)據(jù)處理者與境外接收方在滿足安全評(píng)估要求的前提下自由約定,而后者主要條款由國(guó)家網(wǎng)信部門制定,3)前者屬于事前監(jiān)管的范疇,后者屬于事后監(jiān)管的范疇。

  合同的作用主要在爭(zhēng)議解決程序中體現(xiàn),即只有在爭(zhēng)議解決程序中被認(rèn)定有效、有約束力、最終可執(zhí)行才能達(dá)到合同訂立的目的。然而,如果在實(shí)踐中安全評(píng)估未通過(guò),數(shù)據(jù)處理者可能會(huì)面臨違反已經(jīng)生效且有約束力合同的風(fēng)險(xiǎn)。筆者的解決方案是將安全評(píng)估未通過(guò)情形與合同解除條款相結(jié)合,或者約定合同的生效條件為安全評(píng)估通過(guò)情形。另外,因?yàn)榫惩饨邮辗皆谥袊?guó)境內(nèi)很可能沒(méi)有資產(chǎn),且中國(guó)法院判決會(huì)面臨在境外無(wú)法得到承認(rèn)和執(zhí)行的風(fēng)險(xiǎn),因此建議在合同制定過(guò)程中要特別注意爭(zhēng)議解決條款的制定,以便滿足可執(zhí)行性的要求。

  五、 結(jié)語(yǔ)

  相較于17年和19年兩版評(píng)估辦法,本評(píng)估辦法所建立的管理體系更加成熟和完備,無(wú)論是在概念還是在制度建設(shè)方面都與上位法及其他相關(guān)數(shù)據(jù)跨境流動(dòng)安全管理規(guī)定形成良好的銜接。隨著“重要數(shù)據(jù)”等概念的逐漸明晰,以及其他配套法規(guī)政策文件的不斷出臺(tái),本評(píng)估辦法的出臺(tái)標(biāo)志我國(guó)在搭建數(shù)據(jù)出境安全管理制度的工作中邁出了重要且堅(jiān)實(shí)的一步。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。