數(shù)安條例非常具有特色和原創(chuàng)性的一方面就是將數(shù)據(jù)處理的主體發(fā)生變更，作為一種高風(fēng)險(xiǎn)動(dòng)作，進(jìn)而提出了增強(qiáng)的安全要求。這方面值得各位重視。

　　何為數(shù)據(jù)處理的主體發(fā)生變更？在條例中有兩種情況：一是數(shù)據(jù)對(duì)外提供，具體包括“共享、交易、委托處理”；二是數(shù)據(jù)處理者發(fā)生合并、重組、分立等情況的。實(shí)際上還有數(shù)據(jù)向境外提供，上一篇文章做了分析【數(shù)安條例 | 數(shù)據(jù)跨境安全管理】，此處就不再贅述。

　　對(duì)于情形一：數(shù)安條例主要在第十二條做了一般性規(guī)范。

　　第十二條 數(shù)據(jù)處理者向第三方提供個(gè)人信息，或者共享、交易、委托處理重要數(shù)據(jù)的，應(yīng)當(dāng)遵守以下規(guī)定：

　?。ㄒ唬┫騻€(gè)人告知提供個(gè)人信息的目的、類型、方式、范圍、存儲(chǔ)期限、存儲(chǔ)地點(diǎn)，并取得個(gè)人單獨(dú)同意，符合法律、行政法規(guī)規(guī)定的不需要取得個(gè)人同意的情形或者經(jīng)過(guò)匿名化處理的除外；

　　（二）與數(shù)據(jù)接收方約定處理數(shù)據(jù)的目的、范圍、處理方式，數(shù)據(jù)安全保護(hù)措施等，通過(guò)合同等形式明確雙方的數(shù)據(jù)安全責(zé)任義務(wù)，并對(duì)數(shù)據(jù)接收方的數(shù)據(jù)處理活動(dòng)進(jìn)行監(jiān)督；

　?。ㄈ┝舸?zhèn)€人同意記錄及提供個(gè)人信息的日志記錄，共享、交易、委托處理重要數(shù)據(jù)的審批記錄、日志記錄至少五年。

　　數(shù)據(jù)接收方應(yīng)當(dāng)履行約定的義務(wù)，不得超出約定的目的、范圍、處理方式處理個(gè)人信息和重要數(shù)據(jù)。

　　分析起來(lái)有這么以下要點(diǎn)：

　　1、個(gè)人信息的對(duì)外提供要詳細(xì)告知，該取得同意的需要取得同意。但是存在《個(gè)人信息保護(hù)法》第十三條規(guī)定的（二）至（七）的情形時(shí)，無(wú)需取得同意。

　　2、無(wú)論是個(gè)人信息和重要數(shù)據(jù)的對(duì)外提供，都要和下游簽訂明確的合同。

　　3、上游要留存相關(guān)記錄，為未來(lái)接受監(jiān)督做好準(zhǔn)備。

　　4、下游要遵守合同約定，“不得超出約定的目的、范圍、處理方式處理個(gè)人信息和重要數(shù)據(jù)”。

　　但是對(duì)于重要數(shù)據(jù)，數(shù)安條例除了一般性規(guī)范之外，還提出了更進(jìn)一步的安全要求，主要是數(shù)安條例的第三十二條和第三十三條。

　　第三十二條 數(shù)據(jù)處理者開展共享、交易、委托處理、向境外提供重要數(shù)據(jù)的安全評(píng)估，應(yīng)當(dāng)重點(diǎn)評(píng)估以下內(nèi)容：

　?。ㄒ唬┕蚕?、交易、委托處理、向境外提供數(shù)據(jù)，以及數(shù)據(jù)接收方處理數(shù)據(jù)的目的、方式、范圍等是否合法、正當(dāng)、必要；

　?。ǘ┕蚕?、交易、委托處理、向境外提供數(shù)據(jù)被泄露、毀損、篡改、濫用的風(fēng)險(xiǎn)，以及對(duì)國(guó)家安全、經(jīng)濟(jì)發(fā)展、公共利益帶來(lái)的風(fēng)險(xiǎn)；

　?。ㄈ?shù)據(jù)接收方的誠(chéng)信狀況、守法情況、境外政府機(jī)構(gòu)合作關(guān)系、是否被中國(guó)政府制裁等背景情況，承諾承擔(dān)的責(zé)任以及履行責(zé)任的能力等是否能夠有效保障數(shù)據(jù)安全；

　?。ㄋ模┡c數(shù)據(jù)接收方訂立的相關(guān)合同中關(guān)于數(shù)據(jù)安全的要求能否有效約束數(shù)據(jù)接收方履行數(shù)據(jù)安全保護(hù)義務(wù)；

　?。ㄎ澹┰跀?shù)據(jù)處理過(guò)程中的管理和技術(shù)措施等是否能夠防范數(shù)據(jù)泄露、毀損等風(fēng)險(xiǎn)。

　　評(píng)估認(rèn)為可能危害國(guó)家安全、經(jīng)濟(jì)發(fā)展和公共利益，數(shù)據(jù)處理者不得共享、交易、委托處理、向境外提供數(shù)據(jù)。

　　分析總結(jié)：

　　1、提出了重要數(shù)據(jù)發(fā)生共享、交易、委托處理、向境外提供前，應(yīng)當(dāng)自行開展安全評(píng)估。

　　2、安全評(píng)估考慮的重點(diǎn)是數(shù)據(jù)接收方的身份、履約和承擔(dān)責(zé)任的能力、用途、合同中約定的數(shù)據(jù)安全措施的有效性和可執(zhí)行性，以及可能對(duì)“國(guó)家安全、經(jīng)濟(jì)發(fā)展、公共利益帶來(lái)的風(fēng)險(xiǎn)”。

　　3、如果評(píng)估后發(fā)現(xiàn)還是“可能危害國(guó)家安全、經(jīng)濟(jì)發(fā)展和公共利益”，則“不得共享、交易、委托處理、向境外提供數(shù)據(jù)”。

　　第三十三條 數(shù)據(jù)處理者共享、交易、委托處理重要數(shù)據(jù)的，應(yīng)當(dāng)征得設(shè)區(qū)的市級(jí)及以上主管部門同意，主管部門不明確的，應(yīng)當(dāng)征得設(shè)區(qū)的市級(jí)及以上網(wǎng)信部門同意。

　　這是一個(gè)行政許可式的要求了。相當(dāng)于主管部門或者網(wǎng)信部門要審核安全評(píng)估的情況，并做出允許或者禁止的決定。

　　對(duì)于情形二：數(shù)安條例主要在第十四條做了規(guī)范。

　　第十四條 數(shù)據(jù)處理者發(fā)生合并、重組、分立等情況的，數(shù)據(jù)接收方應(yīng)當(dāng)繼續(xù)履行數(shù)據(jù)安全保護(hù)義務(wù)，涉及重要數(shù)據(jù)和一百萬(wàn)人以上個(gè)人信息的，應(yīng)當(dāng)向設(shè)區(qū)的市級(jí)主管部門報(bào)告；數(shù)據(jù)處理者發(fā)生解散、被宣告破產(chǎn)等情況的，應(yīng)當(dāng)向設(shè)區(qū)的市級(jí)主管部門報(bào)告，按照相關(guān)要求移交或刪除數(shù)據(jù)，主管部門不明確的，應(yīng)當(dāng)向設(shè)區(qū)的市級(jí)網(wǎng)信部門報(bào)告。

　　對(duì)這個(gè)條文，可以做如下解讀：

　　1、數(shù)據(jù)處理者發(fā)生“合并、重組、分立等情況”，實(shí)際上就存在一個(gè)新的主體來(lái)承接數(shù)據(jù)。新的數(shù)據(jù)處理主體出現(xiàn)，被認(rèn)為是高風(fēng)險(xiǎn)處理動(dòng)作之一。

　　2、如果“涉及重要數(shù)據(jù)和一百萬(wàn)人以上個(gè)人信息的，應(yīng)當(dāng)向設(shè)區(qū)的市級(jí)主管部門報(bào)告”。但此處并沒(méi)有明確“報(bào)告”的含義。但公號(hào)君認(rèn)為，立法者的意圖應(yīng)該是要求數(shù)據(jù)處理者在“合并、重組、分立”之前，按照情形一中的要求，開展安全評(píng)估，并將安全評(píng)估結(jié)果提交給主管部門，取得其批準(zhǔn)。

　　3、如果數(shù)據(jù)處理者不復(fù)存在——發(fā)生解散、被宣告破產(chǎn)等，則應(yīng)當(dāng)移交或刪除數(shù)據(jù)，并將有關(guān)情況報(bào)告主管部門。

　　最后做一個(gè)總結(jié)，為什么公號(hào)君認(rèn)為數(shù)安條例把數(shù)據(jù)處理的主體變更作為高風(fēng)險(xiǎn)處理情形之一，原因在于，對(duì)于重要數(shù)據(jù)的主體發(fā)生變更，無(wú)論是發(fā)生了“共享、交易、委托處理、向境外提供”，還是“發(fā)生合并、重組、分立等情況”，數(shù)安條例事實(shí)上設(shè)立了行政許可。

　　很有意思的是，對(duì)于重要數(shù)據(jù)的收集，沒(méi)有這樣的行政許可式的要求。僅僅是事后的備案要求：

　　第二十九條 重要數(shù)據(jù)的處理者，應(yīng)當(dāng)在識(shí)別其重要數(shù)據(jù)后的十五個(gè)工作日內(nèi)向設(shè)區(qū)的市級(jí)網(wǎng)信部門備案，備案內(nèi)容包括：

　?。ㄒ唬?shù)據(jù)處理者基本信息，數(shù)據(jù)安全管理機(jī)構(gòu)信息、數(shù)據(jù)安全負(fù)責(zé)人姓名和聯(lián)系方式等；

　?。ǘ┨幚頂?shù)據(jù)的目的、規(guī)模、方式、范圍、類型、存儲(chǔ)期限、存儲(chǔ)地點(diǎn)等，不包括數(shù)據(jù)內(nèi)容本身；

　　（三）國(guó)家網(wǎng)信部門和主管、監(jiān)管部門規(guī)定的其他備案內(nèi)容。

　　處理數(shù)據(jù)的目的、范圍、類型及數(shù)據(jù)安全防護(hù)措施等有重大變化的，應(yīng)當(dāng)重新備案。

　　依據(jù)部門職責(zé)分工，網(wǎng)信部門與有關(guān)部門共享備案信息。

　　換句話說(shuō)，重要數(shù)據(jù)的收集，不那么敏感。但是重要數(shù)據(jù)的對(duì)外提供和境外提供，非常敏感。

　　另外一點(diǎn)：對(duì)比《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》，這是目前唯一生效的明確界定重要數(shù)據(jù)的部門規(guī)章。在這個(gè)規(guī)定中，對(duì)重要數(shù)據(jù)在境內(nèi)的“共享、交易、委托處理”，還是“發(fā)生合并、重組、分立等情況”，都僅僅規(guī)定了風(fēng)險(xiǎn)評(píng)估（第十條）和備案（第十三條）的要求而已，并沒(méi)有行政許可式的要求。這也體現(xiàn)了立法部門思路的演進(jìn)。

　　本篇文章完。