数据出境安全评估办法公开征求意见 确立企业风险自评估制度 提出“用户数量”量化标准
发布日期:2021-11-26 来源:民主与法制时报

  数据如何安全出境?近年来,随着《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》相继施行,这一问题备受关注。

  网络安全法、个人信息保护法等规定,数据确需向境外提供的,要进行安全评估,比如个人信息保护法第四十条规定:“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。”

  10月29日,国家互联网信息办公室发布的《数据出境安全评估办法(征求意见稿)》(以下简称《征求意见稿》),对数据安全评估作出系统性规定,提出数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合的制度,对企业数据跨境业务要求更多合规责任。


  数据出境前企业

  需事先开展“风险自评估”


  中国信息通信研究院云计算与大数据研究所工程师仵姣姣表示,《征求意见稿》开宗明义,规定出境评估制度是事前评估和持续监督相结合、风险自评估与安全评估相结合的一套制度。风险自评估可以被理解为是申报数据出境安全评估的前提条件和组成部分。


  实际上,国家网信办在2017年发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》第七条就规定:“网络运营者应在数据出境前,自行组织对数据出境进行安全评估,并对评估结果负责。”相比较而言,此次出台的《征求意见稿》第五条除明确数据处理者在向境外提供数据前应事先开展数据出境风险自评估外,还列举出了需要重点评估的事项,包括数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;出境数据的数量、范围、种类、敏感程度、数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险;境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;数据出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。


  此外,《征求意见稿》还列举了企业开展风险自评估需要重点评估的事项,规定了企业申报数据出境安全评估应当提交的材料,以及国家网信部门对数据出境安全评估重点评估的事项。


  “《征求意见稿》规定的企业风险自评估的重点评估事项和网信部门重点评估的事项,在内容上看大体一致,这实际上更有利于企业降低合规成本。”中国电子技术标准化研究院网络安全研究中心测评实验室副主任何延哲说,“风险自评估”是目前国际通行的风险管理方法。此次《征求意见稿》不仅明确了数据出境风险自评估制度,还对评估制度具体内容作了进一步细化规定,给予企业更加明确的合规指引。企业事前做好“风险自评估”工作,可以为之后的申报评估节省成本,这也让企业更重视事前的数据安全合规责任。“反之,如果企业事前不注重数据安全合规工作,在‘风险自评估’质量、精准度等方面糊弄了事,那么后期申报评估就会遇到诸多阻碍。”


  仵姣姣认为,《征求意见稿》最大的亮点在于非常清晰地明确了申报出境评估的内容和流程,从实体层面来看,明确了出境评估的标准、评估的重点事项、材料清单、合同约定内容等事项;从程序层面来看,规范了网信部门受理申报后全流程的行政程序,对相关企业和网信部门都有重要指导意义。


  对“用户数量”

  提出量化标准


  如何确定自己应不应该申报数据出境安全评估?《征求意见稿》第四条规定,数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:(一)关键信息基础设施的运营者收集和产生的个人信息和重要数据;(二)出境数据中包含重要数据;(三)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;(四)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;(五)国家网信部门规定的其他需要申报数据出境安全评估的情形。对外经济贸易大学数字经济与法律创新研究中心主任许可表示,上述规定的第(一)种情形在网络安全法第三十七条中早有明文规定,第(三)(四)种情形则属于新增规定。“第(三)项的规定,上位法的依据为个人信息保护法第四十条的规定。”但这其中“一百万”的数量规定是否合适,有待商榷。国家市场监督管理总局10月29日公布的《互联网平台分类分级指南(征求意见稿)》对“用户数量”已经提出可操作的量化标准。


  《互联网平台分类分级指南(征求意见稿)》在平台分级方面规定,超级平台的用户规模为在中国上年度年活跃用户不低于5亿,大型平台用户规模为在中国的上年度年活跃用户不低于5000万。

  许可表示,从个人信息保护法第四十条的规定来看,“处理个人信息达到国家网信部门规定数量的个人信息处理者”与“关键信息基础设施运营者”为并列关系,两者在法律性质上应当具备逻辑上的同一性或类似性。


  而根据《关键信息基础设施安全保护条例》第二条和第九条的规定,关键基础设施是一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统,在认定时应当考虑“(一)网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;(二)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;(三)对其他行业和领域的关联性影响”这些因素。


  基于此,许可认为,《征求意见稿》中对需要申报数据出境安全评估的“个人信息处理者”的界定,不能只规定“处理个人信息数量达到一定数量”,还应当纳入个人信息处理者的业务类型、重要程度、关联影响等因素。


  数据出境后安全评估

  应考虑技术措施


  仵姣姣表示,《征求意见稿》非常清晰地量化了处理个人数据达到怎样的规模后需要进行风险评估,需要注意的是还应衡量具体数额的明确性以及自由裁量的空间。


  仵姣姣举例说,例如一些智能穿戴设备、网联汽车等行业,处理数据涉及人数虽然也许不多,但可能带来的风险甚至会高于部分互联网企业收集的消费行为数据。


  许可表示,数据出境安全评估涉及的个人信息、重要数据以及个人信息向重要数据转化的问题,数量规模只是其中一个认定因素,应当从多重维度判断。“比如《征求意见稿》规定:‘累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息’,针对特殊敏感人群,‘十万人’的门槛可能过高,而针对大众,‘十万人’的门槛又可能过低。”


  何延哲说,实践中,达到“处理个人信息达到一百万人的个人信息处理者”的企业比例不小,如果按照《征求意见稿》现有的规定,那么对确有数据出境需求的企业而言,数据出境安全评估可能会成为一种常态义务。


  此外,《征求意见稿》还对数据出境后的风险防范作了规定。数据处理者申报数据出境安全评估应当提交数据处理者与境外接收方拟订立的合同或者其他具有法律效力的文件等。《征求意见稿》第九条对合同应涉及的数据安全保护责任义务等内容也作了规定,要求应当包括境外接收方处理数据的用途、方式等;数据在境外保存的地点、期限,以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施;限制境外接收方将出境数据再转移给其他组织、个人的约束条款;境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区法律环境发生变化导致难以保障数据安全时,应当采取的安全措施;违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款;发生数据泄露等风险时,妥善开展应急处置,并保障个人维护个人信息权益的通畅渠道等内容。


  何延哲认为,合同通常在跨境贸易中扮演重要角色,《征求意见稿》对合同内容的规定是一大亮点。但对企业来说,操作指引确实越细越好,如有规范的不同场景的合同范例,将更有助于推动出境管理制度有效落地。


  何延哲表示,数据安全重在预防风险,《征求意见稿》还可以提出一些具体的技术措施开展预防工作。比如即时通信中常用的“阅后即焚”机制,可以有效控制信息的二次传播。“如果出境后的数据采取一些使用限制条件、安全审计等技术措施,就可以有效降低数据出境后的风险。”(作者:□本社记者 任文岱)


责任编辑:郝魁府
本站系非盈利性学术网站,所有文章均为学术研究用途,如有任何权利问题请与我们联系。
^