各国关于数据出境的监管要求一直是各国数据监管的风向标,不仅体现国家对于数据安全的重视程度,也能意会出国家对于数据竞争的态度以及数字经济发展的思路。例如欧盟《通用数据保护条例》(GDPR)设定的个人数据出境的限制,规定在第三国具备充分保护水平的前提下可将个人数据向第三国传输,而如第三国不具备充分保护水平的,控制者或处理者只有在提供了适当的保障措施,并为数据主体提供了可执行的权利和有效的法律救济措施的条件下,才可将个人数据传输至第三国。上述内容是对于个人数据出境的特殊监管要求,也是解决欧盟单一数字经济发展面临制度障碍的尝试。
数据出境的监管对于数字经济蓬勃发展的中国也尤为重要。一方面需要树立数据监管的价值观,另一方面数据出境监管的制度设计将直接影响跨国企业以及出海企业的日常运营,更深刻的影响数字经济的发展进程。随着《网络安全法》、《数据安全法》以及《个人信息保护法》三大法律的确立,以及相关法律法规征求意见稿的出台,我国数据跨境制度法律框架已经完成了基础性搭建。其中,数据出境安全评估制度在我国的数据跨境制度中占据相当重要的地位。2022年7月7日,《数据出境安全评估办法》正式颁布,这意味着,我国数据出境安全评估制度在效力上,从概念的制度向实践的制度迈出了重要的一步。本文在回顾我国数据跨境制度的历史沿革基础上,对《数据出境安全评估办法》的自评估方法进行操作化的解读,为企业等各数据处理者提供自评估合规指引。
一、 数据跨境制度的规则导向
《网络安全法》的生效,初步确立了以安全评估制度为核心的数据跨境的基本规则;随着《数据安全法》《个人信息保护法》等法律法规的出台,数据跨境制度的法律框架逐渐完善,安全评估制度在数据跨境制度中的定位也逐渐清晰。在此期间,为有效落地法律层面的制度规范,国家网信办等有关部门、标准制定单位等陆续发布了不同层级的数据跨境细则、标准指南等草案文件,明晰了数据跨境合规的监管和实践方向。
二、数据跨境安全评估制度的重要更新——以《数据安全法》《个人信息保护法》为标志
随着《数据安全法》(“《数安法》”)以及《个人信息保护法》(“《个信法》”)相继出台并生效,我国的数据跨境制度的基本法律框架得以进一步厘清。《数安法》第31条在CIIO向境外提供重要数据时延续了《网安法》的规定,还为非 CIIO 的数据处理者在向境外提供重要数据提供了制度留白。《个信法》则是在数据处理者的基础上,进一步界定了个人信息处理者,并规定了“个人信息跨境提供的规则”专章来专门针对个人信息跨境构建规则框架。在《个信法》下,个人信息跨境场景下的安全评估制度有了更多的细化规定。
适用主体上,《个信法》继承了《网安法》和《数安法》的规定,将属于CIIO的个人信息处理者纳入需要安全评估的责任主体范围。在此基础上,《个信法》第36条和第40条还加入两个需要进行安全评估的责任主体,分别是国家机关和处理个人信息达到国家网信部门规定人数的个人信息处理者(下称“大型个人信息处理者”)。《个信法》对上述三者提出了个人信息本地化要求,因需要确需出境的,则需要进行安全评估。其中,CIIO作为长期存在的概念,其概念界定、认定标准以及认定程序在《关键信息基础设施保护条例》中有了相对明确的规定。各主体可以根据该条例的要求,对自身是否可能会被认定为CIIO进行自评估,可能会被认定为CIIO的,宜以CIIO的标准开展数据跨境合规工作。可以看出,在整个数据出境制度体系中,数据出境安全评估占据十分重要的位置。因为对于特定主体而言,安全评估并不是《个信法》第38条第1款所规定的“选择性义务”,而是第36条、第40条所规定的“强制性义务”;不是《网络数据安全管理条例(征求意见稿)》第35条中数据出境的“选择性义务”;而是第37条所规定的“强制性义务”。
《网安法》《数安法》以及《个信法》三驾马车的形成,为后来的《网络数据安全管理条例(征求意见稿)》的制定提供了上位法基础。《网络数据安全管理条例(征求意见稿)》将数据跨境统一处理,将个人信息跨境制度框架扩展成为数据跨境制度的一般框架,其基本上遵循了《个信法》的制度架构,但同时对三大法律的规定进行了细化,形成制度补充。在延续性地将数据出境安全评估作为数据出境的一种条件的基础上,《网络数据安全管理条例(征求意见稿)》尝试就数据出境安全评估的触发条件做进一步明确,除CIIO情形外,还包括了出境数据中包含重要数据、处理一百万人以上个人信息的数据处理者向境外提供个人信息。
《数据出境安全评估办法》的最终生效,象征着我国数据出境安全评估制度的进一步落地,为数据处理者在开展数据安全评估工作提供了确定可操作的法律依据,因而具有里程碑式的意义。
三、《数据出境安全评估办法》内容解读
(一)数据出境活动定义
《办法》所称数据出境活动主要包括:一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。
(二)适用范围
《办法》第二条数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法。法律、行政法规另有规定的,依照其规定。
注:个人信息处理者向境外提供个人信息前需进行个人信息保护影响评估。(《网络安全法》第55条)
《办法》适用范围已经明确重要数据和满足特定条件的个人信息出境要经过数据出境安全评估,所以对于适用安全评估的个人信息处理者的数据出境情形应当申报安全评估;《办法》适用范围外的个人信息处理者的数据出境情形,可以通过个人信息保护认证或者签订国家网信部门制定的标准合同来满足个人信息跨境提供条件。相关文件已在制定中,如《个人信息出境标准合同规定(征求意见稿)》、TC260-PG-20222A 《个人信息跨境处理活动认证技术规范》等。
(三)数据出境评估情形与流程
从整体体例来看,《数据出境安全评估办法》对安全评估的程序性规则和实体评估内容均进行了规定。办法中所规定的自评估—申请评估—重新评估,以及评估材料、评估时间、评估通知、评估材料补充更正、评估结果撤销均属于程序性的规定。这些规定能够帮助数据处理者定位自己在开展数据出境安全评估工作中所处的时间点位。
数据出境安全评估一般流程:
评估原则:事前评估和持续监督相结合、风险自评估与安全评估相结合。
事前评估:数据处理者在向境外提供数据前,应首先开展数据出境风险自评估。
申报评估:符合申报数据出境安全评估情形的,数据处理者应通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
开展评估:国家网信部门自收到申报材料之日起7个工作日内确定是否受理评估;自出具书面受理通知书之日起45个工作日内完成数据出境安全评估;情况复杂或者需要补充、更正材料的,可以适当延长并告知数据处理者预计延长的时间。若数据处理者提交的申报材料不符合要求,无正当理由不补充或者更正的,国家网信部门可以终止安全评估。
重新评估和终止出境:评估结果有效期届满或者在有效期内出现本办法中规定重新评估情形的,数据处理者应当重新申报数据出境安全评估。已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,在收到国家网信部门书面通知后,数据处理者应终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估。
评估结果存在异议:数据处理者可以在收到评估结果15个工作日内向国家网信部门申请复评,复评结果为最终结论。
评估有效期:通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算。有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。
