数据出境安全评估,其实是对企业数据合规体系的全面考验。
本文字数4190,阅读时长约9分钟
在《安全评估办法》生效的前一天,国家网信办在深夜发布《数据出境安全评估申报指南(第一版)》(下称《申报指南》),对数据出境安全评估的申报方式、申报流程、申报材料等做出具体说明。
未来,哪些企业可能需要申报数据安全评估?申报的流程是什么?自评估意味着什么?可能面临哪些挑战?
财经E法采访了多位业内资深人士,对这些问题加以解读。
01
申报的流程是什么?
《申报指南》要求,数据处理者因业务需要确需向境外提供数据,符合数据出境安全评估适用情形的,应当根据《安全评估办法》规定,申报数据出境安全评估。
具体来说,省级网信办收到申报材料后,在5个工作日内完成申报材料的完备性查验。通过完备性查验的,省级网信办将申报材料上报国家网信办。
评估完成后,数据处理者将收到评估结果通知书。
北京德恒律师事务所合伙人、网络安全应急技术国家工程实验室数据安全咨询专家刘扬对财经E法表示,“从内容来看,《申报指南》旨在引导和帮助数据处理者规范、有序申报数据出境安全评估。”
北京炜衡(成都)律师事务所合伙人魏冬冬律师也表示,《安全评估办法》生效之时,则意味着省级网信办就已开放接收数据出境申报材料的渠道,所以《申报指南》明确申报细节,是很及时的。
02
哪些企业可能需要申报?
《申报指南》对数据出境行为加以明确:(一)数据处理者将在境内运营中收集和产生的数据传输、存储至境外;(二)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;(三)国家网信办规定的其他数据出境行为。
哪些企业会受到《安全评估办法》的规制?
魏冬冬认为,一类是全球化运营的企业,比如中国境内的外资企业,这类企业出于业务和管理需要,大量境内的业务数据和员工数据都有出境的需求;另一类是其业务本身需通过数据出境才能完成的企业,比如开通国际航线的航空公司、在境外开展业务的基础设施建设和能源类企业。
《安全评估办法》明确规定需要申报的四种情形:(一)数据处理者向境外提供重要数据;(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。
北京理工大学法学院助理教授、北京知识产权法研究会副秘书长裴轶则认为,以100万人和10万人个人信息来说,很多企业都会达到这个标准。
中国法学会网络与信息法学研究会副秘书长、中国社科院法学所网络与信息法室副主任周辉此前对财经E法表示,在《安全评估办法》制定过程中,100万人的标准曾经有过争议,最终还是确定了这一标准,“虽然100万人占中国人口的比重并不大,但是要放在全球范围内来看,已是很大的规模。”
03
自评估意味着什么?
2016年通过的《网络安全法》首次提出建立“数据出境安全评估”制度。其中第三十七条规定,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定”。
2021年,《数据安全法》和《个人信息保护法》先后出台,扩展了数据出境安全评估制度的实施范围,不再局限于关键信息基础设施运营者。
中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋曾告诉财经E法,通过一系列立法,中国完善了数据出境安全评估制度的法律依据,《安全评估办法》则是明确了数据出境安全评估的具体制度。
毫无疑问,《安全评估办法》和《申报指南》对数据出境活动提出更高的合规要求。虽然安全评估并不属于行政许可,但在数据安全越来越被重视的背景下,企业需要尽到更高的合规义务。
刘扬具体解释,首先,数据出境评估是落实《网络安全法》《数据安全法》和《个人信息保护法》等法律的必然要求;其次,中国作为数据大国,出于对国家安全、公共利益、个人或者组织合法权益角度考虑,有必要对数据出境进行审查。
比如,《申报指南》要求,数据处理者申报数据出境安全评估时需提供自评估报告。自评估报告除了要说明数据出境涉及业务和信息系统情况、拟出境数据情况、境外接收方情况、法律文件约定数据安全保护责任义务的情况等,还需要提供数据处理者数据安全保障能力情况,其中包括数据安全管理能力——管理组织体系和制度建设情况,全流程管理、分类分级、应急处置、风险评估、个人信息权益保护等制度及落实情况;还包括数据安全技术能力——数据收集、存储、使用、加工、传输、提供、公开、删除等全流程所采取的安全技术措施等。
北京科技创新中心研究基地副主任、北京航空航天大学法学院助理教授赵精武指出,对于大规模传输个人信息或涉及重要数据出境业务的企业而言,需要严格遵循《申报指南》的流程,需要从内部管理制度进行业务合规优化,例如设置数据安全负责人岗位,独立负责和履行数据安全保障义务。
赵精武还提醒,在数据出境过程中,数据处理者需要明确股权结构,意图通过股权持有的方式隐藏实际的数据出境方将不再可能。赵精武也指出,目前《申报指南》要求的自评估报告主要以定性层面的风险判断为主,他建议,未来技术性评估指标和评估流程可以进一步细化。
04
可能面临哪些挑战?
数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险。
刘扬在前期的调研中发现,关于自评估中“出境数据的规模、范围、种类、敏感程度”“出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险”,以及出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险”,以及“境外接收方所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全”“境外接收方将出境数据再转移给其他组织、个人”等情况,是数据处理者最关心的问题。
魏冬冬也指出,境外接收方的配合程度,是许多企业普遍担心的问题。对于全球化运营企业来说问题不大,但对于因为业务需要数据出境的企业而言,《申报指南》要求提供较完整的境外接收方信息,比如“境外接收方处理数据的用途、方式”“境外接收方的数据安全保障能力”“境外接收方处理数据的全流程过程描述”等,对于一些在交易中不占强势地位的企业来说,获取这些信息有一定的困难。
裴轶则谈到另一方面的挑战,“数据出境后的安全保障对企业来说可能有较大的难度,写明合规指南并不难,但是去熟知当地法律,明确司法行政等的救济途径,比如企业在数据出境以后能够抗衡当地的司法或者政府的调取,实际上对企业提出了很高的要求。”
裴轶建议,企业应该提供清晰、明确的自评报告,“越是明确、一目了然的自评估报告,越容易获得通过。”但她也建议,对于达到申报标准的第一类情况,即“数据处理者向境外提供重要数据”的标准应更加明确。
裴轶还指出,不同类型的企业面对合规义务,面临的挑战可能并不相同。具体而言,大企业相对而言有较充足的人力资源和资金支持,压力虽有,但并不算大。对于中小企业和初创企业而言,则可能因为合规成本太高,而被挤出市场。
裴轶总结,《安全评估办法》和《申报指南》为企业合法合规地进行数据出境活动提供了具体指引,无疑有利于促进跨境数据的规范流动。