在《个人信息保护法》(《个人信息保护法》)于2021年11月1日生效前夕,即2021年10月29日,国家互联网信息办公室(国家网信办)发布了《数据出境安全评估办法(征求意见稿)》(《安全评估办法(征求意见稿)》),向社会公开征求意见。

中国网络安全和数据立法的三大支柱《网络安全法》(2017年6月1日生效)、《数据安全法》( 2021年9月1日生效)和《个人信息保护法》均对数据跨境施加了一定的限制,并规定在某些情况下向境外提供数据时,需要进行政府安全评估。

《安全评估办法(征求意见稿)》对我们在本文中讨论的问题做出了明确规定。

哪些运营者和主体需要进行安全评估?

  1. 关键信息基础设施(关键信息基础设施)的运营者;
  2. 向境外提供“重要数据”的任何主体;
  3. 处理个人信息达到一百万人的个人信息处理者;
  4. 累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息的任何主体;及
  5. 国家网信办规定的其他情形。

2021年9月1日实施的《关键信息基础设施安全保护条例》规定了关键信息基础设施认定规则所考虑的主要因素,并且明确了重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门(以下简称保护工作部门),保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,并及时将认定结果通知运营者。所以,如果公司被认定为关键信息基础设施的运营者,公司将会收到通知。但截至目前,“重要数据”的具体范围还有待进一步明确。

评估流程是怎样的?

在向境外提供数据之前,公司必须开展风险自评估。自评估后,公司需要向国家网信办申报评估,并提交申报书、自评估报告以及与境外接收方拟订立的合同等材料。

国家网信办将在7个工作日内确定是否受理申请。受理申请的,一般情况下将在45个工作日内完成数据出境安全评估,情况复杂或需要补充材料的,将在60个工作日内完成评估。

评估标准是什么?

《安全评估办法(征求意见稿)》力求保护个人权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动。国家网信办评估数据出境时,将综合考虑以下各种因素,包括:

  1. 数据出境的目的、范围、方式等的合法性、正当性、必要性;
  2. 接收方所在国家/地区的数据安全保护政策法规及网络安全环境;
  3. 接收方的数据保护水平是否达到中国法律法规和强制性国家标准的要求;
  4. 出境数据的数量、范围、种类和敏感程度;
  5. 出境中和出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险;
  6. 数据出境协议中是否充分约定了数据安全保护责任义务。

数据出境与境外接收方订立的协议应当包括哪些内容?

从安全评估角度考虑,数据出境协议应当包括以下内容:

  1. 数据出境的目的、方式和数据范围、境外接收方处理数据的用途、方式等;
  2. 数据在境外保存地点、期限,以及达到保存期限、合同期限届满或者完成约定目的后出境数据的处理措施;
  3. 限制境外接收方将出境数据再转移给其他方的约束条款;
  4. 境外接收方在控制权或者经营范围发生变化,或者所在国家/地区法律环境发生变化时,应当采取的安全措施;
  5. 违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款;及
  6. 数据泄露等风险的应急预案,维护个人权益的通畅渠道。

《安全评估办法(征求意见稿)》并未规定一套安全评估申报人必须与境外接收方签订的标准合同条款。从目前来看,申报人可以灵活决定其与接收方之间的数据出境协议的形式和内容。

但是,对于不属于《安全评估办法(征求意见稿)》规定的政府安全评估范围的数据处理者(即不是关键信息基础设施的运营者或不处理“重要数据”或大量个人数据的公司),我们预计国家网信办将公布标准格式的数据出境协议。这些公司可以使用即将公布的标准格式的数据出境协议作为其向境外提供数据的法律依据,而无需申报并完成网信办安全评估。

国家网信办完成评估后会发生什么?

国家网信办将根据安全评估结果批准或不批准数据出境申请。批准的有效期为两年。有效期届满或相关情况(如向境外提供数据的目的、范围、接收方所在国家的法律环境、申请人或接收方的控制权)发生重大变化时,公司应当重新申报评估。

《安全评估办法(征求意见稿)》何时生效?

目前征求意见稿的反馈截止日期为2021年11月28日。此后,国家网信办将对收到的意见进行审查,并可能对《安全评估办法(征求意见稿)》进行修改。关于该办法的最终定稿或生效时间,目前尚未公布。如果网信办发现经评估的数据出境活动在实际处理中不再符合数据出境安全管理要求,其有权撤销评估结果并书面通知数据处理者,整改并重新申请评估之前,数据处理者必须终止数据出境活动。

我们的观点

安全评估制度的若干方面仍存在不确定性(例如,在计算公司向境外提供个人信息总量时的期限尚不明确,但是,无论最终确定的评估门槛是什么,《安全评估办法(征求意见稿)》似乎传达了一个明确的信息,即达到评估门槛的公司如计划向境外提供数据,应当在中国进行定期的安全评估。因此,尚未采取任何行动的公司应当开始梳理其在中国的数据处理活动并评估其在中国的出境合规风险水平,并建立内部数据出境自评估机制(例如评估流程、负责人员和机构以及自评估报告等)。我们将密切关注未来的相关进展,并提供更新的内容。

本文作者孙宇莉。