《數據出境安全評估辦法》正式實施,將會給數據安全產業帶來哪些影響?
2022年9月1日,國家互聯網信息辦公室發布的《數據出境安全評估辦法》(以下簡稱《評估辦法》)正式實施。《評估辦法》旨在規范數據出境活動,保護個人信息權益,促進數據跨境安全、自由流動。本文主要分析《評估辦法》的價值特點、《評估辦法》主要內容及其對促進數據安全產業發展的思考。
《評估辦法》價值特點分析
《評估辦法》作為部門規章,其法規價值在于落實《網絡安全法》《數據安全法》《個人信息保護法》等上位法構建的數據出境安全評估制度,其價值特點可歸納為以下三方面:
一是推進制度閉環。《網絡安全法》(第37條)、《數據安全法》(第31條)、《個人信息保護法》(第40條)對于重要數據和個人信息的出境安全評估做出了制度授權并預留了法規細化空間。《評估辦法》對于數據出境安全評估的內容和工作機制等做出具體規定,是對其上位法相關制度框架的細化發展,有效推進了數據出境安全評估制度的閉環。
二是實現規則劃一。此前《數據安全法》在規定“重要數據出境安全評估”時,將“關鍵基礎設施重要數據”和其他重要數據進行區分,即:關鍵信息基礎設施運營者的重要數據出境安全管理,適用《網絡安全法》,其他數據處理者的重要數據出境安全管理,由國家網信部門會同國務院有關部門制定重要數據的出境安全管理辦法。《評估辦法》的頒布,在重要數據主體方面不再突出強調關鍵信息基礎設施運營者和其他重要數據運營主體的區分,并將“重要數據出境的管理辦法”進一步明確為“數據出境安全評估辦法”,有利于推進規則合一并提高立法效率。
三是明確范圍界定。國家互聯網辦公室對數據出境安全評估相關管理辦法進行過三次公開征求意見,分別是:2017版《個人信息和重要數據出境安全評估辦法(征求意見稿)》、2019版《個人信息出境安全評估辦法(征求意見稿)》及2021版《數據出境安全評估辦法(征求意見稿)》。不難看出,此次《評估辦法》的頒布,將個人信息、重要信息等統一納入數據出境評估的范疇,進一步統一和明確了需評估信息的范圍,有助于推進數據出境評估工作的統一性。
《評估辦法》主要內容梳理
《評估辦法》明確了數據出境安全評估的監管主體、評估對象和實施流程等,具體內容分析如下。
監管主體
《評估辦法》根據不同評估階段對有關主體提出明確要求。在評估申報階段,由省級網信部門負責申報材料的完備性檢查,申報材料不齊全應當退回并告知數據處理者需要補充的材料;在評估受理階段,由國家網信部門在7個工作日內確認是否受理安全評估;在評估實施階段,由國家網信部門組織國務院有關部門、省級網信部門、專門機構等進行安全評估。
與2021版《征求意見稿》相比,《評估辦法》刪除了行業主管部門,一是避免行業主管部門和國務院有關部門語義重復;二是確保涉及重要數據出境的情形仍由國家網信部門主導評定。
評估對象
從數據處理對象來說,評估對象分為重要數據處理者、個人信息處理者和關鍵信息基礎設施運營者三類;從數據處理內容來說,評估對象可分為提供重要數據和個人信息兩大類,其中個人信息提供者又可細分為關鍵信息基礎設施運營者、處理100萬人以上個人信息處理者、自上年1月1日起累計向境外提供10萬人個人信息處理者和累計向境外提供1萬人敏感個人信息處理者四種類型。
對比2021版《征求意見稿》,《評估辦法》一方面簡化了數據處理主體,刪除單列的關鍵信息基礎設施運營者處理數據活動;另一方面細化了評估適用對象,明確了向境外提供數據的時間節點。
實施流程
《評估辦法》對申報數據出境安全評估過程做出詳細規定,通過評估需經過“自評估+安全評估+重新評估”等一系列環節,具體流程如下圖所示。
圖 1 數據出境安全評估流程圖
與2021版《征求意見稿》相比,《評估辦法》主要完善了以下三方面流程:一是明確省級網信部門的完備性查驗責任,規定省級網信部門在5個工作日內完成查驗,并有義務告知數據處理者需補充的材料;二是增加數據處理者申請復評流程,數據處理者可在收到評估結果15個工作日內申請復評,復評結果為最終結論;三是設定數據出境評估活動整改期限,不符合辦法規定的數據處理者應當于2023年2月28日前完成整改。
《評估辦法》促進產業發展思考
《評估辦法》在強化數據出境安全管理的同時,對于促進數據安全產業的發展同樣具有很強的導向作用。主要體現在其能夠帶動和引導以下兩類需求發展。
一是促進數據出境安全評估服務。《評估辦法》規定了數據處理者“應當開展數據出境風險自評估”的義務,這對于網絡安全行業而言,無疑會推動數據出境評估相關服務的發展。一方面,促進面向數據處理者的專業化數據出境安全服務,如數據出境自評估咨詢、出境數據資產審計、數據安全風險評估、數據脫敏、以及數據出境安全評估一體化解決方案等。另一方面,促進面向數據評估專業機構的支撐服務發展,如出境重要數據識別、數據出境安全風險甄別、數據出境安全事件處置等專用工具研發等。此外,還能促進數據安全出境相關培訓服務的發展,如數據安全相關資質和技能培訓、數據風險分析與應急培訓等。
二是促進數據出境安全監管支撐服務。《評估辦法》規定了國家相關職能部門所應承擔的監管職責,這對于相關的監管支撐服務也具有積極促進作用。主要包括:數據出境風險監測、敏感數據威脅情報支持、數據出境安全協同管理平臺等。
綜上可見,《評估辦法》是我國數據安全制度體系的重要組成部分,也是全面提升我國數據安全保障能力的重要基礎一環,并且隨著數據出境安全評估制度的逐步落實推進,數據安全產業也必將伴隨得到深入促進發展。《評估辦法》的發布,不僅是我國數據安全法治建設的里程碑,更是見證和保護數據安全產業高質量發展的新征程。
