原創 | 數據出境安全評估辦法:統籌安全與發展的中國實踐
黨的十八大以來,黨中央高度重視數字經濟發展,將其上升為國家戰略。作為第五大生產要素,數據已成為我國基礎性戰略資源,驅動經濟創新發展。隨著經濟全球化的發展,世界各經濟體間的數據跨境流動需求顯著增長,數據安全對個人信息權益、公共利益和國家安全的影響日益凸顯,許多國家和地區制定了符合自身發展需求的數據跨境流動管理政策。2022年7月7日,國家互聯網信息辦公室正式發布《數據出境安全評估辦法》(以下簡稱《辦法》),構成我國數字經濟治理體系的重要組成部分,體現出國家網信部門應對數據安全威脅、促進數據依法有序自由流動的決心。
一、堅持審慎研究,落實基礎性法律要求
(一)安全評估是我國數據出境安全管理的主要手段之一。隨著《網絡安全法》、《數據安全法》、《個人信息保護法》等基礎性法律相繼實施,我國數據跨境流動安全管理框架基本成型。其中,《網絡安全法》第37條規定,關鍵信息基礎設施運營者出境個人信息和重要數據的,應當按照國家網信部門制定的辦法進行安全評估。《個人信息保護法》第38條規定,個人信息跨境提供的合規路徑之一是通過國家網信部門組織的安全評估;第40條規定,關鍵信息基礎設施運營者和達到一定處理規模的個人信息處理者,個人信息出境前應當通過國家網信部門組織的安全評估。《數據安全法》第31條規定,重要數據的出境安全管理辦法由國家網信部門會同國務院有關部門制定。以上立法構成了《辦法》的法律基礎。
(二)歷時5年、嚴謹審慎,緊跟國際國內形勢發展。在基礎性法律授權下,為順應時代需求、適應國際環境、保障法律實施,國家網信部門負責研究制定數據出境安全評估制度。從《辦法》發布時間線可以看出,制定過程一波三折,經歷了多個關鍵節點。自2016年《網絡安全法》頒布后,國家網信部門即啟動了相關研究,于2017年發布《個人信息和重要數據出境安全評估辦法(征求意見稿)》;但為了解決《網絡安全法》授權立法范圍爭議,以及與歐盟2018年實施的GDPR相接軌,思路上進行了調整,于2019年發布《個人信息出境安全評估辦法(征求意見稿)》;隨著2021年《數據安全法》、《個人信息保護法》正式實施,授權立法范圍問題得以解決,重要數據、個人信息的出境要求進一步明確;國家網信部門進一步調整思路,最終發布了《辦法》。可以看出,《辦法》的制定過程和思想緊跟國際國內形勢發展,歷時5年體現出國家網信部門的審慎和負責態度。
(三)《辦法》出臺具有三方面重大意義。一是國家統籌安全與發展頂層設計的直接體現。《辦法》不是為了“堵”,而是為了“疏”,但要做到“疏而有序”,就需要行之有效的監管,最終目的是通過規范數據出境活動,促進數據跨境安全、自由流動。二是提升數據治理能力和依法治國水平的有效舉措。近年來出臺的《網絡安全法》、《數據安全法》、《個人信息保護法》是《辦法》制定的依據,同時《辦法》也是這三部法律在出境相關條款落地實施的具體實踐,數據出境安全評估制度的盡快實施,將有利于有效應對日益復雜的國際環境。三是科學界定適用安全評估的重要數據和個人信息范圍,防止安全評估泛化,實現對國際數據跨境流動治理體系的創新與發展,與目前世界主流經濟體鼓勵數據跨境有序流動、實現有效監管的理念一脈相承,體現出中國對數據安全治理的責任與擔當。
二、堅持科學理念,防范數據跨境流動帶來的風險挑戰
(一)科學界定適用安全評估的對象和范圍,防止安全評估泛化。《辦法》第2條明確評估對象是數據處理者,即在數據處理活動中自主決定處理目的和處理方式的個人和組織。因此,即使數據處理者是自然人,也可能需要申報安全評估。該定義旨在避免數據出境活動名義上由組織轉移到個人從而規避監管的情況。同時,根據《個人信息保護法》第72條,當數據處理者是個人時,如出境活動是因個人或家庭事務而進行的,可不需安全評估。所以,自然人因個人或家庭事務進行數據出境的不受影響。在適用場景方面,《辦法》第2條將“數據出境”定義為“向境外提供”。在實踐中包括2種情形,一是數據處理者將數據轉移至中國境外;二是數據依舊存儲在境內,但境外主體可以在境外遠程訪問查看。
除適用對象和場景外,《辦法》進一步明確了需要安全評估的情形,即適用范圍是什么。《辦法》第4條明確,當出境數據涉及重要數據時,安全評估是強制性的;當出境數據僅為個人信息時,符合如下條件需進行安全評估:(1)關鍵信息基礎設施的運營者,(2)處理100萬人以上個人信息的數據處理者,(3)自上年1月1日起累計向境外提供10萬人個人信息或1萬人敏感個人信息的數據處理者。值得注意,適用范圍限定了累計時限,防止評估泛化。
(二)科學劃分角色,統一原則和方法,積極調動各方力量參與數據跨境治理工作,推動制度與管理模式的創新。《辦法》第3條、第14條和第17條反映了評估的原則和方法。總體原則是,事前評估和持續監督相結合,即不僅是出境前進行把關,在出境過程中也會持續進行監督和治理。其方式方法與總體原則對應,在事前評估階段主要包括數據處理者的風險自評估和國家網信部門的安全評估;在持續監督階段,主要是發現情勢變化后要求重新申報評估、終止出境和整改。
《辦法》第4條和第10條給出了在評估原則之下的組織管理形式,即國家網信部門主導的多級協同、多部門聯動的形式。其中,國家網信部門是安全評估的核心組織方和牽頭方,省級網信部門既是數據處理者上報材料的渠道,又可參與具體評估;國務院有關部門、專門機構可參與具體評估。總體而言,國家網信部門負責統籌協調,國務院有關部門、省級網信部門、專門機構各司其職相互配合。
(三)科學設計評估事項,風險自評估與安全評估相結合,共同防范數據跨境安全挑戰。風險自評估是《辦法》首次提出的一種方式,是數據處理者在提交數據出境安全評估申報之前必須完成的工作。《辦法》第5條明確了風險自評估的重點事項,包括數據出境業務合理性、出境數據重要性、數據安全保障能力、個人信息權益保障能力和法律文件合規性等要求。第8條明確了安全評估的重點事項,包括數據出境業務合理性、接收方所在地法律政策環境、出境數據重要性、數據安全和個人信息權益保障能力、法律文件合規性、遵守我國法律法規情況等。其中,法律文件要求在第9條中明確。
可以看出,風險自評估與安全評估的具體事項互有交叉,均從管理、技術、法律三個維度提出風險管理的要求。不過,后者涵蓋的廣度和深度都高于前者,例如自評估事項并不包括接收方所在地法律政策環境和遵守我國法律法規情況。風險自評估也有其獨特的地方,比如考慮到數據安全保障能力更適合自評估,因此沒有在安全評估事項中提及,但應注意這不代表國家網信部門不評估該事項。風險自評估與安全評估相結合的原則體現了監管部門愿與數據處理者共同做好數據安全治理的開放態度。
三、堅持發展與安全并重,促進數據跨境安全、自由流動
(一)盡可能壓縮評估時限,保障數據出境活動有序開展。《辦法》第7條、第12條和第13條明確了安全評估的流程和處理時限。整體流程需經歷風險自評估-申報評估-查驗和受理-安全評估-發出評估結果-(申請復評),其中申報評估后的流程要求57個工作日內辦結(不含補充或更正材料、復雜情況和復評環節),相比征求意見稿的時限大幅壓縮了10個工作日。應注意該時限為國家網信部門科學測算后的最長時限,與數據處理者的業務復雜程度、出境數據規模、法律合規情況等密切相關,大部分非復雜、規模小的評估預計在較短的時間內即可完成。此外,數據處理者申報前準備工作是否完備充分也是評估處理時限的影響因素。依照法律法規梳理自身的數據安全風險隱患、對數據處理活動進行合規調整、高質量的風險自評估均利于有效縮短評估時長。再次體現出風險自評估與安全評估相結合的原則,監管部門與數據處理者共同促進發展。
(二)合理設定安全評估結果有效期,保障數據出境活動的持續性。當前數字技術發展較快,可能引發新的數據安全風險,監管部門與數據處理者均需針對各類情勢變化做出快速、有效的響應和調整。基于此考慮,《辦法》第14條規定安全評估結果有效期為2年。實踐中,評估結果有效期屆滿時,如果數據出境活動沒有發生顯著變化,且沒有出現影響出境數據安全的其他情形,預計監管部門會充分參考數據處理者上一次評估結果,在較短時間內完成重新評估,保障數據出境活動的持續性。
(三)與其他數據出境途徑相互補充、銜接,保障個人信息出境便捷、高效。《個人信息保護法》第38條和第40條規定,個人信息跨境提供根據不同情形可采用安全評估、個人信息保護認證、簽訂國家網信部門制定的標準合同三種途徑。據公開信息,除《辦法》外,國家網信部門正在制定《個人信息出境標準合同規定》和個人信息保護認證相關標準規范,構建我國個人信息出境的完整體系。作為最嚴格的數據出境安全監管措施,《辦法》在適用范圍、法律文件要求、評估事項等相關條款中預留了與標準合同、認證的相互補充、相互銜接的空間,便于個人信息處理者更加高效的開展業務。
總的來說,《辦法》體現了國家網信部門“審慎研究、控制風險、促進流動”的監管理念,是我國依法管理數據跨境流動安全風險的創新舉措,也是統籌發展與安全的具體實踐,對于保障我國數字經濟健康發展具有重要和深遠的意義。
