國家互聯網信息辦公室公布數據出境安全評估辦法
數據在當今世界具有鮮明的時代特性,且具有天然的流動優勢,在全球化時代,數據隨著流動而不斷增值。近年來,隨著數字經濟的蓬勃發展,數據跨境活動日益頻繁,數據處理者的數據出境需求快速增長。但是,數據流動本身便意味著風險存在,在促進數據自由流動的同時,也應妥善應對和防范數據出境安全風險,實現數據流動與數據保護的平衡。
2022年7月7日,國家互聯網信息辦公室公布《數據出境安全評估辦法》(以下簡稱《辦法》),自9月1日起施行。《辦法》旨在落實網絡安全法、數據安全法、個人信息保護法的規定,規范數據出境活動,保護個人信息權益,維護國家安全和社會公共利益,促進數據跨境安全、自由流動,切實以安全保發展、以發展促安全。
數據跨境流動在形式上可以分為數據入境與數據出境。根據《辦法》,數據出境活動主要包括:一是數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外。二是數據處理者收集和產生的數據存儲在境內,境外的機構、組織或者個人可以訪問或者調用。實際上,數據跨境流動不僅會涉及跨境貿易等經濟問題,也會涉及私權保護、國家安全、主權管轄等問題。而與數據入境相比,數據出境存在的風險可能更大。對于個人來說,數據出境后,易引發個人數據泄露和數據濫用問題;對于企業而言,數據出境可能帶來技術、資產和組織管理等方面的弊端;在國家層面,則可能涉及本國的數據利益和安全。因此,對數據出境進行法律規制,是許多國家的普遍做法。
我國關于數據出境的法律規制,主要規定于網絡安全法、數據安全法、個人信息保護法之中。在這三部法律出臺之前,我國立法對于數據跨境流動的問題有所涉及,但僅針對特定對象,以業務數據和行業信息為主。2013年,工信部實施了《信息安全技術公共及商用服務信息系統個人信息保護指南》,其中規定,個人信息管理者向境外轉移個人信息,須合乎法律,經信息主體明示同意或主管部門同意。這是對于個人信息的跨境流動的一般性規定,但是該文件的立法層級較低,所規范的范圍也僅限于個人信息。此外,其他法律法規與規章中也間接涉及數據跨境流動的問題,如國家安全法和保守國家秘密法分別從檔案、國家秘密的角度對該問題進行了規制。但綜合而言,這一時期我國對于數據跨境流動的規制并不充分,相應的規則也比較概括,且缺乏配套制度。
2016年起,隨著網絡安全法、數據安全法、個人信息保護法等法律的陸續出臺,我國基本構建了數據治理的法律制度。其中,根據網絡安全法第37條規定,關鍵信息基礎設施運營者在我國境內運營中收集和產生的個人信息和重要數據原則上應當遵循本地化儲存原則,確需進行跨境傳輸時應當履行數據出境安全評估義務。數據安全法第30條和第31條規定了重要數據處理者的風險評估義務,以及關鍵信息基礎設施運營者和其他數據處理者在我國境內運營中收集和產生的重要數據的數據出境安全評估義務。個人信息保護法第36條和第40條規定了國家機關處理的個人信息在向境外提供時,應當進行安全評估,以及關鍵信息基礎設施運營者和處理個人信息達到規定數量的個人信息處理者,在向境外提供個人信息時,應當進行安全評估。然而,上述法律并未對數據出境評估規范進行細化規定,導致實踐中對數據出境進行安全評估時缺乏具體實施規則,不利于依法規范開展數據出境安全評估,維護個人信息權益、國家安全和社會公共利益。
此次《辦法》在遵循上述法律基本要求的前提下,對數據出境安全評估規范進行了細致的規定。《辦法》第2條明確規定,數據處理者向境外提供在中華人民共和國境內運營中收集和產生的重要數據和依法應當進行安全評估的個人信息,應當按照本辦法的規定進行安全評估。在適用對象上,《辦法》并未采用網絡安全法、數據安全法、個人信息保護法中“關鍵信息基礎設施運營者”“重要數據處理者”“其他數據處理者”的表述,而是統一使用“數據處理者”,在適用對象上更具廣泛性和包容性。
《辦法》確定了事前評估和持續監督相結合、風險自評估與安全評估相結合的基本原則,明確了應當申報數據出境安全評估的具體情形,內容涵蓋關鍵信息基礎設施運營者、重要數據處理者、處理個人信息達到規定數量的個人信息處理者以及其他數據處理者等;規定了數據處理者向境外提供數據滿足規定情形時的兩類評估義務,即數據出境安全自評估與監管部門數據出境安全評估,同時,要求數據處理者與境外接收方訂立合同時應當充分約定數據安全保護責任。上述規定,填補了過去法律規定的空白,有利于我國數據出境企業和權益受損的個人依法進行維權,也對監管部門全方位審查數據出境活動的安全風險程度提供了更加全面客觀的指南,有助于靈活高效應對數據跨境流動中可能存在的治理難題,提升數據出境安全評估治理效能。
實踐中,數據出境安全保護環境復雜多變,《辦法》的有效落實需要相應機制的配合。在遵循網絡安全法等上位法的規范,維護法律法規間的統一性與系統性的基礎上,一方面,應加強數據跨境流動治理領域的國際合作,推動國際協定與國內治理的有效銜接;另一方面,應切實發揮行業協會與企業的積極性與能動性,減輕政府對數據跨境流動風險審查的壓力。
