解读数据出境安全评估办法:未通过评估企业或面临结构性影响
发布日期:2022-07-20 浏览次数:
7月7日,国家网信办发布《数据出境安全评估办法》(以下简称“《办法》”),自今年9月1日起施行。《办法》写明,“本办法施行前已经开展的数据出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改。”
相较于去年10月发布的征求意见稿,《办法》有了哪些新变化?《办法》的出台还需要哪些配套措施跟进?这又将对需要数据出境的企业造成哪些影响?
有专家表示,对于有大量涉外业务,特别是对在全球布局的公司而言,《办法》相当于为企业增加了一项需办理的政府手续,未能通过评估的企业,可能面临着需要调整业务模式或数据流的问题,或对数据体量较大的企业造成结构上的影响。另外,何为重要数据、《办法》中的基础概念和操作规范也需加快明确。
(1)数据出境安全相关评估办法曾三次征求意见
自2016年网络安全法通过审议以来,国家网信办三次对数据出境安全相关的评估办法征求意见。
早在2017年,国家网信办就会同相关部门起草发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》。2019年,国家网信办又发布《个人信息出境安全评估办法(征求意见稿)》。2021年,《数据出境安全评估办法(征求意见稿)》向社会征求意见。本次出台的《办法》则于今年9月1日正式施行。
国家网信办在《办法》答记者问中表示,《办法》出台背景为,数据跨境活动既影响个人信息权益,又关系国家安全和社会公共利益。
《办法》写明,根据网络安全法、数据安全法、个人信息保护法等法律法规,制定本办法。数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法。
数据出境活动具体指什么?国家网信办方面表示,《办法》所称数据出境活动主要包括:一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。
《办法》明确了4种应当申报数据出境安全评估的情形:一是数据处理者向境外提供重要数据。二是关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息。三是自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。四是国家网信部门规定的其他需要申报数据出境安全评估的情形。
中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋曾在接受南都记者采访时表示,规定中的“一百万”和“十万”的条件值适用于不同的情况,这反映了在信息技术广泛应用的情况下,网络运营者、数据处理者的复杂性、多样性为立法工作带来的挑战。
资深数据法律师袁立志曾表示,相对于中国市场的体量,100万是“比较低的标准”,很容易触发。将红线划在100万,可能是主管部门认为当前国际数据安全形势比较严峻,出于对国家数据安全、争夺国际数据控制权等的考量。另一方面,该红线会倒逼企业在本地存储数据,减少数据出境的需求。
(2)对评估结果有异议可复评,复评结果为最终结论
南都记者对比本次出台的《办法》和征求意见稿发现,《办法》在申报数据出境安全评估情形中由“累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息”改为“自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息”,新增了“自上年1月1日起”的表述。
袁立志表示,这一规定使得触发安全评估的门槛标准更具体化,更具有可操作性。“现在有了一个明确的时间‘起算点’,是否需进行申报的界限就比较明确了。”
同盾科技总法律顾问兼安全负责人赵冉冉公开撰文表示,新规使用个人信息主体数量作为单位,该单位定义清晰,计算结果统一;《办法》进一步明确了累计的周期,这样企业能够非常精确地识别出哪些情形需要申报安全评估。
同时,相较于征求意见稿,此次《办法》新增规定,数据处理者对评估结果有异议的,可以在收到评估结果15个工作日内向国家网信部门申请复评,复评结果为最终结论。
袁立志表示,新增复评渠道相当于给了企业一个类似于行政复议程序的申诉机会,能够防止“误伤”。他指出,可能有部分信息在初步评估时把握不准,该规定使企业有机会提供足球竞彩软件哪个好证据来消除评估部门的安全担忧,保证数据出境安全评估的严肃性、准确性,“是提供一种救济手段”。
然而,他推测,可能由于数据出境涉及国家安全领域,规定中“复评结果为最终结论”意味着企业不能再提起行政诉讼,不接受司法审查。他解释,一般的具体行政行为可以直接提起行政诉讼或在行政复议后提起行政诉讼,而这一规定可能代表着在相关部门复评以后,无法再接受司法复核,复评结果即为最终结果,相当于“穷尽了救济手段”。
不过,北京高勤律师事务所合伙人王源认为,类似于“复评结果为最终结论”这种规定在法律法规中并不多见,《中华人民共和国反外国制裁法》中有类似规定。她认为,《办法》给予数据处理者1次正式的提出异议机会,是对整个评估流程的完善和明确增加数据处理者权利。如果数据处理者在提出异议后仍然对结果持不同意见,网信部门可以不受理申请,数据处理者只能按照行政复议、行政诉讼等法律规定另行提出申请。
另外,相较于征求意见稿,《办法》新增“省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验。”
信通院互联网法律研究中心高级研究员刘耀华公开撰文表示,此前的征求意见稿虽然也规定,数据处理者应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估,但是并没有明确省级网信部门在安全评估程序中的具体职责和义务。《办法》进一步做出了清晰的界定,针对省级网信部门和国家网信部门的职责和权力均予以完善。
“在申报安全评估流程中,省级网信部门是第一层审查主体,主要负责形式审查,对申报材料的完备性进行查验。在申报安全评估流程中,国家网信部门是第二层审查主体,主要负责组织国务院有关部门、省级网信部门、专门机构等开展实质性安全评估。”刘耀华指出。
《办法》还写明,“本办法施行前已经开展的数据出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改。”
“《办法》自2022年9月1日起施行,数据处理者应当在6个月内完成整改,意味着2023年3月1日前必须完成整改。”王源认为,从严格履行《办法》的角度来讲,2023年3月1日前应当完成向网信部门申报数据出境安全评估;如果经过自评估认为不需要申报,应当可以展示自评估流程和文件,应对网信部门可能的问询。
(3)未通过评估企业或面临结构性影响
“近年来,随着数字经济的蓬勃发展,数据跨境活动日益频繁,数据处理者的数据出境需求快速增长。同时,由于不同国家和地区法律制度、保护水平等的差异,数据出境安全风险也相应凸显……世界上许多国家和地区相继从本国、本地区实际出发,对数据跨境安全管理作了制度探索。”国家网信办方面在介绍《办法》出台背景时如是表示。
袁立志认为,《办法》中足球竞彩软件哪个好数据出境路径的设计逻辑与欧盟《通用数据保护条例》(GDPR)存在一些区别。
“GDPR的数据出境路径设计旨在保护个人权利,保证数据在出境后个人信息保护水平不降低。我国除了保护个人权利,还同时兼顾国家安全和公共利益方面,于是设计了一种出境安全评估制度——这在GDPR中是没有的。”
他解释,当出境数据积累到一定量时,可能由量变转为质变,此时就不只是个体或少数人的利益受到影响,而是涉及公共利益,甚至影响国家安全,政府就需要介入。
在左晓栋看来,《办法》出台后,数据出境的特殊场景还需作专门考虑。
具体而言,他解释,数据安全法和个人信息保护法提到了两种数据出境的特殊场景。一种是,境外司法执法机构在境内调取数据,数据处理者必须经我国主管机关批准后才能向其提交数据。第二种是,我国缔结或者参加的国际条约、协定对向境外提供个人信息的条件等有规定的,可以按照其规定执行。
《办法》对重要数据的定义为,一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
王源认为,《办法》将重要数据主要限定在国家安全、经济运行、社会稳定、公共健康和安全四种情形,相对于《数据安全法》第21条规定的数据分类分级保护制度,没有将对“个人、组织合法权益”纳入重要数据的维度之内,也一定程度上体现了“抓大放小”的数据规制思路。
同时,左晓栋表示,《办法》发布后,重要数据的识别标准尤显迫切,因为一个制度得以成功实施的前提条件是,要有非常清晰的管理对象。既然要对重要数据的出境进行评估,首先应当对什么是重要数据给出明确的界定。“相关工作很有必要提速。”
他还表示,基础概念和操作规范需加快明确。互联互通、远程访问等网络空间特有的行为特征使传统的概念面临挑战,境内运营、数据出境、数据接收者这些可能有了“新解”的概念可能直接影响数据出境安全评估制度的实施范围。另外,技术支撑手段建设应提上议事日程。数据出境安全评估活动因数据处理者主动申报而触发,但存在多种绕过该制度的可能性。
而从数据出境的实务方面考虑,《办法》出台将对互联网企业数据出境产生何种影响?
“安全评估是由政府部门来完成的,虽然从法律角度来看它不算审批,但毕竟是一种政府手续,不通过评估数据就无法出境。”袁立志表示,这对于有大量涉外业务,特别是对在全球布局的公司而言,《办法》增加了一项企业需办理的政府手续,也为涉及数据出境数量较大的企业增加了一定负担。
他推测,今后可能会有企业因评估手续繁杂而尽量避免数据出境,甚至改变此前的业务模式或系统部署方式,放弃数据出境。而未能通过评估的企业,也面临着需要调整业务模式或数据流的问题,同样可能会对数据体量较大的企业造成结构上的影响。
(来源:南方都市报)
版权所有:黄河水利职业技术学院 豫ICP备05000878号校址:中国·开封·东京大道1号 邮编:475004