返回研究

《数据出境安全评估办法》解读:从个人信息出境角度

  发布时间:2022-07-08

作者:杨浩 李纯

导言:

2022年7月7日,国家互联网信息办公室公布《数据出境安全评估办法》(“《评估办法》”),自2022年9月1日起施行。国家互联网信息办公室有关负责人表示,制定出台《评估办法》是落实《网络安全法》《数据安全法》和《个人信息保护法》有关数据出境规定的重要举措,旨在进一步规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动。

一、主要内容

《评估办法》明确规定,数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,适用该办法。办法对适用范围、评估程序、评估内容、评估结果有效期等,作出了具体规定。《评估办法》要求,在《评估办法》正式施行前(即2022年9月1日)已经开展的数据出境活动,不符合该办法规定的,应当自《评估办法》施行之日起6个月内完成整改。

限于篇幅,本文仅从个人信息(相对于重要数据而言)跨境提供的安全评估规则角度,就个人信息处理者(特别是企业)可能关心的几个问题,进行简要探讨。
 

二、个人信息处理者适用范围

1. 国家网信部门规定数量的界定

根据《评估办法》第四条,数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:

(一)数据处理者向境外提供重要数据;

(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;

(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;

(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。

第四条对《评估办法》的适用范围作出了明确界定,与《个人信息保护法》第四十条保持一致。根据《个人信息保护法》第四十条,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估,除非法律、行政法规和国家网信部门规定可以不进行安全评估。

《评估办法》第四条第二项明确规定,关键信息基础设施运营者向境外提供个人信息,适用该规定。《评估办法》第四条第二项和第三项结合起来,可以理解为对《个人信息保护法》第四十条中规定的“处理个人信息达到国家网信部门规定数量”的细化。具体而言,(1)处理100万人以上个人信息的数据处理者,和(2)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息,均适用《评估办法》,即应当申报数据出境安全评估。

正如我们之前所观察到,正式公布的《评估办法》在处理个人信息的数量标准方面,引入了“自上年1月1日起累计”的计算概念,以与国家互联网信息办公室2022年6月30日公布的《个人信息出境标准合同规定(征求意见稿)》保持一致。参见立方观察--国家互联网信息办公室公布《个人信息出境标准合同规定(征求意见稿)》。一般认为,这一细节调整,可能体现了监管部门对处理个人信息数量规模较小的数据处理者(通常为中小企业)在数据出境安全评估方面的合规义务和合规成本之间进行相应平衡的考量。

2. 申报评估的个人信息数量累计时间节点的判断

如前所述,《评估办法》规定,自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息,应当申报数据出境安全评估。那么,应该如何理解该时间节点在实践中的运用?

有观点认为,申报评估的个人信息数量累计时间节点的确认,应该理解为“每两年清零”。另外一种理解是,这一数量累计时间节点的确认,可以理解为滚动式的动态监控,即个人信息处理者实时监控个人信息处理的数量,以确认上一年度全年和本年度从1月1日迄今所累计处理的个人信息(或敏感个人信息)数量,是否达到10万(个人信息)或1万(敏感个人信息)的标准,从而触发申报义务。换而言之,这种确认方式可以理解为,“动态监控,(上年)一年加(本年)一期”。

两种计算方式均有其各自的逻辑基础。我们倾向认为,第二种理解可能更加符合监管部门规范数据出境活动的目的和要求。对于个人信息处理者而言,上述两种计算模式的合规成本,可能会有一定区别,但与此同时,动态监控个人信息处理数量的做法,更有利于确保个人信息处理者切实掌握个人信息处理的实际情况,从而适时做好相应的合规工作。

当然,鉴于《评估办法》刚刚公布,并将于2022年9月1日正式施行,监管部门可能会就此问题,提供更为详细的合规指引,我们将密切予以关注。
 

三、数据出境风险自评估报告和个人信息保护影响评估的关系

1. 个人信息保护影响评估

《个人信息保护法》第五十五条规定,个人信息处理者向境外提供个人信息,应当事前进行个人信息保护影响评估,并对处理情况进行记录。

《个人信息保护法》第五十六条规定,个人信息保护影响评估应当包括下列内容:

(一)个人信息的处理目的、处理方式等是否合法、正当、必要;

(二)对个人权益的影响及安全风险;

(三)所采取的保护措施是否合法、有效并与风险程度相适应。

2. 数据出境风险自评估

《评估办法》第五条规定,数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,重点评估以下事项:

(一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;

(二)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;

(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;

(四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;

(五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务;

(六)其他可能影响数据出境安全的事项。

3. 两者关系

对照可以看出,数据出境风险自评估的涵盖内容,比《个人信息保护法》第五十五条要求的事前个人信息保护影响评估更为宽泛,同时也更切合个人信息出境的场景,比如关注数据出境可能对国家安全、公共利益的风险,以及出境中和出境后遭到篡改、破坏、泄露、或非法获取利用的风险。上述两条规定应当理解为对数据处理者提出的不同但相互关联的要求,也可以理解为,评估办法要求的数据出境风险自评估报告,在相当一部分内容上可以借鉴《个人信息保护法》要求的事前个人信息保护影响评估报告。
 

四、结语

总之,作为数据(包括重要数据和个人信息)跨境提供的规则的重磅进展,《评估办法》的公布和施行,必将在数据跨境场景的合规实践方面,对数据处理者提出新的挑战。

作者简介

图片


 

特别声明

本文仅供参考,不构成律师的正式意见,不应被看作是采取任何法律行动或进行法律决策的依据。文中所述仅代表作者个人观点,并不反映作者所服务的任何机构或客户的立场。

Copyright © 2020 立方律师     京ICP备09037220号-1      京公网安备11010102000452号