在笔者之前发布的文章中,引用的还是《数据出境安全评估办法(征求意见稿)》,话音刚落,当晚征求意见稿就进化成了正式的部门规章。
由此,作为数据出境各条路径中要求最为严格的安全评估,身先士卒配上了正式的法律依据。《数据出境安全评估办法》的整体框架并没有脱离之前各版征求意见稿的范畴,笔者试就其中核心要点进行快速解读。
一、 何为数据出境?
此处的“出境”应做实质性理解,并不限于向境外提供、传输数据。根据《数据出境安全评估办法》答记者问以及《信息安全技术 数据出境安全评估指南》的规定,数据出境活动主要包括:
(一)数据处理者将在境内运营中收集和产生的数据传输、存储至境外。
(二)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。特别是第二种情形,即使将数据存储在境内,但如果境外主体可以直接访问和调用的,仍然属于数据出境。这种情形很有可能被许多企业所忽略,务必纠正认识,按照数据出境进行合规准备。
二、 什么情形下的数据出境需要进行安全评估?
简单总结就是重要数据+达到一定量的个人信息。《办法》明确了 4 种应当申报数据出境安全评估的情形:
(一)数据处理者向境外提供重要数据;
(二)关键信息基础设施运营者和处理 100 万人以上个人信息的数据处理者向境外提供个人信息;
(三)自上年 1 月 1 日起累计向境外提供 10 万人个人信息或者 1 万人敏感个人信息的数据处理者向境外提供个人信息;
(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。
以上需要说明的是,情形一中“重要数据”的判定需要遵循《信息安全技术 重要数据识别指南》(目前尚为征求意见稿)、《网络安全标准实践指南—网络数据分类级指引》以及具体行业对于数据管理的规范性文件进行,企业对是否属于重要数据无法确定的,需要及时寻求专业机构的支持。
相较于征求意见稿,正式稿在情形三中增加了“自上年 1 月 1 日起”的限定,即不再按照累计提供的个人信息数量计算,这意味着进行安全评估的“法网”更为宽松,诸多中小型企业可以通过标准合同和安全认证之间这两种较为便捷的路径实现数据合规出境。
三、 安全评估的程序如何进行?
根据《数据出境安全评估办法》的规定,程序上安全评估应当按照以下步骤进行:
(一) 事前评估,数据处理者在向境外提供数据前,应首先开展数据出境风险自评估。在自评估的过程中,数据处理者需要与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件;
(二) 申报评估,符合申报数据出境安全评估情形的,数据处理者应通过所在地省级网信部门向国家网信部门申报数据出境安全评估。申报时,需要提交以下材料:
1. 申报书;
2. 数据出境风险自评估报告;
3. 数据处理者与境外接收方拟订立的法律文件;
4. 安全评估工作需要的其他材料。
(三) 开展评估,国家网信部门自收到申报材料之日起 7 个工作日内确定是否受理评估;自出具书面受理通知书之日起 45 个工作日内完成数据出境安全评估;情况复杂或者需要补充、更正材料的,可以适当延长并告知数据处理者预计延长的时间;
(四) 重新评估和终止出境,评估结果有效期届满或者在有效期内出现本办法中规定重新评估情形的,数据处理者应当重新申报数据出境安全评估。已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,在收到国家网信部门书面通知后,数据处理者应终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估。
如果通过安全评估的,结果有效期为 2 年,自评估结果出具之日起计算。有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满 60 个工作日前重新申报评估。
四、 如何应对《数据出境安全评估办法》?
(一) 全面评估数据出境场景,选择合理的出境路径。如笔者昨日发文所述,安全评估、标准合同、安全认证三条出境路径分别对应不同场景,企业首当其冲应当评估自身数据出境情况,在合规前提下选择最为效率的路径;
(二) 启动与境外数据接收方的告知与协商,了解境外主体相关法律实践情况,要求境外主体配合境内处理者的合规要求以及相关系统和流程的优化甚至是改造;
(三) 起草数据出境相关协议,并对照《办法》第五条4启动出境自评估工作,形成自评估报告;
对于已经进行中的数据出境,如果落入安全评估的情形中,则应当在《办法》给予的 6 个月宽限期内完成整改,留给企业的时间难言充裕,网信部门的评估尺度也有待观察。