有关个人信息、重要数据等个人信息权益、国家安全、社会公共利益的数据出境将受到限制。10月29日,国家互联网信息处(“网信处”)发布了《数据出境安全评估办法(征求意见稿)》,并向社会公开征求了意见。
据悉,南岛记者自网络安全法审议通过以来,第三次就与数据出境安全相关的评估方法征求意见。意见稿对符合申报要求的个人信息规模划红线。例如,个人信息处理达100万人,向海外累计提供10万人以上的个人信息或1万人以上的敏感个人信息。
多位专家表示,向南岛记者征求意见“企业迫切关心的问题已经解决”,是网络安全法、数据安全法、个人信息保护法共同确立的数据出境安全评价制度的落地原则,三次意见反映了政策不断改善的过程。
.1 .
网络通信公司就数据出国安全相关评估方法征求了3次意见。
据悉,《数据出境安全评估办法》的目的是规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进跨境安全和自由数据流动。
"在经济全球化条件下,数据的跨境移动是正常的,为全球经济活动和人类社会发展提供了基础。因此,数据出境评估制度是世界各国安全和发展战略中的重要问题,也是近年来国际贸易规则、协定和多边协议的重大议题。”中国信息安全研究院副院长左晓东指出。
南岛记者指出,自2016年网络安全法通过审议以来,这是第三次就网络申请涉及数据出境安全的评估方法征求意见。
早在2017年,互联网申请就与相关部门起草并公布了《个人信息和重要数据出境安全评估办法(征求意见稿)》。2019年,互联网通信公司又发布了《个人信息出境安全评估办法(征求意见稿)》。时隔两年,此次《数据出境安全评估办法(征求意见稿)》问世。
需要注意的是,与三份意见稿相对应的数据类型从原来的“个人信息和重要数据”到单独的“个人信息”,再到语义上比较一般的“数据”,——是不同的。其中,本次征求意见稿中的“数据”包括“数据处理程序在中华人民共和国境内运营中收集和生成的重要数据,以及依法需要进行安全评估的个人信息”。
左晓东对南岛记者说,这是第一次为了与网络安全法的实施同步,但相关规定并不完善。第二,考虑到重要数据和个人信息的差异,将分别制定出国安全评估方法,因此首先制定了《个人信息出境安全评估办法(征求意见稿)》,但这种方法无法解决个人信息出国的所有问题,重要数据的定义当时并不明确。“这反映了政策不断改进的过程。单击
“这次,通过完善数据安全法和个人信息保护法,数据出境安全评价制度在法律上得到了改善,制定具体落地方法的条件终于成熟了。”左晓东说:“《数据出境安全评估办法》征求意见时,《个人信息和重要数据出境安全评估办法(征求意见稿)》和《个人信息出境安全评估办法(征求意见稿)》自然废除。”
中国人民大学未来法治研究院副院长郑晓东补充说,《网络安全法》、《数据安全法》、《个人信息保护法》构建了与数据安全相关的完整法律体系。在健全的法律、促进法律落地的背景下,核心信息基础设施运营者收集的数据、重要数据、个人信息等都是整体思维。
另一个明显的变化是,前两种评价方法的监管主体都是“网络运营者”,与网络安全法的表达一致。这次征求意见稿的监管主体是数据“处理者”,与数据安全法和个人信息保护法的表达一致。
资深数据法律家袁指出,网络运营者是网络安全法的概念,数据出境评估方法的主体必须遵守数据安全法和个人信息保护法的相关规定,即数据处理者。“大多数情况下是同一个主体,但有时使用数据处理者的表达更准确。”
“‘数据处理者’是指比‘网络操作员’范围更广的范围。例如,非联网数字企业也包括在“数据处理者”范围内。”郑晓东说。
.2 .
“百万”“十万”适用于各种数据处理方案
多位专家对南岛记者说,意见草案第4条是核心条款。文章明确规定了数据处理者在向海外提供数据时必须申报数据出境安全评估的情况。
第四条数据处理程序向境外提供数据,符合下列情形之一的,应当通过当地互联网通信公司向国家互联网通信部门申报数据出境安全评估:
(一)主要信息基础设施经营者收集和生成的个人信息和重要数据;
(2)出国数据包含重要数据。
(3)个人信息达到百万人的个人信息处理程序向海外提供个人信息。
(四)向境外累计提供10万人以上个人信息或1万人以上敏感个人信息。
(五)国家网信部规定的其他申报资料出境安全评估的情况。
左晓东指出,《网络安全法》第37条首次规定了数据出境安全评价制度,但范围仅限于主要信息基础设施运营者在中国境内运营收集和生成的个人信息和重要数据。“实际上,很多数据出境行为并不与核心信息基础设施相关。”之后,《数据安全法》在重要数据出境、个人信息出境方面得到了补充。
根据《个人信息保护法》,处理个人信息达到国家网信部规定数量的个人信息处理程序,确实需要提供给海外,并通过国家网信部组织的安全评估。许多专家表示,意见稿规定的100万韩元对上述规定的数量是明确的。
郑晓东表示,关于符合申报要求的个人信息规模的规定为100万人
不是一个绝对标准,并不代表拥有99.99万用户量的企业向境外传输数据时,就不需要进行安全评估。他认为“这个红线是为了区分小型商家和大型平台”。左晓栋则提出,规定中的“一百万”和“十万”的条件值适用于不同的情况,这反映了在信息技术广泛应用的情况下,网络运营者、数据处理者的复杂性、多样性为立法工作带来的挑战。
“传统互联网企业动辄处理几十万、上百万的个人信息。如果把这个阈值定得过低,会导致大量互联网企业在数据出境时只能选择网信部门安全评估方式,无论对企业还是政府部门工作而言都带来太高成本。但同时也要看到……有的时候几万、几十万个人信息已经达到了一个企业处理个人信息的天花板,但这几十万的量却影响十分巨大。”他举例说,一个车企一年卖十万辆智能汽车是不错的成绩了,如果把阈值定在一百万,一些可能存在严重国家安全、数据安全隐患的智能汽车企业将被排除在外,“这显然也是不合适的。”
在袁立志看来,相对于中国市场的体量,100万是“比较低的标准”,很容易触发。将红线划在100万,可能是主管部门认为当前国际数据安全形势比较严峻,出于对国家数据安全、争夺国际数据控制权等的考量。另一方面,该红线会倒逼企业在本地存储数据,减少数据出境的需求。
南都记者注意到,一百万的“红线”在今年7月公布的《网络安全审查办法(修订草案征求意见稿)》中也被提及。上述文件拟规定,掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
对此,左晓栋认为,“处理个人信息达到一百万人的个人信息处理者向境外提供个人信息”涵盖了“掌握超过100万用户个人信息的运营者赴国外上市”的情况。换言之,后者是一种典型的数据出境行为,既然达到了“100万”,就自然进入国家网信部门的安全评估程序。
除了第四条,征求意见稿的第五条和第九条也十分重要——它们分别针对数据处理者事先开展数据出境风险重点评估的事项和数据处理者与境外接收方订立的合同应包含的内容做出规定。
“《办法》的第五条和第九条具有通用性。”左晓栋认为,无论任何一种数据出境,至少要遵循两类要求:一是出境前的自评估,二是数据发送方与数据接收方的安全保护义务。
...3...
数据出境评估结果有效期为两年
11月1日,个人信息保护法将正式实施,而数据安全法也已于9月1日生效。“随着两部法律的正式实施,许多企业有数据出境评估的迫切需求,如果不做,担心被事后追责,而没有这个评估办法的话,企业又不知道怎么做。”袁立志认为,征求意见稿“解决了企业当下迫切关注的问题”。
征求意见稿拟规定,数据出境评估结果有效期为两年,如有效期届满需继续开展数据出境活动,数据处理者应当在有效期届满六十个工作日前重新申报评估。
南都记者注意到,上述条款基本延续了2019年《个人信息出境安全评估办法(征求意见稿)》拟规定的“每2年或者个人信息出境目的、类型和境外保存时间发生变化时应当重新评估”,并在其基础上做出了更加具体的规定。
如征求意见稿提到,在有效期内出现以下情形之一的,数据处理者应当重新申报评估:向境外提供数据的目的、方式、范围、类型和境外接收方处理数据的用途、方式发生变化,或者延长个人信息和重要数据境外保存期限的;境外接收方所在国家或者地区法律环境发生变化,数据处理者或者境外接收方实际控制权发生变化,数据处理者与境外接收方合同变更等可能影响出境数据安全的;出现影响出境数据安全的其他情形的。
丁晓东认为,征求意见稿会对具有强数据出境需求的企业带来合规压力,这是“毫无疑问的”。与此同时,还会对个人带来间接影响——根据个人信息保护法的要求,企业在跨境传输数据时,需要经过用户的同意。
“历经四年,我国终于在法律层面建立了数据出境安全评估制度。” 左晓栋表示,征求意见稿是网络安全法、数据安全法和个人信息保护法共同确立的数据出境安全评估制度的落地细则。根据法律的授权,网信办制定征求意见稿,使数据出境安全评估制度落地。
不过他同时指出,当前我国需要建立的不仅仅是数据出境安全评估制度,而是完整的数据出境安全管理制度。“无论《办法》多么重要,其只能是我国数据出境安全管理制度的一部分,后续还需要制定出台另外的法规政策文件,共同构建我国数据出境安全管理制度。”
采写:南都记者蒋琳 尤一炜