個人信息、重要數據等關乎個人信息權益、國家安全和社會公共利益的數據出境將迎來監管。10月29日,國家互聯網信息辦公室(下稱“網信辦”)發布《數據出境安全評估辦法(征求意見稿)》,并向社會公開征求意見。
南都記者梳理發現,這是網絡安全法審議通過以來,網信辦第三次對數據出境安全相關的評估辦法征求意見。征求意見稿擬對達到申報要求的個人信息規模劃出紅線,如處理個人信息達到一百萬人,或累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息。
文 / 蔣琳 尤一煒
個人信息、重要數據等關乎個人信息權益、國家安全和社會公共利益的數據出境將迎來監管。10月29日,國家互聯網信息辦公室(下稱“網信辦”)發布《數據出境安全評估辦法(征求意見稿)》,并向社會公開征求意見。
南都記者梳理發現,這是網絡安全法審議通過以來,網信辦第三次對數據出境安全相關的評估辦法征求意見。征求意見稿擬對達到申報要求的個人信息規模劃出紅線,如處理個人信息達到一百萬人,或累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息。
多位專家對南都記者表示,征求意見稿“解決了企業當下迫切關注的問題”,是網絡安全法、數據安全法和個人信息保護法共同確立的數據出境安全評估制度的落地細則,而三次征求意見則反映了政策不斷完善的過程。
網信辦三次對數據出境安全相關評估辦法征求意見
據了解,《數據出境安全評估辦法》的制定目的是規范數據出境活動,保護個人信息權益,維護國家安全和社會公共利益,促進數據跨境安全、自由流動。
“經濟全球化條件下,數據跨境流動是常態,為全球經濟活動、人類社會發展提供了基礎支撐。因此,數據出境評估制度在世界各國的安全和發展戰略中,都是一個重要事項,也是近年來國際貿易規則、協定以及多邊雙邊磋商的重大議題”,中國信息安全研究院副院長左曉棟指出。
南都記者注意到,這是2016年網絡安全法通過審議以來,網信辦第三次對數據出境安全相關的評估辦法征求意見。
早在2017年,網信辦就會同相關部門起草發布了《個人信息和重要數據出境安全評估辦法(征求意見稿)》。2019年,網信辦又發布《個人信息出境安全評估辦法(征求意見稿)》。時隔兩年,此次的《數據出境安全評估辦法(征求意見稿)》出臺。
值得注意的是,三份征求意見稿對應的數據類型并不相同——從最初的“個人信息和重要數據”,到單獨的“個人信息”,再到語義相對籠統的“數據”。其中此次征求意見稿中的“數據”包括了“數據處理者向境外提供在中華人民共和國境內運營中收集和產生的重要數據和依法應當進行安全評估的個人信息”。
左曉棟對南都記者表示,第一次是為了與網絡安全法實施同步,但相關規定并不完善;第二次考慮了重要數據與個人信息的不同,擬對其分別制定出境安全評估辦法,所以先起草了《個人信息出境安全評估辦法(征求意見稿)》,但該辦法并不能解決個人信息出境的所有問題,而重要數據的定義當時尚不明確。“這反映了政策不斷完善的過程。”
“直到這一次,在數據安全法和個人信息保護法的補充下,數據出境安全評估制度已經在法律上比較完善,制定具體落地辦法的條件終于成熟。”左曉棟說,“隨著《數據出境安全評估辦法》征求意見,《個人信息和重要數據出境安全評估辦法(征求意見稿)》和《個人信息出境安全評估辦法(征求意見稿)》自然廢止。”
中國人民大學未來法治研究院副院長丁曉東補充指出,網絡安全法、數據安全法和個人信息保護法構建了完整的與數據安全相關的法律體系。從健全法律、促進法律落地的背景來說,征求意見稿將關鍵信息基礎設施運營者收集產生的數據、重要數據和個人信息等囊括其中,是一個整體性思考。
另一個明顯的變化是,前兩份評估辦法的規制主體都是“網絡運營者”,與網絡安全法中的表述一致;而此次征求意見稿的規制主體則是數據“處理者”,與數據安全法和個人信息保護法表述一致。
資深數據法律師袁立志指出,網絡運營者是網絡安全法中的概念,而數據出境評估辦法歸管的主體應該遵從數據安全法和個人信息保護法中的相關規定,即數據處理者。“雖然兩者在大部分情況下是同一個主體,但也有一些情況下是不同的,使用數據處理者的表述會更加準確。”
“相較‘網絡運營者’,‘數據處理者’代表的范圍更大,比如沒有實現網絡化、數字化的企業也包含在‘數據處理者’的范圍中。”丁曉東說。
圖片
“一百萬”“十萬”適用于不同數據處理場景
多位專家對南都記者表示,征求意見稿第四條是核心條款。該條對數據處理者向境外提供數據時,哪些情形下需要申報數據出境安全評估做出了明確規定。
第四條 數據處理者向境外提供數據,符合以下情形之一的,應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估。
(一)關鍵信息基礎設施的運營者收集和產生的個人信息和重要數據;
(二)出境數據中包含重要數據;
(三)處理個人信息達到一百萬人的個人信息處理者向境外提供個人信息;
(四)累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息;
(五)國家網信部門規定的其他需要申報數據出境安全評估的情形。
左曉棟指出,網絡安全法第三十七條首次規定了數據出境安全評估制度,但范圍只限定在關鍵信息基礎設施運營者在中國境內運營中收集和產生的個人信息和重要數據。“事實上,很多數據出境行為未必同關鍵信息基礎設施相關”,他說,后來數據安全法從重要數據出境方面、個人信息保護法從個人信息出境方面進行了彌補。
根據個人信息保護法,處理個人信息達到國家網信部門規定數量的個人信息處理者,確需向境外提供的,應當通過國家網信部門組織的安全評估。多位專家均表示,征求意見稿中規定的100萬是對上述規定數量的明確。
談及關于達到申報要求的個人信息規模的規定,丁曉東表示,100萬不是一個絕對標準,并不代表擁有99.99萬用戶量的企業向境外傳輸數據時,就不需要進行安全評估。他認為“這個紅線是為了區分小型商家和大型平臺”。
左曉棟則提出,規定中的“一百萬”和“十萬”的條件值適用于不同的情況,這反映了在信息技術廣泛應用的情況下,網絡運營者、數據處理者的復雜性、多樣性為立法工作帶來的挑戰。
“傳統互聯網企業動輒處理幾十萬、上百萬的個人信息。如果把這個閾值定得過低,會導致大量互聯網企業在數據出境時只能選擇網信部門安全評估方式,無論對企業還是政府部門工作而言都帶來太高成本。但同時也要看到……有的時候幾萬、幾十萬個人信息已經達到了一個企業處理個人信息的天花板,但這幾十萬的量卻影響十分巨大。”他舉例說,一個車企一年賣十萬輛智能汽車是不錯的成績了,如果把閾值定在一百萬,一些可能存在嚴重國家安全、數據安全隱患的智能汽車企業將被排除在外,“這顯然也是不合適的。”
在袁立志看來,相對于中國市場的體量,100萬是“比較低的標準”,很容易觸發。將紅線劃在100萬,可能是主管部門認為當前國際數據安全形勢比較嚴峻,出于對國家數據安全、爭奪國際數據控制權等的考量。另一方面,該紅線會倒逼企業在本地存儲數據,減少數據出境的需求。
南都記者注意到,一百萬的“紅線”在今年7月公布的《網絡安全審查辦法(修訂草案征求意見稿)》中也被提及。上述文件擬規定,掌握超過100萬用戶個人信息的運營者赴國外上市,必須向網絡安全審查辦公室申報網絡安全審查。
對此,左曉棟認為,“處理個人信息達到一百萬人的個人信息處理者向境外提供個人信息”涵蓋了“掌握超過100萬用戶個人信息的運營者赴國外上市”的情況。換言之,后者是一種典型的數據出境行為,既然達到了“100萬”,就自然進入國家網信部門的安全評估程序。
除了第四條,征求意見稿的第五條和第九條也十分重要——它們分別針對數據處理者事先開展數據出境風險重點評估的事項和數據處理者與境外接收方訂立的合同應包含的內容做出規定。
“《辦法》的第五條和第九條具有通用性。”左曉棟認為,無論任何一種數據出境,至少要遵循兩類要求:一是出境前的自評估,二是數據發送方與數據接收方的安全保護義務。
數據出境評估結果有效期為兩年
11月1日,個人信息保護法將正式實施,而數據安全法也已于9月1日生效。“隨著兩部法律的正式實施,許多企業有數據出境評估的迫切需求,如果不做,擔心被事后追責,而沒有這個評估辦法的話,企業又不知道怎么做。”袁立志認為,征求意見稿“解決了企業當下迫切關注的問題”。
征求意見稿擬規定,數據出境評估結果有效期為兩年,如有效期屆滿需繼續開展數據出境活動,數據處理者應當在有效期屆滿六十個工作日前重新申報評估。
南都記者注意到,上述條款基本延續了2019年《個人信息出境安全評估辦法(征求意見稿)》擬規定的“每2年或者個人信息出境目的、類型和境外保存時間發生變化時應當重新評估”,并在其基礎上做出了更加具體的規定。
如征求意見稿提到,在有效期內出現以下情形之一的,數據處理者應當重新申報評估:向境外提供數據的目的、方式、范圍、類型和境外接收方處理數據的用途、方式發生變化,或者延長個人信息和重要數據境外保存期限的;境外接收方所在國家或者地區法律環境發生變化,數據處理者或者境外接收方實際控制權發生變化,數據處理者與境外接收方合同變更等可能影響出境數據安全的;出現影響出境數據安全的其他情形的。
丁曉東認為,征求意見稿會對具有強數據出境需求的企業帶來合規壓力,這是“毫無疑問的”。與此同時,還會對個人帶來間接影響——根據個人信息保護法的要求,企業在跨境傳輸數據時,需要經過用戶的同意。
“歷經四年,我國終于在法律層面建立了數據出境安全評估制度。” 左曉棟表示,征求意見稿是網絡安全法、數據安全法和個人信息保護法共同確立的數據出境安全評估制度的落地細則。根據法律的授權,網信辦制定征求意見稿,使數據出境安全評估制度落地。
不過他同時指出,當前我國需要建立的不僅僅是數據出境安全評估制度,而是完整的數據出境安全管理制度。“無論《辦法》多么重要,其只能是我國數據出境安全管理制度的一部分,后續還需要制定出臺另外的法規政策文件,共同構建我國數據出境安全管理制度。”
