中伦观点 | 《个人信息和重要数据出境安全评估办法(征求意见稿)》 法律评析
2017年4月11日, 国家互联网信息办公室就《个人信息和重要数据出境安全评估办法(征求意见稿)》(“评估办法”)发出公开征求意见的通知。该评估办法是《网络安全法》的一个重要配套办法,对于具有跨境数据传输需求的企业(尤其是跨国企业)会产生重要影响。虽然本办法是征求意见稿,但可以预见,在正式的办法中不太可能再进行结构性的调整。
一、适用范围
评估办法制定的依据是《国家安全法》和《网络安全法》,因此,在安全评估的适用范围上,已经超出了《网络安全法》第三十七条规定的范围。按照第二条的规定,所有网络运营者在境内收集和产生的个人信息和重要数据应当在境内存储,这是一般性要求;作为例外,对于因业务需要,确需向境外提供的,应当事先进行安全评估。此条明显地扩大了数据本地化要求的适用范围。
网络运营者的数据出境适用本办法,对于非网络运营者(其他个人和组织)数据出境的安全评估工作,参照本办法执行。
二、何谓数据出境?
依照评估办法的规定,数据出境是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人。
以上定义实际上规定了一个物理边界,将数据提供给位于境外的主体,即构成数据的出境,而不论接受数据者的身份。我们理解,以下情形的数据传输构成评估办法规定的数据出境情形:境内的网络运营者将数据通过网络直接传输给境外的主体;允许境外主体通过网络访问,读取境内的数据;境内的网络运营者通过网络传输外的其它方式(比如携带)提供给境外的主体。
三、自行评估与监管机构评估
评估办法按照数据的重要程度规定了两种评估程序,自行评估和监管机构评估。数据出境监管的基本原则为,对于一般性数据,企业自行评估,并自行负责;对于特定数据,监管机构负责组织评估,并决定是否允许出境。
按照评估办法第七条的规定,网络运营者应在数据出境前,自行对数据出境进行安全评估,并对评估结果负责。因此,即使不构成《网络安全法》规定的关键信息基础设施运营者,一般的网络运营者有数据出境需求的,亦应当进行安全评估。我们建议,对于技术和法律能力尚不充分的企业,聘请外部专业机构对数据出境进行独立的评估,并出具意见,有助于提高评估的客观性和有效性,从而降低企业的合规法律风险。
而对于评估办法规定的特殊情形的数据出境,按照第九条的规定,应当报请行业主管或监管机构组织安全评估(“监管机构评估”)。启动监管机构评估程序的适用情形如下:
(一)含有或累计含有50万人以上的个人信息;
(二)数据量超过1000GB;
(三)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;
(四)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;
(五)关键信息基础设施运营者向境外提供个人信息和重要数据;
(六)其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。
我们理解,诸如银监会、证监会、保监会和工信部等行业主管部门或监管机构,会逐步制定本行业的数据出境安全评估的执行办法。
四、数据出境的监管机构
根据第五条和第六条的规定,在数据出境的安全评估工作中,网信部门起到统筹协调作用,各个行业主管或监管部门具体组织开展本行业内的数据出境安全评估。
依据第十一条的规定,网信部门、公安部门、安全部门等有关部门有权认定不能出境的数据。依据第十三条的规定,对于违规向境外提供数据的行为,公众可以向网信部门、公安部门等举报。
五、年度评估和重新评估
评估办法建立了年度评估和重新评估制度。
按照十二条的规定,网络运营者应每年对数据出境至少进行一次安全评估,及时将评估情况报行业主管或监管部门。而对于评估情形发生了变化,比如当数据接收方出现变更,数据出境目的、范围、数量、类型等发生较大变化,数据接收方或出境数据发生重大安全事件时,应及时重新进行安全评估。
从此规定我们也可以理解,数据安全评估是对于特定类型业务的阶段性评估,即不会执行对单笔数据传输进行评估的制度。
六、安全评估的内容
依据第八条的规定,数据出境安全评估应重点评估以下内容:
(一)数据出境的必要性;
(二)涉及个人信息情况,包括个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等;
(三)涉及重要数据情况,包括重要数据的数量、范围、类型及其敏感程度等;
(四)数据接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等;
(五)数据出境及再转移后被泄露、毁损、篡改、滥用等风险;
(六)数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险;
(七)其他需要评估的重要事项。
从以上的内容可以看出,安全评估首先要证明数据出境的必要性,我们理解,比如基于跨国公司管理的要求、上市公司披露和申报的要求、开展正当业务的要求等,都可能被视为具有正当性或必要性。在评估过程中,数据的性质和内容、数据的数量,接受方的安全措施,所在国家的法律环境,数据被滥用的风险等都会被纳入到评估的范围。
七、不得出境的情形
按照第十条的规定,存在如下情形的数据不得出境:
(一)个人信息出境未经个人信息主体同意,或可能侵害个人利益;
(二)数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益;
(三)其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。
根据以上规定,凡有个人信息出境的,均需要获得信息主体的同意,而且,为了满足评估的程序性要求,获得的授权应当是书面和可证明的。对于可能影响国家安全和社会公共利益的数据传输将被禁止,但评估办法没有列明可能危害国家安全和社会公共利益的具体情形,我们理解,在后续制定的国家标准或行业指引中可能会对此具体明确,以作为评估的标准。
八、何谓重要数据?
在《网络安全法》颁布后,公众对三十七条规定重要数据的具体含义和范围产生过很多的争议,希望立法部门通过后续的配套法规加以明确,以便利于企业准确执行法律的需求。
按照评估办法的规定,重要数据是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。令人遗憾,本评估办法仍然没有对重要数据给出一个明确的界定,只能寄希望在后续制定的国家标准和指南中会对此给出具有操作性的规定。
提示:
本解析仅供参考,不构成律师的正式意见,任何企业或个人不得依赖此内容采取任何的法律行动或进行法律上的决策。
作者简介:
合伙人 北京办公室
业务领域:知识产权, 反垄断与竞争法, 信息技术、电信、传媒与娱乐
作者往期文章推荐: