资讯洞见

中国数据出境安全评估办法的新草案

魏德华牟姣撰写

阅读 PDF

自2021年10月29日至11月28日,国家互联网信息办公室(“网信办”)就《数据出境安全评估办法(征求意见稿)》向社会公开征求意见。这是第三个版本的征求意见稿,根据《网络安全法》(网安法)、《数据安全法》(数安法,2021年9月1 日生效)和《个人信息保护法》(个保法,2021年11月1日生效)制定,而之前在2017年和2019年公布的两个版本主要根据网安法制定。预计本次征求意见稿将很快颁布,很可能在2022年初生效实施。

适用范围

征求意见稿意在规管向境外提供(包括跨境访问)在中国境内运营中收集和产生的重要数据和个人信息。因而其不适用境外/海外机构直接向中国境内的自然人收集个人信息的情形。此处境外/海外包括香港、澳门和台湾,以及外国(地区)。

中国现有立法下并没有对重要数据进行统一定义。数安法授权各地区、各部门制定本地区、本部门以及相关行业、领域的重要数据具体目录。比如说,网信办、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布了《汽车数据安全管理若干规定(试行)》(2021年10月1日生效实施),将(在汽车设计、生产、销售、使用、运维过程中涉及的)重要数据定义为一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据,并列举了该等重要数据的具体类型。

安全评估是在网安法中首次提出的仅适用于关键信息基础设施运营者的要求。在本次征求意见稿中,安全评估义务适用于全部数据处理者,而且有两类评估应在数据出境之前完成。

  1. 数据出境风险自评估

  2. 网信办组织的数据出境安全评估

数据出境风险自评估

所有数据处理者在向境外提供任何数据(数据出境包括境外镜像/远程访问、集团内部员工资料共享、去标识化后的个人信息出境)之前应事先开展数据出境风险自评估。征求意见稿或国内现行立法并没有定义“数据处理者”。参考数安法中“数据”是指任何以电子或者其他方式对信息的记录;“数据处理”包括数据的收集、存储、使用、加工、传输、提供、公开等。因此,出境数据可能是任何类型的数据,包括但不限于个人信息、非个人信息,以及公司商业资料。

开展数据出境风险自评估应着重评估以下事项:

  1. 数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;

  2. 出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;

  3. 数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险;

  4. 境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;

  5. 数据出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;

  6. 与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。

上述第(6) 项中数据处理者与境外接收方订立的合同不需要采用个保法中提到的网信办制定的标准合同,而是应当包括但不限于以下内容:

  1. 数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;

  2. 数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施;

  3. 限制境外接收方将出境数据再转移给其他组织、个人的约束条款;

  4. 境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区法律环境发生变化导致难以保障数据安全时,应当采取的安全措施;

  5. 违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款;

  6. 发生数据泄露等风险时,妥善开展应急处置,并保障个人维护个人信息权益的通畅渠道。

数据出境安全评估

符合以下情形之一的,应当向网信办申报数据出境安全评估:

  1. 出境数据包含重要数据,无论数据处理者是否为关键信息基础设施运营者;

  2. 出境数据包含关键信息基础设施运营者收集和产生的个人信息;

  3. 处理个人信息达到一百万人的个人信息处理者(定义见个保法)向境外提供个人信息;

  4. 累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息。

申报数据出境安全评估,应当向网信办提交数据出境风险自评估报告、数据处理者与境外接收方的合同等材料。网信办自收到申报材料之日起7个工作日内,以书面通知形式反馈是否受理评估。网信办自出具书面受理通知书之日起45-60个工作日内完成数据出境安全评估,并书面通知申请人评估结果。数据出境评估结果有效期两年。有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。在有效期内出现以下情形之一的,应当重新申报评估:

  1. 向境外提供数据的目的、方式、范围、类型和境外接收方处理数据的用途、方式发生变化;

  2. 延长个人信息和重要数据境外保存期限的;

  3. 境外接收方所在国家或者地区法律环境发生变化,数据处理者或者境外接收方实际控制权发生变化,数据处理者与境外接收方合同变更等可能影响出境数据安全的。

未依法重新评估的,应当停止数据出境活动。网信办发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当撤销评估结果并书面通知数据处理者,数据处理者在完成整改和重新评估之前应当终止数据出境活动。

任何组织或个人发现数据处理者未依法进行评估向境外提供数据的,可以向省级以上网信办投诉、举报。

违法处罚

征求意见稿没有规定具体的违法责任,仅规定依照网安法、数安法和个保法处理。这意味着,视具体情况,违法向境外提供个人信息的罚款可处人民币5000万元(或上一年度营业额5%)以下,违法向境外提供重要数据的罚款可处人民币1000万元以下。

建议

跨国企业在华机构可着手审视其出境数据的类型和数量,并采取必要措施以合法向中国境外提供数据,比如:

  • 与海外公司和商业伙伴沟通中国法律允许向境外提供的数据的范围、类型和数量

  • 改进本地备份、数据分级管理、数据脱敏、远程访问等系统和机制(如有需要)

  • 制定数据出境协议格式

  • 制定数据出境风险自评估制度及机制

  • 调研境外数据接收方所在地的法律环境

  • 撰写数据出境风险自评估初稿

  • 持续跟进立法动态和行业实践发展

如想了解法律合规的具体建议,请与我们联络。

主要负责人

钟咏雪

合伙人 | 商业事务 | 雇佣与退休金

电邮 或致电 +852 2825 9297

朱敏慧

合伙人 | 商业事务

电邮 或致电 +852 2825 9630

陈艾姿

合伙人 | 雇佣与退休金

电邮 或致电 +852 2825 9604

廖海燕

合伙人 | 雇佣与退休金

电邮 或致电 +852 2825 9779

Edwarde Webre (魏德华)

资深顾问律师 | 商业事务

电邮 或致电 +852 2825 9730

Portfolio Builder

Select the 本所服务 that you would like to download or add to the portfolio

Download    Add to portfolio   
Portfolio
职务 Type CV 电邮

Remove All

Download


Click here to share this shortlist.
(It will expire after 30 days.)