资讯洞见
自2021年10月29日至11月28日,国家互联网信息办公室(“网信办”)就《数据出境安全评估办法(征求意见稿)》向社会公开征求意见。这是第三个版本的征求意见稿,根据《网络安全法》(网安法)、《数据安全法》(数安法,2021年9月1 日生效)和《个人信息保护法》(个保法,2021年11月1日生效)制定,而之前在2017年和2019年公布的两个版本主要根据网安法制定。预计本次征求意见稿将很快颁布,很可能在2022年初生效实施。
适用范围
征求意见稿意在规管向境外提供(包括跨境访问)在中国境内运营中收集和产生的重要数据和个人信息。因而其不适用境外/海外机构直接向中国境内的自然人收集个人信息的情形。此处境外/海外包括香港、澳门和台湾,以及外国(地区)。
中国现有立法下并没有对重要数据进行统一定义。数安法授权各地区、各部门制定本地区、本部门以及相关行业、领域的重要数据具体目录。比如说,网信办、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布了《汽车数据安全管理若干规定(试行)》(2021年10月1日生效实施),将(在汽车设计、生产、销售、使用、运维过程中涉及的)重要数据定义为一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据,并列举了该等重要数据的具体类型。
安全评估是在网安法中首次提出的仅适用于关键信息基础设施运营者的要求。在本次征求意见稿中,安全评估义务适用于全部数据处理者,而且有两类评估应在数据出境之前完成。
数据出境风险自评估
所有数据处理者在向境外提供任何数据(数据出境包括境外镜像/远程访问、集团内部员工资料共享、去标识化后的个人信息出境)之前应事先开展数据出境风险自评估。征求意见稿或国内现行立法并没有定义“数据处理者”。参考数安法中“数据”是指任何以电子或者其他方式对信息的记录;“数据处理”包括数据的收集、存储、使用、加工、传输、提供、公开等。因此,出境数据可能是任何类型的数据,包括但不限于个人信息、非个人信息,以及公司商业资料。
开展数据出境风险自评估应着重评估以下事项:
上述第(6) 项中数据处理者与境外接收方订立的合同不需要采用个保法中提到的网信办制定的标准合同,而是应当包括但不限于以下内容:
数据出境安全评估
符合以下情形之一的,应当向网信办申报数据出境安全评估:
申报数据出境安全评估,应当向网信办提交数据出境风险自评估报告、数据处理者与境外接收方的合同等材料。网信办自收到申报材料之日起7个工作日内,以书面通知形式反馈是否受理评估。网信办自出具书面受理通知书之日起45-60个工作日内完成数据出境安全评估,并书面通知申请人评估结果。数据出境评估结果有效期两年。有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。在有效期内出现以下情形之一的,应当重新申报评估:
未依法重新评估的,应当停止数据出境活动。网信办发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当撤销评估结果并书面通知数据处理者,数据处理者在完成整改和重新评估之前应当终止数据出境活动。
任何组织或个人发现数据处理者未依法进行评估向境外提供数据的,可以向省级以上网信办投诉、举报。
违法处罚
征求意见稿没有规定具体的违法责任,仅规定依照网安法、数安法和个保法处理。这意味着,视具体情况,违法向境外提供个人信息的罚款可处人民币5000万元(或上一年度营业额5%)以下,违法向境外提供重要数据的罚款可处人民币1000万元以下。
建议
跨国企业在华机构可着手审视其出境数据的类型和数量,并采取必要措施以合法向中国境外提供数据,比如:
如想了解法律合规的具体建议,请与我们联络。