资讯洞见

《数据出境安全评估办法》正式出台

阅读 PDF

魏德华、韦敏凝撰写

2022年7月7日,国家互联网信息办公室颁布了《数据出境安全评估办法》(“评估办法”),将于2022年9月1日起施行。与2021年10月发布的评估办法第三版的征求意见稿(“征求意见稿”)相比,评估办法对大部分条文进行了细化和完善,使之更具可操作性。

适用范围

评估办法适用于数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,并将“重要数据”概括地定义为“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”。

出境风险自评估

与征求意见稿不同,评估办法将数据处理者“在向境外提供数据前,应事先开展数据出境风险自评估”改为在向国家网信部门申报数据出境安全评估前,应当开展风险自评估。评估办法没有说明在不符合向网信部门申报数据出境安全评估的情形下数据处理者是否需要进行出境风险自评估。为谨慎起见,建议所有内地的数据处理者无论是否需要向网信部门申报数据出境安全评估,均在其向境外提供数据前,依照评估办法的要求进行风险自评估。

关于自评估的重点评估事项,评估办法删除了征求意见稿中“数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险”;加上了“其他可能影响数据出境安全的事项”的兜底条款;并将“与境外接收方订立的数据出境相关合同”扩展至“合同或者其他具有法律效力的文件等”。重点评估事项如下:

  1. 数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;

  2. 出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;

  3. 境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;

  4. 数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;

  5. 与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务;

  6. 其他可能影响数据出境安全的事项。

评估办法中对与境外接收方拟订立的法律文件的具体要求与征求意见稿中对数据出境相关合同的要求大体相似,但在后者的基础上做出了一定的调整。

网信部门的数据出境安全评估

评估办法对需要向国家网信部门申报数据出境安全评估的情形进行了修改。有下列情形的应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:

  1. 数据处理者向境外提供重要数据;

  2. 关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;

  3. 自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;

  4. 国家网信部门规定的其他需要申报数据出境安全评估的情形。

评估办法对网信部门的数据出境安全评估的具体程序进行了细化:

  1. 数据处理者进行风险自评估。

  2. 数据处理者按评估办法准备材料并提交给省级网信部门。

  3. 省级网信部门在收到申报材料之日起5个工作日完成完备性查验,材料齐全的,报送至国家网信部门,否则退回至数据处理者并告知需要补充的材料。

  4. 国家网信部门在收到申报材料之日起7个工作日内,确定是否受理并书面通知数据处理者。

  5. 国家网信部门在向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估;情况复杂或者需要补充、更正材料的,可以适当延长并告知数据处理者预计延长的时间。

值得注意的是,评估办法删掉了征求意见稿中在情况复杂或者需要补充、更正材料的情况下,国家网信部门可以适当延长的评估时间 “一般不超过六十个工作日”的表述。因此在实际操作中,数据处理者在可能需要为安全评估预留更长的时间。

评估办法还新增了复评的环节,即数据处理者对评估结果有异议的,可以在收到评估结果15个工作日内向国家网部门申请复评,复评结果为最终结论。

评估办法对数据出境安全评估的结果有效期仍规定为2年,自评估结果出具之日起计算。对于需要重新申报评估的情形,相对于征求意见稿,评估办法主要做出了两方面的调整:

  1. 评估办法强调了要在向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响到出境数据安全的情况下,才需要进行重新评估。而不是征求意见稿中只要相关的情况发生变化就需要重新申请评估。

  2. 重新申请评估不仅限于境外接收方所在的国家或地区法律环境发生变化,还扩展到其数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力影响出境数据安全的情形。“数据处理者与境外接收方合同变更可能影响出境数据安全”的情形,也调整为“数据处理者与境外接收方法律文件变更影响出境数据安全”。

评估办法删除了未按规定重新申报评估的,应当停止数据出境活动的规定,统一规定为“国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当书面通知数据处理者终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估。”因此,在实践中如果数据处理者出现了需要重新申报评估的情形,建议还是尽快重新申请评估,以免对数据出境的活动造成影响。

建议

评估办法自2022年9月1日起施行,施行前已经开展的数据处境活动不符合评估办法规定的,应当在其实施之日起6个月内,即2023年2月28日前,完成整改。为此,在内地的数据处理者应尽快对照评估办法的要求,对其数据出境的活动进行审查及调整,并采取相应的措施以保证其数据出境的操作在规定的期限内符合评估办法的规定。

此外,数据处理者应密切关注网信部门后续关于评估办法实施的案例以及解释,并定期更新其对数据出境的风险自评估,以确保持续合规。

主要负责人

Edwarde Webre (魏德华)

合伙人 | 商业事务

电邮 或致电 +852 2825 9730

Portfolio Builder

Select the 本所服务 that you would like to download or add to the portfolio

Download    Add to portfolio   
Portfolio
职务 Type CV 电邮

Remove All

Download


Click here to share this shortlist.
(It will expire after 30 days.)