资讯洞见
魏德华、韦敏凝撰写
2022年7月7日,国家互联网信息办公室颁布了《数据出境安全评估办法》(“评估办法”),将于2022年9月1日起施行。与2021年10月发布的评估办法第三版的征求意见稿(“征求意见稿”)相比,评估办法对大部分条文进行了细化和完善,使之更具可操作性。
适用范围
评估办法适用于数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,并将“重要数据”概括地定义为“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”。
出境风险自评估
与征求意见稿不同,评估办法将数据处理者“在向境外提供数据前,应事先开展数据出境风险自评估”改为在向国家网信部门申报数据出境安全评估前,应当开展风险自评估。评估办法没有说明在不符合向网信部门申报数据出境安全评估的情形下数据处理者是否需要进行出境风险自评估。为谨慎起见,建议所有内地的数据处理者无论是否需要向网信部门申报数据出境安全评估,均在其向境外提供数据前,依照评估办法的要求进行风险自评估。
关于自评估的重点评估事项,评估办法删除了征求意见稿中“数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险”;加上了“其他可能影响数据出境安全的事项”的兜底条款;并将“与境外接收方订立的数据出境相关合同”扩展至“合同或者其他具有法律效力的文件等”。重点评估事项如下:
评估办法中对与境外接收方拟订立的法律文件的具体要求与征求意见稿中对数据出境相关合同的要求大体相似,但在后者的基础上做出了一定的调整。
网信部门的数据出境安全评估
评估办法对需要向国家网信部门申报数据出境安全评估的情形进行了修改。有下列情形的应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
评估办法对网信部门的数据出境安全评估的具体程序进行了细化:
值得注意的是,评估办法删掉了征求意见稿中在情况复杂或者需要补充、更正材料的情况下,国家网信部门可以适当延长的评估时间 “一般不超过六十个工作日”的表述。因此在实际操作中,数据处理者在可能需要为安全评估预留更长的时间。
评估办法还新增了复评的环节,即数据处理者对评估结果有异议的,可以在收到评估结果15个工作日内向国家网部门申请复评,复评结果为最终结论。
评估办法对数据出境安全评估的结果有效期仍规定为2年,自评估结果出具之日起计算。对于需要重新申报评估的情形,相对于征求意见稿,评估办法主要做出了两方面的调整:
评估办法删除了未按规定重新申报评估的,应当停止数据出境活动的规定,统一规定为“国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当书面通知数据处理者终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估。”因此,在实践中如果数据处理者出现了需要重新申报评估的情形,建议还是尽快重新申请评估,以免对数据出境的活动造成影响。
建议
评估办法自2022年9月1日起施行,施行前已经开展的数据处境活动不符合评估办法规定的,应当在其实施之日起6个月内,即2023年2月28日前,完成整改。为此,在内地的数据处理者应尽快对照评估办法的要求,对其数据出境的活动进行审查及调整,并采取相应的措施以保证其数据出境的操作在规定的期限内符合评估办法的规定。
此外,数据处理者应密切关注网信部门后续关于评估办法实施的案例以及解释,并定期更新其对数据出境的风险自评估,以确保持续合规。