嘉源研究 | 数据出境安全评估势在必行——浅议《数字经济对外投资合作工作指引》
2021-08-04 1652作者:孙洁、郄晓航
2021年7月23日,商务部、中央网信办、工业和信息化部联合印发《数字经济对外投资合作工作指引》(以下简称“《工作指引》”)。《工作指引》在鼓励数字经济企业积极融入数字经济全球产业链、加快推进数字基础设施建设的同时,强调做好数字经济走出去的风险防范。具体而言,《工作指引》第三条第(十)项指出,“做好数字经济走出去风险防范。鼓励数字经济企业完善内部合规制度,严格落实我国法律法规有关数据出境安全管理的规定,遵守东道国法律法规及国际通行规则,妥善应对数字经济领域审查和监管措施。提高知识产权保护意识,健全数据安全管理制度,采取必要技术措施,保护数据安全和个人信息,支持企业通过法律手段维权。密切跟踪全球数字经济反垄断及加征数字税最新政策动向,做好应对准备。”
《工作指引》作为数字经济对外投资的纲领性规定,突出了数据出境的安全评估工作的重要性。笔者将在下文结合相关法律法规进一步梳理我国当前的数据出境适用主体、数据出境安全评估要求,以供读者参考。
一、 数据出境适用范围 1. 适用主体 根据我国相关法律法规的规定,当前数据出境的适用主体包括关键信息基础设施的运营者、网络运营者和其他数据处理者。 表1 数据出境的适用主体 适用法律 发文机关 规定内容 《中华人民共和国数据安全法》(以下简称“《数据安全法》”)第31条 全国人民代表大会常务委员会, 2021年9月1日生效 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。 《中华人民共和国网络安全法》(以下简称“《网络安全法》”)第37条 全国人民代表大会常务委员会, 2017年6月1日生效 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。 《信息安全技术数据出境安全评估指南(征求意见稿)》(以下简称“《评估指南》”)第3.7条 全国信息安全标准化技术委员会, 2017年8月30日发文 网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。 《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称“《评估办法》”)第2条 国家互联网信息办公室, 2017年4月11日发文 网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照本办法进行安全评估。 2. 规范对象 数据出境规范的数据主要包括在中华人民共和国境内运营中收集和产生的个人信息和重要数据。 表2 数据出境规范对象 3. 数据出境情形 《评估指南》第3.7条规定了属于和不属于数据出境的主要情形,具体内容如下: (1) 以下情形属于数据出境: a) 向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据; b) 数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外); c) 网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。 (2) 以下情形不属于数据出境 a) 非在境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动或加工处理的,不属于数据出境。 b) 非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的,不属于数据出境。 二、数据出境安全评估 1. 评估总体流程 整体而言,数据出境安全评估包括安全自评估和主管部门的安全评估,其主要目的在于要求关键信息基础设施的运营者、网络运营者和其他数据处理者事先评估数据安全出境风险,将合规监管前置,预防处罚风险。 根据《评估指南》第4.1条的规定,数据出境安全评估总体流程包括两步,分别为: 第一步,评估数据出境目的,即数据出境目的应具有合法性、正当性和必要性; 第二步,评估数据出境计划的安全风险,应综合考虑出境数据的属性和数据出境发生安全事件的可能性及影响程度。 2. 安全自评估 根据《评估指南》第4.2条的规定,在数据出境安全自评估启动后,数据出境安全自评估工作组审查数据出境计划,对个人信息与重要数据依照流程进行评估,并形成评估报告。数据出境满足上报要求的,评估报告应按要求报送国家网信部门、行业主管部门,并获得其同意。已完成数据出境安全自评估的产品或业务所涉及的个人信息和重要数据出境,在目的、范围、类型、数量等方面发生较大变化、数据接收方变更或发生重大安全事件的应启动安全自评估。 3. 主管部门的安全评估 根据《评估指南》第4.3条的规定,国家网信部门、行业主管部门根据数据出境类型、数量、范围、重要程度等,酌情组织开展主管部门评估。具有下列情形之一的,国家网信部门、行业主管部门可启动主管部门评估[1]: (1) 一年内出境的个人信息数量达到国家网信部门、行业主管部门上报要求的; (2) 包含核设施、生物化学、国防军工、人口健康等领域数据,大型工程活动、海洋环境、敏感地理信息数据,以及其他重要数据的; (3) 涉及关键信息基础设施的安全缺陷、具体安全防护措施等网络安全信息的; (4) 关键基础设施运营者数据出境的; (5) 其他可能影响国家安全、经济发展和社会公共利益的; (6) 大量用户投诉、举报的; (7) 全国性行业协会建议的; (8) 其他经国家网信部门、行业主管部门认定有必要启动主管部门评估的。 三、结语 总体而言,在《工作指引》强调数据出境安全管理工作的大背景下,企业完善内部合规制度,建立行之有效的安全自评估制度,识别数据出境风险,开展数据出境评估工作等可以协助企业应对与数据安全相关的监管措施。 [1] 注:数据出境涉及多方主体的,如:云服务等,根据数据出境发起方,确定主管部门评估责任主体。 END 作者简介 孙洁 合伙人 sunjie@jiayuan-law.com 业务领域: 境内外并购、外商投资、合规业务 郄晓航 律师助理 qiexiaohang@jiayuan-law.com 业务领域: 私募股权投资与风险投资、合规业务 嘉源合规业务介绍 合规制度/体系的建立与完善 日常性合规体检、合规培训和咨询 第三方合规尽职调查 合规调查 合规争议解决 海外合规