文:上海君倫律師事務所
為進一步規範資料出境活動,保護個人資訊權益,維護國家安全和社會公共利益,促進資料跨境安全、自由流動,國家互聯網資訊辦公室於2022年7月7日公佈《資料出境安全評估辦法》(以下簡稱“《辦法》”),自2022年9月1日起施行。
《辦法》與國家互聯網資訊辦公室2021年10月29日發佈的《資料出境安全評估辦法》(徵求意見稿)(以下簡稱“《徵求意見稿》”)在應當申報資料出境安全評估的主體、資料出境風險評估的重點評估事項、申報材料審理流程、評估結果的異議權利等規定上略有不同,《辦法》對其作了更加明確、具體和完善的修訂和補充,並對重要資料、合規整改要求作出了明確的規定(《徵求意見稿》與《辦法》的條文對比,詳見文末)。具體如下:
一、資料出境安全評估的申報主體是誰?
《辦法》明確,資料出境安全評估主體是,向境外提供在中華人民共和國境內運營中收集和產生的重要資料和個人資訊的資料處理者。
二、何種情形下應進行資料出境安全評估?
《辦法》規定了應當申報資料出境安全評估的4種情形:
1、資料處理者向境外提供重要資料;
2、關鍵資訊基礎設施運營者和處理100萬人以上個人資訊的資料處理者向境外提供個人資訊;
3、自上年1月1日起累計向境外提供10萬人個人資訊或者1萬人敏感個人資訊的資料處理者向境外提供個人資訊;
4、國家網信部門規定的其他需要申報資料出境安全評估的情形。
三、資料出境重點安全評估事項是什麼?
資料出境安全評估重點評估資料出境活動可能對國家安全、公共利益、個人或者組織合法權益帶來的風險,主要包括以下事項:
1、資料出境的目的、範圍、方式等的合法性、正當性、必要性;
2、境外接收方所在國家或者地區的資料安全保護政策法規和網路安全環境對出境資料安全的影響;境外接收方的資料保護水準是否達到中華人民共和國法律、行政法規的規定和強制性國家標準的要求;
3、出境資料的規模、範圍、種類、敏感程度,出境中和出境後遭到篡改、破壞、洩露、丟失、轉移或者被非法獲取、非法利用等的風險;
4、資料安全和個人資訊權益是否能夠得到充分有效保障;
5、資料處理者與境外接收方擬訂立的法律檔中是否充分約定了資料安全保護責任義務;
6、遵守中國法律、行政法規、部門規章情況;
7、國家網信部門認為需要評估的其他事項。
四、資料出境安全評估的具體流程是什麼?
1、事前評估
資料處理者在向境外提供資料前,應首先開展資料出境風險自評估。
2、申報評估
符合申報資料出境安全評估情形的,資料處理者應通過所在地省級網信部門向國家網信部門申報資料出境安全評估。
3、開展評估
國家網信部門自收到申報材料之日起7個工作日內確定是否受理評估;自出具書面受理通知書之日起45個工作日內完成資料出境安全評估;情況複雜或者需要補充、更正材料的,可以適當延長並告知資料處理者預計延長的時間。
4、重新評估和終止出境
評估結果有效期屆滿或者在有效期內出現《辦法》中規定重新評估情形的,資料處理者應當重新申報資料出境安全評估。已經通過評估的資料出境活動在實際處理過程中不再符合資料出境安全管理要求的,在收到國家網信部門書面通知後,資料處理者應終止資料出境活動。資料處理者需要繼續開展資料出境活動的,應當按照要求整改,整改完成後重新申報評估。
五、針對評估結果有異議是否有複評權利?
《辦法》明確規定了資料處理者對評估結果有異議的,可以在收到評估結果15個工作日內向國家網信部門申請複評,複評結果為最終結論。對於《辦法》2022年9月1日施行前已經開展的資料出境活動,不符合規定的,應當9月1日起6個月內完成整改。
《辦法》中明確提出的資料出境安全評估堅持事前評估和持續監督相結合、風險自評估與安全評估相結合的原則,在開展資料出境安全評估工作時提供了原則上的指引,而《辦法》中規定的資料出境安全評估的範圍、條件和程式等,更是為資料出境安全評估工作提供了具體操作上的指引。
《辦法》的出臺突出了數字經濟蓬勃發展的時代下資料出境安全評估對於規範資料出境活動、保護個人資訊權益、維護國家安全和社會公共利益的重要作用,其將與其他資料出境機制和規範一同構築起中國資料跨境安全、自由流動的合規體系屏障。
附:《辦法》與《徵求意見稿》條文對比
|
《徵求意見稿》 2021年10月29日 |
《辦法》 |
| 第一條 為了規範資料出境活動,保護個人資訊權益,維護國家安全和社會公共利益,促進資料跨境安全、自由流動,根據《中華人民共和國網路安全法》、《中華人民共和國資料安全法》、《中華人民共和國個人資訊保護法》等法律法規,制定本辦法。 | 第一條 為了規範資料出境活動,保護個人資訊權益,維護國家安全和社會公共利益,促進資料跨境安全、自由流動,根據《中華人民共和國網路安全法》、《中華人民共和國資料安全法》、《中華人民共和國個人資訊保護法》等法律法規,制定本辦法。 |
| 第二條 資料處理者向境外提供在中華人民共和國境內運營中收集和產生的重要資料和依法應當進行安全評估的個人資訊,應當按照本辦法的規定進行安全評估;法律、行政法規另有規定的,依照其規定。 | 第二條 資料處理者向境外提供在中華人民共和國境內運營中收集和產生的重要資料和個人資訊的安全評估,適用本辦法。法律、行政法規另有規定的,依照其規定。 |
| 第三條 資料出境安全評估堅持事前評估和持續監督相結合、風險自評估與安全評估相結合,防範資料出境安全風險,保障資料依法有序自由流動。 | 第三條 資料出境安全評估堅持事前評估和持續監督相結合、風險自評估與安全評估相結合,防範資料出境安全風險,保障資料依法有序自由流動。 |
| 第四條 資料處理者向境外提供資料,符合以下情形之一的,應當通過所在地省級網信部門向國家網信部門申報資料出境安全評估。
(一)關鍵資訊基礎設施的運營者收集和產生的個人資訊和重要資料; (二)出境資料中包含重要資料; (三)處理個人資訊達到一百萬人的個人資訊處理者向境外提供個人資訊; (四)累計向境外提供超過十萬人以上個人資訊或者一萬人以上敏感個人資訊; (五)國家網信部門規定的其他需要申報資料出境安全評估的情形。 |
第四條 資料處理者向境外提供資料,有下列情形之一的,應當通過所在地省級網信部門向國家網信部門申報資料出境安全評估:
(一)資料處理者向境外提供重要資料; (二)關鍵資訊基礎設施運營者和處理100萬人以上個人資訊的資料處理者向境外提供個人資訊; (三)自上年1月1日起累計向境外提供10萬人個人資訊或者1萬人敏感個人資訊的資料處理者向境外提供個人資訊; (四)國家網信部門規定的其他需要申報資料出境安全評估的情形。 |
| 第五條 資料處理者在向境外提供資料前,應事先開展資料出境風險自評估,重點評估以下事項:
(一)資料出境及境外接收方處理資料的目的、範圍、方式等的合法性、正當性、必要性; (二)出境資料的數量、範圍、種類、敏感程度,資料出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險; (三)資料處理者在資料轉移環節的管理和技術措施、能力等能否防範資料洩露、毀損等風險; (四)境外接收方承諾承擔的責任義務,以及履行責任義務的管理和技術措施、能力等能否保障出境資料的安全; (五)資料出境和再轉移後洩露、毀損、篡改、濫用等的風險,個人維護個人資訊權益的管道是否通暢等; (六)與境外接收方訂立的資料出境相關合同是否充分約定了資料安全保護責任義務。 |
第五條 資料處理者在申報資料出境安全評估前,應當開展資料出境風險自評估,重點評估以下事項:
(一)資料出境和境外接收方處理資料的目的、範圍、方式等的合法性、正當性、必要性; (二)出境資料的規模、範圍、種類、敏感程度,資料出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險; (三)境外接收方承諾承擔的責任義務,以及履行責任義務的管理和技術措施、能力等能否保障出境資料的安全; (四)資料出境中和出境後遭到篡改、破壞、洩露、丟失、轉移或者被非法獲取、非法利用等的風險,個人資訊權益維護的管道是否通暢等; (五)與境外接收方擬訂立的資料出境相關合同或者其他具有法律效力的檔等(以下統稱法律檔)是否充分約定了資料安全保護責任義務; (六)其他可能影響資料出境安全的事項。 |
| 第六條 申報資料出境安全評估,應當提交以下材料:
(一)申報書; (二)資料出境風險自評估報告; (三)資料處理者與境外接收方擬訂立的合同或者其他具有法律效力的檔等(以下統稱合同); (四)安全評估工作需要的其他材料。 |
第六條 申報資料出境安全評估,應當提交以下材料:
(一)申報書; (二)資料出境風險自評估報告; (三)資料處理者與境外接收方擬訂立的法律檔; (四)安全評估工作需要的其他材料。 |
| 第七條國家網信部門自收到申報材料之日起七個工作日內,確定是否受理評估並以書面通知形式回饋受理結果。 | 第七條 省級網信部門應當自收到申報材料之日起5個工作日內完成完備性查驗。申報材料齊全的,將申報材料報送國家網信部門;申報材料不齊全的,應當退回資料處理者並一次性告知需要補充的材料。
國家網信部門應當自收到申報材料之日起7個工作日內,確定是否受理並書面通知資料處理者。 |
| 第八條 資料出境安全評估重點評估資料出境活動可能對國家安全、公共利益、個人或者組織合法權益帶來的風險,主要包括以下事項:
(一)資料出境的目的、範圍、方式等的合法性、正當性、必要性; (二)境外接收方所在國家或者地區的資料安全保護政策法規及網路安全環境對出境資料安全的影響;境外接收方的資料保護水準是否達到中華人民共和國法律、行政法規規定和強制性國家標準的要求; (三)出境資料的數量、範圍、種類、敏感程度,出境中和出境後洩露、篡改、丟失、破壞、轉移或者被非法獲取、非法利用等風險; (四)資料安全和個人資訊權益是否能夠得到充分有效保障; (五)資料處理者與境外接收方訂立的合同中是否充分約定了資料安全保護責任義務; (六)遵守中國法律、行政法規、部門規章情況; (七)國家網信部門認為需要評估的其他事項。 |
第八條 資料出境安全評估重點評估資料出境活動可能對國家安全、公共利益、個人或者組織合法權益帶來的風險,主要包括以下事項:
(一)資料出境的目的、範圍、方式等的合法性、正當性、必要性; (二)境外接收方所在國家或者地區的資料安全保護政策法規和網路安全環境對出境資料安全的影響;境外接收方的資料保護水準是否達到中華人民共和國法律、行政法規的規定和強制性國家標準的要求; (三)出境資料的規模、範圍、種類、敏感程度,出境中和出境後遭到篡改、破壞、洩露、丟失、轉移或者被非法獲取、非法利用等的風險; (四)資料安全和個人資訊權益是否能夠得到充分有效保障; (五)資料處理者與境外接收方擬訂立的法律檔中是否充分約定了資料安全保護責任義務; (六)遵守中國法律、行政法規、部門規章情況; (七)國家網信部門認為需要評估的其他事項。 |
| 第九條 資料處理者與境外接收方訂立的合同充分約定資料安全保護責任義務,應當包括但不限於以下內容:
(一)資料出境的目的、方式和資料範圍,境外接收方處理資料的用途、方式等; (二)資料在境外保存地點、期限,以及達到保存期限、完成約定目的或者合同終止後出境資料的處理措施; (三)限制境外接收方將出境資料再轉移給其他組織、個人的約束條款; (四)境外接收方在實際控制權或者經營範圍發生實質性變化,或者所在國家、地區法律環境發生變化導致難以保障資料安全時,應當採取的安全措施; (五)違反資料安全保護義務的違約責任和具有約束力且可執行的爭議解決條款; (六)發生資料洩露等風險時,妥善開展應急處置,並保障個人維護個人資訊權益的通暢管道。 |
第九條 資料處理者應當在與境外接收方訂立的法律檔中明確約定資料安全保護責任義務,至少包括以下內容:
(一)資料出境的目的、方式和資料範圍,境外接收方處理資料的用途、方式等; (二)資料在境外保存地點、期限,以及達到保存期限、完成約定目的或者法律檔終止後出境資料的處理措施; (三)對於境外接收方將出境資料再轉移給其他組織、個人的約束性要求; (四)境外接收方在實際控制權或者經營範圍發生實質性變化,或者所在國家、地區資料安全保護政策法規和網路安全環境發生變化以及發生其他不可抗力情形導致難以保障資料安全時,應當採取的安全措施; (五)違反法律檔約定的資料安全保護義務的補救措施、違約責任和爭議解決方式; (六)出境資料遭到篡改、破壞、洩露、丟失、轉移或者被非法獲取、非法利用等風險時,妥善開展應急處置的要求和保障個人維護其個人資訊權益的途徑和方式。 |
| 第十條 國家網信部門受理申報後,組織行業主管部門、國務院有關部門、省級網信部門、專門機構等進行安全評估。
涉及重要資料出境的,國家網信部門徵求相關行業主管部門意見。 |
第十條 國家網信部門受理申報後,根據申報情況組織國務院有關部門、省級網信部門、專門機構等進行安全評估。 |
| / | 第十一條(原第十三條) 安全評估過程中,發現資料處理者提交的申報材料不符合要求的,國家網信部門可以要求其補充或者更正。資料處理者無正當理由不補充或者更正的,國家網信部門可以終止安全評估。
資料處理者對所提交材料的真實性負責,故意提交虛假材料的,按照評估不通過處理,並依法追究相應法律責任。 |
| 第十一條 國家網信部門自出具書面受理通知書之日起四十五個工作日內完成資料出境安全評估;情況複雜或者需要補充材料的,可以適當延長,但一般不超過六十個工作日。
評估結果以書面形式通知資料處理者。 |
第十二條 國家網信部門應當自向資料處理者發出書面受理通知書之日起45個工作日內完成資料出境安全評估;情況複雜或者需要補充、更正材料的,可以適當延長並告知資料處理者預計延長的時間。
評估結果應當書面通知資料處理者 |
| / | 第十三條 資料處理者對評估結果有異議的,可以在收到評估結果15個工作日內向國家網信部門申請複評,複評結果為最終結論。 |
| 第十二條 資料出境評估結果有效期二年。在有效期內出現以下情形之一的,資料處理者應當重新申報評估:
(一)向境外提供資料的目的、方式、範圍、類型和境外接收方處理資料的用途、方式發生變化,或者延長個人資訊和重要資料境外保存期限的; (二)境外接收方所在國家或者地區法律環境發生變化,資料處理者或者境外接收方實際控制權發生變化,資料處理者與境外接收方合同變更等可能影響出境資料安全的; (三)出現影響出境資料安全的其他情形。 有效期屆滿,需要繼續開展原資料出境活動的,資料處理者應當在有效期屆滿六十個工作日前重新申報評估。 未按本條規定重新申報評估的,應當停止資料出境活動。 |
第十四條 通過資料出境安全評估的結果有效期為2年,自評估結果出具之日起計算。在有效期內出現以下情形之一的,資料處理者應當重新申報評估:
(一)向境外提供資料的目的、方式、範圍、種類和境外接收方處理資料的用途、方式發生變化影響出境資料安全的,或者延長個人資訊和重要資料境外保存期限的; (二)境外接收方所在國家或者地區資料安全保護政策法規和網路安全環境發生變化以及發生其他不可抗力情形、資料處理者或者境外接收方實際控制權發生變化、資料處理者與境外接收方法律檔變更等影響出境資料安全的; (三)出現影響出境資料安全的其他情形。 有效期屆滿,需要繼續開展資料出境活動的,資料處理者應當在有效期屆滿60個工作日前重新申報評估。
|
| 第十三條 資料處理者應當按照本辦法的規定提交評估材料,材料不齊全或者不符合要求的,應當及時補充或者更正,拒不補充或者更正的,國家網信部門可以終止安全評估;資料處理者對所提交材料的真實性負責,故意提交虛假材料的,按照評估不通過處理。 | 提至第十一條 |
| 第十四條 參與安全評估工作的相關機構和人員對在履行職責中知悉的國家秘密、個人隱私、個人資訊、商業秘密、保密商務資訊等資料應當依法予以保密,不得洩露或者非法向他人提供。 | 第十五條 參與安全評估工作的相關機構和人員對在履行職責中知悉的國家秘密、個人隱私、個人資訊、商業秘密、保密商務資訊等資料應當依法予以保密,不得洩露或者非法向他人提供、非法使用。 |
| 第十五條 任何組織和個人發現資料處理者未按照本辦法規定進行評估向境外提供資料的,可以向省級以上網信部門投訴、舉報。 | 第十六條 任何組織和個人發現資料處理者違反本辦法向境外提供資料的,可以向省級以上網信部門舉報。 |
| 第十六條 國家網信部門發現已經通過評估的資料出境活動在實際處理過程中不再符合資料出境安全管理要求的,應當撤銷評估結果並書面通知資料處理者,資料處理者應當終止資料出境活動。需要繼續開展資料出境活動的,資料處理者應當按照要求進行整改,並在整改完成後重新申報評估。 | 第十七條 國家網信部門發現已經通過評估的資料出境活動在實際處理過程中不再符合資料出境安全管理要求的,應當書面通知資料處理者終止資料出境活動。資料處理者需要繼續開展資料出境活動的,應當按照要求整改,整改完成後重新申報評估。 |
| 第十七條 違反本辦法規定的,依照《中華人民共和國網路安全法》、《中華人民共和國資料安全法》、《中華人民共和國個人資訊保護法》等法律法規的規定處理;構成犯罪的,依法追究刑事責任。 | 第十八條 違反本辦法規定的,依據《中華人民共和國網路安全法》、《中華人民共和國資料安全法》、《中華人民共和國個人資訊保護法》等法律法規處理;構成犯罪的,依法追究刑事責任。 |
| 第十八條 本辦法自 年 月 日起施行。 | 第十九條(新增) 本辦法所稱重要資料,是指一旦遭到篡改、破壞、洩露或者非法獲取、非法利用等,可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的資料。 |
| / | 第二十條 本辦法自2022年9月1日起施行。本辦法施行前已經開展的資料出境活動,不符合本辦法規定的,應當自本辦法施行之日起6個月內完成整改。 |
