個人信息,、重要數(shù)據(jù)等關(guān)乎個人信息權(quán)益,、國家安全和社會公共利益的數(shù)據(jù)出境將迎來監(jiān)管。10月29日,,國家互聯(lián)網(wǎng)信息辦公室(下稱“網(wǎng)信辦”)發(fā)布《數(shù)據(jù)出境安全評估辦法(征求意見稿)》,,并向社會公開征求意見。
南都記者梳理發(fā)現(xiàn),,這是網(wǎng)絡(luò)安全法審議通過以來,,網(wǎng)信辦第三次對數(shù)據(jù)出境安全相關(guān)的評估辦法征求意見。征求意見稿擬對達(dá)到申報(bào)要求的個人信息規(guī)模劃出紅線,,如處理個人信息達(dá)到一百萬人,,或累計(jì)向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息。
文 / 蔣琳 尤一煒
個人信息,、重要數(shù)據(jù)等關(guān)乎個人信息權(quán)益,、國家安全和社會公共利益的數(shù)據(jù)出境將迎來監(jiān)管。10月29日,,國家互聯(lián)網(wǎng)信息辦公室(下稱“網(wǎng)信辦”)發(fā)布《數(shù)據(jù)出境安全評估辦法(征求意見稿)》,,并向社會公開征求意見,。
南都記者梳理發(fā)現(xiàn),這是網(wǎng)絡(luò)安全法審議通過以來,,網(wǎng)信辦第三次對數(shù)據(jù)出境安全相關(guān)的評估辦法征求意見,。征求意見稿擬對達(dá)到申報(bào)要求的個人信息規(guī)模劃出紅線,如處理個人信息達(dá)到一百萬人,,或累計(jì)向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息,。
多位專家對南都記者表示,征求意見稿“解決了企業(yè)當(dāng)下迫切關(guān)注的問題”,,是網(wǎng)絡(luò)安全法,、數(shù)據(jù)安全法和個人信息保護(hù)法共同確立的數(shù)據(jù)出境安全評估制度的落地細(xì)則,而三次征求意見則反映了政策不斷完善的過程,。
網(wǎng)信辦三次對數(shù)據(jù)出境安全相關(guān)評估辦法征求意見
據(jù)了解,,《數(shù)據(jù)出境安全評估辦法》的制定目的是規(guī)范數(shù)據(jù)出境活動,保護(hù)個人信息權(quán)益,,維護(hù)國家安全和社會公共利益,,促進(jìn)數(shù)據(jù)跨境安全、自由流動,。
“經(jīng)濟(jì)全球化條件下,,數(shù)據(jù)跨境流動是常態(tài),為全球經(jīng)濟(jì)活動,、人類社會發(fā)展提供了基礎(chǔ)支撐,。因此,數(shù)據(jù)出境評估制度在世界各國的安全和發(fā)展戰(zhàn)略中,,都是一個重要事項(xiàng),,也是近年來國際貿(mào)易規(guī)則、協(xié)定以及多邊雙邊磋商的重大議題”,,中國信息安全研究院副院長左曉棟指出,。
南都記者注意到,這是2016年網(wǎng)絡(luò)安全法通過審議以來,,網(wǎng)信辦第三次對數(shù)據(jù)出境安全相關(guān)的評估辦法征求意見,。
早在2017年,網(wǎng)信辦就會同相關(guān)部門起草發(fā)布了《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》,。2019年,,網(wǎng)信辦又發(fā)布《個人信息出境安全評估辦法(征求意見稿)》。時隔兩年,,此次的《數(shù)據(jù)出境安全評估辦法(征求意見稿)》出臺,。
值得注意的是,三份征求意見稿對應(yīng)的數(shù)據(jù)類型并不相同——從最初的“個人信息和重要數(shù)據(jù)”,到單獨(dú)的“個人信息”,,再到語義相對籠統(tǒng)的“數(shù)據(jù)”,。其中此次征求意見稿中的“數(shù)據(jù)”包括了“數(shù)據(jù)處理者向境外提供在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)和依法應(yīng)當(dāng)進(jìn)行安全評估的個人信息”。
左曉棟對南都記者表示,,第一次是為了與網(wǎng)絡(luò)安全法實(shí)施同步,,但相關(guān)規(guī)定并不完善;第二次考慮了重要數(shù)據(jù)與個人信息的不同,,擬對其分別制定出境安全評估辦法,,所以先起草了《個人信息出境安全評估辦法(征求意見稿)》,,但該辦法并不能解決個人信息出境的所有問題,,而重要數(shù)據(jù)的定義當(dāng)時尚不明確?!斑@反映了政策不斷完善的過程,。”
“直到這一次,,在數(shù)據(jù)安全法和個人信息保護(hù)法的補(bǔ)充下,,數(shù)據(jù)出境安全評估制度已經(jīng)在法律上比較完善,制定具體落地辦法的條件終于成熟,?!弊髸詶澱f,“隨著《數(shù)據(jù)出境安全評估辦法》征求意見,,《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》和《個人信息出境安全評估辦法(征求意見稿)》自然廢止,。”
中國人民大學(xué)未來法治研究院副院長丁曉東補(bǔ)充指出,,網(wǎng)絡(luò)安全法,、數(shù)據(jù)安全法和個人信息保護(hù)法構(gòu)建了完整的與數(shù)據(jù)安全相關(guān)的法律體系。從健全法律,、促進(jìn)法律落地的背景來說,,征求意見稿將關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者收集產(chǎn)生的數(shù)據(jù)、重要數(shù)據(jù)和個人信息等囊括其中,,是一個整體性思考,。
另一個明顯的變化是,前兩份評估辦法的規(guī)制主體都是“網(wǎng)絡(luò)運(yùn)營者”,,與網(wǎng)絡(luò)安全法中的表述一致,;而此次征求意見稿的規(guī)制主體則是數(shù)據(jù)“處理者”,與數(shù)據(jù)安全法和個人信息保護(hù)法表述一致,。
資深數(shù)據(jù)法律師袁立志指出,,網(wǎng)絡(luò)運(yùn)營者是網(wǎng)絡(luò)安全法中的概念,而數(shù)據(jù)出境評估辦法歸管的主體應(yīng)該遵從數(shù)據(jù)安全法和個人信息保護(hù)法中的相關(guān)規(guī)定,即數(shù)據(jù)處理者,?!半m然兩者在大部分情況下是同一個主體,但也有一些情況下是不同的,,使用數(shù)據(jù)處理者的表述會更加準(zhǔn)確,。”
“相較‘網(wǎng)絡(luò)運(yùn)營者’,,‘?dāng)?shù)據(jù)處理者’代表的范圍更大,,比如沒有實(shí)現(xiàn)網(wǎng)絡(luò)化、數(shù)字化的企業(yè)也包含在‘?dāng)?shù)據(jù)處理者’的范圍中,?!倍詵|說。
圖片
“一百萬”“十萬”適用于不同數(shù)據(jù)處理場景
多位專家對南都記者表示,,征求意見稿第四條是核心條款,。該條對數(shù)據(jù)處理者向境外提供數(shù)據(jù)時,哪些情形下需要申報(bào)數(shù)據(jù)出境安全評估做出了明確規(guī)定,。
第四條 數(shù)據(jù)處理者向境外提供數(shù)據(jù),,符合以下情形之一的,應(yīng)當(dāng)通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評估,。
?。ㄒ唬╆P(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者收集和產(chǎn)生的個人信息和重要數(shù)據(jù);
?。ǘ┏鼍硵?shù)據(jù)中包含重要數(shù)據(jù),;
(三)處理個人信息達(dá)到一百萬人的個人信息處理者向境外提供個人信息,;
?。ㄋ模├塾?jì)向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息;
?。ㄎ澹﹪揖W(wǎng)信部門規(guī)定的其他需要申報(bào)數(shù)據(jù)出境安全評估的情形,。
左曉棟指出,網(wǎng)絡(luò)安全法第三十七條首次規(guī)定了數(shù)據(jù)出境安全評估制度,,但范圍只限定在關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者在中國境內(nèi)運(yùn)營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù),。“事實(shí)上,,很多數(shù)據(jù)出境行為未必同關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)”,,他說,后來數(shù)據(jù)安全法從重要數(shù)據(jù)出境方面,、個人信息保護(hù)法從個人信息出境方面進(jìn)行了彌補(bǔ),。
根據(jù)個人信息保護(hù)法,,處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者,確需向境外提供的,,應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評估,。多位專家均表示,征求意見稿中規(guī)定的100萬是對上述規(guī)定數(shù)量的明確,。
談及關(guān)于達(dá)到申報(bào)要求的個人信息規(guī)模的規(guī)定,,丁曉東表示,100萬不是一個絕對標(biāo)準(zhǔn),,并不代表擁有99.99萬用戶量的企業(yè)向境外傳輸數(shù)據(jù)時,,就不需要進(jìn)行安全評估。他認(rèn)為“這個紅線是為了區(qū)分小型商家和大型平臺”,。
左曉棟則提出,,規(guī)定中的“一百萬”和“十萬”的條件值適用于不同的情況,這反映了在信息技術(shù)廣泛應(yīng)用的情況下,,網(wǎng)絡(luò)運(yùn)營者,、數(shù)據(jù)處理者的復(fù)雜性,、多樣性為立法工作帶來的挑戰(zhàn),。
“傳統(tǒng)互聯(lián)網(wǎng)企業(yè)動輒處理幾十萬、上百萬的個人信息,。如果把這個閾值定得過低,,會導(dǎo)致大量互聯(lián)網(wǎng)企業(yè)在數(shù)據(jù)出境時只能選擇網(wǎng)信部門安全評估方式,無論對企業(yè)還是政府部門工作而言都帶來太高成本,。但同時也要看到……有的時候幾萬,、幾十萬個人信息已經(jīng)達(dá)到了一個企業(yè)處理個人信息的天花板,但這幾十萬的量卻影響十分巨大,?!彼e例說,一個車企一年賣十萬輛智能汽車是不錯的成績了,,如果把閾值定在一百萬,,一些可能存在嚴(yán)重國家安全、數(shù)據(jù)安全隱患的智能汽車企業(yè)將被排除在外,,“這顯然也是不合適的,。”
在袁立志看來,,相對于中國市場的體量,,100萬是“比較低的標(biāo)準(zhǔn)”,很容易觸發(fā),。將紅線劃在100萬,,可能是主管部門認(rèn)為當(dāng)前國際數(shù)據(jù)安全形勢比較嚴(yán)峻,,出于對國家數(shù)據(jù)安全、爭奪國際數(shù)據(jù)控制權(quán)等的考量,。另一方面,,該紅線會倒逼企業(yè)在本地存儲數(shù)據(jù),減少數(shù)據(jù)出境的需求,。
南都記者注意到,,一百萬的“紅線”在今年7月公布的《網(wǎng)絡(luò)安全審查辦法(修訂草案征求意見稿)》中也被提及。上述文件擬規(guī)定,,掌握超過100萬用戶個人信息的運(yùn)營者赴國外上市,,必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查。
對此,,左曉棟認(rèn)為,,“處理個人信息達(dá)到一百萬人的個人信息處理者向境外提供個人信息”涵蓋了“掌握超過100萬用戶個人信息的運(yùn)營者赴國外上市”的情況。換言之,,后者是一種典型的數(shù)據(jù)出境行為,,既然達(dá)到了“100萬”,就自然進(jìn)入國家網(wǎng)信部門的安全評估程序,。
除了第四條,,征求意見稿的第五條和第九條也十分重要——它們分別針對數(shù)據(jù)處理者事先開展數(shù)據(jù)出境風(fēng)險(xiǎn)重點(diǎn)評估的事項(xiàng)和數(shù)據(jù)處理者與境外接收方訂立的合同應(yīng)包含的內(nèi)容做出規(guī)定。
“《辦法》的第五條和第九條具有通用性,?!弊髸詶澱J(rèn)為,無論任何一種數(shù)據(jù)出境,,至少要遵循兩類要求:一是出境前的自評估,,二是數(shù)據(jù)發(fā)送方與數(shù)據(jù)接收方的安全保護(hù)義務(wù)。
數(shù)據(jù)出境評估結(jié)果有效期為兩年
11月1日,,個人信息保護(hù)法將正式實(shí)施,,而數(shù)據(jù)安全法也已于9月1日生效?!半S著兩部法律的正式實(shí)施,,許多企業(yè)有數(shù)據(jù)出境評估的迫切需求,如果不做,,擔(dān)心被事后追責(zé),,而沒有這個評估辦法的話,企業(yè)又不知道怎么做,?!痹⒅菊J(rèn)為,征求意見稿“解決了企業(yè)當(dāng)下迫切關(guān)注的問題”,。
征求意見稿擬規(guī)定,,數(shù)據(jù)出境評估結(jié)果有效期為兩年,,如有效期屆滿需繼續(xù)開展數(shù)據(jù)出境活動,數(shù)據(jù)處理者應(yīng)當(dāng)在有效期屆滿六十個工作日前重新申報(bào)評估,。
南都記者注意到,,上述條款基本延續(xù)了2019年《個人信息出境安全評估辦法(征求意見稿)》擬規(guī)定的“每2年或者個人信息出境目的、類型和境外保存時間發(fā)生變化時應(yīng)當(dāng)重新評估”,,并在其基礎(chǔ)上做出了更加具體的規(guī)定,。
如征求意見稿提到,在有效期內(nèi)出現(xiàn)以下情形之一的,,數(shù)據(jù)處理者應(yīng)當(dāng)重新申報(bào)評估:向境外提供數(shù)據(jù)的目的,、方式、范圍,、類型和境外接收方處理數(shù)據(jù)的用途,、方式發(fā)生變化,或者延長個人信息和重要數(shù)據(jù)境外保存期限的,;境外接收方所在國家或者地區(qū)法律環(huán)境發(fā)生變化,,數(shù)據(jù)處理者或者境外接收方實(shí)際控制權(quán)發(fā)生變化,數(shù)據(jù)處理者與境外接收方合同變更等可能影響出境數(shù)據(jù)安全的,;出現(xiàn)影響出境數(shù)據(jù)安全的其他情形的,。
丁曉東認(rèn)為,征求意見稿會對具有強(qiáng)數(shù)據(jù)出境需求的企業(yè)帶來合規(guī)壓力,,這是“毫無疑問的”,。與此同時,還會對個人帶來間接影響——根據(jù)個人信息保護(hù)法的要求,,企業(yè)在跨境傳輸數(shù)據(jù)時,需要經(jīng)過用戶的同意,。
“歷經(jīng)四年,,我國終于在法律層面建立了數(shù)據(jù)出境安全評估制度?!?左曉棟表示,,征求意見稿是網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法和個人信息保護(hù)法共同確立的數(shù)據(jù)出境安全評估制度的落地細(xì)則,。根據(jù)法律的授權(quán),,網(wǎng)信辦制定征求意見稿,使數(shù)據(jù)出境安全評估制度落地,。
不過他同時指出,,當(dāng)前我國需要建立的不僅僅是數(shù)據(jù)出境安全評估制度,而是完整的數(shù)據(jù)出境安全管理制度,?!盁o論《辦法》多么重要,,其只能是我國數(shù)據(jù)出境安全管理制度的一部分,后續(xù)還需要制定出臺另外的法規(guī)政策文件,,共同構(gòu)建我國數(shù)據(jù)出境安全管理制度,。”