2021年10月29日,,網(wǎng)信辦發(fā)布了《數(shù)據(jù)出境安全評估辦法(征求意見稿)》(“本辦法”),,作為《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》的配套規(guī)則,。這不是第一次,,甚至不是第二次網(wǎng)信部門就數(shù)據(jù)出境的規(guī)則征求意見,,在2017年4月曾發(fā)布過《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》,,2019年6月再度發(fā)布《個人信息出境安全評估辦法(征求意見稿)》,。
與之前不同,,此次的《數(shù)據(jù)出境安全評估辦法(征求意見稿)》是在《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》塵埃落定的基礎上征求意見,。
雖然征求意見稿的發(fā)布讓數(shù)據(jù)出境規(guī)則稍稍清晰,,但仍然有大量內容處于迷霧之中,。
一、境外直接處理
《數(shù)據(jù)出境安全評估辦法(征求意見稿)》的立法以境內處理者為核心,,需要履行自評估,、申報等多項義務。但如果是境外主體直接收集,、使用境內數(shù)據(jù),,則完全不受本辦法的規(guī)制。境外直接處理主要是依據(jù)《個人信息保護法》第53條:“境外的個人信息處理者,,應當在中華人民共和國境內設立專門機構或者指定代表,,負責處理個人信息保護相關事務,并將有關機構的名稱或者代表的姓名,、聯(lián)系方式等報送履行個人信息保護職責的部門,。”看上去只是需要委托代表并報送即可,,比起安全評估要容易得多,。
數(shù)據(jù)出境安全評估的“抓手”是將數(shù)據(jù)傳輸至境外的數(shù)據(jù)處理者,如果由境外主體面向境內自然人收集,,那么境內的自然人顯然不可能去進行數(shù)據(jù)出境的評估,,那么進而導致數(shù)據(jù)出境安全評估無從下手。
那么這樣的一個可能后果是跨國企業(yè)即使在境內存在數(shù)據(jù)處理者,,也會通過法律與IT架構的安排,,讓境外主體直接處理數(shù)據(jù)、境內主體完全與數(shù)據(jù)隔離,,履行報送義務即可,,完全規(guī)避掉安全評估的各項義務。
如果實踐中出現(xiàn)此種“漏洞”,,那么無疑會被跨國企業(yè)所利用,,進而導致監(jiān)管部門可能會進一步要求如果有境內實體,海外實體不得直接收集消費者個人信息,,給該制度打上補丁,。
二、跨境評估與境外報送
另一個《數(shù)據(jù)出境安全評估辦法(征求意見稿)》未解決的問題是,,當數(shù)據(jù)出境安全評估完成后,,境外的接收方是否還需要履行向中國監(jiān)管部門的報送義務,在境內設立專門機構或任命代表,。因為在理論上,,境外數(shù)據(jù)接收方也同樣屬于《個人信息保護法》第3條第2款適用范圍規(guī)定的情形之一:
以向境內自然人提供產品或者服務為目的;
分析,、評估境內自然人的行為,;
法律,、行政法規(guī)規(guī)定的其他情形。
在《數(shù)據(jù)出境安全評估辦法(征求意見稿)》中對評估事項的羅列,,并沒有要求境外接收方提供境內專門機構或代表的信息,。我不確定這是意味著數(shù)據(jù)接收方無需履行報送與境內任命的義務,或是未來會新設接收方境內任命的制度或申報入口,。
三,、雜項與猜想
申報對象:目前來看,評估辦法是計劃以場景進行劃分,,企業(yè)如果數(shù)據(jù)出境場景復雜,,需要多次申報以覆蓋不同場景。即申報的門檻是根據(jù)主體來界定,,但只要出現(xiàn)新的場景就可能需要申報,。
申報書:申報書可能是制式的,會由網(wǎng)信部門提供下載或使用在線系統(tǒng),。
合同之一:審查需要提交“數(shù)據(jù)處理者與境外接收方擬訂立的合同或者其他具有法律效力的文件等”,,但并不清楚是僅需要提供與數(shù)據(jù)處理相關的內容(附件),還是需要提供完整的合同,。如果提交根據(jù)《個人信息保護法》第38條國家網(wǎng)信部門制定的標準合同,,不確定能否達到合同提交的要求。
合同之二:在一些場景下,,比如跨國企業(yè)內部員工個人信息出境(海外統(tǒng)一管理),,可能不存在海外總部與中國境內實體之間的數(shù)據(jù)處理協(xié)議,可能需要提交包含《數(shù)據(jù)出境安全評估辦法(征求意見稿)》第9條的規(guī)章制度,。
合同之三:提交的合同或許是需要完成簽署的版本,,沒有簽署的合同模板可能不會被受理。但數(shù)據(jù)出境安全評估存在不通過的可能,,可能需要在合同中注明此合同須在通過數(shù)據(jù)出境安全評估后方可生效,,以避免因為沒有通過而造成損失。
申訴:不確定數(shù)據(jù)出境安全評估是否可以申請行政復議或行政訴訟,。在《數(shù)據(jù)安全法》中,,明確了數(shù)據(jù)安全審查是最終決定,因此無法申請行政復議或行政訴訟,。數(shù)據(jù)出境安全評估的效力并不確定,,但大概率不會有救濟措施。
網(wǎng)絡安全審查:網(wǎng)絡安全審查與數(shù)據(jù)出境安全評估是兩套獨立的制度,,但可能會同時觸發(fā),如關鍵信息基礎設施運營者采購海外具有數(shù)據(jù)收集功能的IT設備,,就需要同時完成審查和安全評估,。
策略:可能會有企業(yè)為規(guī)避數(shù)據(jù)出境安全評估,,設立不同實體分別處理不同場景的數(shù)據(jù),比如在集團內,,公司A負責集團人事數(shù)據(jù),、公司B負責消費者數(shù)據(jù)、公司C負責患者敏感個人信息,、公司D負責關鍵信息基礎設施運營,,互相之間實現(xiàn)隔離數(shù)據(jù)。