《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 數(shù)據(jù)出境規(guī)則的再次探索:《數(shù)據(jù)出境安全評估辦法(征求意見稿)》

數(shù)據(jù)出境規(guī)則的再次探索:《數(shù)據(jù)出境安全評估辦法(征求意見稿)》

2021-10-31
來源:數(shù)字科技說
關(guān)鍵詞: 安全評估

  2021年10月29日,網(wǎng)信辦發(fā)布了《數(shù)據(jù)出境安全評估辦法(征求意見稿)》(“本辦法”),,作為《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》的配套規(guī)則,。這不是第一次,甚至不是第二次網(wǎng)信部門就數(shù)據(jù)出境的規(guī)則征求意見,,在2017年4月曾發(fā)布過《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》,,2019年6月再度發(fā)布《個人信息出境安全評估辦法(征求意見稿)》。

  與之前不同,,此次的《數(shù)據(jù)出境安全評估辦法(征求意見稿)》是在《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》塵埃落定的基礎(chǔ)上征求意見,。

  雖然征求意見稿的發(fā)布讓數(shù)據(jù)出境規(guī)則稍稍清晰,但仍然有大量內(nèi)容處于迷霧之中,。

  一,、境外直接處理

  《數(shù)據(jù)出境安全評估辦法(征求意見稿)》的立法以境內(nèi)處理者為核心,需要履行自評估,、申報等多項義務(wù),。但如果是境外主體直接收集、使用境內(nèi)數(shù)據(jù),,則完全不受本辦法的規(guī)制,。境外直接處理主要是依據(jù)《個人信息保護法》第53條:“境外的個人信息處理者,應(yīng)當(dāng)在中華人民共和國境內(nèi)設(shè)立專門機構(gòu)或者指定代表,,負責(zé)處理個人信息保護相關(guān)事務(wù),,并將有關(guān)機構(gòu)的名稱或者代表的姓名、聯(lián)系方式等報送履行個人信息保護職責(zé)的部門,?!笨瓷先ブ皇切枰写聿笏图纯桑绕鸢踩u估要容易得多,。

  微信圖片_20211031145537.jpg

  數(shù)據(jù)出境安全評估的“抓手”是將數(shù)據(jù)傳輸至境外的數(shù)據(jù)處理者,,如果由境外主體面向境內(nèi)自然人收集,那么境內(nèi)的自然人顯然不可能去進行數(shù)據(jù)出境的評估,,那么進而導(dǎo)致數(shù)據(jù)出境安全評估無從下手,。

  那么這樣的一個可能后果是跨國企業(yè)即使在境內(nèi)存在數(shù)據(jù)處理者,也會通過法律與IT架構(gòu)的安排,,讓境外主體直接處理數(shù)據(jù),、境內(nèi)主體完全與數(shù)據(jù)隔離,履行報送義務(wù)即可,,完全規(guī)避掉安全評估的各項義務(wù),。

  如果實踐中出現(xiàn)此種“漏洞”,那么無疑會被跨國企業(yè)所利用,,進而導(dǎo)致監(jiān)管部門可能會進一步要求如果有境內(nèi)實體,,海外實體不得直接收集消費者個人信息,給該制度打上補丁,。

  二,、跨境評估與境外報送

  另一個《數(shù)據(jù)出境安全評估辦法(征求意見稿)》未解決的問題是,當(dāng)數(shù)據(jù)出境安全評估完成后,,境外的接收方是否還需要履行向中國監(jiān)管部門的報送義務(wù),,在境內(nèi)設(shè)立專門機構(gòu)或任命代表,。因為在理論上,境外數(shù)據(jù)接收方也同樣屬于《個人信息保護法》第3條第2款適用范圍規(guī)定的情形之一:

  以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的,;

  分析,、評估境內(nèi)自然人的行為;

  法律,、行政法規(guī)規(guī)定的其他情形,。

  在《數(shù)據(jù)出境安全評估辦法(征求意見稿)》中對評估事項的羅列,并沒有要求境外接收方提供境內(nèi)專門機構(gòu)或代表的信息,。我不確定這是意味著數(shù)據(jù)接收方無需履行報送與境內(nèi)任命的義務(wù),,或是未來會新設(shè)接收方境內(nèi)任命的制度或申報入口。

  三,、雜項與猜想

  申報對象:目前來看,,評估辦法是計劃以場景進行劃分,企業(yè)如果數(shù)據(jù)出境場景復(fù)雜,,需要多次申報以覆蓋不同場景,。即申報的門檻是根據(jù)主體來界定,但只要出現(xiàn)新的場景就可能需要申報,。

  申報書:申報書可能是制式的,,會由網(wǎng)信部門提供下載或使用在線系統(tǒng)。

  合同之一:審查需要提交“數(shù)據(jù)處理者與境外接收方擬訂立的合同或者其他具有法律效力的文件等”,,但并不清楚是僅需要提供與數(shù)據(jù)處理相關(guān)的內(nèi)容(附件),,還是需要提供完整的合同。如果提交根據(jù)《個人信息保護法》第38條國家網(wǎng)信部門制定的標(biāo)準合同,,不確定能否達到合同提交的要求,。

  合同之二:在一些場景下,比如跨國企業(yè)內(nèi)部員工個人信息出境(海外統(tǒng)一管理),,可能不存在海外總部與中國境內(nèi)實體之間的數(shù)據(jù)處理協(xié)議,,可能需要提交包含《數(shù)據(jù)出境安全評估辦法(征求意見稿)》第9條的規(guī)章制度。

  合同之三:提交的合同或許是需要完成簽署的版本,,沒有簽署的合同模板可能不會被受理,。但數(shù)據(jù)出境安全評估存在不通過的可能,可能需要在合同中注明此合同須在通過數(shù)據(jù)出境安全評估后方可生效,,以避免因為沒有通過而造成損失,。

  申訴:不確定數(shù)據(jù)出境安全評估是否可以申請行政復(fù)議或行政訴訟。在《數(shù)據(jù)安全法》中,,明確了數(shù)據(jù)安全審查是最終決定,,因此無法申請行政復(fù)議或行政訴訟。數(shù)據(jù)出境安全評估的效力并不確定,,但大概率不會有救濟措施,。

  網(wǎng)絡(luò)安全審查:網(wǎng)絡(luò)安全審查與數(shù)據(jù)出境安全評估是兩套獨立的制度,,但可能會同時觸發(fā),如關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購海外具有數(shù)據(jù)收集功能的IT設(shè)備,,就需要同時完成審查和安全評估,。

  策略:可能會有企業(yè)為規(guī)避數(shù)據(jù)出境安全評估,設(shè)立不同實體分別處理不同場景的數(shù)據(jù),,比如在集團內(nèi),公司A負責(zé)集團人事數(shù)據(jù),、公司B負責(zé)消費者數(shù)據(jù),、公司C負責(zé)患者敏感個人信息、公司D負責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施運營,,互相之間實現(xiàn)隔離數(shù)據(jù),。

微信圖片_20211031145540.jpg




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。