2022年7月7日,备受关注的《数据出境安全评估办法》(“《评估办法》”)终于正式颁布。《办法》规定了数据出境安全评估的范围、条件和程序,为数据出境安全评估工作提供了具体指引,标志着《网络安全法》《数据安全法》《个人信息保护法》规定的数据出境安全评估制度正式落地。
一
立法沿革
数据出境安全评估制度由《网络安全法》第三十七条首先确立,“关键信息基础设施的运营者(“CIIO”)在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定”。随后,《数据安全法》《个人信息保护法》均从法律层面确立了数据出境安全评估制度的适用情形。其中,《个人信息保护法》侧重从运营者身份和个人信息处理量级的角度,将“通过国家网信部门组织的安全评估”作为一般个人信息处理者可选的四种出境前提条件之一,并将安全评估作为关键信息基础设施运营者和处理个人信息达到一定数量的个人信息处理者跨境提供个人信息的必要条件[1];《数据安全法》则侧重从重要数据的管理角度,延续了《网络安全法》所要求的关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据出境需要通过国家网信部门组织的安全评估。
但是,由于数据出境问题涉及国家安全、网络安全、外国投资保护、企业实践等大量复杂问题,涉及复杂的利益关系,相关具体规定迟迟没有落地。数据出境安全评估已经成为网络安全、数据安全和个人信息保护中的关键合规缺口。
监管部门在不断发布的新规、标准及征求意见稿中,逐步确立了基于数据处理者身份(是否为关键信息基础设施运营者或达到一定量级的个人信息处理者)、数据类型(是否处理重要数据)和数据数量(处理个人信息或敏感信息是否达到一定数量级)的数据出境安全评估管理思路。在此基础上,2021年10月29日颁布的《数据出境安全评估办法(征求意见稿)》(“《征求意见稿》”),将个人信息和其他数据出境活动纳入统一考虑,同时明确了事前评估和持续监督相结合、风险自评估与安全评估相结合的评估原则,明确了数据安全评估的重点评估内容,即“重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险”。
《评估办法》基本沿袭了《征求意见稿》中的监管思路、评估原则及重点评估内容,仅在适用情形上和评估流程上明显根据实践经验进行了微调。《评估办法》给予企业截至2023年3月31日的6个月的宽限期,为企业结合规定对数据出境活动进行整改留出了必要的时间窗口。
二
核心规定
(一)需要进行数据安全评估的情形
《评估办法》第四条理顺了需要进行数据安全评估的情形,包括:
1
从数据类型监管出发
数据处理者向境外提供重要数据
有关重要数据的定义,《评估办法》在第十九条进行了明确,“本办法所称重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”。该定义与《重要数据识别指南》(后续将更名为《重要数据识别规则》)所确立的识别原则一致,即不再采用列举式识别重要数据,而采用危害性后果对数据进行识别。
2
从数据处理者身份出发
关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息
有关关键信息基础设施的定义和认定规则,《关键信息基础设施安全保护条例》进行了原则性的规定,企业应当根据保护工作部门(即涉及的重要行业和领域的主管部门、监督管理部门)的认定确认自身是否属于关键信息基础设施企业,从而判断自身是否属于关键信息基础设施运营者。
3
从数据数量级出发
自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息
《评估办法》将敏感信息的累计方式加入了起算时间,即安全评估日“上年”的1月1日。值得注意的是该计算方式与近日公布《个人信息出境标准合同规定(征求意见稿)》的规定已经协调一致。此外,“ 10万人”“1万人”的数量指标,我们理解应当计算的应当是“人数”的数量而非个人信息的条数,且数量应以独立的数据处理者计算。上述的“100万人”的计算方式亦同本条所释。需要特别注意的是,累计计算数量的目的仍在于锚定受到规制的数据处理者。累计提供个人信息或敏感个人信息的量级达到后,再对外提供个人信息时无论何等数量均需进行数据安全评估。
4
其他
国家网信部门规定的其他需要申报数据出境安全评估的情形。
(二)监管部门
《数据安全法》第6条规定,国家网信部门统筹协调网络数据安全和相关监管工作。《评估办法》也对此进行了呼应,“国家网信部门受理申报后,根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估”,这意味着《评估办法》将组织开展数据出境安全评估工作的职责统一归于国家网信部门统筹协调。值得关注的是,《评估办法》删除了国家网信部门在重要数据出境场景下征求相关行业主管部门意见的表述,赋予了国家网信部门在数据安全评估上更大的自主权。
此外,数据出境安全评估坚持事前评估和持续监督相结合。因此,国家网信部门也可主动依职权进行监督,根据《评估办法》第17条的规定,国家网信部门发现已通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当书面通知数据处理者终止数据出境活动,数据处理者应当终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估。
(三)数据安全评估的流程
《评估办法》对数据安全评估的流程进行了微调,主要体现在下述几个方面:
1
增加了省级网信部门的完备性查验义务,对资料不全的应当退回并一次性告知需要补充的材料;
2
取消了重要数据出境时国家网信部门征求相关行业主管部门意见的程序。
3
取消了国家网信部门最长60个工作日的评估期限;
4
增加了对评估结果的异议和复评程序。
新的数据安全评估流程如下图所示:

(四)评估对象
如上所述,《评估办法》从数据类型、数据处理者身份、数据数量级出发在《评估办法》第4条规定了评估对象。除此以外,目前已有散落规定规定了大量将落入数据安全评估的评估对象。我们试图与《评估办法》合并整理如下:

(五)风险自评估和数据出境安全评估的评估事项
《评估办法》改动了数据出境自评估义务[15]的前提条件,只要求企业“在申报数据出境安全评估前”而非《征求意见稿》中的“在向境外提供数据前”进行数据自评估。这意味着只有具备数据出境安全评估申报情形的数据处理者需在出境前进行数据出境自评估。考虑到目前适用情形的明确程度,企业自行判断的难度并不大。
其次,需要注意《评估办法》将《征求意见稿》中有关“出境数据的数量”均调整为了“出境数据的规模”。这番调整看似微小,但实际上回避了在某些场景下应用刻板数量计算和评估数据出境时可能导致的困境。此外,重点评估事项中对于数据处理者与境外接收方签署的法律文件的要求不再限制跨境数据的再转移,而仅仅要求双方就此进行“约束性要求”。对于全球化的数据流动趋势而言,此处微调反映了《评估办法》对于立法宗旨“规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,切实以安全保发展、以发展促安全”的全面响应。
通过比较二者评估事项,可以看出自评估与网信评估在评估重点上的微小差异。考虑到自评估制度的设计及评估重点的微小差异,可以合理推测国家网信部门组织的评估将更多在于复核和检查企业自评估成果,全面而高水准的自评估报告将成为企业通过国家网信部门评估的重要基础,企业应当尤为重视自评估工作的开展。

(六)拟定合同
如以上表格所示,《评估办法》要求评估数据处理者与境外接收方订立合同或者其他具有法律效力的文件(“法律文件”),并将重点评估法律文件中是否充分约定了数据安全保护责任义务。《评估办法》第九条对于合同内容进行了最低限度限制:

提请注意的是,法律文件经签署发生效力后,存在数据安全评估未通过进而无法履约的违约风险。我们认为谨慎的解决方案是将安全评估未通过情形与合同解除条款相结合,或者约定合同的生效条件为安全评估通过情形。另外,因为合同一方位于境外,相关中国法院判决可能会面临在境外无法得到承认和执行的风险,因此建议在合同制定过程中要特别注意争议解决条款的制定,以便满足可执行性的要求。
(七)评估有效期及变更情形
数据出境安全评估并非完成一次评估即可一劳永逸,《评估办法》旨在建立持续的评估和监管机制。数据处理者自数据出境评估结果出具之日起的二年有效期内可正常开展数据出境活动。 具体而言,数据处理者通过国家网信部门数据出境安全评估后,在二年内无需就同一接收者后续的多次或连续的传输类似数据申请重新评估。然而,在下列情形下(第十四条、第十七条)数据处理者需要重新申报评估。但应注意,《评估办法》并未规定在重新申报评估期间是否需要终止数据出境活动,有关此点可能还需等待监管部门的进一步解释。但对于企业来说,当相关情况发生变化而可能不再符合数据出境安全管理要求时,应注意及时重新申报安全评估。若后续被国家网信部门通知终止数据出境,不仅可能影响正常经营,还可能面临违法向境外提供数据的相关处罚。
向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的;
境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的;
出现影响出境数据安全的其他情形。
有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。
国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当书面通知数据处理者终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估。
(八)法律责任
《评估办法》第十八条以指示性规定条款,强调了数据处理违反数据出境安全评估制度时将“依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任”。 我们理解,《网络安全法》《数据安全法》和《个人信息保护法》中关于违反数据出境安全和不履行网络安全、数据安全和个人信息保护义务的相关罚则条款将得到适用。我们试梳理如下供参考:

三
与其他制度的交叉
(一)个人信息保护影响评估
《个人信息保护法》中规定应当事先开展的“个人信息保护影响评估”与此处的个人信息出境前的风险自评估制度存在同时触发、交叠执行的现实情况。从提升数据合规效率一并节约合规成本的角度考虑,企业在进行专门针对出境业务场景下的个人信息保护影响评估制度设计时,可以将《评估办法》中规定的个人信息出境前风险自评估与个人信息保护影响评估的要求进行糅合,交由负责个人信息保护合规的部门和同事负责执行。在风险自评估后,参照《个人信息保护法》第五十六条[16]以及《评估办法》第六条[17]的规定,企业应当形成《数据出境风险自评估报告》并至少留存三年,以满足留存个人信息安全影响评估的评估记录保存要求。

(二)网络安全审查制度
2022年1月4日公布的新版《网络安全审查办法》第七条规定“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”,而《评估办法》同样对处理100万人以上个人信息的数据处理者向境外提供个人信息提出了申报和开展数据出境安全评估的法定义务[18]。
在制度运行上,虽然两条规定的约束对象分别是“网络平台运营者”和“个人信息处理者”,但根据立法者的解释,二者实质上不存在过多差别,可作同一性理解。但由于“赴国外上市”和“数据跨境”在数据的流动方面存在事实上的重合,因而二者有可能导致法规之间的适用竞合。例如,某在网络平台上掌握了超过100万用户并处理其个人信息的互联网科技公司,在赴海外上市的过程中,由于上市活动需要,将不可避免地存在向境外中介机构、监管部门提供诸如董事、高管的个人信息,以及公司在接受尽职调查中将对客营业的业务数据中可能包含客户信息等情况。而根据上述规定,这种数据的跨境提供行为,也将导致同时适用网络安全审查和出境安全评估的制度。
考虑到两项制度在“维护国家安全”这一规范价值点上存在交叉重叠,但在制度构建的原理和规范目的上并不完全相同,应当认为两者属于并行和独立的制度关系,暂不宜糅合兼并。如何进行具体落地适用尚有待观察进一步的实践情况。
四
结语
在数据活动频繁的全球格局中,由于涉及国家安全、公共利益、个人或组织合法权益以及域外管辖等复杂问题,数据出境制度一直是各国数据立法中的关注和博弈重点,这也是《数据出境安全评估办法》将此类可能影响国家安全、公共利益、个人或者组织合法权益的数据出境活动归口到国家网信部门进行统一审核的原因。从《数据出境安全评估办法》全文安排来看,其始终围绕着数据安全的保障和利用以及相关主体权益保障展开,该两点立法目标也正是《数据安全法》的立法宗旨。由于涉及将中国境内数据保护义务传导至境外数据接收方,《评估办法》在后续落地过程中将会面临的阻力不可小视,此外,《评估办法》所确立的国家网信部门归口管理原则也将导致监管部门面临巨大的审批压力,该压力是否会对数据出境活动构成效率阻碍也正是企业的普遍担心。但无论如何,《数据出境安全评估办法》显示了监管部门对数据出境安全全面把握和管控的决心,企业应尽快按照《评估办法》确立的评估原则、条件、流程协调合规整改资源,保持和监管部门的密切沟通,在宽限期内完成合规整改工作。

注释