,,

全力構(gòu)建數(shù)據(jù)出境的“安全屏障” 9月1日起《數(shù)據(jù)出境安全評(píng)估辦法》正式施行

2022-08-30 10:32:22 來源：人民郵電報(bào)

9月1日起，《數(shù)據(jù)出境安全評(píng)估辦法》(以下簡(jiǎn)稱《辦法》)正式施行。

網(wǎng)絡(luò)安全的核心是數(shù)據(jù)安全，在數(shù)據(jù)對(duì)各領(lǐng)域的重要性與日俱增的同時(shí)，數(shù)據(jù)風(fēng)險(xiǎn)與數(shù)據(jù)安全問題也越發(fā)突出，給社會(huì)帶來了前所未有的挑戰(zhàn)。在此背景下，數(shù)據(jù)出境的安全問題不僅關(guān)乎數(shù)據(jù)本身作為重要生產(chǎn)要素的開發(fā)利用與安全，尤其是與國(guó)家主權(quán)、國(guó)家安全、個(gè)人信息權(quán)益、社會(huì)公共利益等休戚相關(guān)。因此，按照總體國(guó)家安全觀的要求，在《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等有關(guān)數(shù)據(jù)和個(gè)人信息出境法律規(guī)則的框架下，制定一部專門的數(shù)據(jù)出境安全評(píng)估規(guī)定十分必要和迫切。

數(shù)據(jù)出境的主要類型

數(shù)據(jù)出境，主要指在中國(guó)境內(nèi)的數(shù)據(jù)處理者通過網(wǎng)絡(luò)及其他方式(如物理攜帶)，將其在中國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的數(shù)據(jù)，通過直接提供或開展業(yè)務(wù)、提供服務(wù)和產(chǎn)品等方式提供給境外的組織或個(gè)人的一次性活動(dòng)或連續(xù)性活動(dòng)。

《辦法》第二條規(guī)定，數(shù)據(jù)處理者向境外提供在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)和個(gè)人信息的安全評(píng)估，適用本辦法。法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。根據(jù)上述規(guī)定，《辦法》主要針對(duì)在中國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)和個(gè)人信息進(jìn)行安全評(píng)估，這里有三個(gè)關(guān)鍵詞：一是中國(guó)境內(nèi);二是運(yùn)營(yíng)中收集和產(chǎn)生;三是重要數(shù)據(jù)和一定數(shù)量的個(gè)人信息。

這里需要明確運(yùn)營(yíng)中收集和產(chǎn)生的數(shù)據(jù)之間的區(qū)別，根據(jù)《數(shù)據(jù)安全法》第三條第一款和第二款規(guī)定，數(shù)據(jù)，是指任何以電子或者其他方式對(duì)信息的記錄。數(shù)據(jù)處理，包括數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等。《辦法》中涉及的數(shù)據(jù)，包括中國(guó)境內(nèi)數(shù)據(jù)處理者通過網(wǎng)絡(luò)及其他方式收集和產(chǎn)生的數(shù)據(jù)，但主要是網(wǎng)絡(luò)數(shù)據(jù)，其中收集數(shù)據(jù)無論是采取自動(dòng)化方式還是非自動(dòng)化方式，是一種具有目的性的積極主動(dòng)行為，屬于《數(shù)據(jù)安全法》數(shù)據(jù)處理中的七種處理行為之一。

數(shù)據(jù)的產(chǎn)生則不同，其沒有具體的目的，主要是網(wǎng)絡(luò)和信息系統(tǒng)生成的社會(huì)數(shù)據(jù)，數(shù)據(jù)生成的模式大致有三種情形：一是用戶主動(dòng)提供的數(shù)據(jù)，比如以博客、微博、微信為代表的新型數(shù)字社交平臺(tái)，以及以電子商務(wù)為代表的數(shù)字交易平臺(tái)，使得用戶主動(dòng)向數(shù)字平臺(tái)提供海量的數(shù)據(jù);二是數(shù)字城市(城市大腦)的建設(shè)將大量的智能終端設(shè)備和傳感器接入物聯(lián)網(wǎng)，遍布在城市各個(gè)角落的攝像頭和傳感器等數(shù)據(jù)采集設(shè)備源源不斷地自動(dòng)生成并產(chǎn)生海量的數(shù)據(jù);三是企業(yè)在研發(fā)設(shè)計(jì)、生產(chǎn)制造、經(jīng)營(yíng)管理、運(yùn)維服務(wù)、平臺(tái)運(yùn)營(yíng)、應(yīng)用服務(wù)等過程中產(chǎn)生的海量數(shù)據(jù)。

數(shù)據(jù)出境主要有以下三類情形：一是向本國(guó)境內(nèi)機(jī)構(gòu)提供數(shù)據(jù)，但該機(jī)構(gòu)不屬于本國(guó)司法管轄，如外國(guó)大使館就屬于使館所在國(guó)的國(guó)家領(lǐng)土，不屬于派遣國(guó)的國(guó)家領(lǐng)土;二是數(shù)據(jù)未轉(zhuǎn)移存儲(chǔ)至本國(guó)以外的地方，但可以被境外的組織、個(gè)人訪問查看，不包括公開的數(shù)據(jù)和通過網(wǎng)頁(yè)訪問的數(shù)據(jù);三是數(shù)據(jù)處理者集團(tuán)內(nèi)部數(shù)據(jù)由境內(nèi)轉(zhuǎn)移至境外，其中涉及其在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的數(shù)據(jù)。但是具有以下兩種情形，不屬于數(shù)據(jù)出境：一是非在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的數(shù)據(jù)經(jīng)由本國(guó)出境，且數(shù)據(jù)未經(jīng)任何加工處理;二是非在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的數(shù)據(jù)，但在境內(nèi)存儲(chǔ)、加工處理后出境，不涉及境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的數(shù)據(jù)。

基本原則和需要申報(bào)的情形

我國(guó)數(shù)據(jù)出境安全評(píng)估的目的，是在確保防范數(shù)據(jù)出境安全風(fēng)險(xiǎn)的基礎(chǔ)上，保障數(shù)據(jù)依法有序自由流動(dòng)。為了達(dá)到上述目的，《辦法》提出了數(shù)據(jù)出境安全評(píng)估應(yīng)遵循兩項(xiàng)基本原則：一是堅(jiān)持事前評(píng)估和持續(xù)監(jiān)督相結(jié)合原則;二是堅(jiān)持風(fēng)險(xiǎn)自評(píng)估與國(guó)家安全評(píng)估相結(jié)合原則。

第一項(xiàng)原則表明，重要數(shù)據(jù)和依法應(yīng)當(dāng)進(jìn)行安全評(píng)估的個(gè)人信息，必須在出境前進(jìn)行數(shù)據(jù)安全出境評(píng)估，但是保障數(shù)據(jù)出境安全不僅僅是一次性評(píng)估，還要對(duì)出境后的數(shù)據(jù)進(jìn)行持續(xù)性安全監(jiān)督，重點(diǎn)監(jiān)督與境外接收方訂立法律文件中約定的數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)的履行情況;第二項(xiàng)原則提出了重要數(shù)據(jù)和依法應(yīng)當(dāng)進(jìn)行安全評(píng)估的個(gè)人信息實(shí)施階梯式評(píng)估模式，即“自評(píng)估”﹢“國(guó)家安全評(píng)估”，以企業(yè)數(shù)據(jù)出境自評(píng)估為基礎(chǔ)，以國(guó)家安全評(píng)估為保障，這是一個(gè)合二為一的整體性安全評(píng)估模式。

《辦法》第四條明確了有以下四種情形之一的，應(yīng)當(dāng)申報(bào)數(shù)據(jù)出境安全評(píng)估：數(shù)據(jù)處理者向境外提供重要數(shù)據(jù);關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理100萬人以上個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息;自上年1月1日起累計(jì)向境外提供10萬人個(gè)人信息或者1萬人敏感個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息;國(guó)家網(wǎng)信部門規(guī)定的其他需要申報(bào)數(shù)據(jù)出境安全評(píng)估的情形。申請(qǐng)者申報(bào)數(shù)據(jù)出境安全評(píng)估，應(yīng)當(dāng)通過所在地省級(jí)網(wǎng)信部門向國(guó)家網(wǎng)信部門提出。

開展數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估的重點(diǎn)

依據(jù)《辦法》第五條的規(guī)定，數(shù)據(jù)處理者在申報(bào)數(shù)據(jù)出境安全評(píng)估前，應(yīng)當(dāng)對(duì)以下六項(xiàng)重點(diǎn)內(nèi)容開展數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估：一是數(shù)據(jù)出境和境外接收方處理數(shù)據(jù)的目的、范圍、方式等的合法性、正當(dāng)性、必要性;二是出境數(shù)據(jù)的規(guī)模、范圍、種類、敏感程度，數(shù)據(jù)出境可能對(duì)國(guó)家安全、公共利益、個(gè)人或者組織合法權(quán)益帶來的風(fēng)險(xiǎn);三是境外接收方承諾承擔(dān)的責(zé)任義務(wù)，以及履行責(zé)任義務(wù)的管理和技術(shù)措施、能力等能否保障出境數(shù)據(jù)的安全;四是數(shù)據(jù)出境中和出境后遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等的風(fēng)險(xiǎn)，個(gè)人信息權(quán)益維護(hù)的渠道是否通暢等;五是與境外接收方擬訂立的數(shù)據(jù)出境相關(guān)合同或者其他具有法律效力的文件等是否充分約定了數(shù)據(jù)安全保護(hù)責(zé)任義務(wù);六是其他可能影響數(shù)據(jù)出境安全的事項(xiàng)。

以上自評(píng)估的內(nèi)容有四大特征：一是數(shù)據(jù)出境的合規(guī)性評(píng)估，重點(diǎn)評(píng)估數(shù)據(jù)出境的目的、范圍和方式是否符合我國(guó)數(shù)據(jù)處理的法定原則——合法、正當(dāng)、必要;二是數(shù)據(jù)出境的風(fēng)險(xiǎn)性評(píng)估，重點(diǎn)從出境數(shù)據(jù)的規(guī)模、范圍、種類、敏感度四個(gè)維度分析和評(píng)估，出境的數(shù)據(jù)是否會(huì)給國(guó)家安全、公共利益、個(gè)人或者組織合法權(quán)益帶來風(fēng)險(xiǎn);三是數(shù)據(jù)出境的安全保障能力評(píng)估，重點(diǎn)評(píng)估境外接收方是否具備保障所出境數(shù)據(jù)的安全，尤其是評(píng)估境外接收方能否依據(jù)誠(chéng)實(shí)信用原則，全面履行合同所約定的安全保障義務(wù);四是數(shù)據(jù)出境中和出境后的救濟(jì)渠道評(píng)估，重點(diǎn)評(píng)估在數(shù)據(jù)出境期間和出境后，一旦遭到數(shù)據(jù)的篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等風(fēng)險(xiǎn)，個(gè)人信息權(quán)益維護(hù)和救濟(jì)的渠道是否暢通。

全面履行數(shù)據(jù)出境標(biāo)準(zhǔn)合同

數(shù)據(jù)出境安全評(píng)估是對(duì)數(shù)據(jù)出境風(fēng)險(xiǎn)的事先防范，保證數(shù)據(jù)出境的全過程安全，事先安全評(píng)估是非常關(guān)鍵和重要的環(huán)節(jié)，但是在安全評(píng)估后的數(shù)據(jù)處在境外接收方實(shí)際控制時(shí)，特別是境外接收方國(guó)家或地區(qū)的數(shù)據(jù)安全與個(gè)人信息保護(hù)法律與我國(guó)法律法規(guī)存在差異的情況下，如何保障數(shù)據(jù)在安全可控的范圍，關(guān)鍵在于與境外接收方簽訂切實(shí)可行的合同等法律文件，并使得該合同法律文件得到全面履行。

根據(jù)我國(guó)法律法規(guī)的要求，數(shù)據(jù)處理者因業(yè)務(wù)等需要，確需向我國(guó)境外提供數(shù)據(jù)的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門制定的關(guān)于標(biāo)準(zhǔn)合同的規(guī)定與境外數(shù)據(jù)接收方訂立合同，約定雙方權(quán)利和義務(wù)，尤其要突出“數(shù)據(jù)安全優(yōu)先”的義務(wù)。事實(shí)上，國(guó)家依法要求雙方簽訂數(shù)據(jù)出境標(biāo)準(zhǔn)合同，是實(shí)現(xiàn)國(guó)家數(shù)據(jù)出境安全監(jiān)管的重要措施。

我國(guó)數(shù)據(jù)出境安全評(píng)估制度不僅要保護(hù)個(gè)人信息，更重要的是保障重要數(shù)據(jù)出境活動(dòng)的安全。個(gè)人信息的出境安全評(píng)估申報(bào)有一定數(shù)量的限制，即“處理100萬人以上個(gè)人信息”或“自上年1月1日起累計(jì)向境外提供10萬人個(gè)人信息或者1萬人敏感個(gè)人信息”;重要數(shù)據(jù)的出境必須全部申報(bào)安全評(píng)估，沒有任何數(shù)量的限制。因?yàn)橹匾獢?shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等風(fēng)險(xiǎn)，可能危害國(guó)家安全、公共利益的數(shù)據(jù)。(王春暉)

關(guān)鍵詞：數(shù)據(jù)出境安全評(píng)估辦法個(gè)人信息保護(hù)法網(wǎng)絡(luò)安全法數(shù)據(jù)安全法