各国关于数据出境的监管要求一直是各国数据监管的风向标,不仅体现国家对于数据安全的重视程度,也能意会出国家对于数据竞争的态度以及数字经济发展的思路。例如欧盟《通用数据保护条例》(GDPR)设定的个人数据出境的限制,规定在第三国具备充分保护水平的前提下可将个人数据向第三国传输,而如第三国不具备充分保护水平的,控制者或处理者只有在提供了适当的保障措施,并为数据主体提供了可执行的权利和有效的法律救济措施的条件下,才可将个人数据传输至第三国。上述内容是对于个人数据出境的特殊监管要求,也是解决欧盟单一数字经济发展面临制度障碍的尝试。
数据出境的监管对于数字经济蓬勃发展的中国也尤为重要。一方面需要树立数据监管的价值观,另一方面数据出境监管的制度设计将直接影响跨国企业以及出海企业的日常运营,更深刻的影响数字经济的发展进程。随着《网络安全法》《数据安全法》以及《个人信息保护法》三大法律的确立,以及相关法律法规征求意见稿的出台,我国数据跨境制度法律框架已经完成了基础性搭建。其中,数据出境安全评估制度在我国的数据跨境制度中占据相当重要的地位。2022年7月7日,《数据出境安全评估办法》正式颁布,这意味着,我国数据出境安全评估制度在效力上,从概念的制度向实践的制度迈出了重要的一步。本文在回顾我国数据跨境制度的历史沿革基础上,对《数据出境安全评估办法》的自评估方法进行操作化的解读,为企业等各数据处理者提供自评估合规指引。
01
数据跨境制度的规则导向
而就国内而言,《网络安全法》的生效,初步确立了以安全评估制度为核心的数据跨境的基本规则;随着《数据安全法》《个人信息保护法》等法律法规的出台,数据跨境制度的法律框架逐渐完善,安全评估制度在数据跨境制度中的定位也逐渐清晰。在此期间,为有效落地法律层面的制度规范,国家网信办等有关部门、标准制定单位等陆续发布了不同层级的数据跨境细则、标准指南等草案文件,明晰了数据跨境合规的监管和实践方向。
02
我国数据跨境安全评估制度的历史沿革
在国内数据跨境制度的发展过程中,数据出境安全评估作为数据跨境的合规途径贯穿始终,并随着规则草案的颁布而逐渐细化。以下我们就数据跨境安全评估制度的历史演总结如下:
- 数据跨境安全评估制度的开端——以《网络安全法》作为标志
(1)《网络安全法》奠定数据跨境安全评估制度基础
从时间上看,最开始对数据跨境提出安全评估要求的是2017年的《网络安全法》(“《网安法》”)。《网安法》第37条对关键信息基础设施运营者(“CIIO”)提出了在境内收集和产生的个人信息和重要数据的本地化要求,确需出境的应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。不过,对于上述条文中对“关键信息基础设施运营者”“重要数据”“个人信息”三个核心概念均未进行界定,同时并没有相应的国家层面的安全评估规定,这使得《网安法》的规定与数据跨境安全评估制度实际落地仍有较大距离。因此于同年,国家网信办就《个人信息和重要数据出境安全评估办法(征求意见稿)》公开征求意见,国家标准委随后也就《信息安全技术 数据出境安全评估指南(征求意见稿)》(“《数据出境安全评估指南(征求意见稿)》”)公开征求意见。两文件均不同程度地对《网安法》所奠定的数据跨境安全评估框架进行了进一步的深入和细化。
(2)阶段性征求意见稿明确方向
《个人信息和重要数据出境安全评估办法(征求意见稿)》的贡献在于确立了数据跨境制度之下的安全评估程序的基本流程。该《办法》对需要进行安全评估的情形、安全评估需要重点评估的内容、负责安全评估的主管部门等方面进行了具体的规定,并确立了以自评估为前置流程,申请评估为正式环节,重新评估为可持续性支持的安全评估流程。其中,还值得注意的是安全评估适用范围的拓展。它将适用主体拓展适用于任何符合第9条条件的网络运营者,同时将数据类型拓展至具有一定体量的数据。而《数据出境安全评估指南(征求意见稿)》则是对数据跨境、重要数据、核心数据等基本概念进行了界定和列举,同时提供了极具可操作性的,以影响程度等级和安全事件可能性等级为判断维度的安全评估落实方案。
随后经过大约两年时间,《数据安全管理办法(征求意见稿)》以及《个人信息出境安全评估办法(征求意见稿)》相继公开征求意见。《数据安全管理办法(征求意见稿)》纳入个人信息的有关内容,将包括个人信息在内的数据的收集、处理使用、安全监督管理进行了规定。《数据安全管理办法(征求意见稿)》区分重要数据和个人信息,涉及重要数据跨境的,网络运营者应进行评估,并报经同意或批准;个人信息则按照其他规定执行。
随之而来的《个人信息出境安全评估办法(征求意见稿)》中,个人信息的出境限制比数据出境更为严格,根据第3条的规定,凡涉及个人信息跨境,均需要进行个人信息出境安全评估申报。《个人信息出境安全评估办法(征求意见稿)》可以视为先前《个人信息和重要数据出境安全评估办法(征求意见稿)》的细化版本,其对申报材料、安全评估期限、救济渠道等内容进行细化规定,并强调网络运营者与个人信息接收者签订的合同或者其他有法律效力的文件(统称合同)中所应规定的,保障个人信息权利以及网络运营者、个人信息接收者责任义务的要求。在该文件中,合同审核成为了安全评估的重点内容。
这一阶段,数据跨境安全评估制度得到了较高程度的讨论与细化,奠定了该制度在数据跨境制度中的重要地位。
- 数据跨境安全评估制度的重要更新——以《数据安全法》《个人信息保护法》为标志
(1)数据跨境安全评估制度的适用日益多元化和具体化
随着《数据安全法》(“《数安法》”)以及《个人信息保护法》(“《个信法》”)相继出台并生效,我国的数据跨境制度的基本法律框架得以进一步厘清。《数安法》第31条在CIIO向境外提供重要数据时延续了《网安法》的规定,还为非CIIO的数据处理者在向境外提供重要数据提供了制度留白。《个信法》则是在数据处理者的基础上,进一步界定了个人信息处理者,并规定了“个人信息跨境提供的规则”专章来专门针对个人信息跨境构建规则框架。在《个信法》下,个人信息跨境场景下的安全评估制度有了更多的细化规定。
适用主体上,《个信法》继承了《网安法》和《数安法》的规定,将属于CIIO的个人信息处理者纳入需要安全评估的责任主体范围。在此基础上,《个信法》第36条和第40条还加入两个需要进行安全评估的责任主体,分别是国家机关和处理个人信息达到国家网信部门规定人数的个人信息处理者(下称“大型个人信息处理者”)。《个信法》对上述三者提出了个人信息本地化要求,因需要确需出境的,则需要进行安全评估。其中,CIIO作为长期存在的概念,其概念界定、认定标准以及认定程序在《关键信息基础设施保护条例》中有了相对明确的规定。各主体可以根据该条例的要求,对自身是否可能会被认定为CIIO进行自评估,可能会被认定为CIIO的,宜以CIIO的标准开展数据跨境合规工作。可以看出,在整个数据出境制度体系中,数据出境安全评估占据十分重要的位置。因为对于特定主体而言,安全评估并不是《个信法》第38条第1款所规定的“选择性义务”,而是第36条、第40条所规定的“强制性义务”;不是《网络数据安全管理条例(征求意见稿)》第35条中数据出境的“选择性义务”;而是第37条所规定的“强制性义务”。而同时,“处理个人信息达到国家网信部门规定数量的个人信息处理者”尚需进一步界定。
(2)后续规则草案尝试制度落地
《网安法》《数安法》以及《个信法》三驾马车的形成,为后来的《网络数据安全管理条例(征求意见稿)》的制定提供了上位法基础。《网络数据安全管理条例(征求意见稿)》将数据跨境统一处理,将个人信息跨境制度框架扩展成为数据跨境制度的一般框架,其基本上遵循了《个信法》的制度架构,但同时对三大法律的规定进行了细化,形成制度补充。在延续性地将数据出境安全评估作为数据出境的一种条件的基础上,《网络数据安全管理条例(征求意见稿)》尝试就数据出境安全评估的触发条件做进一步明确,除CIIO情形外,还包括了出境数据中包含重要数据、处理一百万人以上个人信息的数据处理者向境外提供个人信息。
现今生效的办法在统一处理数据出境的基础上,对统一的安全评估制度做了进一步更新。其第4条对《个信法》“处理个人信息达到国家网信部门规定数量的个人信息处理者”进行了补充界定,在“处理个人信息达到一百万人的个人信息处理者向境外提供个人信息”的基础上,补充了“自上年1月1日起累计向境外提供超过十万人个人信息或者一万人敏感个人信息”的数据处理者的情形,较为显著地扩大了数据出境安全评估制度的适用范围。
在具体的评估流程上,《数据出境安全评估办法》明确了自评估——申请评估——重新申报评估的评估流程框架,并对部分细节进行了更新。例如,在有效期上,《数据出境安全评估办法》规定了2年的固定有效期,2年有效期届满均需要进行安全评估,并且规定有效期内需要重新评估的情形。在评估时限上,《数据出境安全评估办法》充分考虑到了安全评估工作的复杂性,例如根据第10条的要求,国家网信部门受理申报后,需要根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估,因而整个过程需要多部门协同以及具有较高的专业性。
在该办法中,数据跨境合同等法律文件仍然是重要的评估内容,与《个人信息出境安全评估办法》相比,《数据出境安全评估办法》综合了的个人信息处理情况、个人信息权利保障以及网络运营者和接收者的责任义务于一体,并补充再跨境条款和争议解决条款的要求,因而更为简洁,同时也更强调标准合同的可行性、周全性以及可执行性。
以上可以看出,《数据安全法》《个人信息保护法》生效之后这一时期的跨境制度,立法者逐渐梳理清楚了数据和个人信息之间的关系,搭建了基本统一的数据跨境法律制度框架。这一时期的个人信息跨境制度的构建拓展了多种允许数据跨境的路径。在众多路径中,安全评估仍然是数据合法跨境的最为重要的路径,也是特定数据处理者的强制性义务。同时,安全评估作为我国特色的数据跨境制度,其具体的落实应给予足够的关注和重视。而《数据出境安全评估办法》的最终生效,象征着我国数据出境安全评估制度的进一步落地,为数据处理者在开展数据安全评估工作提供了确定可操作的法律依据,因而具有里程碑式的意义。
03
《数据出境安全评估办法》内容解读
1.数据出境评估情形与流程
从整体体例来看,《数据出境安全评估办法》对安全评估的程序性规则和实体评估内容均进行了规定。办法中所规定的自评估—申请评估—重新评估,以及评估材料、评估时间、评估通知、评估材料补充更正、评估结果撤销均属于程序性的规定。这些规定能够帮助数据处理者定位自己在开展数据出境安全评估工作中所处的时间点位。
2.数据出境评估内容
上述环节中,数据处理者的自评估与网信部门等有关部门安全评估构成整个评估流程中相对关键和重要的内容。《数据出境安全评估办法》第5条、第8条及对自评估及安全评估的重点事项进行了列举说明。
值得注意的是,对于数据出境安全自评估是否为企业的强制性法律义务,在《数据出境安全评估办法》中也给出了相应的倾向性回答。我们注意到,《数据出境安全评估办法》正式稿第5条改变了企业需履行“自评估”的法定条件,将原先征求意见稿中“数据处理者在向境外提供数据前”改为“数据处理者在申报数据出境安全评估前”,因此我们理解,对于明显不符合或者不属于需向网信部门等相关部门申报数据出境安全评估的情形,数据出境安全风险自评估可能并非强制性法律义务,但这并不代表企业在向境外提供数据前无需进行任何内部自主判断,因此企业依然可以通过自评估的方式,对于是否满足数据出境安全评估的要求进行自证。此外,《个人信息保护法》第55条仍然对企业向境外提供个人信息的行为,需履行个人信息保护影响评估的法定义务。
除上述之外,《数据出境安全评估办法》第9条对数据跨境法律文件(合同)应当包含的内容也进行了说明;法律文件条款的设置也将构成自评估和安全评估的重要组成部分。
数据出境法律文件评估
数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;
对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;
境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施;
违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;
出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。
以上可以看出,自评估与安全评估的重点事项在内容上有一定重叠,安全评估将重点关注数据出境活动对国家安全、公共利益、个人或组织合法权益带来的风险,并将基于此额外考虑境外接收方所在国家或地区的政策、法律、网络安全环境对出境数据安全的影响,以及数据出境活动及所涉相关方遵守中国法律、行政法规、部门规章情况。
3.企业开展自评估的维度及要求
正如前文所述,本文认为数据处理者在正式开展评估工作时,应充分将申请评估阶段和合同等法律文件条款评估纳入到自评估的内容中。但鉴于这些评估内容在表述上仍较为宽泛,本文在对《数据出境安全评估办法》评估内容进行总结的基础上,进一步细化其颗粒度,争取为自评估工作提供一个更为清晰的指引。根据《数据出境安全评估办法》第5条、第8条和第9条的内容,本文认为可以从以下几个维度分别开展自评估工作:数据处理者维度、数据接收方维度、数据出境风险维度,以及合同约束维度。分别整理如下: