數據如何安全出境?近年來,隨著《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》相繼施行,這一問題備受關注。
網絡安全法、個人信息保護法等規定,數據確需向境外提供的,要進行安全評估,比如個人信息保護法第四十條規定:“關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者,應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的,應當通過國家網信部門組織的安全評估;法律、行政法規和國家網信部門規定可以不進行安全評估的,從其規定。”
10月29日,國家互聯網信息辦公室發布的《數據出境安全評估辦法(征求意見稿)》(以下簡稱《征求意見稿》),對數據安全評估作出系統性規定,提出數據出境安全評估堅持事前評估和持續監督相結合、風險自評估與安全評估相結合的制度,對企業數據跨境業務要求更多合規責任。
數據出境前企業
需事先開展“風險自評估”
中國信息通信研究院云計算與大數據研究所工程師仵姣姣表示,《征求意見稿》開宗明義,規定出境評估制度是事前評估和持續監督相結合、風險自評估與安全評估相結合的一套制度。風險自評估可以被理解為是申報數據出境安全評估的前提條件和組成部分。
實際上,國家網信辦在2017年發布的《個人信息和重要數據出境安全評估辦法(征求意見稿)》第七條就規定:“網絡運營者應在數據出境前,自行組織對數據出境進行安全評估,并對評估結果負責。”相比較而言,此次出臺的《征求意見稿》第五條除明確數據處理者在向境外提供數據前應事先開展數據出境風險自評估外,還列舉出了需要重點評估的事項,包括數據出境及境外接收方處理數據的目的、范圍、方式等的合法性、正當性、必要性;出境數據的數量、范圍、種類、敏感程度、數據出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險;數據處理者在數據轉移環節的管理和技術措施、能力等能否防范數據泄露、毀損等風險;境外接收方承諾承擔的責任義務,以及履行責任義務的管理和技術措施、能力等能否保障出境數據的安全;數據出境和再轉移后泄露、毀損、篡改、濫用等的風險,個人維護個人信息權益的渠道是否通暢等;與境外接收方訂立的數據出境相關合同是否充分約定了數據安全保護責任義務。
此外,《征求意見稿》還列舉了企業開展風險自評估需要重點評估的事項,規定了企業申報數據出境安全評估應當提交的材料,以及國家網信部門對數據出境安全評估重點評估的事項。
“《征求意見稿》規定的企業風險自評估的重點評估事項和網信部門重點評估的事項,在內容上看大體一致,這實際上更有利于企業降低合規成本。”中國電子技術標準化研究院網絡安全研究中心測評實驗室副主任何延哲說,“風險自評估”是目前國際通行的風險管理方法。此次《征求意見稿》不僅明確了數據出境風險自評估制度,還對評估制度具體內容作了進一步細化規定,給予企業更加明確的合規指引。企業事前做好“風險自評估”工作,可以為之后的申報評估節省成本,這也讓企業更重視事前的數據安全合規責任。“反之,如果企業事前不注重數據安全合規工作,在‘風險自評估’質量、精準度等方面糊弄了事,那么后期申報評估就會遇到諸多阻礙。”
仵姣姣認為,《征求意見稿》最大的亮點在于非常清晰地明確了申報出境評估的內容和流程,從實體層面來看,明確了出境評估的標準、評估的重點事項、材料清單、合同約定內容等事項;從程序層面來看,規范了網信部門受理申報后全流程的行政程序,對相關企業和網信部門都有重要指導意義。
對“用戶數量”
提出量化標準
如何確定自己應不應該申報數據出境安全評估?《征求意見稿》第四條規定,數據處理者向境外提供數據,符合以下情形之一的,應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估:(一)關鍵信息基礎設施的運營者收集和產生的個人信息和重要數據;(二)出境數據中包含重要數據;(三)處理個人信息達到一百萬人的個人信息處理者向境外提供個人信息;(四)累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息;(五)國家網信部門規定的其他需要申報數據出境安全評估的情形。對外經濟貿易大學數字經濟與法律創新研究中心主任許可表示,上述規定的第(一)種情形在網絡安全法第三十七條中早有明文規定,第(三)(四)種情形則屬于新增規定。“第(三)項的規定,上位法的依據為個人信息保護法第四十條的規定。”但這其中“一百萬”的數量規定是否合適,有待商榷。國家市場監督管理總局10月29日公布的《互聯網平臺分類分級指南(征求意見稿)》對“用戶數量”已經提出可操作的量化標準。
《互聯網平臺分類分級指南(征求意見稿)》在平臺分級方面規定,超級平臺的用戶規模為在中國上年度年活躍用戶不低于5億,大型平臺用戶規模為在中國的上年度年活躍用戶不低于5000萬。
許可表示,從個人信息保護法第四十條的規定來看,“處理個人信息達到國家網信部門規定數量的個人信息處理者”與“關鍵信息基礎設施運營者”為并列關系,兩者在法律性質上應當具備邏輯上的同一性或類似性。
而根據《關鍵信息基礎設施安全保護條例》第二條和第九條的規定,關鍵基礎設施是一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統,在認定時應當考慮“(一)網絡設施、信息系統等對于本行業、本領域關鍵核心業務的重要程度;(二)網絡設施、信息系統等一旦遭到破壞、喪失功能或者數據泄露可能帶來的危害程度;(三)對其他行業和領域的關聯性影響”這些因素。
基于此,許可認為,《征求意見稿》中對需要申報數據出境安全評估的“個人信息處理者”的界定,不能只規定“處理個人信息數量達到一定數量”,還應當納入個人信息處理者的業務類型、重要程度、關聯影響等因素。
數據出境后安全評估
應考慮技術措施
仵姣姣表示,《征求意見稿》非常清晰地量化了處理個人數據達到怎樣的規模后需要進行風險評估,需要注意的是還應衡量具體數額的明確性以及自由裁量的空間。
仵姣姣舉例說,例如一些智能穿戴設備、網聯汽車等行業,處理數據涉及人數雖然也許不多,但可能帶來的風險甚至會高于部分互聯網企業收集的消費行為數據。
許可表示,數據出境安全評估涉及的個人信息、重要數據以及個人信息向重要數據轉化的問題,數量規模只是其中一個認定因素,應當從多重維度判斷。“比如《征求意見稿》規定:‘累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息’,針對特殊敏感人群,‘十萬人’的門檻可能過高,而針對大眾,‘十萬人’的門檻又可能過低。”
何延哲說,實踐中,達到“處理個人信息達到一百萬人的個人信息處理者”的企業比例不小,如果按照《征求意見稿》現有的規定,那么對確有數據出境需求的企業而言,數據出境安全評估可能會成為一種常態義務。
此外,《征求意見稿》還對數據出境后的風險防范作了規定。數據處理者申報數據出境安全評估應當提交數據處理者與境外接收方擬訂立的合同或者其他具有法律效力的文件等。《征求意見稿》第九條對合同應涉及的數據安全保護責任義務等內容也作了規定,要求應當包括境外接收方處理數據的用途、方式等;數據在境外保存的地點、期限,以及達到保存期限、完成約定目的或者合同終止后出境數據的處理措施;限制境外接收方將出境數據再轉移給其他組織、個人的約束條款;境外接收方在實際控制權或者經營范圍發生實質性變化,或者所在國家、地區法律環境發生變化導致難以保障數據安全時,應當采取的安全措施;違反數據安全保護義務的違約責任和具有約束力且可執行的爭議解決條款;發生數據泄露等風險時,妥善開展應急處置,并保障個人維護個人信息權益的通暢渠道等內容。
何延哲認為,合同通常在跨境貿易中扮演重要角色,《征求意見稿》對合同內容的規定是一大亮點。但對企業來說,操作指引確實越細越好,如有規范的不同場景的合同范例,將更有助于推動出境管理制度有效落地。
何延哲表示,數據安全重在預防風險,《征求意見稿》還可以提出一些具體的技術措施開展預防工作。比如即時通信中常用的“閱后即焚”機制,可以有效控制信息的二次傳播。“如果出境后的數據采取一些使用限制條件、安全審計等技術措施,就可以有效降低數據出境后的風險。”(作者:□本社記者 任文岱)