2021年10月29日,为规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,国家互联网信息办公室发布关于《数据出境安全评估办法(征求意见稿)》(以下简称“《评估办法》(征求意见稿)”)公开征求意见的通知。
解读《数据出境安全评估办法》(征求意见稿),最首要需要弄明白的一个重点问题是“什么是数据出境”?其实这是一个看起来简单但理起来比较复杂的问题。如下,我们需要从五个层面来剖析,才能弄清楚什么是数据出境。《评估办法》(征求意见稿)第二条规定“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息,应当按照本办法的规定进行安全评估”。《个人信息和重要数据出境安全评估办法(征求意见稿)》第十七条对数据出境的定义为,网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人。《信息安全技术 数据出境安全评估指南(征求意见稿)》(2017年8月25日)第3.7条不仅对数据出境进行了定义,且明确了几种情形属于“数据出境”或不属于“数据出境”。其定义“数据出境”为:网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。且其明确属于“数据出境”及不属于“数据出境”的几种情形:
从如上定义来看,数据出境涉及四个重要要素是需要理清的。
《信息安全技术 数据出境安全评估指南(征求意见稿)(2017年8月25日)》第3.2条对“境内运营”进行了定义,“网络运营者在中华人民共和国境内开展业务,提供产品或服务的活动。”并且,尤其重要的是,《信息安全技术 数据出境安全评估指南(征求意见稿)》同时对“境内运营”提示了两个非常重要的“注明”,具体“注明”如下:
2021年11月1日正式实施的《个人信息保护法》对个人信息的定义为“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”《个人信息保护法》第二十八条规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。《中华人民共和国网络安全法》第七十六条:个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。《信息安全技术 数据出境安全评估指南(征求意见稿)》之附件《重要数据识别指南》对重要数据有较为详细的定义,重要数据是指相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据),一旦未经授权披露、丢失、滥用、篡改或销毁,或汇聚、整合、分析后,可能导致危害国家安全、国防利益,破坏国际关系,损害国家财产、社会公共利益和个人合法利益等严重后果。同时,《重要数据识别指南》分石油天然气、煤炭、石化、电力、通信、电子信息、钢铁、有色金属、装备制造、化学工业、国防军工、交通运输、电子商务等不同行业,细化列举了各个行业的重要数据。很多人以为数据出境就是指网络经营者将个人信息和重要数据记录在有形载体上并将该载体运送出境的行为。但其实并不如此。结合前述“数据出境的官方定义”,数据出境的认定不应仅仅包括有形载体出境,还应当包括其他向境外提供、可以使境外访问查看的方式,如远程访问。此外,网络经营者向境内的机构、组织、个人提供数据时,若该境内主体不属于境内司法管辖或者并未在境内注册,则也属于向境外提供的情形。如果网络运营者向境外转移的数据并不涉及到境内运营中收集和产生的个人信息和重要数据,则不属于《网络安全法》中的“向境外提供”,可直接出境。但凡涉及数据出境,不管什么形式、何种数据的出境,均需要经过“自评估”环节。“自评估”重点评估:
尤其值得注意的是如上“自评估”的重点也是数据出境的“合规要点”,在数据出境之前,务必做好如上环节的重点评估,才能确保合法合规出境。依据《评估办法》(征求意见稿),涉及如下情形之一时必须进行数据出境的安全评估:
依据《评估办法》(征求意见稿),安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险。主要评估:
依据《评估办法》(征求意见稿),数据出境安全评估申请应向所在地网信部门提交申请材料,由国家网信部门决定是否受理及进行安全评估,评估时限在45个工作日之内,情况复杂或特殊情况可以延长,但不超过60个工作日。
值得注意的是,在评估结果有效期内,出现向境外提供数据的目的、方式、范围、类型和境外接收方处理数据的用途、方式发生变化,境外接收方所在国家或者地区法律环境发生变化,数据处理者或者境外接收方实际控制权发生变化,数据处理者与境外接收方合同变更等可能影响出境数据安全的情形的,数据处理者应重新申报评估。此外,若国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,会撤销评估结果。数据处理者若拟继续数据出境的,应当经过整改后重新申请评估。如上所述,“自评估”的重点也是数据出境的“合规要点”,数据处理者在数据出境前,应着重境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性,境外接收方履行责任义务的管理和技术措施、能力等能否保障出境数据的安全,数据出境和再转移后泄露、毁损、篡改、滥用等的风险等。
此外,数据出境的合同除遵循双方意思自治,自主约定的原则外,还应当约定“数据安全保护责任义务”这一法定内容,具体包括但不限于:
主要执业领域为金融监管与合规、金融科技(区块链、大数据等科技赋能金融业务)、投融资并购业务等
主要执业领域为公司上市、投融资、兼并收购、区块链、数据合规等
齐梦林
华商律师事务所
高级合伙人
主要执业领域为境内境外IPO上市,基金法律服务业务及投融资法律服务业务
邓娇
华商律师事务所
合伙人
主要执业领域为境内外股票发行上市、公司重组并购、投融资、私募基金
华商动态 ▎广东财经大学法学院院长鲁晓明一行到访华商
华商动态 ▎华商“律所职业经理人成长计划”系列培训第五场顺利举行
华商原创 ▎案说北交所之一——锦好医疗(872925.NQ)精选层挂牌
华商动态 ▎广东省司法厅在华商所开展“涉外法治人才队伍建设调研座谈会”
华商荣誉 ▎华商入围首届“ALB 2021中国区域市场(沿海地区)法律大奖”名单
华商业绩 ▎华商助力百胜智能在深圳证券交易所创业板上市
华商业绩 ▎华商助力鸿富瀚在深交所创业板上市
重磅 ▎“砥砺奋进重专业,行远自迩强合规”——华商2021年第二次合伙人会议召开
华商业绩 ▎高级合伙人曾锐彬律师团队再度续聘深圳市公安局龙华分局常年法律顾问
华商业绩 ▎华商律师成功中标深圳市城市更新和土地整备局法律顾问
华商业绩 ▎华商律师助力中环股份非公开发行A股股票获中国证监会审核通过
华商业绩 ▎华商律师成功中标深圳市市场监督管理局2021-2022年法律顾问项目
华商荣誉 ▎第十届深圳市律协表彰优秀委员,华商多名律师上榜
华商荣誉 ▎华商荣膺《商法》2021年度“卓越综合实力律所(大湾区)”
大湾区法律服务的蓝海战略——高树主任就新时期律所区域规划答记者问