随着数字中国建设按照“2522”的整体框架逐步落地,数据要素在各行各业广泛利用、深度加工,逐步释放数据价值是助力企业数字化转型的重要基础。不同企业或组织基于不同的使用需求和访问途径,会产生不同的业务场景,比如:组织内的数据跨部门流转和大数据处理等;组织间的数据合作共享和数据交易,尤其是数据跨境合规流动将成为迫在眉睫的重要事务。
2022年5月11日,我国首例涉及高铁运行安全的案件详情披露。上海某信息科技公司接受一境外公司委托,在对方规定的北京、上海等16个城市及相应高铁线路上,采集了我国铁路信号数据(包括物联网、蜂窝和高铁移动通信专网敏感信号等数据),并在数据采集设备上为该境外公司开通了远程登录端口,方便境外公司实时获取对应的测试数据,此行为严重威胁国家安全。针对数据出境进行有效管理,是国家数据安全治理、数据开发利用等重要工作内容。
近年来,随着《网络安全法》《数据安全法》《个人信息保护法》等顶层法律相继颁布和正式实施,我国数据跨境安全管理框架基本成型,出境安全评估成为数据跨境安全管理的主要手段之一。
- 《网络安全法》第三十七条规定,关基运营者出境个人信息和重要数据的,应当按照国家网信部门制定的办法进行安全评估。
- 《数据安全法》第三十一条规定,重要数据的出境安全管理办法由国家网信部门会同国务院有关部门制定。
- 《个人信息保护法》第三十八条规定,个人信息出境的合规路径之一是通过国家网信部门组织的安全评估。第四十条规定,关基运营者和达到一定处理规模的个人信息处理者,个人信息出境前应当通过国家网信部门组织的安全评估。
本文重点针对《规范和促进数据跨境流动规定(征求意见稿)》进行解读,补充“评估办法”和“标准合同”中的重要事项,并提出数据跨境安全治理实践相关建议。
《规范和促进数据跨境流动规定(征求意见稿)》
2023年9月28日,国家网信办发布《规范和促进数据跨境流动规定(征求意见稿)》(以下简称“规定”)。“规定”的前四条是第一种情况,说明了不需要“申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”的条件:
| 序号 | 具体情形 |
| 1 | 国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的 |
| 2 | 未被相关部门、地区告知或者公开发布为重要数据的 |
| 3 | 不是在境内收集产生的个人信息向境外提供 |
| 4 | 为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的; |
| 5 | 按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的; |
| 6 | 紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的。 |
解读:
“个人信息”和“重要数据”可参照《个人信息保护法》、《民法典》、GB/T 35273-2020 《信息安全技术 个人信息安全规范》、《信息安全技术 重要数据识别规则》(征求意见稿)。向境外提供数据方,作为数据合规出境的第一责任人,应对数据出境安全评估的必要性进行判断,同时监管部门也会履行事中和事后的监管。
| 序号 | 具体情形 |
| 1 | 预计一年内向境外提供不满1万人个人信息的 |
| 2 | 预计一年内向境外提供1万人以上、不满100万人个人信息,与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的 |
| 3 | 向境外提供100万人以上个人信息的,应当申报数据出境安全评估 |
解读:
标准合同是数据跨境企业双方自行签订。认证是一种能力认证,并不针对特定的数据集,综合来看,1、2的必要性判断均是企业为优先,监管部门履行事中和事后的监管。超过100万人以上的,必要性判断为监管部门的判断为优先。
“规定”的七、八条是第三种情况,向境外提供数据方是特定单位,要有特定的监管流程。
| 序号 | 向境外提供数据方 | 出境数据 | 监管要求 |
| 1 | 自由贸易试验区 | 可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),负面清单外数据出境,可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。 | 报经省级网络安全和信息化委员会批准后,报国家网信部门备案。 |
| 2 | 国家机关和关键信息基础设施运营者 | 个人信息和重要数据 涉及党政军和涉密单位敏感信息、敏感个人信息的 |
依照有关法律、行政法规、部门规章规定执行。 |
解读:
“关键信息基础设施运营者”可参照《网络安全法》和《关键信息基础设施安全保护条例》,“敏感个人信息”可参照《个人信息保护法》、GB/T 35273-2020、《敏感个人信息处理安全要求(征求意见稿)》。自贸试验区在某些情况下,监管必要性判断可以优于企业的判断,在其他情况下,监管必要性位于企业判断之后,但与此同时,各自贸区就要承担起相应的决策责任。
“规定”的九、十条体现了被监管方的义务和监管方的责任。
| 被监管方 | 出境数据 | 被监管方义务 |
| 数据处理者 | 重要数据和个人信息 | 应当遵守法律、行政法规的规定,履行数据安全保护义务,保障数据出境安全;发生数据出境安全事件或者发现数据出境安全风险增大的,应当采取补救措施,及时向网信部门报告。 |
| 监管方 | 出境数据 | 监管方责任 |
| 各地方网信部门 | 应当加强对数据处理者数据出境活动的指导监督,强化事前事中事后监管,发现数据出境活动存在较大风险或者发生安全事件的,要求数据处理者进行整改消除隐患;对拒不改正或者导致严重后果的,依法责令其停止数据出境活动,保障数据安全。 |
解读:
被监管方针对出境数据活动要履行数据安全保护义务,出境数据是重要数据和个人信息的,要更加关注;对数据出境活动存在较大风险或安全事件的,要有补救措施,并及时向网信部门报告。
《数据出境安全评估办法》
“评估办法”的第2、4条明确了触发机制、评估对象和适用场景,第2条明确并非所有的数据处理者向境外提供数据,都需要数据出境安全评估,第4条明确需要申报数据出境安全评估的情形:
向境外提供数据方只能选择“评估办法”的情况,包括:重要数据、关键信息基础设施运营者、处理100万人以上个人信息、累计向境外提供10万人个人信息或者1万人敏感个人信息,合规路径只能选择“评估办法”,而不能选择“标准合同”。
“评估方法”第3、16条,数据出境安全评估的总体原则是坚持事前评估和持续监督相结合,一方面在数据出境前做好安全保障措施和安全风险研判;另一方面在数据出境过程中持续跟踪,发现不再符合要求的或违法违规行为需及时处置。
“评估办法”第5、8条体现了风险自评估与申报评估相结合的原则,所有的数据处理者在向境外提供数据前,都应事先开展数据出境风险自评估,符合评估申报条件的,要进行数据出境安全评估。安全评估的具体事项与风险自评估的具体事项有所交叉,但安全评估涵盖的广度和深度都高于风险自评估,其中接收方所在地法律政策环境和数据处理者历史合规情况并不包含在风险自评估中。
“评估办法”第12条,重新申报评估是“事前评估与持续监督相结合”的重要体现,但并非只有在发生违规行为之后才需要重新评估,在某些情势发生变化的情形下数据处理者也需及时重新申报评估,对有效期满、情形变化、违规行为三种重新申报评估要有了解。
《个人信息出境标准合同》
向境外提供数据方适用“标准合同”的情形:非关键信息基础设施运营者;处理个人信息不满100万人的;自上年1月1日起累计向境外提供个人信息不满10万人的;自上年1月1日起累计向境外提供敏感个人信息不满1万人的。
向境外提供数据方数据处理者首先要关注涉及的数据和个人信息跨境业务符合哪种适用条件,如果确实属于,是需要做“自评估”的。“标准合同”和“认证规范”要开展个人信息保护影响评估,“认证规范”要求评估报告保存3年;选择“标准合同”和“认证规范”之后,要采取签署有法律约束力和执行力的文件作为保障。
“标准合同”、“认证规范”和“评估办法”的评估报告内容应包括:
- (一)数据处理者和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
- (二)出境数据的规模、范围、种类、敏感程度,数据出境可能对权益带来的风险;
- (三)境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障数据出境的安全;
- (四)数据出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
- (五)其他可能影响数据出境安全的事项。
数据出境安全治理实践建议
向境外提供数据方应认真学习数据出境安全管理的法律法规,符合数据跨境申报条件的,应主动参与数据出境安全评估申报、个人信息标准合同备案,多元共治、关注数据跨境处理活动合法合规、强调数据安全持续改善,对于较多跨国业务的单位要考虑安全评估时长和周期。完善数据出境合规,保护个人信息,维护国家安全和社会公共利益是各方的共同责任。数据是创新发展的核心驱动要素,若重要数据和个人信息在数据跨境中成为常态的情况下,须做好跨境数据安全治理,做到“自证安全”、“应尽职责”、“应尽关注”。
向境外提供数据方可采用数据出境安全评估系统,进行事前评估和持续监督,持续监测数据形成出境情况数据和出境情况分析,结合专家经验形成评估总结,最终形成数据出境安全自评估报告。
在技术手段上,对所有出口节点部署的数据跨境流动安全监测平台,进行不间断的流量数据监测,监测流量中包含的重要数据和个人信息。定期由专业人员进行分析、形成报告,及时发现并统计出如下关键数据:接口单次返回量过大风险、数据伪脱敏风险、分页数据查询接口风险、账号弱口令风险、数据接口可遍历风险、数据接口未鉴权风险、高敏感数据暴露风险、接口可执行SQL语句风险等。
本文作者:北京安华金和科技有限公司 谭峻楠
