数据安全出境评估规则与适用
——《数据出境安全评估办法》解读
王春晖
(南京邮电大学信息产业发展战略研究院教授)
摘要:数据安全出境评估是我国《网络安全法》《数据安全法》《个人信息保护法》确立的一项重要国家数据安全出境评估法律制度。通过分析《数据出境安全评估办法》出台的背景及法律依据,围绕《数据出境安全评估办法》确立的规则,深度解析了数据出境与数据出境安全评估规则的适用、数据出境评估的基本原则和需要申报数据出境评估的情形、数据提供者开展数据出境风险自评估的要点、国家数据出境安全评估的程序和风险点,以及签订数据出境标准合同应注意的事项等。
关键词:国家安全;数据出境;安全评估;数据安全;个人信息
网络安全的核心是数据安全,在数据对各领域的重要性与日俱增的同时,数据风险与数据安全问题也愈发突出,给人类和社会带来了前所未有的挑战。在此背景下,数据出境的安全问题不仅关乎数据本身作为重要生产要素的开发利用与安全问题,还与国家主权、国家安全、个人信息权益、社会公共利益等休戚相关。因此,按照总体国家安全观的要求,在《网络安全法》《数据安全法》《个人信息保护法》有关数据和个人信息出境法律规则的框架下,制定一部专门的数据出境安全评估规定十分必要和迫切。
2021年10月29日,国家网信办公布《数据出境安全评估办法(征求意见稿)》(以下称“征求意见稿”),面向社会征求意见。在广泛征求意见的基础上,国家网信办对“征求意见稿”进行了修改和完善。2022年7月7日,国家网信办公布《数据出境安全评估办法》(以下简称《办法》),并于2022年9月1日起施行。
《办法》共二十条,对“征求意见稿”的条款内容进行了进一步细化和完善,在“征求意见稿”十八条的基础上增加了两条,一是数据处理者对评估结果有异议的,可以在收到评估结果15个工作日内向国家网信部门申请复评,复评结果为最终结论(第十三条);二是增加了对“重要数据”的定义,即是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据(第十九条)。以下就《办法》的核心要点进行解读和分析。
一、认识数据出境与数据出境安全评估
数据出境,主要指在中国境内的数据处理者通过网络及其他方式(如物理携带),将其在中国境内运营中收集和产生的数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的组织或个人的一次性活动或连续性活动。
《办法》第一条规定,为了规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,制定本办法。
从立法目的看,《办法》体现了总体国家安全观,其中“规范、保护、维护、促进”这四个关键词在立法目的中是一种递进关系,规范数据出境活动是核心,只有在规范数据出境活动的基础上,方能保护个人信息权益和维护国家安全和社会公共利益,从而实现促进数据跨境安全和自由流动之目的。数据出境安全评估制度是一项重要的法律制度,主要源于《网络安全法》《数据安全法》和《个人信息保护法》。
首先,2017年6月1日施行的《网络安全法》第三十七条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
这是我国以法律形式确立数据出境需要进行安全评估的规定,上述规定有两层含义,一是关键信息基础设施的运营者在国内收集和产生的个人信息和重要数据应当在境内存储;二是因业务需要,确需向境外提供的,应当依法进行安全评估。这条内容主要针对的主体是关键信息基础设施的运营者。
其次,2021年9月1日施行的《数据安全法》是我国首部数据安全领域的基础性立法,该法第三十一条确立了数据出境的基本法律规则,即“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《网络安全法》的规定;其他数据处理者在中国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定”。
上述规定对重要数据出境的法律适用做了分工:一是关键信息基础设施的运营者收集和产生的重要数据确需出境,适用《网络安全法》第三十七条的规定;二是关键信息基础设施运营者以外的“其他数据处理者”在国内收集和产生的重要数据出境,适用国家网信办制定的相关出境安全管理办法。上述“相关出境安全管理办法”主要指《数据出境安全评估办法》。
再次,2021年11月11日施行的《个人信息保护法》第三章专章确立了“个人信息跨境提供的规则”。依据《个人信息保护法》第三十八条的要求,个人信息处理者因业务等需要,确需向我国境外提供个人信息的,应当具备下列四项条件之:一是依照《个人信息保护法》第四十条的规定,通过国家网信部门组织的安全评估;二是按照国家网信部门的规定,经专业机构进行个人信息保护认证;三是按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;四是法律、行政法规或者国家网信部门规定的其他条件。
上述内容与《办法》有关数据出境安全评估要求基本一致,但是《个人信息保护法》将“按照国家网信部门的规定经专业机构进行个人信息保护认证”或“与境外接收方订立合同”的方式,也作为个人信息跨境提供规则的法定选择条件之一。
笔者认为,《个人信息保护法》为“个人信息跨境提供规则”提供了四项选择(包括一项兜底条件)主要是:安全评估、保护认证、订立合同。如果境内数据和个人信息出境涉及到“安全评估”,应当适用《办法》的相关规定。个人信息出境不属于“安全评估”范围的情形,个人信息处理者可以通过个人信息保护认证或者订立合同的方式,提供相关个人信息跨境服务。
事实上,《个人信息保护法》第四十条就数据出境需要安全评估和不需要安全评估的情形做出了规定:首先,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,确需向境外提供的,应当通过国家网信部门组织的安全评估;其次,法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
《办法》第二条进一步对数据出境安全评估做出了划分,即“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息,应当按照本办法的规定进行安全评估;法律、行政法规另有规定的,依照其规定。”上述规定划定了需要对数据出境安全评估的两种情形:
首先,数据处理者在中国境内运营中收集和产生的重要数据,全部要通过国家数据安全评估。该项内容明确了对数据获取的两种模式,一种是“收集”,这是一种主动和积极的行为,主要通过自动化方式收集的数据;另一种是在运营中信息系统“产生”的数据。以上特别强调的是仅限于“重要数据”(criticaldata),即指以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。
其次,不是所有的个人信息出境都要进行安全评估,个人信息出境只有在符合法律法规要求的安全评估条件时,才应当按照《办法》的规定进行安全评估,比如《网络数据安全管理条例(征求意见稿)》规定,“处理一百万人以上个人信息的数据处理者向境外提供个人信息”,应当通过国家网信部门组织的数据出境安全评估。如果不符合上述规定的要求,就无需申报个人信息出境安全评估。
《办法》第二条规定,数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法。法律、行政法规另有规定的,依照其规定。根据上述规定,《办法》主要针对在中国境内运营中收集和产生的重要数据和个人信息进行安全评估,这里有三个关键词,一是中国境内;二是运营中收集和产生;三是重要数据和一定数量的个人信息。
这里需要明确运营中收集和产生的数据之间的区别,根据《数据安全法》第三条第一款和第二款规定,数据,是指任何以电子或者其他方式对信息的记录。数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。《办法》中涉及的数据,包括中国境内数据处理者通过网络及其他方式收集和产生的数据,但主要是网络数据。其中,收集数据,无论是采取自动化方式还是非自动化方式,都是一种具有目的性的积极主动行为,属于《数据安全法》数据处理中的七种处理行为之一。
数据的产生则不同,其没有具体的目的,主要是网络和信息系统生成的社会数据,数据生成的模式大致有三种情形,一是用户主动提供的数据,比如以博客、微博、微信为代表的新型数字社交平台,以及以电子商务为代表的数字交易平台,能够向数字平台提供海量数据;二是数字城市(城市大脑)的建设将大量的智能终端设备和传感器接入物联网,各种数据采集设备源源不断地自动生成并产生海量的数据;三是企业在研发设计、生产制造、经营管理、运维服务、平台运营、应用服务等过程中产生的海量数据。
数据出境主要有以下三类情形:一是向本国境内机构提供数据,但该机构不属于本国司法管辖,如外国大使馆就属于使馆所在国的国家领土,不属于派遣国的国家领土;二是数据未转移存储至本国以外的地方,但可以被境外的组织、个人访问查看,不包括公开的数据和通过网页访问的数据;三是数据处理者集团内部数据由境内转移至境外,其中涉及其在境内运营中收集和产生的数据。但是以下两种情形,不属于数据出境:一是非在境内运营中收集和产生的数据经由本国出境,且数据未经任何加工处理;二是非在境内运营中收集和产生的数据,但在境内存储、加工处理后出境,不涉及境内运营中收集和产生的数据。
二、数据出境评估的基本原则和需要申报的情形
我国数据出境安全评估的目的,是在确保防范数据出境安全风险的基础上,保障数据依法有序的自由流动。为了实现上述目的,《办法》提出了数据出境安全评估应遵循两项基本原则:一是坚持事前评估和持续监督相结合原则;二是风险自评估与国家安全评估相结合原则。
第一项原则表明,重要数据和依法应当进行安全评估的个人信息,必须在出境前进行数据安全出境评估,但是保障数据出境安全不仅仅是一次性评估,还要对出境后的数据进行持续的安全监督,重点监督与境外接收方订立法律文件中约定的数据安全保护责任义务的履行情况;第二项原则表明,重要数据和依法应当进行安全评估的个人信息实施阶梯式评估模式,即“自评估”+“国家安全评估”,以企业数据出境自评估为基础,以国家安全评估为保障,这是一个合二为一的整体性安全评估模式。
《办法》第四条明确了有以下四种情形之一的,应当申报数据出境安全评估:一是数据处理者向境外提供重要数据;二是关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;三是自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;四是国家网信部门规定的其他需要申报数据出境安全评估的情形。申请者申报数据出境安全评估,应当通过所在地省级网信部门向国家网信部门提出。
以上规定与“征求意见稿”第四条相比变化有两处:首先,将“关键信息基础设施运营者”与“处理100万人以上个人信息的数据处理者向境外提供个人信息”合并为一款,该款的主体为两个,一个是“关键信息基础设施运营者”,另一个是“处理100万人以上个人信息的数据处理者”,前者处理的数据均为重要数据,只要出境,必须无条件申报安全评估,后者只是在达到处理100万以上个人信息这个法定条件,才可申报安全评估;其次,在“征求意见稿”的“累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息”基础上,增加了“自上年1月1日起”,这样就明确了“累计向境外提供超过十万人以上个人信息”的计算依据和起止时间。
三、开展数据出境风险自评估的重点
依据《办法》第五条的规定,数据处理者在申报数据出境安全评估前,应当对以下六项重点内容开展数据出境风险的自评估:一是数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;二是出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;三是境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;四是数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;五是与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务;六是其他可能影响数据出境安全的事项。
以上自评估的内容有四大特征,一是数据出境的合规性评估,重点评估数据出境的目的、范围和方式是否符合我国数据处理的法定原则——“合法、正当、必要”;二是数据出境的风险性评估,重点从出境数据的规模、范围、种类、敏感度等四个维度进行评估出境的数据是否会给国家安全、公共利益、个人或者组织合法权益带来风险;三是数据出境的安全保障能力评估,重点评估境外接收方是否能够保障出境数据的安全,尤其是评估境外接收方能否依据诚实信用原则,全面履行合同所约定的安全保障义务;四是数据出境中和出境后的救济渠道评估,重点评估在数据出境期间和出境后,一旦数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等,个人信息权益维护和救济的渠道是否畅通。
四、国家数据出境安全评估的程序和风险点
数据处理者在完成了数据出境风险自评估之后,应按照《办法》的要求形成自评估报告,同时应拟订与境外接收方签署的相关法律文件,主要数据出境合同,数据出境合同的拟订应当依据国家网信办制定的个人信息出境标准合同的相关规定。在完成了以上环节后,数据处理者应当向省级网信部门提交以下材料,一是申报书;二是数据出境风险自评估报告;三是数据处理者与境外接收方拟订立的法律文件:四是网络部门安全评估工作需要的其他材料。
省级网信部门应当自收到上述申报材料之日起5个工作日内完成完备性查验。这里的“完备性”是指,申报材料全部齐全,不需要再添加任何其他元素。省级网信部门将具有“完备性”申报材料报送
国家网信部门,如果国家网信部门认为申报材料不具备完备性,将退回数据处理者并一次性告知需要补充的材料。国家网信部门自收到完备的申报材料之日起,应当在7个工作日内,确定是否受理并书面通知数据处理者,最终的处理结果有三种情形:一是通过安全评估,数据处理者可以在收到国家网信部门通过评估的书面通知后,严格按照《办法》的相关规定开展数据出境活动;二是未通过安全评估,数据处理者应当立即停止所申报的数据出境活动;三是对于不属于《规定》安全评估范围的情形,国家网信部门通知数据处理者不予受理,数据处理者在接到不予受理的书面通知后,可以依照相关法律法规法开展数据的出境业务。
国家网信部门受理申报后,将根据申报数据出境的领域组织国务院有关部门、省级网信部门,以及专门机构等进行安全评估,安全评估的权重主要是可能对国家安全、公共利益、个人或者组织合法权益带来的风险,着重考虑以下因素,一是数据出境的目的、范围、方式等的合法性、正当性、必要性;二是境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求;三是出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险;四是数据安全和个人信息权益是否能够得到充分有效保障;五是数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务;六是遵守中国法律、行政法规、部门规章情况;七是国家网信部门认为需要评估的其他事项。
国家网信部门对数据出境安全评估的内容,基本上与数据处理者自评估的内容保持了一致性,但在自评估内容的基础上,更强调两大方面的内容,一是对境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全影响的评估;二是对境外接收方的数据保护水平是否达到我国法律、行政法规规定和强制性国家标准要求的评估。
五、全面履行数据出境标准合同是实现数据安全监管的重要措施
数据出境安全评估是对数据出境风险的事先防范,要保证数据出境的全过程安全,事先安全评估是非常关键和重要的环节,但经安全评估后的数据在由境外接收方实际控制时,特别是境外接收方国家或地区的数据安全与个人信息保护法律与我国法律法规存在差异的情况下,如何保障数据在安全可控的范围,关键在于与境外接收方签订切实可行的合同等法律文件,并使得该合同法律文件得到全面履行。
根据我国法律法规的要求,数据处理者因业务等需要,确需向我国境外提供数据的,应当按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同,约定双方权利和义务,尤其要突出“数据安全优先”的义务。事实上,国家依法要求双方签订数据出境标准合同,是实现国家数据出境安全监管的重要措施。
《办法》第九条要求,数据处理者与境外接收方订立的法律文件,应当明确约定数据安全保护责任义务,至少包括以下六项内容:一是数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;二是数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;三是对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;四是境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化,以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施;五是违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;六是出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。
以上法律文件中数据安全保护责任义务,充分体现了“数据安全优先”的原则。从数据出境的国际实践看,合同条款标准化一直被认为是数据跨境传输领域的有效监管工具,比如欧盟GDPR将标准化合同条款(SCC)嵌入了跨境数据流动的全过程,原因在于该项机制既能实现监管者对于数据跨境传输重要事项的直接审核,也能基于违约责任督促数据处理者积极履行数据安全保护义务。鉴于数据出境的目的、方式和数据范围的复杂性和不确定性,在数据安全保障义务性条款的基础上,关键是标准合同违约责任的约定,这是保障标准合同义务实现的基础,建议以“过错责任推定”的模式约定违约责任的承担方式,我国《个人信息保护法》第六十九条规定,处理个人信息、侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
同时,应参照数据接受方国家或地区的法律,加大违约赔偿责任的约定,如GDPR规定,违反第58(2)条规定的监管机构发布的命令,应当按第2段的规定施加最高2000万欧元的行政罚款,如果是集团的话,可以施加最高前一年全球总营业额4%的罚款,两者取高的一项进行罚款。
实际上,欧盟个人数据出境的规则与我国数据出境安全评估的原则基本是一致的,但是两者对“数据安全”保护的侧重点有所不同。从GDPR的立法目可以看出,欧盟的个人数据保护立法主要强调保护个人隐私权并促进该权利的行使,其中从个人数据权利的法律归属上,设定了“个人数据”“数据主体”“数据主体权利”以及采取了严格的全球个人隐私保护要求。
我国数据出境安全评估制度不仅要保护个人信息,更重要的是保障重要数据出境活动的安全。个人信息的出境安全评估申报有一定数量的限制,即“处理100万人以上个人信息”或“自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息”;重要数据的出境必须全部申报安全评估,没有任何数量的限制。因为重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。
根据《网络数据安全管理条例(征求意见稿)》对重要数据的解释,重要数据主要包括以下七类数据:一是未公开的政务数据、工作秘密、情报数据和执法司法数据;二是出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据;三是国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等;四是工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据;五是达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据;六是国家基础设施、关键信息基础设施建设运行及其安全数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据;七是其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。
从以上七种“重要数据”的内容上看,主要涉及国家安全和公共利益,这些数据出境后,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能严重危害国家安全、公共利益。笔者建议,重要数据应当以“非必要不出镜”为原则,出境为例外,只有在具有特定的目的和充分必要的条件下,并在采取严格保护措施的基础上,方可出境。
