业务研究
正策关注|数据出境合规系列解读文章(一):数据出境安全评估浅析
前言丨Introduction
在全球化的背景下,数据交互频繁,各国纷纷将个人隐私保护及国家数据主权保护纳入立法进行,并构建独有的数据跨境传输体系。
今年1月,中国政府调整防疫政策后,伴随着一系列刺激经济政策的出台,中国企业积极扩展对外贸易规模,在此过程中,不少企业或已经或将在未来的经营过程中与外国企业进行数据传输。
2022年9月1日正式施行的《数据出境安全评估办法》(以下简称“评估办法”)要求符合条件的数据处理者向国家网信部门申报数据出境安全评估。针对在《评估办法》施行前已经开展的不符合办法规定的数据活动,立法者给予了6个月的宽限期,即符合条件的数据处理者应在2023年3月1日前申报数据出境安全评估。
对2023年3月1日后未申报的数据处理者,或将被省级网信部门等履行个人信息保护职责的部门处以没收违法所得、责令暂停或终止提供服务、处五千万元以下或上一年度营业额百分之五以下的罚款等处罚措施。
兵马未动,粮草先行,面对即将到来的政策收紧的前景及企业合规义务逐年提升的趋势,在新一年开端,企业应抓住这一个半月的有限窗口期,认真、全面梳理公司跨境数据传输情况,并尽快落实评估和申报工作,从而规避风险、消除隐患,为企业蓬勃发展保驾护航。
数据出境的定义
《评估办法》第二条约定,“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息”行为即为“数据出境”。
《数据出境安全评估指南(第一版)》(以下简称“评估指南”)对此作出了再解释,即数据处理者允许境外的机构、组织或个人可以查询、调取、下载及导出在境内存储的数据也属于数据出境的一种模式。
如果数据仅经我国境内中转,而未经过任何变动或加工处理的,则不视为数据出境,无需受到《评估办法》的限制。
企业是否需申报数据出境安全评估
《评估办法》第四条约定,满足“数据处理者向境外提供重要数据;关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;或其他规定情形”之企业,应事先进行自评估,后通过所在地省级网信办向国家网信部门申报安全评估。
“重要数据”是指一旦遭到篡改、破坏、泄漏或非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。为方便理解,企业可参照《信息安全技术 重要数据识别指南(征求意见稿)》进行比对;针对“关键信息基础设施运营者”之身份确认,企业可参照《关键信息基础设施安全保护条例》进行确认;《评估办法》亦此明确,数据量的计量应以具体人数而非个人信息数量为标准。
企业申报安全评估之流程
企业申报数据出境安全评估时,应按照如下流程进行:
1.企业应首先开展数据出境风险自评估,判断是否需要就数据出境事项申报安全评估。
2.如需申报数据出境安全评估,企业应按照规定提交材料。
3.省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验。申报材料齐全的,将申报材料报送国家网信部门;申报材料不齐全的,应当退回数据处理者并一次性告知需要补充的材料。
4.申报材料报送国家网信部门后,国家网信部门应当自收到申报材料之日起7个工作日内,确定是否受理并书面通知数据处理者,自向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估。
5.如数据处理者情况复杂或者需要补充、更正材料的,安全评估部门可以适当延长并告知数据处理者预计延长的时间,但一般不超过六十个工作日。
6.通过安全评估后,企业可按计划开展数据出境活动,结果有效期为2年,自评估结果出具之日起计算。
7.如出现影响出境数据安全的情形或安全评估有效期即将届满的,数据处理者应重新申报评估。
数据出境安全评估全流程图解如下:
企业违反《评估办法》之法律责任
《评估办法》第十八条系引用性法条,即违反《评估办法》的数据处理者,应按照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》及《刑法》进行处理或追究刑事责任,部分法律责任见下图:
结语
《评估办法》虽给予数据处理者六个月的宽限期,但在申报数据出境安全评估前,需完成申报书、数据风险自评估报告、并审查数据处理者与境外接收方拟订立的法律文件的合规性。因上述步骤均需花费较多时间进行处理,故建议符合条件的企业尽快开展相关工作,积极调整数据出境业务框架,确保在合规的前提下开展业务。