7月7日,国家互联网信息办公室公布《数据出境安全评估办法》,自2022年9月1日起施行。《办法》提到,数据处理者向境外提供重要数据;关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。

国家互联网信息办公室有关负责人就《数据出境安全评估办法》的出台表示,数据处理者应当在数据出境活动发生前申报并通过数据出境安全评估。实践中,数据处理者宜在与境外接收方签订数据出境相关合同或者其他具有法律效力的文件前,申报数据出境安全评估。

奇安信集团副总裁、创新BG负责人孔德亮在接受贝壳财经记者采访时表示,新规实施后,明确了监管的要求和细则,所以,企业对数据安全整体建设更加清晰。明确监管细则后,企业急需把自己的短板补上,保障数据安全基础安全防护问题。

监管靴子落地 中概股多数上涨

有观点认为,跨境数据安全是中概股面临的主要问题之一,此次新规出台,一定程度上让监管的靴子得以“落地”,属于利好因素。

《数据出境安全评估办法》发布当日,中概股多数收涨,其中阿里巴巴上涨2.75%,京东上涨2.22%,拼多多上涨0.88%,携程上涨6.95%。

国家互联网信息办公室有关负责人表示,制定出台《办法》是落实《网络安全法》《数据安全法》《个人信息保护法》有关数据出境规定的重要举措,目的是进一步规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动。《办法》所称数据出境活动主要包括:一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。  

金杜律师事务所对《数据出境安全评估办法》发布解读称,从整体体例来看,《数据出境安全评估办法》对安全评估的程序性规则和实体评估内容均进行了规定。办法中所规定的自评估—申请评估—重新评估,以及评估材料、评估时间、评估通知、评估材料补充更正、评估结果撤销均属于程序性的规定。这些规定能够帮助数据处理者定位自己在开展数据出境安全评估工作中所处的时间点位。

贝壳财经记者了解到,《数据出境安全评估办法》在2021年10月发布了征求意见稿,此次则是正式发布。

《数据出境安全评估指南》等国家标准的起草组成员、同盾科技总法律顾问兼安全负责人赵冉冉公开表示,对照征求意见稿,正式版本的《数据出境安全评估办法》为申报安全评估的个人信息出境规模积累设定了非常明确的时间节点——“自上年1月1日”起算;给出了6个月的整改期,保障了已有业务的连续性,避免一些重要跨境服务被打断;将“合同”扩大到“法律文件”,在一定程度上减轻实现新规要求的难度,扩大可被安全评估纳入评估范围的材料类型,也能解决一些诸如科研机构合作等一般没有签订合同的数据出境场景的评估问题;对相关条款的顺序及表述做了合理的调整,从而使申报流程的时间节点、顺序等更加清晰及符合逻辑。特别是加入了复评程序,为企业侧提出不同意见提供了一条可能的渠道。

国家互联网信息办公室有关负责人表示,如果企业申报数据出境安全评估的结果为通过安全评估,数据处理者可以在收到通过评估的书面通知后,严格按照申报事项开展数据出境活动。

明确数据出境要求 或撬动百亿数据安全市场

值得注意的是,对于数据出境安全自评估是否为企业的强制性法律义务,在《数据出境安全评估办法》中也给出了相应的倾向性回答。

金杜律师事务所表示,《数据出境安全评估办法》正式稿第5条改变了企业需履行“自评估”的法定条件,将原先征求意见稿中“数据处理者在向境外提供数据前”改为“数据处理者在申报数据出境安全评估前”。“因此我们理解,对于明显不符合或者不属于需向网信部门等相关部门申报数据出境安全评估的情形,数据出境安全风险自评估可能并非强制性法律义务,但这并不代表企业在向境外提供数据前无须进行任何内部自主判断,因此企业依然可以通过自评估的方式,对于是否满足数据出境安全评估的要求进行自证。此外,《个人信息保护法》第55条仍然对企业向境外提供个人信息的行为,需履行个人信息保护影响评估的法定义务。”

孔德亮对贝壳财经记者表示,根据《数据出境安全评估办法》,数据处理者在开展数据出境风险自评估时要重点评估的事项包括数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等是否充分约定了数据安全保护责任义务;数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等。

“整体来看《数据出境安全评估办法》对数据处理者提出的要求是为了规范数据出境活动,维护国家安全和社会公共利益,保护个人信息权益。”孔德亮表示。

在孔德亮看来,企业数据安全保护的市场空间预计以百亿起,“因为数据安全是国家战略,数字化转型也是国家战略。企业在数字化转型是未来发展趋势,但是合法合规保障流动和使用数据是前提,因此企业建设数据安全的意愿非常强烈。”

金杜律师事务所认为,《数据出境安全评估办法》的颁布,标志着我国距离数据安全评估制度的落地有了长足的进步,为数据处理者开展数据出境安全评估提供了确定性的法律依据。数据处理者应根据《数据出境安全评估办法》第5条、第8条和第9条的内容,严格按照规定程序开展工作。其中,自评估对各数据处理者的数据出境合规提出了更为细致且实际的要求,不仅可以成为数据安全评估制度的基础性、前提性工作,同时也有助于各数据处理者开展日常的数据流转梳理,对促进数据处理者数据管理的规范化、个人信息权益保护有巨大助益。

记者联系邮箱:luoyidan@xjbnews.com
新京报贝壳财经记者 罗亦丹
编辑 宋钰婷
校对 卢茜