行業(yè)新聞
數(shù)據(jù)出境如何確保安全合規(guī)?
我的位置:主頁(yè) >行業(yè)新聞
數(shù)據(jù)出境主要指在中國(guó)境內(nèi)的數(shù)據(jù)處理者通過(guò)網(wǎng)絡(luò)及其他方式(如物理攜帶),將其在中國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的數(shù)據(jù),通過(guò)直接提供或開(kāi)展業(yè)務(wù)、提供服務(wù)和產(chǎn)品等方式提供給境外組織或個(gè)人的一次性活動(dòng)或連續(xù)性活動(dòng)。
數(shù)據(jù)出境的主要情形
數(shù)據(jù)出境主要有以下三類(lèi)情形:一是向本國(guó)境內(nèi)機(jī)構(gòu)提供數(shù)據(jù),但該機(jī)構(gòu)不屬于本國(guó)司法管轄,如大使館就屬于使館所在國(guó)的國(guó)家領(lǐng)土,不屬于派遣國(guó)的國(guó)家領(lǐng)土;二是數(shù)據(jù)未轉(zhuǎn)移存儲(chǔ)至本國(guó)以外的地方,但可以被境外的組織、個(gè)人訪問(wèn)查看,不包括公開(kāi)的數(shù)據(jù)和通過(guò)網(wǎng)頁(yè)訪問(wèn)的數(shù)據(jù);三是數(shù)據(jù)處理者集團(tuán)內(nèi)部數(shù)據(jù)由境內(nèi)轉(zhuǎn)移至境外,其中涉及其在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的數(shù)據(jù)。
但是以下兩種情形不屬于數(shù)據(jù)出境:一是非在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的數(shù)據(jù)經(jīng)由本國(guó)出境,且數(shù)據(jù)未經(jīng)任何加工處理;二是非在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的數(shù)據(jù),但在境內(nèi)存儲(chǔ)、加工處理后出境,不涉及境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的數(shù)據(jù)。
我國(guó)數(shù)據(jù)出境的主要法律規(guī)則
目前,我國(guó)數(shù)據(jù)出境的法律規(guī)則主要源于《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》這三大基礎(chǔ)性法律。
2017年6月1日正式施行的《網(wǎng)絡(luò)安全法》第三十七條規(guī)定了向境外提供數(shù)據(jù)的法律規(guī)則,即“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要,確需向境外提供的,應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定的辦法進(jìn)行安全評(píng)估;法律、行政法規(guī)另有規(guī)定的,依照其規(guī)定”。這是我國(guó)首條以法律的形式確立數(shù)據(jù)出境需要進(jìn)行安全評(píng)估的規(guī)定,該規(guī)定有兩層含義,一是關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在國(guó)內(nèi)收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ);二是因業(yè)務(wù)需要,確需向境外提供的,應(yīng)當(dāng)依法進(jìn)行安全評(píng)估。
2021年9月1日施行的《數(shù)據(jù)安全法》是我國(guó)首部數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)性立法,該法第三十一條確立了數(shù)據(jù)出境的基本法律規(guī)則,即“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理,適用《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的規(guī)定;其他數(shù)據(jù)處理者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法,由國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定”。該條對(duì)數(shù)據(jù)出境的法律適用做了分工:一是關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者收集和產(chǎn)生的重要數(shù)據(jù)確需出境的,適用《網(wǎng)絡(luò)安全法》第三十七條的規(guī)定;二是關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者以外的“其他數(shù)據(jù)處理者”在國(guó)內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)出境,適用國(guó)家網(wǎng)信辦制定的相關(guān)出境安全管理辦法。
2021年10月,國(guó)家網(wǎng)信辦公布了《數(shù)據(jù)出境安全評(píng)估辦法(征求意見(jiàn)稿)》,其上位法包括:《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》。根據(jù)《數(shù)據(jù)出境安全評(píng)估辦法(征求意見(jiàn)稿)》的要求,數(shù)據(jù)處理者向境外提供數(shù)據(jù),符合以下五種情形之一的,應(yīng)當(dāng)通過(guò)所在地省級(jí)網(wǎng)信部門(mén)向國(guó)家網(wǎng)信部門(mén)申報(bào)數(shù)據(jù)出境安全評(píng)估:一是關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù);二是出境數(shù)據(jù)中包含重要數(shù)據(jù);三是處理個(gè)人信息達(dá)到一百萬(wàn)人的個(gè)人信息處理者向境外提供個(gè)人信息;四是累計(jì)向境外提供十萬(wàn)人以上個(gè)人信息或者一萬(wàn)人以上敏感個(gè)人信息;五是國(guó)家網(wǎng)信部門(mén)規(guī)定的其他需要申報(bào)數(shù)據(jù)出境安全評(píng)估的情形。
2021年11月1日施行的《個(gè)人信息保護(hù)法》詳細(xì)確立了個(gè)人信息跨境提供的重要規(guī)則,個(gè)人信息處理者因業(yè)務(wù)等需要,確需向境外提供個(gè)人信息的,應(yīng)當(dāng)具備下列四項(xiàng)條件之一:一是通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估,即關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定數(shù)量的個(gè)人信息處理者,應(yīng)當(dāng)將在境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi),確需向境外提供的,應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估;二是按照國(guó)家網(wǎng)信部門(mén)的規(guī)定經(jīng)專(zhuān)業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證,根據(jù)《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見(jiàn)稿)》第三十五條(二)的規(guī)定,數(shù)據(jù)處理者和數(shù)據(jù)接收方均要通過(guò)國(guó)家網(wǎng)信部門(mén)認(rèn)定的專(zhuān)業(yè)機(jī)構(gòu)進(jìn)行的個(gè)人信息保護(hù)認(rèn)證;三是按照國(guó)家網(wǎng)信部門(mén)制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同,約定雙方的權(quán)利和義務(wù);四是法律、行政法規(guī)或者國(guó)家網(wǎng)信部門(mén)規(guī)定的其他條件。
我國(guó)數(shù)據(jù)出境安全評(píng)估的要點(diǎn)
目前,我國(guó)數(shù)據(jù)和個(gè)人信息出境實(shí)施階梯式評(píng)估模式,即“自評(píng)估”﹢“國(guó)家安全評(píng)估”,企業(yè)應(yīng)重點(diǎn)掌握一個(gè)“前提”和一個(gè)“保障”,即以企業(yè)數(shù)據(jù)出境自評(píng)估為前提,以數(shù)據(jù)出境的國(guó)家安全審查為保障的數(shù)據(jù)出境安全評(píng)估機(jī)制。
自評(píng)估的合規(guī)要點(diǎn)包括:數(shù)據(jù)出境及境外接收方處理數(shù)據(jù)的目的、范圍、方式等的合法性、正當(dāng)性、必要性;出境數(shù)據(jù)的數(shù)量、范圍、種類(lèi)、敏感程度,數(shù)據(jù)出境可能對(duì)國(guó)家安全、公共利益、個(gè)人或者組織合法權(quán)益帶來(lái)的風(fēng)險(xiǎn);數(shù)據(jù)處理者在數(shù)據(jù)轉(zhuǎn)移環(huán)節(jié)的管理和技術(shù)措施、能力等能否防范數(shù)據(jù)泄露、毀損等風(fēng)險(xiǎn);境外接收方承諾承擔(dān)的責(zé)任義務(wù),以及履行責(zé)任義務(wù)的管理和技術(shù)措施、能力等能否保障出境數(shù)據(jù)的安全;數(shù)據(jù)出境和轉(zhuǎn)移后泄露、毀損、篡改、濫用等的風(fēng)險(xiǎn),個(gè)人維護(hù)個(gè)人信息權(quán)益的渠道是否暢通等;與境外接收方訂立的數(shù)據(jù)出境合同是否充分約定了數(shù)據(jù)安全保護(hù)責(zé)任和義務(wù)。
國(guó)家安全評(píng)估的審查要點(diǎn)包括:數(shù)據(jù)出境的目的、范圍、方式等的合法性、正當(dāng)性、必要性;境外接收方所在國(guó)家或者地區(qū)的數(shù)據(jù)安全保護(hù)政策法規(guī)及網(wǎng)絡(luò)安全環(huán)境對(duì)出境數(shù)據(jù)安全的影響;境外接收方的數(shù)據(jù)保護(hù)水平是否達(dá)到中華人民共和國(guó)法律、行政法規(guī)規(guī)定和強(qiáng)制性國(guó)家標(biāo)準(zhǔn)的要求;出境數(shù)據(jù)的數(shù)量、范圍、種類(lèi)、敏感程度,出境中和出境后泄露、篡改、丟失、破壞、轉(zhuǎn)移或者被非法獲取、非法利用等風(fēng)險(xiǎn);數(shù)據(jù)安全和個(gè)人信息權(quán)益是否能夠得到充分有效保障;數(shù)據(jù)處理者與境外接收方訂立的合同中是否充分約定了數(shù)據(jù)安全保護(hù)責(zé)任和義務(wù);遵守中國(guó)法律、行政法規(guī)、部門(mén)規(guī)章情況;國(guó)家網(wǎng)信辦認(rèn)為需要評(píng)估的其他事項(xiàng)。