全力构建数据出境的“安全屏障”
来源:人民邮电报 更新时间:2022-08-30


9月1日起,《数据出境安全评估办法》(以下简称《办法》)正式施行。

网络安全的核心是数据安全,在数据对各领域的重要性与日俱增的同时,数据风险与数据安全问题也越发突出,给社会带来了前所未有的挑战。在此背景下,数据出境的安全问题不仅关乎数据本身作为重要生产要素的开发利用与安全,尤其是与国家主权、国家安全、个人信息权益、社会公共利益等休戚相关。因此,按照总体国家安全观的要求,在《网络安全法》《数据安全法》《个人信息保护法》等有关数据和个人信息出境法律规则的框架下,制定一部专门的数据出境安全评估规定十分必要和迫切。

数据出境的主要类型

数据出境,主要指在中国境内的数据处理者通过网络及其他方式(如物理携带),将其在中国境内运营中收集和产生的数据,通过直接提供或开展业务、提供服务和产品等方式提供给境外的组织或个人的一次性活动或连续性活动。

《办法》第二条规定,数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法。法律、行政法规另有规定的,依照其规定。根据上述规定,《办法》主要针对在中国境内运营中收集和产生的重要数据和个人信息进行安全评估,这里有三个关键词:一是中国境内;二是运营中收集和产生;三是重要数据和一定数量的个人信息。

这里需要明确运营中收集和产生的数据之间的区别,根据《数据安全法》第三条第一款和第二款规定,数据,是指任何以电子或者其他方式对信息的记录。数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。《办法》中涉及的数据,包括中国境内数据处理者通过网络及其他方式收集和产生的数据,但主要是网络数据,其中收集数据无论是采取自动化方式还是非自动化方式,是一种具有目的性的积极主动行为,属于《数据安全法》数据处理中的七种处理行为之一。

数据的产生则不同,其没有具体的目的,主要是网络和信息系统生成的社会数据,数据生成的模式大致有三种情形:一是用户主动提供的数据,比如以博客、微博、微信为代表的新型数字社交平台,以及以电子商务为代表的数字交易平台,使得用户主动向数字平台提供海量的数据;二是数字城市(城市大脑)的建设将大量的智能终端设备和传感器接入物联网,遍布在城市各个角落的摄像头和传感器等数据采集设备源源不断地自动生成并产生海量的数据;三是企业在研发设计、生产制造、经营管理、运维服务、平台运营、应用服务等过程中产生的海量数据。

数据出境主要有以下三类情形:一是向本国境内机构提供数据,但该机构不属于本国司法管辖,如外国大使馆就属于使馆所在国的国家领土,不属于派遣国的国家领土;二是数据未转移存储至本国以外的地方,但可以被境外的组织、个人访问查看,不包括公开的数据和通过网页访问的数据;三是数据处理者集团内部数据由境内转移至境外,其中涉及其在境内运营中收集和产生的数据。但是具有以下两种情形,不属于数据出境:一是非在境内运营中收集和产生的数据经由本国出境,且数据未经任何加工处理;二是非在境内运营中收集和产生的数据,但在境内存储、加工处理后出境,不涉及境内运营中收集和产生的数据。

基本原则和需要申报的情形

我国数据出境安全评估的目的,是在确保防范数据出境安全风险的基础上,保障数据依法有序自由流动。为了达到上述目的,《办法》提出了数据出境安全评估应遵循两项基本原则:一是坚持事前评估和持续监督相结合原则;二是坚持风险自评估与国家安全评估相结合原则。

第一项原则表明,重要数据和依法应当进行安全评估的个人信息,必须在出境前进行数据安全出境评估,但是保障数据出境安全不仅仅是一次性评估,还要对出境后的数据进行持续性安全监督,重点监督与境外接收方订立法律文件中约定的数据安全保护责任义务的履行情况;第二项原则提出了重要数据和依法应当进行安全评估的个人信息实施阶梯式评估模式,即“自评估”﹢“国家安全评估”,以企业数据出境自评估为基础,以国家安全评估为保障,这是一个合二为一的整体性安全评估模式。

《办法》第四条明确了有以下四种情形之一的,应当申报数据出境安全评估:数据处理者向境外提供重要数据;关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;国家网信部门规定的其他需要申报数据出境安全评估的情形。申请者申报数据出境安全评估,应当通过所在地省级网信部门向国家网信部门提出。

开展数据出境风险自评估的重点

依据《办法》第五条的规定,数据处理者在申报数据出境安全评估前,应当对以下六项重点内容开展数据出境风险自评估:一是数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;二是出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;三是境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;四是数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;五是与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等是否充分约定了数据安全保护责任义务;六是其他可能影响数据出境安全的事项。

以上自评估的内容有四大特征:一是数据出境的合规性评估,重点评估数据出境的目的、范围和方式是否符合我国数据处理的法定原则——合法、正当、必要;二是数据出境的风险性评估,重点从出境数据的规模、范围、种类、敏感度四个维度分析和评估,出境的数据是否会给国家安全、公共利益、个人或者组织合法权益带来风险;三是数据出境的安全保障能力评估,重点评估境外接收方是否具备保障所出境数据的安全,尤其是评估境外接收方能否依据诚实信用原则,全面履行合同所约定的安全保障义务;四是数据出境中和出境后的救济渠道评估,重点评估在数据出境期间和出境后,一旦遭到数据的篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险,个人信息权益维护和救济的渠道是否畅通。

全面履行数据出境标准合同

数据出境安全评估是对数据出境风险的事先防范,保证数据出境的全过程安全,事先安全评估是非常关键和重要的环节,但是在安全评估后的数据处在境外接收方实际控制时,特别是境外接收方国家或地区的数据安全与个人信息保护法律与我国法律法规存在差异的情况下,如何保障数据在安全可控的范围,关键在于与境外接收方签订切实可行的合同等法律文件,并使得该合同法律文件得到全面履行。

根据我国法律法规的要求,数据处理者因业务等需要,确需向我国境外提供数据的,应当按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同,约定双方权利和义务,尤其要突出“数据安全优先”的义务。事实上,国家依法要求双方签订数据出境标准合同,是实现国家数据出境安全监管的重要措施。

我国数据出境安全评估制度不仅要保护个人信息,更重要的是保障重要数据出境活动的安全。个人信息的出境安全评估申报有一定数量的限制,即“处理100万人以上个人信息”或“自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息”;重要数据的出境必须全部申报安全评估,没有任何数量的限制。因为重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等风险,可能危害国家安全、公共利益的数据。

注:本文有删减,全文详见《南京邮电大学学报(社会科学版)》