個人信息、重要數(shù)據(jù)等關(guān)乎個人信息權(quán)益、國家安全和社會公共利益的數(shù)據(jù)出境將迎來監(jiān)管。10月29日,國家互聯(lián)網(wǎng)信息辦公室(下稱“網(wǎng)信辦”)發(fā)布《數(shù)據(jù)出境安全評估辦法(征求意見稿)》,并向社會公開征求意見。
南都記者梳理發(fā)現(xiàn),這是網(wǎng)絡(luò)安全法審議通過以來,網(wǎng)信辦第三次對數(shù)據(jù)出境安全相關(guān)的評估辦法征求意見。征求意見稿擬對達到申報要求的個人信息規(guī)模劃出紅線,如處理個人信息達到一百萬人,或累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息。
文 / 蔣琳 尤一煒
個人信息、重要數(shù)據(jù)等關(guān)乎個人信息權(quán)益、國家安全和社會公共利益的數(shù)據(jù)出境將迎來監(jiān)管。10月29日,國家互聯(lián)網(wǎng)信息辦公室(下稱“網(wǎng)信辦”)發(fā)布《數(shù)據(jù)出境安全評估辦法(征求意見稿)》,并向社會公開征求意見。
南都記者梳理發(fā)現(xiàn),這是網(wǎng)絡(luò)安全法審議通過以來,網(wǎng)信辦第三次對數(shù)據(jù)出境安全相關(guān)的評估辦法征求意見。征求意見稿擬對達到申報要求的個人信息規(guī)模劃出紅線,如處理個人信息達到一百萬人,或累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息。
多位專家對南都記者表示,征求意見稿“解決了企業(yè)當(dāng)下迫切關(guān)注的問題”,是網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法和個人信息保護法共同確立的數(shù)據(jù)出境安全評估制度的落地細則,而三次征求意見則反映了政策不斷完善的過程。
網(wǎng)信辦三次對數(shù)據(jù)出境安全相關(guān)評估辦法征求意見
據(jù)了解,《數(shù)據(jù)出境安全評估辦法》的制定目的是規(guī)范數(shù)據(jù)出境活動,保護個人信息權(quán)益,維護國家安全和社會公共利益,促進數(shù)據(jù)跨境安全、自由流動。
“經(jīng)濟全球化條件下,數(shù)據(jù)跨境流動是常態(tài),為全球經(jīng)濟活動、人類社會發(fā)展提供了基礎(chǔ)支撐。因此,數(shù)據(jù)出境評估制度在世界各國的安全和發(fā)展戰(zhàn)略中,都是一個重要事項,也是近年來國際貿(mào)易規(guī)則、協(xié)定以及多邊雙邊磋商的重大議題”,中國信息安全研究院副院長左曉棟指出。
南都記者注意到,這是2016年網(wǎng)絡(luò)安全法通過審議以來,網(wǎng)信辦第三次對數(shù)據(jù)出境安全相關(guān)的評估辦法征求意見。
早在2017年,網(wǎng)信辦就會同相關(guān)部門起草發(fā)布了《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》。2019年,網(wǎng)信辦又發(fā)布《個人信息出境安全評估辦法(征求意見稿)》。時隔兩年,此次的《數(shù)據(jù)出境安全評估辦法(征求意見稿)》出臺。
值得注意的是,三份征求意見稿對應(yīng)的數(shù)據(jù)類型并不相同——從最初的“個人信息和重要數(shù)據(jù)”,到單獨的“個人信息”,再到語義相對籠統(tǒng)的“數(shù)據(jù)”。其中此次征求意見稿中的“數(shù)據(jù)”包括了“數(shù)據(jù)處理者向境外提供在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)和依法應(yīng)當(dāng)進行安全評估的個人信息”。
左曉棟對南都記者表示,第一次是為了與網(wǎng)絡(luò)安全法實施同步,但相關(guān)規(guī)定并不完善;第二次考慮了重要數(shù)據(jù)與個人信息的不同,擬對其分別制定出境安全評估辦法,所以先起草了《個人信息出境安全評估辦法(征求意見稿)》,但該辦法并不能解決個人信息出境的所有問題,而重要數(shù)據(jù)的定義當(dāng)時尚不明確?!斑@反映了政策不斷完善的過程?!?/p>
“直到這一次,在數(shù)據(jù)安全法和個人信息保護法的補充下,數(shù)據(jù)出境安全評估制度已經(jīng)在法律上比較完善,制定具體落地辦法的條件終于成熟?!弊髸詶澱f,“隨著《數(shù)據(jù)出境安全評估辦法》征求意見,《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》和《個人信息出境安全評估辦法(征求意見稿)》自然廢止?!?/p>
中國人民大學(xué)未來法治研究院副院長丁曉東補充指出,網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法和個人信息保護法構(gòu)建了完整的與數(shù)據(jù)安全相關(guān)的法律體系。從健全法律、促進法律落地的背景來說,征求意見稿將關(guān)鍵信息基礎(chǔ)設(shè)施運營者收集產(chǎn)生的數(shù)據(jù)、重要數(shù)據(jù)和個人信息等囊括其中,是一個整體性思考。
另一個明顯的變化是,前兩份評估辦法的規(guī)制主體都是“網(wǎng)絡(luò)運營者”,與網(wǎng)絡(luò)安全法中的表述一致;而此次征求意見稿的規(guī)制主體則是數(shù)據(jù)“處理者”,與數(shù)據(jù)安全法和個人信息保護法表述一致。
資深數(shù)據(jù)法律師袁立志指出,網(wǎng)絡(luò)運營者是網(wǎng)絡(luò)安全法中的概念,而數(shù)據(jù)出境評估辦法歸管的主體應(yīng)該遵從數(shù)據(jù)安全法和個人信息保護法中的相關(guān)規(guī)定,即數(shù)據(jù)處理者。“雖然兩者在大部分情況下是同一個主體,但也有一些情況下是不同的,使用數(shù)據(jù)處理者的表述會更加準確?!?/p>
“相較‘網(wǎng)絡(luò)運營者’,‘?dāng)?shù)據(jù)處理者’代表的范圍更大,比如沒有實現(xiàn)網(wǎng)絡(luò)化、數(shù)字化的企業(yè)也包含在‘?dāng)?shù)據(jù)處理者’的范圍中?!倍詵|說。
圖片
“一百萬”“十萬”適用于不同數(shù)據(jù)處理場景
多位專家對南都記者表示,征求意見稿第四條是核心條款。該條對數(shù)據(jù)處理者向境外提供數(shù)據(jù)時,哪些情形下需要申報數(shù)據(jù)出境安全評估做出了明確規(guī)定。
第四條 數(shù)據(jù)處理者向境外提供數(shù)據(jù),符合以下情形之一的,應(yīng)當(dāng)通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估。
?。ㄒ唬╆P(guān)鍵信息基礎(chǔ)設(shè)施的運營者收集和產(chǎn)生的個人信息和重要數(shù)據(jù);
?。ǘ┏鼍硵?shù)據(jù)中包含重要數(shù)據(jù);
?。ㄈ┨幚韨€人信息達到一百萬人的個人信息處理者向境外提供個人信息;
(四)累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息;
(五)國家網(wǎng)信部門規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形。
左曉棟指出,網(wǎng)絡(luò)安全法第三十七條首次規(guī)定了數(shù)據(jù)出境安全評估制度,但范圍只限定在關(guān)鍵信息基礎(chǔ)設(shè)施運營者在中國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)?!笆聦嵣希芏鄶?shù)據(jù)出境行為未必同關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)”,他說,后來數(shù)據(jù)安全法從重要數(shù)據(jù)出境方面、個人信息保護法從個人信息出境方面進行了彌補。
根據(jù)個人信息保護法,處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者,確需向境外提供的,應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評估。多位專家均表示,征求意見稿中規(guī)定的100萬是對上述規(guī)定數(shù)量的明確。
談及關(guān)于達到申報要求的個人信息規(guī)模的規(guī)定,丁曉東表示,100萬不是一個絕對標準,并不代表擁有99.99萬用戶量的企業(yè)向境外傳輸數(shù)據(jù)時,就不需要進行安全評估。他認為“這個紅線是為了區(qū)分小型商家和大型平臺”。
左曉棟則提出,規(guī)定中的“一百萬”和“十萬”的條件值適用于不同的情況,這反映了在信息技術(shù)廣泛應(yīng)用的情況下,網(wǎng)絡(luò)運營者、數(shù)據(jù)處理者的復(fù)雜性、多樣性為立法工作帶來的挑戰(zhàn)。
“傳統(tǒng)互聯(lián)網(wǎng)企業(yè)動輒處理幾十萬、上百萬的個人信息。如果把這個閾值定得過低,會導(dǎo)致大量互聯(lián)網(wǎng)企業(yè)在數(shù)據(jù)出境時只能選擇網(wǎng)信部門安全評估方式,無論對企業(yè)還是政府部門工作而言都帶來太高成本。但同時也要看到……有的時候幾萬、幾十萬個人信息已經(jīng)達到了一個企業(yè)處理個人信息的天花板,但這幾十萬的量卻影響十分巨大?!彼e例說,一個車企一年賣十萬輛智能汽車是不錯的成績了,如果把閾值定在一百萬,一些可能存在嚴重國家安全、數(shù)據(jù)安全隱患的智能汽車企業(yè)將被排除在外,“這顯然也是不合適的?!?/p>
在袁立志看來,相對于中國市場的體量,100萬是“比較低的標準”,很容易觸發(fā)。將紅線劃在100萬,可能是主管部門認為當(dāng)前國際數(shù)據(jù)安全形勢比較嚴峻,出于對國家數(shù)據(jù)安全、爭奪國際數(shù)據(jù)控制權(quán)等的考量。另一方面,該紅線會倒逼企業(yè)在本地存儲數(shù)據(jù),減少數(shù)據(jù)出境的需求。
南都記者注意到,一百萬的“紅線”在今年7月公布的《網(wǎng)絡(luò)安全審查辦法(修訂草案征求意見稿)》中也被提及。上述文件擬規(guī)定,掌握超過100萬用戶個人信息的運營者赴國外上市,必須向網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查。
對此,左曉棟認為,“處理個人信息達到一百萬人的個人信息處理者向境外提供個人信息”涵蓋了“掌握超過100萬用戶個人信息的運營者赴國外上市”的情況。換言之,后者是一種典型的數(shù)據(jù)出境行為,既然達到了“100萬”,就自然進入國家網(wǎng)信部門的安全評估程序。
除了第四條,征求意見稿的第五條和第九條也十分重要——它們分別針對數(shù)據(jù)處理者事先開展數(shù)據(jù)出境風(fēng)險重點評估的事項和數(shù)據(jù)處理者與境外接收方訂立的合同應(yīng)包含的內(nèi)容做出規(guī)定。
“《辦法》的第五條和第九條具有通用性。”左曉棟認為,無論任何一種數(shù)據(jù)出境,至少要遵循兩類要求:一是出境前的自評估,二是數(shù)據(jù)發(fā)送方與數(shù)據(jù)接收方的安全保護義務(wù)。
數(shù)據(jù)出境評估結(jié)果有效期為兩年
11月1日,個人信息保護法將正式實施,而數(shù)據(jù)安全法也已于9月1日生效?!半S著兩部法律的正式實施,許多企業(yè)有數(shù)據(jù)出境評估的迫切需求,如果不做,擔(dān)心被事后追責(zé),而沒有這個評估辦法的話,企業(yè)又不知道怎么做?!痹⒅菊J為,征求意見稿“解決了企業(yè)當(dāng)下迫切關(guān)注的問題”。
征求意見稿擬規(guī)定,數(shù)據(jù)出境評估結(jié)果有效期為兩年,如有效期屆滿需繼續(xù)開展數(shù)據(jù)出境活動,數(shù)據(jù)處理者應(yīng)當(dāng)在有效期屆滿六十個工作日前重新申報評估。
南都記者注意到,上述條款基本延續(xù)了2019年《個人信息出境安全評估辦法(征求意見稿)》擬規(guī)定的“每2年或者個人信息出境目的、類型和境外保存時間發(fā)生變化時應(yīng)當(dāng)重新評估”,并在其基礎(chǔ)上做出了更加具體的規(guī)定。
如征求意見稿提到,在有效期內(nèi)出現(xiàn)以下情形之一的,數(shù)據(jù)處理者應(yīng)當(dāng)重新申報評估:向境外提供數(shù)據(jù)的目的、方式、范圍、類型和境外接收方處理數(shù)據(jù)的用途、方式發(fā)生變化,或者延長個人信息和重要數(shù)據(jù)境外保存期限的;境外接收方所在國家或者地區(qū)法律環(huán)境發(fā)生變化,數(shù)據(jù)處理者或者境外接收方實際控制權(quán)發(fā)生變化,數(shù)據(jù)處理者與境外接收方合同變更等可能影響出境數(shù)據(jù)安全的;出現(xiàn)影響出境數(shù)據(jù)安全的其他情形的。
丁曉東認為,征求意見稿會對具有強數(shù)據(jù)出境需求的企業(yè)帶來合規(guī)壓力,這是“毫無疑問的”。與此同時,還會對個人帶來間接影響——根據(jù)個人信息保護法的要求,企業(yè)在跨境傳輸數(shù)據(jù)時,需要經(jīng)過用戶的同意。
“歷經(jīng)四年,我國終于在法律層面建立了數(shù)據(jù)出境安全評估制度?!?左曉棟表示,征求意見稿是網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法和個人信息保護法共同確立的數(shù)據(jù)出境安全評估制度的落地細則。根據(jù)法律的授權(quán),網(wǎng)信辦制定征求意見稿,使數(shù)據(jù)出境安全評估制度落地。
不過他同時指出,當(dāng)前我國需要建立的不僅僅是數(shù)據(jù)出境安全評估制度,而是完整的數(shù)據(jù)出境安全管理制度?!盁o論《辦法》多么重要,其只能是我國數(shù)據(jù)出境安全管理制度的一部分,后續(xù)還需要制定出臺另外的法規(guī)政策文件,共同構(gòu)建我國數(shù)據(jù)出境安全管理制度?!?/p>