作者:金茂律师事务所 万波 律师 王书玥 律师助理
一、问题的提出
7月7日,国家互联网信息办公室公布了《数据出境安全评估办法》(以下简称《评估办法》),自2022年9月1日起施行。国家互联网信息办公室有关负责人表示,出台《评估办法》旨在落实《网络安全法》、《数据安全法》、《个人信息保护法》的规定,规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,切实以安全保发展、以发展促安全。该《评估办法》的征求意见稿是在去年10月29日公布的,历经大半年时间的打磨,其终于面世,并很快生效。
那么如何正确理解《评估办法》的修订要点和具体办事要求,《评估办法》还有什么有待后续明确之处呢?本文尝试进行分析。
二、《评估办法》简评
《评估办法》提出了数据出境安全评估的具体要求,规定数据处理者在申报数据出境安全评估前应当开展数据出境风险自评估并明确了重点评估事项。规定数据处理者在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,在数据出境安全评估有效期内发生影响数据出境安全的情形应当重新申报评估。此外,还明确了数据出境安全评估程序、监督管理制度、法律责任以及合规整改要求等。
通过对比2021年发布的征求意见稿与今年发布的正式稿《评估办法》,我们可以总结得出几个修订要点:
修订要点一:首次在法规层面明确了“跨境传输”和“跨境访问”都属于数据出境活动。
修订要点二:修订了应当申报数据出境安全评估的情形,设置了个人信息出境数量的累积时间节点。具体见下表:
评估办法适用情形对比表
修订要点三:要求已经开展的数据出境在6个月内完成整改。
修订要点四:将数据出境中签订的“合同”进一步扩大到“法律文件”,扩大了被纳入安全评估工作的文件范围,体现了安全评估工作的严格化、全面化的趋势。
修订要点五:对具体的安全评估流程进行了修订和完善,并为企业增设了复评的通道。
三、具体评估流程
根据最新《评估办法》的规定,数据出境安全评估的流程具体而言为:
一是风险自评估,数据处理者在向境外提供数据前,应首先开展数据出境风险自评估。
二是申报评估,符合申报数据出境安全评估情形的,数据处理者应通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
三是开展评估,国家网信部门自收到申报材料之日起7个工作日内确定是否受理评估;自出具书面受理通知书之日起45个工作日内完成数据出境安全评估;情况复杂或者需要补充、更正材料的,可以适当延长并告知数据处理者预计延长的时间。
四是重新评估和终止出境,评估结果有效期届满或者在有效期内出现本办法中规定重新评估情形的,数据处理者应当重新申报数据出境安全评估。已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,在收到国家网信部门书面通知后,数据处理者应终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估。
数据出境安全评估的流程图如下:
四、《评估办法》中尚待明确的问题探讨
1、是否适用于“受托处理者”尚待明确
《评估办法》第一个值得探讨的问题即是其适用的主体问题。《评估办法》第二条规定:“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法。法律、行政法规另有规定的,依照其规定。”
上述条款中的“数据处理者”包含主体范围究竟多大,是否包括“受托处理者”呢?我们都知道,根据《个人信息保护法》,个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织或个人,相当于GDPR项下的“Controller”。而《评估办法》中的“数据处理者”应当狭义理解为仅指《个人信息保护法》项下的“个人信息处理者”,还是应当广义理解为也包括《个人信息保护法》项下的“受托处理者”呢?
以一个小例子说明如下:
案例1:某德国企业看中了中国相对低廉的人力成本,在中国境内聘请了第三方的客服中心,该客服中心直接向德国境内的顾客提供客户服务,为此收集了德国顾客的订单等个人信息,并需要定期传输给德国企业。
该案例中,在中国境内运营的客服中心根据德国企业的委托提供客户服务,在此过程中收集了德国境内顾客的个人信息并跨境传输给德国企业,此时客服中心应视为“受托处理者”,其是否应适用于《评估办法》的相关规定呢?
2、哪些行为构成“数据出境活动”尚待明确
如上所述,国家网信办的答记者问中首次明确了“跨境传输”和“跨境访问”都属于“数据出境活动”,具有非常重要的意义,但是,对于哪些行为属于“跨境传输”和“跨境访问”,仍然是实践中一个相对模糊的概念。
再以一个小例子说明如下:
案例2:设立在上海的公司委派其员工前往法国参加会议。在法国逗留期间,该员工打开他自己的电脑,远程访问该上海公司数据库中的个人信息,以完成某些公司的工作任务。
该案例中,这种从第三国远程“跨境访问”个人信息的行为,形式上符合《数据出境安全评估办法》“跨境访问”的情形,似乎应当认定为属于个人信息的出境“向境外提供”,但因员工不是另一个信息处理者,而仅仅是一个公司的一名雇员,因此个人信息的处理者本质并未发生变化,也要求按照“向境外提供”殊不合理。
五、小结
新规《评估办法》现已正式公布,并即将于9月1日正式生效。一方面,我们认为《评估办法》虽然在数据出境评估制度供给上,取得了很大的进步,但仍有部分内容存在理解上的分歧,监管部门有必要给予更明确的要求和指导。另一方面,对于已经涉及数据出境业务的企业来说,《评估办法》给予了6个月的整改过渡期,在《评估办法》明确要求开展风险自评估的情形下,企业应加快数据合规整改的步伐,尽快完成数据安全评估,切实避免数据出境不合规可能造成负面影响。