版權聲明:本文版權歸文章作者所有,僅代表作者觀點,本文不用於商業用途,僅為學習交流之用,如文中的內容、圖片、音頻、視頻等如有侵權,請及時聯系本站站長刪除。
本文來源於微信公眾號【國瓴合規研究院】
【編者按】
本講義由上海國瓴律師事務所名譽主任、上海交通大學網絡空間治理研究中心主任壽步教授撰寫,內容取材於2016年11月我國網絡安全法發布以來至2023年2月底期間的相關規範性文件,權威性高,實用性強,可供關心網絡安全法律政策的讀者閱讀。連載共13篇。
目錄
第八章數據出境管理制度
(1)在網絡安全法中,第三章“網絡運行安全”第二節“關鍵信息基礎設施的運行安全”中的第三十七條規定:“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。”這是關於個人信息和重要數據在境內存儲和向境外提供的原則性規定,我國的數據出境管理制度由此設立。
本章專門討論數據出境管理制度。雖然網絡安全法第三十七條出現在第三章網絡運行安全中,但是該條涉及的數據出境問題,實質上屬於網絡信息安全領域。因此,本章安排在個人信息保護制度和違法信息監管制度兩章之後,納入網絡安全法的網絡信息安全制度框架之內。
(2)在數據安全法中,第二十一條第二款規定:關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬於國家核心數據,實行更加嚴格的管理制度。第三十一條規定:“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理,適用《中華人民共和國網絡安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。”數據處理者是指在數據處理活動中自主決定處理目的和處理方式的個人和組織。(《網絡數據安全管理條例(征求意見稿)》第七十三條)第三十六條規定:“中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定,或者按照平等互惠原則,處理外國司法或者執法機構關於提供數據的請求。非經中華人民共和國主管機關批準,境內的組織、個人不得向外國司法或者執法機構提供存儲於中華人民共和國境內的數據。”(3)在個人信息保護法中,第三十六條規定:“國家機關處理的個人信息應當在中華人民共和國境內存儲;確需向境外提供的,應當進行安全評估。安全評估可以要求有關部門提供支持與協助。”第三十七條規定:“法律、法規授權的具有管理公共事務職能的組織為履行法定職責處理個人信息,適用本法關於國家機關處理個人信息的規定。”第五十五條規定,有“向境外提供個人信息”的,個人信息處理者應當事前進行個人信息保護影響評估,並對處理情況進行記錄。另有第三章專門規定“個人信息跨境提供的規則”。
(4)為建立數據出境安全評估制度,國家網信辦近幾年先後發布三份征求意見稿:2017年4月11日的《個人信息和重要數據出境安全評估辦法(征求意見稿)》;2019年6月13日的《個人信息出境安全評估辦法(征求意見稿)》;2021年10月29日的《數據出境安全評估辦法(征求意見稿)》。這三份文件的先後發布,表明主管部門關於數據出境安全評估制度的建設路徑調整情況:開始的建設路徑是就個人信息和重要數據統一制定出境安全評估辦法;後來的建設路徑是就個人信息和重要數據分別制定出境安全評估辦法;當前的建設路徑又是就數據(既包括重要數據、也包括個人信息)統一制定出境安全評估辦法。第三份征求意見稿是在2021年6月10日數據安全法通過、2021年8月20日個人信息保護法通過之後發布的。2022年7月7日《數據出境安全評估辦法》由國家網信辦正式發布,自2022年9月1日起施行。為指導和幫助數據處理者規範、有序申報數據出境安全評估,國家網信辦2022年8月31日發布《數據出境安全評估申報指南(第一版)》,對數據出境安全評估申報方式、申報流程、申報材料等具體要求作出說明。數據處理者因業務需要確需向境外提供數據,符合數據出境安全評估適用情形的,應當根據《數據出境安全評估辦法》規定,按照申報指南申報數據出境安全評估。
2022年12月16日,信安標委秘書處發布《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規範V2.0》,以支撐個人信息保護認證實施,指導個人信息處理者規範開展個人信息跨境處理活動。該實踐指南規定了跨境處理個人信息應遵循的基本原則、個人信息處理者和境外接收方在個人信息跨境處理活動的個人信息保護、個人信息主體權益保障等方面內容。
第一節 個人信息、重要數據、國家核心數據的識別
根據數據安全法,數據安全所涉及的數據包括但不限於國家核心數據、重要數據、個人信息等。
為落實網絡安全法、數據安全法個人信息保護法等法律關於數據安全管理的規定,規範網絡數據處理活動,保護個人、組織在網絡空間的合法權益,維護國家安全和公共利益,根據國務院2021年立法計劃,國家網信辦會同相關部門研究起草《網絡數據安全管理條例(征求意見稿)》,2021年11月14日公開征求意見。這是將要制定的行政法規的征求意見稿。其位階高於2019年5月28日國家網信辦發布的《數據安全管理辦法(征求意見稿)》,後者當時擬制定的是部門規章。
一、個人信息的識別
網絡安全法、民法典、個人信息保護法和個人信息安全規範中關於個人信息的定義,在第六章已作介紹。
應當依據法律法規、國際標準的規定進行個人信息的識別。
二、重要數據的識別
《網絡數據安全管理條例(征求意見稿)》第七十三條第三項規定:
“重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益的數據。包括以下數據:
1.未公開的政務數據、工作秘密、情報數據和執法司法數據;
2.出口管制數據,出口管制物項涉及的核心技術、設計方案、生產工藝等相關的數據,密碼、生物、電子信息、人工智能等領域對國家安全、經濟競爭實力有直接影響的科學技術成果數據;
3.國家法律、行政法規、部門規章明確規定需要保護或者控制傳播的國家經濟運行數據、重要行業業務數據、統計數據等;
4.工業、電信、能源、交通、水利、金融、國防科技工業、海關、稅務等重點行業和領域安全生產、運行的數據,關鍵系統組件、設備供應鏈數據;
5.達到國家有關部門規定的規模或者精度的基因、地理、礦產、氣象等人口與健康、自然資源與環境國家基礎數據;
6.國家基礎設施、關鍵信息基礎設施建設運行及其安全數據,國防設施、軍事管理區、國防科研生產單位等重要敏感區域的地理位置、安保情況等數據;
7.其他可能影響國家政治、國土、軍事、經濟、文化、社會、科技、生態、資源、核設施、海外利益、生物、太空、極地、深海等安全的數據。”
【關於上述“重要數據”定義的評論】
1.“概括+列舉”式(“內涵+外延”式)定義中引導詞的不同情況
1.1如果“列舉”時的引導詞是“包括但不限於”,則實際列明的事項可以小於“概括”的外延。因為兩個外延之“差”(即“概括”定義的外延在實際列明的事項中沒有涉及的那一部分)就處在“不限於”的外延中。如下圖所示。
1.2如果“列舉”時的引導詞是“包括”,則實際列明的事項應該等於“概括”的外延。如果在“包括”項下實際列明的事項並不等於“概括”的外延,那麼,“包括”項下實際列明的事項就應該進行補充,直到實際列明的事項等於“概括”的外延。如下圖所示。
2.“重要數據”定義的初步問題
2.1征求意見稿的“重要數據”定義,采用“概括+列舉”式定義,以“包括”為引導詞。
在列舉的全部七種數據類型中,前六種數據是針對具體情況的;第七種數據所處的“其他”情況雖是“開放”,但卻不是“無限開放”、可謂“有限開放”,即只限於所列舉的“政治、國土、軍事、經濟、文化、社會、科技、生態、資源、核設施、海外利益、生物、太空、極地、深海等”十五個領域。換言之,如果是在上述十五個領域之外的數據,就可以理解為並沒有包括在其中。
如果說上述“等”字給十五個領域之外的其他領域預留了空間,則比較勉強。
2.2在“概括+列舉”式定義中以“包括”為引導詞的情況下,如果希望列舉的最後一種情況對應於“其他”所有可能的情況,就“重要數據”的定義而言,或許可以考慮,以“概括”部分的文字為基礎,寫為“一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益的其他數據。”或者寫為“其他一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益的數據。”這樣的給出的“其他”情況就是“無限開放”、而不是“有限開放”。
2.3關於征求意見稿“重要數據”定義的第七種類型所列明的十五個領域,也可討論。
2014年總體國家安全觀提出時列名的具體安全領域有11個:政治安全、國土安全、軍事安全、經濟安全、文化安全、社會安全、科技安全、信息安全、生態安全、資源安全、核安全。2015年以總體國家安全觀為指導制定的國家安全法中涉及的具體安全領域有19個:政治安全、人民安全、國土安全、軍事安全、經濟安全、金融安全、資源能源安全、糧食安全、文化安全、科技安全、網絡與信息安全、民族安全、宗教安全、反恐安全、公共安全、生態環境安全、核安全、外層空間海底極地利益安全、海外利益安全。此外,近年來專門法律施行涉及的具體安全領域包括但不限於:生物安全、數據安全。
因此,在征求意見稿“重要數據”定義的第七種類型中,是否需要列明具體的安全領域,具體列出哪些安全領域,都可研究。
3.給“重要數據”下定義時應考慮其與“國家核心數據”的關系
3.1數據安全法有兩處涉及“國家核心數據”。
數據安全法第二十一條規定:“國家建立數據分類分級保護制度,根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄,加強對重要數據的保護。
關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬於國家核心數據,實行更加嚴格的管理制度。
各地區、各部門應當按照數據分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄,對列入目錄的數據進行重點保護。”
數據安全法第四十五條第二款規定:“違反國家核心數據管理制度,危害國家主權、安全和發展利益的,由有關主管部門處二百萬元以上一千萬元以下罰款,並根據情況責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照;構成犯罪的,依法追究刑事責任。”
3.2數據安全法上述兩處規定的提法都是“國家核心數據”、而不是“核心數據”。因此,未來正式公布《網絡數據安全管理條例》時,宜采用其上位法中完整的、標準的提法“國家核心數據”、不宜省去“國家”二字。
將數據安全法第二十一條的三款規定聯系起來看,尤其是從其中關於“國家核心數據”的界定(“關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據”)來看,“國家核心數據”的重要性是體現在“國家”層級、而不是在“各地區、各部門”層級。
因此,從語義上說,“國家”二字也不宜省略。因此,征求意見稿中的各處“核心數據”宜改為“國家核心數據”(第五條、第九條、第二十七條各兩處,第七十三條、第七十四條各一處)。
3.3從數據安全法第二十一條第二款的原文分析,“國家核心數據”究竟是“重要數據”的子集、還是與“重要數據”相區分的另一個集合?值得考量。
關於該款“……實行更加嚴格的管理制度”中 “更加嚴格”的比較對象,似乎可以有兩種解讀:
第一種解讀是“……實行比重要數據更加嚴格的管理制度”,這種解讀就意味著國家核心數據與重要數據是兩個不同的集合(如下圖所示)。
第二種解讀是“……實行比一般的重要數據更加嚴格的管理制度”,這種解讀就意味著國家核心數據是重要數據的子集,換言之,重要數據分為“一般的重要數據”和“國家核心數據”兩部分;與“一般的重要數據”對應,“國家核心數據”就是“特殊的重要數據”。
其實,第二種解讀是有根據的
--將數據安全法第二十一條第一款和第三款中的兩句話
--“國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄”“各地區、各部門應當按照數據分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄”
--結合起來,可以理解為:國家數據安全工作協調機制統籌協調有關部門制定的重要數據目錄“就是”或者“主要是”國家核心數據目錄即特殊的重要數據目錄;各地區、各部門所確定的本地區、本部門以及相關行業、領域的重要數據具體目錄就是一般的重要數據目錄。
數據安全法並沒有在相關主管部門“制定重要數據目錄”之外明示還要“制定國家核心數據目錄”(在接下來的第二款中也沒有這樣的文字)。換言之,將“重要數據”分為“國家核心數據”和“非國家核心數據”兩部分,將“國家核心數據目錄”作為“重要數據目錄”的子目錄,應該更符合數據安全法的原意(如下圖所示)。由此可以更加合理地解讀該條第二款關於“國家核心數據”的規定。
根據數據安全法,國家核心數據應是重要數據的子集。數據分級應是“兩級三層”。“兩級三層”的數據分級體系可以表述為:“數據分為一般數據和重要數據兩級;重要數據包含國家核心數據。”或“數據分為一般數據和重要數據(含國家核心數據)兩級。”
3.4對於“國家核心數據”與“重要數據”的關系,征求意見稿是采用了上述第一種解讀。具體可見征求意見稿第五條的下列規定:
“國家建立數據分類分級保護制度。按照數據對國家安全、公共利益或者個人、組織合法權益的影響和重要程度,將數據分為一般數據、重要數據、核心數據,不同級別的數據采取不同的保護措施。
國家對個人信息和重要數據進行重點保護,對核心數據實行嚴格保護。
各地區、各部門應當按照國家數據分類分級要求,對本地區、本部門以及相關行業、領域的數據進行分類分級管理。”
在征求意見稿的設計之下,除了制定“重要數據目錄”之外,就還需要制定“國家核心數據目錄”,這與數據安全法的立法原意是否一致,值得關注。換言之,征求意見稿將“國家核心數據”與“重要數據”區分為兩個不同的集合(類別)做法,是值得商榷的。
3.5在征求意見稿將“國家核心數據”與“重要數據”區分為兩個不同的集合(類別)的情況下,就有必要在“重要數據”的定義中加以明示,即在“重要數據”的“概括+列舉”式定義的“概括”部分,加入“不屬於國家核心數據”這一限定的表述。因為征求意見稿對於“重要數據”的定義並沒有將“國家核心數據”排除出去。
這時,“重要數據”的“概括+列舉”式定義的“概括”部分的完整表述就可以是:“重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益的數據,但不屬於國家核心數據。”
【關於上述“重要數據”定義評論的小結】
1.在征求意見稿采用“概括+列舉”的形式給出“重要數據”的定義時,“列舉”時的引導詞是用“包括但不限於”還是用“包括”?
2.如果“列舉”時的引導詞采用“包括”,那麼,列舉的最後一種情況即“其他”情況是采用“無限開放”的表述、還是采用“有限開放”的表述?
3.如果列舉的最後一種情況即“其他”情況是“有限開放”的表述,那麼應該列出哪些具體的安全領域?
4.數據安全法所稱的“國家核心數據”,在征求意見稿中是否應該簡稱為“核心數據”?
5.根據數據安全法,是應該將“國家核心數據”作為“重要數據”的子集、還是應該將“國家核心數據”和“重要數據”作為兩個不同的集合進行處理?
6.在征求意見稿將“國家核心數據”和“重要數據”作為兩個不同的集合進行處理的情況下,在“重要數據”的“概括+列舉”式定義的“概括”部分,是否有必要加入“不屬於國家核心數據”這一限定的表述、以區別於“國家核心數據”?
【關於上述“重要數據”定義的比較1】
2019年5月28日國家網信辦發布的《數據安全管理辦法(征求意見稿)》第三十八條規定:“重要數據,是指一旦泄露可能直接影響國家安全、經濟安全、社會穩定、公共健康和安全的數據,如未公開的政府信息,大面積人口、基因健康、地理、礦產資源等。重要數據一般不包括企業生產經營和內部管理信息、個人信息等。”
【關於上述“重要數據”定義的比較2】
2017年8月30日發布的《信息安全技術 數據出境安全評估指南(征求意見稿)》有附錄A《重要數據識別指南》。
2022年1月13日,全國信息安全標準化技術委員會秘書處發布《信息安全技術 重要數據識別指南》(征求意見稿)。2021年9月30日,工業和信息化部發出《工業和信息化領域數據安全管理辦法(試行)(征求意見稿)》。2022年12月8日,工業和信息化部印發《工業和信息化領域數據安全管理辦法(試行)》,自2023年1月1日起施行。
三、國家核心數據的識別
數據安全法第二十一條第二款規定:“關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬於國家核心數據,實行更加嚴格的管理制度。”網絡數據安全管理條例第七十三條第四項規定:“核心數據是指關系國家安全、國民經濟命脈、重要民生和重大公共利益等的數據。”
第二節 數據的境內儲存
一、境內儲存
網絡安全法第三十七條要求“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲”,即數據應在境內存儲。該條也規定了業務需要確需數據出境時的安全評估制度。在數據出境管理制度的一系列配套文件中,規定了“不得出境”的具體情形。
《數據出境安全評估辦法》第二條規定:“數據處理者向境外提供在中華人民共和國境內運營中收集和產生的重要數據和個人信息的安全評估,適用本辦法。法律、行政法規另有規定的,依照其規定。”
《數據出境安全評估辦法》第四條規定:“數據處理者向境外提供數據,有下列情形之一的,應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估:
(一)數據處理者向境外提供重要數據;
(二)關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息;
(三)自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息;
(四)國家網信部門規定的其他需要申報數據出境安全評估的情形。”
二、相關規定
在網絡安全法發布前,一些規範性文件中已有限制數據出境和要求數據境內存儲的規定,其中有的文件側重於對數據出境的限制,有的文件側重於對數據境內存儲的要求。由此可以看出規則制定者對數據安全問題的重視。
第三節 數據的出境評估
一、相關要點
網絡安全法第三十七條針對“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據”“因業務需要,確需向境外提供的”情況,規定“應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。”
下面介紹《數據出境安全評估指南(征求意見稿)》的相關要點。
(一)境內運營
“境內運營”定義為“網絡運營者在中華人民共和國境內開展業務,提供產品或服務的活動。
注1:未在中華人民共和國境內注冊的網絡運營者,但在中華人民共和國境內開展業務,或向中華人民共和境內提供產品或服務的,屬於境內運營。判斷網絡運營者是否在中華人民共和國境內開展業務,或向中華人民共和境內提供產品或服務的參考因素包括但不限於:使用中文;以人民幣作為結算貨幣;向中國境內配送物流等。
注2:中華人民共和國境內的網絡運營者僅向境外機構、組織或個人開展業務、提供商品或服務,且不涉及境內公民個人信息和重要數據的,不視為境內運營。”
因此,不論網絡運營者是否在中華人民共和國境內注冊,只要是在中華人民共和國境內開展業務,或向中華人民共和國境內提供產品或服務的,都屬於“境內運營”。
二、加工處理
加工處理是指“針對個人信息和重要數據實施的操作,包括個人信息和重要數據的收集、存儲、訪問、修改、轉讓、披露、匿名化、去標識化、恢複、刪除、銷毀等。”
三、出境目的
要求出境目的應同時滿足合法性、正當性和必要性的要求。具體如下:
a)合法性包括以下情況:1)不屬於法律法規明令禁止的;2)不屬於國家網信部門、公安部門、安全部門等有關部門認定不能出境的。
b)正當性包括以下情況:1)個人信息主體已同意的。雖未經個人信息主體同意但是危及公民生命財產安全等緊急情況除外;2)不違反相關主管部門規定的。
c)必要性包括以下任一種或幾種情況:1)履行合同義務所必需的;2)同一機構、組織內部開展業務所必需的;3)我國政府部門履行公務所必需的;4)履行我國政府與其他國家和地區、國際組織簽署的條約、協議所必需的;5)其他維護網絡空間主權和國家安全、經濟發展、社會公共利益和保護公民合法利益需要的。
四、數據出境
數據出境是指網絡運營者通過網絡等方式,將其在中華人民共和國境內運營中收集和產生的個人信息和重要數據,通過直接提供或開展業務、提供服務、產品等方式提供給境外的機構、組織或個人的一次性活動或連續性活動。
注1:以下情形屬於數據出境:
a)向本國境內,但不屬於本國司法管轄或未在境內注冊的主體提供個人信息和重要數據;
b)數據未轉移存儲至本國以外的地方,但被境外的機構、組織、個人訪問查看的(公開信息、網頁訪問除外);
c)網絡運營者集團內部數據由境內轉移至境外,涉及其在境內運營中收集和產生的個人信息和重要數據的。
注2:非在境內運營中收集和產生的個人信息和重要數據經由本國出境,未經任何變動或加工處理的,不屬於數據出境。
注3:非在境內運營中收集和產生的個人信息和重要數據在境內存儲、加工處理後出境,不涉及境內運營中收集和產生的個人信息和重要數據的,不屬於數據出境。
二、相關規定
(一)數據出境的主體
2016年通過的網絡安全法所規定的數據出境管理制度是針對“關鍵信息基礎設施的運營者”的。2017年網絡安全法施行後出臺的《數據出境安全評估指南(征求意見稿)》《個人信息和重要數據出境安全評估辦法(征求意見稿)》《個人信息出境安全評估辦法(征求意見稿)》所規定的數據出境管理制度則是針對“網絡運營者”的。顯然,“網絡運營者”的範圍遠遠大於“關鍵信息基礎設施的運營者”的範圍。網絡運營者,是指網絡的所有者、管理者和網絡服務提供者。(網絡安全法第七十六條)
2021年通過的數據安全法第三十一條規定:“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理,適用《中華人民共和國網絡安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。” 數據處理者是指在數據處理活動中自主決定處理目的和處理方式的個人和組織。(《網絡數據安全管理條例(征求意見稿)》第七十三條)“數據處理者”既包括“網絡運營者”、也包括“非網絡運營者”。
(二)數據出境安全評估的原則和要求
《數據出境安全評估辦法》規定:
——(第三條)數據出境安全評估堅持事前評估和持續監督相結合、風險自評估與安全評估相結合,防範數據出境安全風險,保障數據依法有序自由流動。
——(第八條)數據出境安全評估重點評估數據出境活動可能對國家安全、公共利益、個人或者組織合法權益帶來的風險,主要包括以下事項:
(一)數據出境的目的、範圍、方式等的合法性、正當性、必要性;
(二)境外接收方所在國家或者地區的數據安全保護政策法規和網絡安全環境對出境數據安全的影響;境外接收方的數據保護水平是否達到中華人民共和國法律、行政法規的規定和強制性國家標準的要求;
(三)出境數據的規模、範圍、種類、敏感程度,出境中和出境後遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等的風險;
(四)數據安全和個人信息權益是否能夠得到充分有效保障;
(五)數據處理者與境外接收方擬訂立的法律文件中是否充分約定了數據安全保護責任義務;
(六)遵守中國法律、行政法規、部門規章情況;
(七)國家網信部門認為需要評估的其他事項。
(三)數據處理者的義務
《數據出境安全評估辦法》中有相關規定:
——(第五條)數據處理者在申報數據出境安全評估前,應當開展數據出境風險自評估,重點評估以下事項:
(一)數據出境和境外接收方處理數據的目的、範圍、方式等的合法性、正當性、必要性;
(二)出境數據的規模、範圍、種類、敏感程度,數據出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險;
(三)境外接收方承諾承擔的責任義務,以及履行責任義務的管理和技術措施、能力等能否保障出境數據的安全;
(四)數據出境中和出境後遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等的風險,個人信息權益維護的渠道是否通暢等;
(五)與境外接收方擬訂立的數據出境相關合同或者其他具有法律效力的文件等(以下統稱法律文件)是否充分約定了數據安全保護責任義務;
(六)其他可能影響數據出境安全的事項。
——(第九條)數據處理者應當在與境外接收方訂立的法律文件中明確約定數據安全保護責任義務,至少包括以下內容:
(一)數據出境的目的、方式和數據範圍,境外接收方處理數據的用途、方式等;
(二)數據在境外保存地點、期限,以及達到保存期限、完成約定目的或者法律文件終止後出境數據的處理措施;
(三)對於境外接收方將出境數據再轉移給其他組織、個人的約束性要求;
(四)境外接收方在實際控制權或者經營範圍發生實質性變化,或者所在國家、地區數據安全保護政策法規和網絡安全環境發生變化以及發生其他不可抗力情形導致難以保障數據安全時,應當采取的安全措施;
(五)違反法律文件約定的數據安全保護義務的補救措施、違約責任和爭議解決方式;
(六)出境數據遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等風險時,妥善開展應急處置的要求和保障個人維護其個人信息權益的途徑和方式。
——(第十四條)通過數據出境安全評估的結果有效期為2年,自評估結果出具之日起計算。在有效期內出現以下情形之一的,數據處理者應當重新申報評估:
(一)向境外提供數據的目的、方式、範圍、種類和境外接收方處理數據的用途、方式發生變化影響出境數據安全的,或者延長個人信息和重要數據境外保存期限的;
(二)境外接收方所在國家或者地區數據安全保護政策法規和網絡安全環境發生變化以及發生其他不可抗力情形、數據處理者或者境外接收方實際控制權發生變化、數據處理者與境外接收方法律文件變更等影響出境數據安全的;
(三)出現影響出境數據安全的其他情形。有效期屆滿,需要繼續開展數據出境活動的,數據處理者應當在有效期屆滿60個工作日前重新申報評估。
三、個人信息出境的專門規定
1.個人信息保護法第三章的規定
個人信息保護法第三章“個人信息跨境提供的規則”是關於個人信息跨境提供的專門規定,其中包括第三十八條至第四十三條共六條規定。
【第三十八條】個人信息處理者因業務等需要,確需向中華人民共和國境外提供個人信息的,應當具備下列條件之一:
(一)依照本法第四十條的規定通過國家網信部門組織的安全評估;
(二)按照國家網信部門的規定經專業機構進行個人信息保護認證;
(三)按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務;
(四)法律、行政法規或者國家網信部門規定的其他條件。
中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息的條件等有規定的,可以按照其規定執行。
個人信息處理者應當采取必要措施,保障境外接收方處理個人信息的活動達到本法規定的個人信息保護標準。
【第三十九條】個人信息處理者向中華人民共和國境外提供個人信息的,應當向個人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式和程序等。
【第四十條】關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者,應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的,應當通過國家網信部門組織的安全評估;法律、行政法規和國家網信部門規定可以不進行安全評估的,從其規定。
▲注意有四個外延不同的概念:
——“個人信息處理者”
——“關鍵信息基礎設施運營者”
——“處理個人信息達到國家網信部門規定數量的個人信息處理者”
——“處理個人信息未達到國家網信部門規定數量的個人信息處理者”
▲關於數量標準,《數據出境安全評估辦法》第四條規定:關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息的,自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息的,應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估。
【第四十一條】中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定,或者按照平等互惠原則,處理外國司法或者執法機構關於提供存儲於境內個人信息的請求。非經中華人民共和國主管機關批準,個人信息處理者不得向外國司法或者執法機構提供存儲於中華人民共和國境內的個人信息。
【第四十二條】境外的組織、個人從事侵害中華人民共和國公民的個人信息權益,或者危害中華人民共和國國家安全、公共利益的個人信息處理活動的,國家網信部門可以將其列入限制或者禁止個人信息提供清單,予以公告,並采取限制或者禁止向其提供個人信息等措施。
【第四十三條】任何國家或者地區在個人信息保護方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的,中華人民共和國可以根據實際情況對該國家或者地區對等采取措施。
2.新版《網絡安全審查辦法》的規定
2021年11月16日,由國家網信辦、國家發改委等13個部門聯合發布新版《網絡安全審查辦法》,自2022年2月15日起實施。新版《網絡安全審查辦法》規定網絡安全審查制度也適用於網絡平臺運營者開展數據處理活動、影響或者可能影響國家安全的情況。相關要點簡述如下:
(1) 網絡安全審查工作的原則
堅持防範網絡安全風險與促進先進技術應用相結合、過程公正透明與知識產權保護相結合、事前審查與持續監管相結合、企業承諾與社會監督相結合,從數據處理活動安全性、可能帶來的國家安全風險等方面進行審查。
(2)網絡平臺運營者開展數據處理活動的國家安全審查義務
掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市,必須向網絡安全審查辦公室申報網絡安全審查。
自2021年9月1日起施行的我國數據安全法明確規定國家建立數據安全審查制度。新版《網絡安全審查辦法》將網絡平臺運營者開展數據處理活動影響或者可能影響國家安全等情形納入網絡安全審查範圍,要求掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市必須申報網絡安全審查,主要目的是為了進一步保障網絡安全和數據安全,維護國家安全。
(3)網絡安全審查重點評估的因素
網絡安全審查重點評估相關對象或者情形的以下國家安全風險因素:
——核心數據、重要數據或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險;
——上市存在核心數據、重要數據或者大量個人信息被外國政府影響、控制、惡意利用的風險,以及網絡信息安全風險;
——其他可能危害網絡安全和數據安全的因素。
3.《個人信息出境標準合同辦法》的規定
2023年2月24日,國家網信辦公布《個人信息出境標準合同辦法》,自2023年6月1日起施行。該辦法的出臺旨在落實個人信息保護法的規定,保護個人信息權益,規範個人信息出境活動。該辦法規定了個人信息出境標準合同的適用範圍、訂立條件和備案要求,明確了標準合同範本,為向境外提供個人信息提供了具體指引。
作者簡介 PROFILE
壽步 國瓴名譽主任
壽步教授現為上海交通大學法學院教授、博士生導師,上海交通大學知識產權研究中心主任、網絡空間治理研究中心主任,中國法學會網絡與信息法學研究會副會長,中國科學技術法學會副會長、網絡空間法專業委員會主任,中國法學會知識產權法學研究會常務理事,中國法學會案例法學研究會常務理事,中華全國律師協會信息網絡與高新技術法律專業委員會顧問,上海知識產權法院特邀知識產權專家。
壽步教授長期從事法學與新技術交叉領域的法學研究、法學教育、法律實務工作,尤其是與計算機軟件、網絡遊戲、雲計算、網絡安全、數據安全、個人信息保護等相關的領域。
壽步教授已出版個人專著5部、合著4部、主編著作21部。代表性論著有《中國軟件版權訴訟實務》、《 計算機軟件著作權保護》、《軟件網絡和知識產權》、《軟件網絡訴訟代理實務》、《信息時代知識產權教程》等。
發表評論 取消回複