千呼万唤始出来——《数据出境安全评估办法》正式出台

2022年7月7日，国家互联网信息办公室（以下简称“国家网信办”）发布了《数据出境安全评估办法》（以下简称“《评估办法》”），与《网络安全法》《数据安全法》与《个人信息保护法》三大法律以及相关法律法规，共同构建起我国网络空间治理和数据保护的法律体系。《评估办法》进一步规范数据出境活动，明确数据出境安全评估的具体规定，提出数据出境安全评估事前评估和持续监督相结合、风险自评估与安全评估相结合等原则。我们选取企业视角中所关注的以下几个焦点问题进行讨论。

 

1. 什么是“数据出境”？第二条的“向境外提供”包括什么场景？

《办法》适用于数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估的情形。国家网信办就《办法》答记者问中进一步明确，《办法》所称数据出境活动主要包括：一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以访问或者调用。

总结而言，判断是否构成《办法》所规制的数据出境，需满足以下要素：

1）数据类型：境内运营中收集和产生的重要数据或个人信息；

2）出境的方式：向境外提供，包括物理跨越和远程访问；

• 境外的含义：中华人民共和国大陆地区的以外的其他国家/地区，包括港澳台地区；以及
• 开展数据出境活动的双方：涉及数据传输方和数据接收方。

 

2. 触发“数据出境安全评估”的情形有哪些？

数据出境在什么情况下需申报主管部门评估，成为数据出境规则的核心问题。此前公布的数据出境规则围绕数据出境安全评估触发条件这一问题，进行了多次尝试。本次《评估办法》整合、呼应了《网络安全法》、《数据安全法》和《个人信息保护法》中的相关规则，从数据类型、主体类型、数据规模等角度最终确立了四项触发条件:
    1）出境的数据包含重要数据，而不论数据处理者是否构成关键信息基础设施运营（“CIIO”）；
    2）数据处理者构成特殊主体：数据处理者是CIIO，向境外提供个人信息；
    3）数据处理者所处理的数据量超过门槛：

1. 处理个人信息达到100万人以上；或
2. 自上年1月1日起累计向境外提供超过10万人个人信息或1万人敏感个人信息；

    4) 国家网信部门规定的其他需要申报数据出境安全评估的情形。

 

3. 如何识别关键信息基础设施运营者即CIIO？

依据2021年颁布的《关键信息基础设施安全保护条例》（以下简称《关基条例》）第二条，关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。依据《关基条例》第十条，由保护工作部门根据其制定的认定规则负责组织认定本行业、本领域的关键信息基础设施，并将认定结果通知运营者。基于此，企业一旦被认定为关键信息基础设施的运营者将会收到相关主管部门的通知。可以理解，企业如未收到主管部门的认定关键信息基础设施的运营者的通知，企业可以暂时认为自己不是CIIO。但相信随着相关文件的出台，该认定规则也将会更加完善。

 

4. 合规建议

根据《评估办法》第二十条的规定，该办法将自2022年9月1日起施行。其正式生效，也就意味着为企业就数据出境办理安全评估提供了实施路径，数据出境安全评估将正式落地。对于符合本办法中四种应申报安全评估的情况且确有数据出境需求的企业，应当尽早梳理数据出境情况，委托专业机构或自行进行自评估，与境外接受方签订符合要求的数据出境合同等法律文件，尽早进行安全评估申报。本办法虽给予了六个月宽限期，但考虑到首先要做自评估，考虑到自评估、整改、修改自评估报告均需花费较多时间进行处理，建议符合条件的企业尽快开展相关工作，积极调整数据出境业务框架，确保在合规的前提下开展业务。