7月7日,国家互联网信息办公室正式公布《数据出境安全评估办法》(以下简称《办法》),就个人信息和重要数据的出境安全评估管理措施提供具体的法律解决方案,明确了数据出境安全评估的目的、原则、范围、程序和监督机制等具体规定,对保护我国国家安全、公共利益、个人合法权益和促进数字经济发展具有重要的里程碑意义。
我国建立健全数据跨境管理规则
随着数字经济的蓬勃发展,数据跨境活动日益频繁,数据处理者的数据出境需求快速增长。我国作为世界数据资源大国之一,面临的数据安全风险相较于其他国家也更大,亟须建立健全数据跨境管理规则。同时,由于不同国家和地区法律制度、保护水平等的差异,数据出境安全风险也相应增大。数据跨境活动既影响个人信息权益,又关系国家安全和社会公共利益。
为此,我国加快完善数据出境安全管理制度,2016年11月通过的《网络安全法》第三十七条规定了对关键信息基础设施运营者的重要数据和个人信息需进行安全评估。2021年6月通过的《数据安全法》第三十一条在重申关键信息基础设施运营者的重要数据出境的安全评估要求之外,还进一步规定“其他数据处理者”的重要数据出境也需进行安全评估。2021年8月通过的《个人信息保护法》第三十八条第一款第一项和第四十条,在重申关键信息基础设施运营者的个人信息出境安全评估要求之外,还进一步规定“达到国家网信部门规定数量的个人信息处理者”的个人信息出境也需进行安全评估。由此,上述三大立法全面建立起数据出境的基础性制度——安全评估制度。
《办法》不仅是对《网络安全法》《数据安全法》《个人信息保护法》等法律法规中“出境数据安全评估”规定的细化落实,也是保护我国基础性战略资源和国家安全的关键措施。《办法》将进一步规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动。
《办法》保障数据依法有序流动
国家工业信息安全发展研究中心总工程师黄鹏表示:“《办法》立足维护国家安全和社会公共利益、保护个人信息权益,构建了我国数据出境安全评估的制度,将事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。”
其中,事前评估和持续监督相结合原则明确安全评估不仅关注数据出境前对出境后可能出现的风险的评估和所要采取的安全保障措施,还关注数据出境后风险发生的变化以及原有措施的有效性,因而该原则建立起数据出境风险全过程的动态评估机制。
同时,评估决定2年有效期的规定保障了企业参与全球数字经济建设的持续性和连贯性。《办法》第十四条明确安全评估结果有效期为2年,意味着数据处理者可以申报2年内对特定境外接收方的数据出境计划,极大方便企业开展连续性数据出境业务,促进全球数字经济发展。这种设置带来了相对的制度优势。
“对于数据出境,不仅仅对数据处理者,还要对数据接收者进行评估。”中国科学院科技战略咨询研究院系统分析与管理研究所副所长、研究员孙晓蕾表示,“面对复杂的国际形势,我国出于维护自身数据安全的需要,对数据接收者进行严格评估是极其必要的。特别是,境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响,以及境外接收方的数据保护水平是否达到我国法律、行政法规规定和强制性国家标准的要求,应是评估重点。”
此外,针对法律文件的签订,明确要求境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化导致难以保障数据安全时,应当采取安全措施。这两项规定,能够更好地避免出境数据被恶意利用而产生各类风险。