数据安全出境有“办法”
2023-03-06法人庄燕君
《法人》特约撰稿 庄燕君
新 闻
2022 年7 月7 日,国家互联网信息办公室(下称“国家网信办”)出台 《数据出境安全评估办法》(下称“评估办法”),于9 月1 日起正式施行。评估办法规定了数据出境安全评估的范围、条件和程序,为数据出境安全评估工作提供了具体指引。2022 年8 月31 日,国家网信办发布了其编制的《数据出境安全评估申报指南(第一版)》,为企业申报提供更为具体的指引。
解 读
评估办法明确了个人信息与重要数据出境安全评估的适用范围、重点评估内容、评估流程与期限,以及不进行事前评估的法律后果等实质性内容。在申报流程方面,评估办法要求提请国家网信办评估申报前,作为境内出境方的数据处理者应进行自评估,并形成自评估报告一并提交。
鉴于数据跨境活动既影响个人信息权益,也与国家安全和公共利益息息相关,数据跨境制度建设已经被世界上许多国家高度重视。从我国数据跨境管理制度的沿革来看,不少敏感或关键行业,如健康医疗、地理测绘等,其监管规则中早已纳入数据出境管理规则,早在网络安全法第三十七条中,国家就拟制了针对个人信息和重要数据跨境传输活动的基本规则。随着近年来数据安全法、个人信息保护法的颁行,以及境外数据跨境流动的监管态势日益趋严,我国数据跨境制度框架也得以进一步完善,评估办法正是落实数据保护三大基本法有关数据出境安全评估机制的重要举措。
评估办法规定,本办法施行前已经开展的数据出境活动,不符合本办法规定的,应当自本办法施行之日起6 个月内完成整改。考虑到评估办法留给境内数据出境方的整改过渡期限将至,监管部门是否会在过渡期结束后集中开展执法活动尚不明确,建议企业:(1)尽早梳理内部跨境业务场景,对涉敏感、风险高的业务数据出境场景开展优先整改,同时尽快落地数据分级分类管理,结合业务实际情况对数据出境的必要性予以自查;(2)创建评估所需的工具清单(包括但不限于对境内出境方的要求和对境外接收方的要求),参考《个人信息出境标准合同规定(征求意见稿)》等规定中对于境内出境方及境外接收方的要求,制定内部的自评估流程,及早开展自评估工作;(3)根据安全评估的不同结果准备不同的操作预案,并密切关注业内申报案例,寻找本地化替代方案以尽量避免出境风险。