《數據出境安全評估辦法》今起施行！互聯網企業要重點注意哪些？

2021年10月29日，國家網信辦公布《數據出境安全評估辦法（征求意見稿）》（以下稱“征求意見稿”），面向社會征求意見，收到了大量的公開意見，在廣泛征求意見的基礎上，國家網信辦對“征求意見稿”進行了修改和完善。今年7月7日，國家網信辦公布了《數據出境安全評估辦法》（以下簡稱《辦法》），自9月1日起施行。

萬方可提供數據出境合規服務!

我國數據出境安全評估的目的，是確保防范數據出境安全風險的基礎上，保障數據依法有序的自由流動。為實現上述目的，《辦法》提出了數據出境安全評估應遵循兩項基本原則：一是堅持事前評估和持續監督相結合原則；二是風險自評估與國家安全評估相結合原則。

《辦法》第四條明確，有以下四種情形之一的，應當申報數據出境安全評估，一是數據處理者向境外提供重要數據；二是關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息；三是自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息；四是國家網信部門規定的其他需要申報數據出境安全評估的情形。申請者申報數據出境安全評估，應當通過所在地省級網信部門向國家網信部門提出。

值得注意的是，以上規定與此前的《辦法》征求意見稿第四條相比，最大的變化有兩處：一是將“關鍵信息基礎設施運營者”與“處理100萬人以上個人信息的數據處理者向境外提供個人信息”合并為一款，該款的主體為兩個——一個是“關鍵信息基礎設施運營者”，另一個是“處理100萬人以上個人信息的數據處理者”，前者處理的數據均為重要數據，只要出境，必須無條件申報安全評估，后者只是在達到處理100萬以上個人信息這個法定條件，才可申報安全評估；二是在《辦法》（征求意見稿）“累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息”的基礎上，增加了“自上年1月1日起”，這樣就明確了“累計向境外提供超過十萬人以上個人信息”的計算依據和起止時間。

萬方可提供數據出境合規服務!

那么，開展數據出境風險自評估的重點是什么？國家數據出境安全評估的風險點又有哪些？筆者認為，對于相關互聯網企業來說，以下這些方面應重點注意：

對數據出境風險進行“自評估”，評估重點是什么？

首先，依據《辦法》第五條的規定，數據處理者在申報數據出境安全評估前，應當對以下六項重點內容開展數據出境風險的自評估：一是數據出境和境外接收方處理數據的目的、范圍、方式等的合法性、正當性、必要性；二是出境數據的規模、范圍、種類、敏感程度，數據出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險；三是境外接收方承諾承擔的責任義務，以及履行責任義務的管理和技術措施、能力等能否保障出境數據的安全；四是數據出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等的風險，個人信息權益維護的渠道是否通暢等；五是與境外接收方擬訂立的數據出境相關合同或者其他具有法律效力的文件等（以下統稱法律文件）是否充分約定了數據安全保護責任義務；六是其他可能影響數據出境安全的事項。

以上自評估的內容有四大特征：

一是數據出境的合規性評估，重點評估數據出境的目的、范圍和方式是否符合我國數據處理的法定原則——“合法、正當、必要”；

二是數據出境的風險性評估，重點從出境數據的規模、范圍、種類、敏感度等四個維度分析和評估，出境的數據是否會給國家安全、公共利益、個人或者組織合法權益帶來的風險；

三是數據出境的安全保障能力評估，重點評估境外接收方是否具備保障所出境數據的安全，尤其是評估境外接收方能否依據誠實信用原則，全面履行合同所約定的安全保障義務；

四是數據出境中和出境后的救濟渠道評估，重點評估在數據出境期間和出境后，一旦遭到數據的篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等風險，個人信息權益維護和救濟的渠道是否暢通。

萬方可提供數據出境合規服務!

國家數據出境安全評估的風險點有哪些？

數據處理者在完成了數據出境風險自評估之后，應按照《辦法》的要求形成自評估報告，同時應擬訂與境外接收方簽署的相關法律文件，主要數據出境合同，數據出境合同的擬訂應當依據國家網信辦制定的個人信息出境標準合同的相關規定。在完成以上環節后，數據處理者應當向省級網信部門提交以下材料：一是申報書；二是數據出境風險自評估報告；三是數據處理者與境外接收方擬訂立的法律文件：四是網絡部門安全評估工作需要的其他材料。

省級網信部門應當自收到上述申報材料之日起5個工作日內完成完備性查驗。這里的“完備性”是指，申報材料全部齊全，不需要在添加任何其他元素。省級網信部門將具有“完備性”申報材料報送國家網信部門，如果國家網信部門認為申報材料不具備完備性，將退回數據處理者并一次性告知需要補充的材料。

國家網信部門自收到完備的申報材料之日起，應當在7個工作日內，確定是否受理并書面通知數據處理者，最終的處理結果有三種情形：一是通過安全評估，數據處理者可以在收到國家網信部門通過評估的書面通知后，嚴格按照《辦法》的相關規定開展數據出境活動；二是未通過安全評估，數據處理者數據出境申報安全評估，未通過數的，數據處理者應當立即停止所申報的數據出境活動；三是對于不屬于《規定》安全評估范圍的情形，國家網信部門通知數據處理者不予受理，數據處理者在接到不予受理的書面通知后，可以依照相關法律法規法開展數據的出境業務。

國家網信部門受理申報后，將根據申報數據出境的領域組織國務院有關部門、省級網信部門以及專門機構等進行安全評估，安全評估的權重主要是可能對國家安全、公共利益、個人或者組織合法權益帶來的風險，著重考慮以下因素：

一是數據出境的目的、范圍、方式等的合法性、正當性、必要性；

二是境外接收方所在國家或者地區的數據安全保護政策法規和網絡安全環境對出境數據安全的影響；境外接收方的數據保護水平是否達到中華人民共和國法律、行政法規的規定和強制性國家標準的要求；

三是出境數據的規模、范圍、種類、敏感程度，出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等的風險；

四是數據安全和個人信息權益是否能夠得到充分有效保障；

五是數據處理者與境外接收方擬訂立的法律文件中是否充分約定了數據安全保護責任義務；

六是遵守中國法律、行政法規、部門規章情況；七是國家網信部門認為需要評估的其他事項。

國家網信部門對數據出境安全評估的內容，基本上與數據處理者自評估的內容保持了一致性，但在自評估內容的基礎上，更強調了兩大方面的內容：一是對境外接收方所在國家或者地區的數據安全保護政策法規和網絡安全環境對出境數據安全影響的評估；二是對境外接收方的數據保護水平是否達到我國法律、行政法規規定和強制性國家標準要求的評估。

重要數據的出境，可選擇約定運用區塊鏈技術

我國數據出境安全評估制度不僅要保護個人信息，更重要的是保障重要數據出境活動的安全。個人信息的出境安全評估申報有一定數量的限制，即“處理100萬人以上個人信息”或“自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息”；重要數據的出境必須全部申報安全評估，沒有任何數量的限制。因為重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數據。

筆者建議，對于重要數據的出境，在標準合同中可選擇約定運用區塊鏈技術，實現電子數據在出境過程或出境后的處理行為可溯源、可追蹤，確保數據出境過程和出境后均得到有效保護和合法利用，并使其處于持續安全的狀態，尤其是避免數據出境及再轉移后被泄露、毀損、篡改、濫用等風險。

推介運用區塊鏈技術確保重要數據出境處于安全狀態的理由主要基于，區塊鏈技術體系是一個綜合性的技術集合體，其中主要匯集了現代密碼學、分布式網絡技術、鏈式加密技術結構、智能合約、共識算法等五大技術領域的最新進展，以及數據庫技術、時間戳技術、數字簽名技術等技術方向的最新成果。由上述諸多技術綜合，使得基于區塊鏈技術的系統展現出“四大特征”，即分布式、可追溯、合約執行性、公約自治性，具備了這“五大技術”和“四大特征”的區塊鏈技術體系使得在數據在數字化信息系統上可以進行作為權益載體的信用在確認、轉移過程中不會有被泄露、毀壞、篡改、濫用等風險。

根據《網絡數據安全管理條例（征求意見稿）》對重要數據的解釋，重要數據主要包括以下七類數據：一是未公開的政務數據、工作秘密、情報數據和執法司法數據；二是出口管制數據，出口管制物項涉及的核心技術、設計方案、生產工藝等相關的數據，密碼、生物、電子信息、人工智能等領域對國家安全、經濟競爭實力有直接影響的科學技術成果數據；三是國家法律、行政法規、部門規章明確規定需要保護或者控制傳播的國家經濟運行數據、重要行業業務數據、統計數據等；四是工業、電信、能源、交通、水利、金融、國防科技工業、海關、稅務等重點行業和領域安全生產、運行的數據，關鍵系統組件、設備供應鏈數據；五是達到國家有關部門規定的規?；蛘呔鹊幕?、地理、礦產、氣象等人口與健康、自然資源與環境國家基礎數據；六是國家基礎設施、關鍵信息基礎設施建設運行及其安全數據，國防設施、軍事管理區、國防科研生產單位等重要敏感區域的地理位置、安保情況等數據；七是其他可能影響國家政治、國土、軍事、經濟、文化、社會、科技、生態、資源、核設施、海外利益、生物、太空、極地、深海等安全的數據。

萬方可提供數據出境合規服務!

從以上七種“重要數據”的內容上看，主要涉及國家安全和公共利益，這些數據出境后，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能嚴重危害國家安全、公共利益。筆者建議，重要數據應當以“非必要不出鏡”為原則，出境為例外，只有在具有特定的目的和充分必要的條件下，并采取了嚴格保護措施的基礎上，方可出境。

文章來源：新浪網

文章作者：新疆發布

文章鏈接：https://k.sina.com.cn/article_2541592687_977da06f019018vzi.html