数据出境安全评估办法解读.docx

《数据出境安全评估办法解读.docx》由会员分享，可在线阅读，更多相关《数据出境安全评估办法解读.docx（7页珍藏版）》请在优知文库上搜索。

1、数据出境安全评估办法解读2022年7月7日，国家互联网信息办公室（以下简称“网信 办”）正式发布数据出境安全评估办法（以下简称评估办 法），并将于2022年9月1日起施行。数据出境安全评估办法 的出台，落实了网络安全法数据安全法和个人信息保护 法中关于数据出境安全管理的相关规定，使我国数据安全、个人 信息保护方面法律体系进一步完善，标志着数据出境安全评估制度 的正式落地。数据出境安全评估制度的沿革2016年11月7日发布的网络安全法（2017年6月1日起施 行）第三十七条规定：“关键信息基础设施的运营者在中华人民共和 国境内运营中收集和产生的个人信息和重要数据应当在境内存储。 因业务需要，确需

2、向境外提供的，应当按照国家网信部门会同国务 院有关部门制定的办法进行安全评估；法律、行政法规另有规定 的，依照其规定J这一规定确立了我国的数据出境安全评估制度。 后来，网信办分别于2017年4月11日和2019年6月13日就数据 出境安全评估先后发布两个办法的征求意见稿，即个人信息和重 要数据出境安全评估办法（征求意见稿）和个人信息出境安全评 估办法（征求意见稿）。2021年6月10日发布的数据安全法（2021年9月1日起施 行）第三十一条规定：“关键信息基础设施的运营者在中华人民共和 国境内运营中收集和产生的重要数据的出境安全管理，适用中华 人民共和国网络安全法的规定；其他数据处理者在中华人

3、民共和 国境内运营中收集和产生的重要数据的出境安全管理办法，由国家 网信部门会同国务院有关部门制定J 2021年8月20日发布的个 人信息保护法（2021年11月1日起施行）第三十六条、第三十八 条、第四十条都规定了个人信息跨境提供的安全评估制度。数据安 全法和个人信息保护法分别从重要数据和个人信息角度完成 了数据出境安全管理顶层框架的搭建。2021年10月29日网信办发布了数据出境安全评估办法（征 求意见稿），向社会公开征求意见后，2022年5月19日国家互联 网信息办公室2022年第10次室务会议审议通过数据出境安全评 估办法，2022年7月7日公布，2022年9月1日起施行，自此确 立了

4、数据出境评估的常态化机制。数据出境总体评估原则评估办法第三条的规定反映了数据出境安全评估的原则为： 事前评估和持续监督相结合，风险自评估与安全评估相结合。第五 条至第十一条体现了事前评估原则，第十二条、第十四条、第十七 条则体现了持续监督原则。事前评估决定数据是否能够出境，持续 监督是为保证对数据出境后进行全流程监控。其次，第五条规定了 风险自评估的重点事项，第八条则规定了安全评估的主要事项。风 险自评估是数据处理者进行在申报数据出境安全评估前应进行的活 动，可以减轻国家网信部门的审核压力。数据出境安全评估适用范围评估办法第二条规定了数据出境安全评估的客体，包括重要数据和个人信息。第四条规定了

5、数据处理者向境外提供数据需要 进行安全评估的情形，有三种具体情形和一个兜底的概况情形：第一，数据处理者向境外提供重要数据。对于何为“重要数 据”，第十九条规定本办法所称重要数据，是指一旦遭到篡改、破 坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运 行、社会稳定、公共健康和安全等的数据。相较于数据安全法， 将重要数据需要进行安全评估的范围从关键信息基础设施的运营者 扩大到了所有数据处理者。第二，关键信息基础设施运营者和处理IOO万人以上个人信息 的数据处理者向境外提供个人信息。这对个人信息保护法第四 十条“处理个人信息达到国家网信部门规定数量的个人信息处理 者”的标准予以了明确。第三

6、，自上年1月1日起累计向境外提供10万人个人信息或者 1万人敏感个人信息的数据处理者向境外提供个人信息。相较于征 求意见稿，加入了起算时间，可见对适用条件有所放松，从而减少 了需要申报数据出境安全评估的情形。最后是兜底条款，国家网信部门规定其他需要申报数据出境安 全评估的情形，为数据出境安全评估制度顺应时代发展、规制实践 中出现的新情况留下空间。数据出境安全评估要求评估办法第六条规定了数据处理者向省级网信部门申报数 据出境安全评估应当提交的材料：申报书、数据出境风险自评估报 告、数据处理者与境外接收方拟订立的法律文件、安全评估工作需 要的其他材料。第五条规定了风险自评估应当重点评估的事项，而

7、评估的结果也就是数据处理者提交的数据出境风险评估报告。第九 条规定了数据处理者与境外接收方订立的法律文件应当明确的内 容。而其他安全评估工作需要的材料，则有待网信部门出台相应的 文件或指南。以下就评估办法中第五条“数据出境风险自评估”和第八条“数据出境安全评估”的重点事项进行对比：风险自评估重点事项安全评估重点事项数据出境和境外接收方处理数 据的目的、范围、方式等的合 法性、正当性、必要性数据出境的目的、范围、方式 等的合法性、正当性、必要性出境数据的规模、范围、种 类、敏感程度，数据出境可能 对国家安全、公共利益、个人 或者组织合法权益带来的风险出境数据的规模、范围、种 类、敏感程度，出境中

8、和出境 后遭到篡改、破坏、泄露、丢 失、转移或者被非法获取、非 法利用等的风险境外接收方承诺承担的责任义 务，以及履行责任义务的管理 和技术措施、能力等能否保障 出境数据的安全境外接收方所在国家或者地区 的数据安全保护政策法规和网 络安全环境对出境数据安全的 影响；境外接收方的数据保护 水平是否达到中华人民共和国 法律、行政法规的规定和强制 性国家标准的要求数据出境中和出境后遭到篡 改、破坏、泄露、丢失、转移 或者被非法获取、非法利用等 的风险，个人信息权益维护的 渠道是否通畅等数据安全和个人信息权益是否能够得到充分有效保障与境外接收方拟订立的数据出 境相关合同或者其他具有法律 效力的文件等（

9、以下统称法律 文件）是否充分约定了数据安 全保护责任义务数据处理者与境外接收方拟订 立的法律文件中是否充分约定 了数据安全保护责任义务/遵守中国法律、行政法规、部门规章情况其他可能影响数据出境安全的事项国家网信部门认为需要评估的其他事项第一，数据处理者与境外接收方订立关于数据出境的法律文 件。第二，数据处理者开展数据出境风险自评估。第三，数据处理者向所在地省级网信部门提交申报材料。第四，省级网信部门自收到申报材料之日起5个工作日内完成 完备性查验，申报材料齐全的，将申报材料报送国家网信部门；申 报材料不齐全的，应当退回数据处理者并一次性告知需要补充的材 料。第五，国家网信部门应当自收到申报材料

10、之日起7个工作日 内，确定是否受理并书面通知数据处理者。第六，国家网信部门受理申报后，根据申报情况组织国务院有 关部门、省级网信部门、专门机构等进行安全评估，应当自向数据 处理者发出书面受理通知书之日起45个工作日内完成数据出境安全 评估。第七，安全评估过程中，发现数据处理者提交的申报材料不符 合要求的，国家网信部门可以要求其补充或者更正。情况复杂或者 需要补充、更正材料的，可以适当延长评估期限并告知数据处理者 预计延长的时间。数据处理者无正当理由不补充或者更正的，国家 网信部门可以终止安全评估。第八，国家网信部门完成安全评估后，将数据出境安全评估结 果书面通知数据处理者，数据处理者对评估结果有异议的，可以在 收到评估结果15个工作日内向国家网信部门申请复评，复评结果为 最终结论。小结评估办法的出台对规范数据出境活动、促进数据跨境 安全、保护重要数据和个人信息权益具有重要的作用。同时，评估 办法只是体系和框架的搭建，很多细节需要进一步完善和补充。 在数据出境安全管理制度不断完善的趋势下，符合评估办法中 需要申报数据出境安全评估的数据处理者应当尽快制定评估申报计 划并开展风险自评估工作，省级网信部门和国家网信部门也应当尽 快完善关于安全评估的具体细则，提高安全评估工作的规范性和效 率性。