數據出境五情形須申安全評估
涉國安等六項內容為重點 評估結果有效期二年
香港文匯報訊(記者 海巖 北京報道)內地完善數據出境監管政策,國家互聯網信息辦公室29日就《數據出境安全評估辦法(徵求意見稿)》公開徵求意見。該辦法提出,處理個人信息達到一百萬人的個人信息處理者向境外提供個人信息等五種情形,要向國家網信部門申報數據出境安全評估;向境外提供數據前,應對數據出境可能對國家安全、公共利益帶來的風險等六項內容進行重點評估,評估結果有效期二年。
國家互聯網信息辦公室下發通知表示,為了規範數據出境活動,保護個人信息權益,維護國家安全和社會公共利益,促進數據跨境安全、自由流動,依據《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》等法律法規,國家互聯網信息辦公室起草了《數據出境安全評估辦法(徵求意見稿)》,現向社會公開徵求意見。意見反饋截止時間為2021年11月28日。
該辦法提出,數據處理者向境外提供數據,只要有「處理個人信息達到一百萬人的個人信息處理者向境外提供個人信息」等五種情形(見表)之一,都要向國家網信部門申報數據出境安全評估。
近年不少掌握海量個人信息的互聯網企業開展海外業務及在境外上市,涉及大量數據出境。今年下半年以來針對互聯網企業數據出境的監管收緊,監管部門陸續啟動針對滴滴、滿幫等平台企業的網絡安全審查;數據安全法也於9月1日起正式實施,數據安全上升到國家安全的最高監管層級;不少企業亦暫停赴境外上市,等待數據出境相關監管法規的進一步完善。
專家:助降企業出海風險
網絡安全法明確規定,因業務需要,確需向境外提供的數據,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。此次對外公開徵求意見的安全評估辦法,正式為此提供明確依據和指導,明確數據安全評估的具體情形,為今後相關企業在走出去過程中保障數據合規安全給予標準和可遵循的路徑。專家認為,隨着相關制度的完善,不僅有助於保護個人信息權益,維護國家安全和社會公共利益,也有利於降低企業出海風險。
此次公開徵求意見的《數據出境安全評估辦法》還提出,數據出境安全評估,重點評估數據出境活動可能對國家安全、公共利益、個人或者組織合法權益帶來的風險。
該辦法列舉評估數據出境六個方面的風險,包括出境數據的數量、範圍、種類、敏感程度,出境中和出境後洩露、篡改、丟失、破壞、轉移或者被非法獲取、非法利用等風險(見表)。
合同訂立須充分約定責任義務
「數據出境安全評估堅持事前評估和持續監督相結合、風險自評估與安全評估相結合,防範數據出境安全風險,保障數據依法有序自由流動。」該辦法同時要求,數據處理者與境外接收方訂立的合同充分約定數據安全保護責任義務,應當包括但不限於數據出境的目的、方式和數據範圍,境外接收方處理數據的用途、方式等。另外,數據出境評估結果有效期為二年。
業內分析,數據自由流動是大勢所趨,但前提是安全。數據安全涉及國家安全,是內地企業出海擴張或境外上市要跨過的重要一關。數據出境安全評估辦法為數據處理者向境外提供數據,劃清了安全邊界,明確了評估程序,既是技術層面的指導,更給企業出海劃定安全底線。
