党的十八大以来,党中央高度重视数字经济发展,将其上升为国家战略。作为第五大生产要素,数据已成为我国基础性战略资源,驱动经济创新发展。随着经济全球化的发展,世界各经济体间的数据跨境流动需求显著增长,数据安全对个人信息权益、公共利益和国家安全的影响日益凸显,许多国家和地区制定了符合自身发展需求的数据跨境流动管理政策。2022年7月7日,国家互联网信息办公室正式发布《数据出境安全评估办法》(以下简称《办法》),构成我国数字经济治理体系的重要组成部分,体现出国家网信部门应对数据安全威胁、促进数据依法有序自由流动的决心。

一、坚持审慎研究,落实基础性法律要求

(一)安全评估是我国数据出境安全管理的主要手段之一。随着《网络安全法》、《数据安全法》、《个人信息保护法》等基础性法律相继实施,我国数据跨境流动安全管理框架基本成型。其中,《网络安全法》第37条规定,关键信息基础设施运营者出境个人信息和重要数据的,应当按照国家网信部门制定的办法进行安全评估。《个人信息保护法》第38条规定,个人信息跨境提供的合规路径之一是通过国家网信部门组织的安全评估;第40条规定,关键信息基础设施运营者和达到一定处理规模的个人信息处理者,个人信息出境前应当通过国家网信部门组织的安全评估。《数据安全法》第31条规定,重要数据的出境安全管理办法由国家网信部门会同国务院有关部门制定。以上立法构成了《办法》的法律基础。

(二)历时5年、严谨审慎,紧跟国际国内形势发展。在基础性法律授权下,为顺应时代需求、适应国际环境、保障法律实施,国家网信部门负责研究制定数据出境安全评估制度。从《办法》发布时间线可以看出,制定过程一波三折,经历了多个关键节点。自2016年《网络安全法》颁布后,国家网信部门即启动了相关研究,于2017年发布《个人信息和重要数据出境安全评估办法(征求意见稿)》;但为了解决《网络安全法》授权立法范围争议,以及与欧盟2018年实施的GDPR相接轨,思路上进行了调整,于2019年发布《个人信息出境安全评估办法(征求意见稿)》;随着2021年《数据安全法》、《个人信息保护法》正式实施,授权立法范围问题得以解决,重要数据、个人信息的出境要求进一步明确;国家网信部门进一步调整思路,最终发布了《办法》。可以看出,《办法》的制定过程和思想紧跟国际国内形势发展,历时5年体现出国家网信部门的审慎和负责态度。

(三)《办法》出台具有三方面重大意义。一是国家统筹安全与发展顶层设计的直接体现。《办法》不是为了“堵”,而是为了“疏”,但要做到“疏而有序”,就需要行之有效的监管,最终目的是通过规范数据出境活动,促进数据跨境安全、自由流动。二是提升数据治理能力和依法治国水平的有效举措。近年来出台的《网络安全法》、《数据安全法》、《个人信息保护法》是《办法》制定的依据,同时《办法》也是这三部法律在出境相关条款落地实施的具体实践,数据出境安全评估制度的尽快实施,将有利于有效应对日益复杂的国际环境。三是科学界定适用安全评估的重要数据和个人信息范围,防止安全评估泛化,实现对国际数据跨境流动治理体系的创新与发展,与目前世界主流经济体鼓励数据跨境有序流动、实现有效监管的理念一脉相承,体现出中国对数据安全治理的责任与担当。

二、坚持科学理念,防范数据跨境流动带来的风险挑战

(一)科学界定适用安全评估的对象和范围,防止安全评估泛化。《办法》第2条明确评估对象是数据处理者,即在数据处理活动中自主决定处理目的和处理方式的个人和组织。因此,即使数据处理者是自然人,也可能需要申报安全评估。该定义旨在避免数据出境活动名义上由组织转移到个人从而规避监管的情况。同时,根据《个人信息保护法》第72条,当数据处理者是个人时,如出境活动是因个人或家庭事务而进行的,可不需安全评估。所以,自然人因个人或家庭事务进行数据出境的不受影响。在适用场景方面,《办法》第2条将“数据出境”定义为“向境外提供”。在实践中包括2种情形,一是数据处理者将数据转移至中国境外;二是数据依旧存储在境内,但境外主体可以在境外远程访问查看。

除适用对象和场景外,《办法》进一步明确了需要安全评估的情形,即适用范围是什么。《办法》第4条明确,当出境数据涉及重要数据时,安全评估是强制性的;当出境数据仅为个人信息时,符合如下条件需进行安全评估:(1)关键信息基础设施的运营者,(2)处理100万人以上个人信息的数据处理者,(3)自上年1月1日起累计向境外提供10万人个人信息或1万人敏感个人信息的数据处理者。值得注意,适用范围限定了累计时限,防止评估泛化。

(二)科学划分角色,统一原则和方法,积极调动各方力量参与数据跨境治理工作,推动制度与管理模式的创新。《办法》第3条、第14条和第17条反映了评估的原则和方法。总体原则是,事前评估和持续监督相结合,即不仅是出境前进行把关,在出境过程中也会持续进行监督和治理。其方式方法与总体原则对应,在事前评估阶段主要包括数据处理者的风险自评估和国家网信部门的安全评估;在持续监督阶段,主要是发现情势变化后要求重新申报评估、终止出境和整改。

《办法》第4条和第10条给出了在评估原则之下的组织管理形式,即国家网信部门主导的多级协同、多部门联动的形式。其中,国家网信部门是安全评估的核心组织方和牵头方,省级网信部门既是数据处理者上报材料的渠道,又可参与具体评估;国务院有关部门、专门机构可参与具体评估。总体而言,国家网信部门负责统筹协调,国务院有关部门、省级网信部门、专门机构各司其职相互配合。

(三)科学设计评估事项,风险自评估与安全评估相结合,共同防范数据跨境安全挑战。风险自评估是《办法》首次提出的一种方式,是数据处理者在提交数据出境安全评估申报之前必须完成的工作。《办法》第5条明确了风险自评估的重点事项,包括数据出境业务合理性、出境数据重要性、数据安全保障能力、个人信息权益保障能力和法律文件合规性等要求。第8条明确了安全评估的重点事项,包括数据出境业务合理性、接收方所在地法律政策环境、出境数据重要性、数据安全和个人信息权益保障能力、法律文件合规性、遵守我国法律法规情况等。其中,法律文件要求在第9条中明确。

可以看出,风险自评估与安全评估的具体事项互有交叉,均从管理、技术、法律三个维度提出风险管理的要求。不过,后者涵盖的广度和深度都高于前者,例如自评估事项并不包括接收方所在地法律政策环境和遵守我国法律法规情况。风险自评估也有其独特的地方,比如考虑到数据安全保障能力更适合自评估,因此没有在安全评估事项中提及,但应注意这不代表国家网信部门不评估该事项。风险自评估与安全评估相结合的原则体现了监管部门愿与数据处理者共同做好数据安全治理的开放态度。

三、坚持发展与安全并重,促进数据跨境安全、自由流动

(一)尽可能压缩评估时限,保障数据出境活动有序开展。《办法》第7条、第12条和第13条明确了安全评估的流程和处理时限。整体流程需经历风险自评估-申报评估-查验和受理-安全评估-发出评估结果-(申请复评),其中申报评估后的流程要求57个工作日内办结(不含补充或更正材料、复杂情况和复评环节),相比征求意见稿的时限大幅压缩了10个工作日。应注意该时限为国家网信部门科学测算后的最长时限,与数据处理者的业务复杂程度、出境数据规模、法律合规情况等密切相关,大部分非复杂、规模小的评估预计在较短的时间内即可完成。此外,数据处理者申报前准备工作是否完备充分也是评估处理时限的影响因素。依照法律法规梳理自身的数据安全风险隐患、对数据处理活动进行合规调整、高质量的风险自评估均利于有效缩短评估时长。再次体现出风险自评估与安全评估相结合的原则,监管部门与数据处理者共同促进发展。

(二)合理设定安全评估结果有效期,保障数据出境活动的持续性。当前数字技术发展较快,可能引发新的数据安全风险,监管部门与数据处理者均需针对各类情势变化做出快速、有效的响应和调整。基于此考虑,《办法》第14条规定安全评估结果有效期为2年。实践中,评估结果有效期届满时,如果数据出境活动没有发生显著变化,且没有出现影响出境数据安全的其他情形,预计监管部门会充分参考数据处理者上一次评估结果,在较短时间内完成重新评估,保障数据出境活动的持续性。

(三)与其他数据出境途径相互补充、衔接,保障个人信息出境便捷、高效。《个人信息保护法》第38条和第40条规定,个人信息跨境提供根据不同情形可采用安全评估、个人信息保护认证、签订国家网信部门制定的标准合同三种途径。据公开信息,除《办法》外,国家网信部门正在制定《个人信息出境标准合同规定》和个人信息保护认证相关标准规范,构建我国个人信息出境的完整体系。作为最严格的数据出境安全监管措施,《办法》在适用范围、法律文件要求、评估事项等相关条款中预留了与标准合同、认证的相互补充、相互衔接的空间,便于个人信息处理者更加高效的开展业务。

总的来说,《办法》体现了国家网信部门“审慎研究、控制风险、促进流动”的监管理念,是我国依法管理数据跨境流动安全风险的创新举措,也是统筹发展与安全的具体实践,对于保障我国数字经济健康发展具有重要和深远的意义。