数据出境如何“安检”(一)——基本规则

浏览: 作者: 来源: 时间:2020-11-02 分类:专业研究
我国在近年也陆续******了几部文件约束数据的跨境传输,到目前为止,我国有关数据出境的法规标准草案共有5部,按颁布顺序分别是,网络安全法2016个人信息和重要数据出境安全评估办法征求意见稿2017信息安全技术数据出境安全评估指南2017个人信息出境安全评估办法征求意见稿2019以及今年新发布的个人信息保护法草案

当今世界网络安全形势日趋严峻,各国各地区对数据流动的监管诉求日益上升,这将使得数据出境成为企业(特别是涉外企业)未来合规运营的重要方面。我国在近年也陆续******了几部文件约束数据的跨境传输,到目前为止,我国有关“数据出境”的法规标准草案共有5部,按颁布顺序分别是,《网络安全法》(2016)、《个人信息和重要数据出境安全评估办法(征求意见稿)》(2017)、《信息安全技术 数据出境安全评估指南》(2017)、《个人信息出境安全评估办法(征求意见稿)》(2019)、以及今年新发布的《个人信息保护法(草案)》。



有关“数据出境”的最早规定由《网络安全法》(2016年11月7日)提出,首次对关键信息基础设施运营者提出了数据本地化以及数据出境安全评估的要求。2017年4月11日颁布的《个人信息和重要数据出境安全评估办法(征求意见稿)》将数据出境安全评估的责任主体扩大至网络运营者构建了个人信息和重要数据出境评估的基本框架。应该说,目前国家数据出境的重点监管对象包括关键信息基础设施运营者和网络运营者,监管数据包括个人信息和重要数据而监管方式将主要以安全评估为主。

 

《网络安全法》三十七条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。


《个人信息和重要数据出境安全评估办法(征求意见稿)》第二条规定,网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照本办法进行安全评估。



哪些数据属于个人信息和重要数据?

 

个人信息:


根据《网络安全法》第七十六条,个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。个人信息的关键点是“可识别性“,即可以通过信息直接或间接地识别到自然人。

 

重要数据:


《个人信息和重要数据出境安全评估办法(征求意见稿)》第十七条规定,重要数据,是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。随后,全国信息安全标准化技术委员会发布了《信息安全技术数据出境安全评估指南》,其中对重要数据的定义更新为,相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)。这就排除了重要数据和国家秘密和个人信息的关联性,突出了重要数据的特点。


作为《评估指南》附录的《重要数据识别指南》明确了包括国防科技工业、石油化工、工业设备、通信、煤炭等在内的二十七个领域的重要数据范围。因此,相关行业的网络运营者应及时了解本行业主管部门有关重要数据的规定及更新,对相关重要数据分类备案,一旦需要跨境传输,及时加工处理以满足安全评估的要求。当然,最高效和便捷的方式也是依托一个律师团队,来时刻保证自身企业的合规安全。



《个人信息保护法(草案)》的新规定

 

如上所述,《草案》******前的几部规范规定监管方式比较单一,主要是出境前的安全评估。为满足新时代对数据自由流通的更高商业需求,同时为满足我国公民隐私权的更高保护力度,今年10月21日,全国人大常务委员会发布了《中华人民共和国个人信息保护法(草案)》,并就其内容公开征求意见。《草案》的******意味着国家会以更系统、更全面的形式规制个人信息出境。其中第三十八条规定了个人信息跨境提供需要具备下列条件之一:


(一)依照本法第四十条的规定通过网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准;(四)法律、行政法规或者国家部门规定的其他条件。

 

应该说草案的******放宽了个人信息出境的限制,安全评估不再是个人信息出境的唯一条件,满足上述四项条件之一即视为合规,但是重要数据出境仍需按照网安法等法律和规范的要求进行安全评估。有关个人信息保护的认证程序和订立合同的详细标准,还将由后续的解释和规范性文件等进一步规定。值得一提的是,这四个条件仅包含行政审批层面的个人信息出境特殊规定,个人信息处理者向境外提供个人信息的,还应当履行告知+同意的个人信息处理一般义务。《草案》第三十九条就专门规定,个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式等事项,并取得个人的单独同意。

 

我们认为《个人信息保护法(草案)》没有强调一般个人信息的本地化存储要求,这也与前几部规范有所不同。尽管除《网络安全法》之外的其他数据出境规范还没有正式施行,《草案》放宽的出境要求是否在未来会收紧,也还有待我们持续关注;但是基于个人信息和重要数据的分类、安全评估+其他方式并行的基本框架不会有太大变化。下节我们将结合评估办法和指南的规定,介绍数据出境的安全评估要点。






小今


Elisa Chen


首页上一页 1/35 下一页尾页
共35页到第 确定