數(shù)據(jù)安全出境有“辦法”

《法人》特約撰稿 莊燕君

新 聞

2022 年7 月7 日，國家互聯(lián)網(wǎng)信息辦公室（下稱“國家網(wǎng)信辦”）出臺 《數(shù)據(jù)出境安全評估辦法》（下稱“評估辦法”），于9 月1 日起正式施行。評估辦法規(guī)定了數(shù)據(jù)出境安全評估的范圍、條件和程序，為數(shù)據(jù)出境安全評估工作提供了具體指引。2022 年8 月31 日，國家網(wǎng)信辦發(fā)布了其編制的《數(shù)據(jù)出境安全評估申報指南（第一版）》，為企業(yè)申報提供更為具體的指引。

解 讀

評估辦法明確了個人信息與重要數(shù)據(jù)出境安全評估的適用范圍、重點評估內(nèi)容、評估流程與期限，以及不進行事前評估的法律后果等實質(zhì)性內(nèi)容。在申報流程方面，評估辦法要求提請國家網(wǎng)信辦評估申報前，作為境內(nèi)出境方的數(shù)據(jù)處理者應進行自評估，并形成自評估報告一并提交。

鑒于數(shù)據(jù)跨境活動既影響個人信息權(quán)益，也與國家安全和公共利益息息相關(guān)，數(shù)據(jù)跨境制度建設已經(jīng)被世界上許多國家高度重視。從我國數(shù)據(jù)跨境管理制度的沿革來看，不少敏感或關(guān)鍵行業(yè)，如健康醫(yī)療、地理測繪等，其監(jiān)管規(guī)則中早已納入數(shù)據(jù)出境管理規(guī)則，早在網(wǎng)絡安全法第三十七條中，國家就擬制了針對個人信息和重要數(shù)據(jù)跨境傳輸活動的基本規(guī)則。隨著近年來數(shù)據(jù)安全法、個人信息保護法的頒行，以及境外數(shù)據(jù)跨境流動的監(jiān)管態(tài)勢日益趨嚴，我國數(shù)據(jù)跨境制度框架也得以進一步完善，評估辦法正是落實數(shù)據(jù)保護三大基本法有關(guān)數(shù)據(jù)出境安全評估機制的重要舉措。

評估辦法規(guī)定，本辦法施行前已經(jīng)開展的數(shù)據(jù)出境活動，不符合本辦法規(guī)定的，應當自本辦法施行之日起6 個月內(nèi)完成整改?？紤]到評估辦法留給境內(nèi)數(shù)據(jù)出境方的整改過渡期限將至，監(jiān)管部門是否會在過渡期結(jié)束后集中開展執(zhí)法活動尚不明確，建議企業(yè)：（1）盡早梳理內(nèi)部跨境業(yè)務場景，對涉敏感、風險高的業(yè)務數(shù)據(jù)出境場景開展優(yōu)先整改，同時盡快落地數(shù)據(jù)分級分類管理，結(jié)合業(yè)務實際情況對數(shù)據(jù)出境的必要性予以自查；（2）創(chuàng)建評估所需的工具清單（包括但不限于對境內(nèi)出境方的要求和對境外接收方的要求），參考《個人信息出境標準合同規(guī)定（征求意見稿）》等規(guī)定中對于境內(nèi)出境方及境外接收方的要求，制定內(nèi)部的自評估流程，及早開展自評估工作；（3）根據(jù)安全評估的不同結(jié)果準備不同的操作預案，并密切關(guān)注業(yè)內(nèi)申報案例，尋找本地化替代方案以盡量避免出境風險。