作者：高云 曾理

?

國(guó)家互聯(lián)網(wǎng)信息辦公室近日公布《數(shù)據(jù)出境安全評(píng)估辦法》（以下簡(jiǎn)稱《辦法》），自2022年9月1日起施行。該《辦法》的指定對(duì)于規(guī)范數(shù)據(jù)出境活動(dòng)，保護(hù)個(gè)人信息權(quán)益，維護(hù)國(guó)家安全和社會(huì)公共利益，促進(jìn)數(shù)據(jù)跨境安全、自由流動(dòng)，具有重大意義。在此，本文推出《數(shù)據(jù)出境安全評(píng)估辦法》的常見問(wèn)題匯總、解讀和場(chǎng)景應(yīng)用，以供廣大讀者和相關(guān)專業(yè)人士共同學(xué)習(xí)和探討。

?

目錄

第一部分：關(guān)鍵定義

一、什么是“數(shù)據(jù)出境”？有哪幾種常見類型？

二、“數(shù)據(jù)出境安全評(píng)估”的觸發(fā)條件有哪幾種？

三、什么是“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者”與“重要數(shù)據(jù)”？

四、什么是“敏感個(gè)人信息”？如何判斷？

第二部分：安全評(píng)估

五、企業(yè)向網(wǎng)信部門申報(bào)出境安全評(píng)估，需提供什么材料？

六、辦理數(shù)據(jù)安全評(píng)估的具體步驟？

七、企業(yè)內(nèi)部自評(píng)估與國(guó)家網(wǎng)信部門安全評(píng)估有什么差異？

八、數(shù)據(jù)出境安全評(píng)估的結(jié)果有效期系多久？

九、數(shù)據(jù)出境自評(píng)估只能由企業(yè)自行開展嗎？

十、已訂立標(biāo)準(zhǔn)合同或經(jīng)過(guò)個(gè)人信息認(rèn)證的，還需要進(jìn)行安全評(píng)估嗎？

第三部分：標(biāo)準(zhǔn)合同

十一、數(shù)據(jù)處理者與境外接收方簽署數(shù)據(jù)出境合同有什么要求？

十二、“法律文件”與“標(biāo)準(zhǔn)合同”有什么區(qū)別？

第四部分：合規(guī)建議

十三、律師對(duì)于企業(yè)數(shù)據(jù)出境合規(guī)項(xiàng)目有什么具體建議？

十四、違反《辦法》可能面臨何種處罰？

?

第一部分：關(guān)鍵定義

?

一、什么是“數(shù)據(jù)出境”？有哪幾種常見類型？

圖：主要的數(shù)據(jù)出境情形判斷示例

?

二、“數(shù)據(jù)出境安全評(píng)估”的觸發(fā)條件有哪幾種？

?

觸發(fā)條件有四種，達(dá)到其中之一即應(yīng)當(dāng)啟動(dòng)出境安全評(píng)估，分別為：

?

（1）向境外提供重要數(shù)據(jù)；

（2）關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理100萬(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息；

（3）自上年1月1日起累計(jì)向境外提供10萬(wàn)人個(gè)人信息或者1萬(wàn)人敏感個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息；

（4）國(guó)家網(wǎng)信部門規(guī)定的其他需要進(jìn)行安全評(píng)估的情況。

?

企業(yè)應(yīng)根據(jù)以上情況判定是否應(yīng)當(dāng)進(jìn)行出境安全評(píng)估。

?

三、什么是“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者”與“重要數(shù)據(jù)”？

?

從實(shí)務(wù)角度出發(fā)，雖然《數(shù)據(jù)安全法》規(guī)定由各地區(qū)、各部門負(fù)責(zé)確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)目錄，但目前僅汽車領(lǐng)域出臺(tái)了《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》對(duì)此做出嘗試，其他領(lǐng)域的重要數(shù)據(jù)識(shí)別指南仍有待進(jìn)一步細(xì)化。

?

四、什么是“敏感個(gè)人信息”？如何判斷？

?

敏感個(gè)人信息屬于個(gè)人信息的一部分，凡是能夠定位到特定主體、特定自然人活動(dòng)的信息就是個(gè)人信息，而在全部個(gè)人信息中，一旦泄露能夠?qū)€(gè)人人身、財(cái)產(chǎn)、人格尊嚴(yán)造成傷害的信息屬于敏感個(gè)人信息。最新發(fā)布的《中華人民共和國(guó)個(gè)人信息保護(hù)法》對(duì)于敏感個(gè)人信息進(jìn)行了列舉，歸納為7類：

?

（1）生物識(shí)別：如人臉識(shí)別；

（2）宗教信仰；

（3）特定身份（十四周歲以下未成年人等）；

（4）醫(yī)療健康；

（5）金融賬戶；

（6）行蹤軌跡；

（7）等信息（現(xiàn)在不能列舉的敏感個(gè)人信息）。

?

但對(duì)于敏感個(gè)人信息的具體認(rèn)定與適用，目前律師及法務(wù)需要結(jié)合個(gè)人信息的信息主體、信息處理者、使用目的、危害后果等多個(gè)維度，以及需要對(duì)個(gè)案或個(gè)別企業(yè)的情況及業(yè)務(wù)場(chǎng)景進(jìn)行綜合考慮來(lái)判斷相關(guān)信息是否應(yīng)屬于敏感個(gè)人信息，可以從以下四個(gè)方面進(jìn)行考慮：

?

第二部分：安全評(píng)估

?

五、企業(yè)向網(wǎng)信部門申報(bào)出境安全評(píng)估，需提供什么材料？

?

企業(yè)向網(wǎng)信部門申報(bào)出境安全評(píng)估，需提供：

?

（1）申報(bào)書；

（2）數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估報(bào)告；

（3）數(shù)據(jù)處理者與境外接收方擬訂立的法律文件；

（4）安全評(píng)估工作需要的其他材料。

?

六、辦理數(shù)據(jù)安全評(píng)估的具體步驟？

?

根據(jù)《數(shù)據(jù)出境安全評(píng)估辦法》第七條、第十一條、第十二條、第十三條的要求，數(shù)據(jù)出境安全評(píng)估的具體流程如下圖：

數(shù)據(jù)出境安全評(píng)估申報(bào)流程圖

?

七、企業(yè)內(nèi)部自評(píng)估與國(guó)家網(wǎng)信部安全評(píng)估有什么差異？

?

八、數(shù)據(jù)出境安全評(píng)估的結(jié)果有效期系多久？

?

根據(jù)《辦法》第十四條，出境安全評(píng)估的結(jié)果有效期為2年。如果發(fā)生實(shí)質(zhì)性變化，企業(yè)應(yīng)當(dāng)重新申報(bào)評(píng)估，啟動(dòng)重評(píng)的情形有：

?

（1）向境外提供數(shù)據(jù)的目的、方式、范圍、種類和境外接收方處理數(shù)據(jù)的用途、方式發(fā)生變化影響出境數(shù)據(jù)安全的，或者延長(zhǎng)個(gè)人信息和重要數(shù)據(jù)境外保存期限的；

（2）境外接收方所在國(guó)家或者地區(qū)數(shù)據(jù)安全保護(hù)政策法規(guī)和網(wǎng)絡(luò)安全環(huán)境發(fā)生變化以及發(fā)生其他不可抗力情形、數(shù)據(jù)處理者或者境外接收方實(shí)際控制權(quán)發(fā)生變化、數(shù)據(jù)處理者與境外接收方法律文件變更等影響出境數(shù)據(jù)安全的；

（3）出現(xiàn)影響出境數(shù)據(jù)安全的其他情形。

?

此外，當(dāng)有效期屆滿，企業(yè)需要繼續(xù)開展數(shù)據(jù)出境活動(dòng)的，應(yīng)當(dāng)在有效期屆滿60個(gè)工作日前重新申報(bào)評(píng)估。

?

九、數(shù)據(jù)出境自評(píng)估只能由企業(yè)自行開展嗎？

?

數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估可由企業(yè)自行開展，也可委托第三方機(jī)構(gòu)開展。若企業(yè)自行開展自評(píng)估，建議評(píng)估團(tuán)隊(duì)涵蓋數(shù)據(jù)出境安全相關(guān)人員；若企業(yè)委托第三方機(jī)構(gòu)開展自評(píng)估，評(píng)估報(bào)告應(yīng)加蓋評(píng)估機(jī)構(gòu)公章，第三方機(jī)構(gòu)在自評(píng)估過(guò)程中對(duì)知悉的國(guó)家秘密、個(gè)人隱私、個(gè)人信息、商業(yè)秘密、保密商務(wù)信息等數(shù)據(jù)應(yīng)當(dāng)依法予以保密；若選擇有涉外背景的第三方機(jī)構(gòu)開展自評(píng)估，應(yīng)注意規(guī)避數(shù)據(jù)二次出境或轉(zhuǎn)移風(fēng)險(xiǎn)。

?

十、已訂立標(biāo)準(zhǔn)合同或經(jīng)過(guò)個(gè)人信息認(rèn)證的，還需要進(jìn)行安全評(píng)估嗎？

?

第三部分：標(biāo)準(zhǔn)合同

?

十一、數(shù)據(jù)處理者與境外接收方簽署數(shù)據(jù)出境合同有什么要求？

?

十二、“法律文件”與“標(biāo)準(zhǔn)合同”有什么區(qū)別？

?

在《辦法》所要求提交的申報(bào)資料包括“數(shù)據(jù)處理者與境外接收方擬訂立的法律文件”（“法律文件”），《評(píng)估辦法》第九條規(guī)定：

?

數(shù)據(jù)處理者應(yīng)當(dāng)在與境外接收方訂立的法律文件中明確約定數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)，至少包括以下內(nèi)容：

?

（一）數(shù)據(jù)出境的目的、方式和數(shù)據(jù)范圍，境外接收方處理數(shù)據(jù)的用途、方式等；

（二）數(shù)據(jù)在境外保存地點(diǎn)、期限，以及達(dá)到保存期限、完成約定目的或者法律文件終止后出境數(shù)據(jù)的處理措施；

（三）對(duì)于境外接收方將出境數(shù)據(jù)再轉(zhuǎn)移給其他組織、個(gè)人的約束性要求；

（四）境外接收方在實(shí)際控制權(quán)或者經(jīng)營(yíng)范圍發(fā)生實(shí)質(zhì)性變化，或者所在國(guó)家、地區(qū)數(shù)據(jù)安全保護(hù)政策法規(guī)和網(wǎng)絡(luò)安全環(huán)境發(fā)生變化以及發(fā)生其他不可抗力情形導(dǎo)致難以保障數(shù)據(jù)安全時(shí)，應(yīng)當(dāng)采取的安全措施；

（五）違反法律文件約定的數(shù)據(jù)安全保護(hù)義務(wù)的補(bǔ)救措施、違約責(zé)任和爭(zhēng)議解決方式；

（六）出境數(shù)據(jù)遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等風(fēng)險(xiǎn)時(shí)，妥善開展應(yīng)急處置的要求和保障個(gè)人維護(hù)其個(gè)人信息權(quán)益的途徑和方式。

?

雖然“法律文件”在內(nèi)容要求上類似合同，但是不限于合同一種形式，例如有約束的集團(tuán)公司內(nèi)部管理制度理論上也符合要求。

?

《個(gè)人信息保護(hù)法》第三十八條第一款規(guī)定：

?

個(gè)人信息處理者因業(yè)務(wù)等需要,確需向中華人民共和國(guó)境外提供個(gè)人信息的，應(yīng)當(dāng)具備下列條件之一：

（一）依照本法第四十條的規(guī)定通過(guò)國(guó)家網(wǎng)信部門組織的安全評(píng)估；

（二）按照國(guó)家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證；

（三）按照國(guó)家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同,約定雙方的權(quán)利和義務(wù)：

（四）法律、行政法規(guī)或者國(guó)家網(wǎng)信部門規(guī)定的其他條件。

?

《數(shù)據(jù)出境安全評(píng)估辦法》提到的“法律文件”與《個(gè)人信息保護(hù)法》提到的“標(biāo)準(zhǔn)合同”不同，兩者區(qū)別主要包括如下幾個(gè)方面：

?

第四部分：合規(guī)建議

?

十三、律師對(duì)于企業(yè)數(shù)據(jù)出境合規(guī)項(xiàng)目有什么具體建議？

?

《辦法》施行前已經(jīng)開展的數(shù)據(jù)出境活動(dòng)，不符合規(guī)定的，應(yīng)當(dāng)自辦法施行之日起6個(gè)月內(nèi)完成整改，即2023年3月1日后不符合辦法規(guī)定的數(shù)據(jù)出境活動(dòng)應(yīng)終止。有以下具體建議：

?

第一，分類整合企業(yè)內(nèi)部跨境業(yè)務(wù)，制定整改規(guī)劃。對(duì)核心業(yè)務(wù)所涉及的數(shù)據(jù)出境，或者所涉數(shù)據(jù)類型敏感（例如敏感個(gè)人信息和重要數(shù)據(jù)）、風(fēng)險(xiǎn)較高的業(yè)務(wù)場(chǎng)景，可以作為優(yōu)先整改項(xiàng)，其他跨境場(chǎng)景則可以作為次優(yōu)先項(xiàng)進(jìn)行調(diào)整。同時(shí)盡快落地?cái)?shù)據(jù)分級(jí)分類管理，建立出境必要性審查制度，非必要信息匿名化或終止出境，分級(jí)調(diào)整境外信息訪問(wèn)權(quán)限。

?

第二，盡快制定自評(píng)估流程，創(chuàng)建評(píng)估所需的工具清單，明確對(duì)數(shù)據(jù)出境方和數(shù)據(jù)接收方的要求，要求境外接收方配合提供自評(píng)估和政府評(píng)估所需的信息，參考《標(biāo)準(zhǔn)合同規(guī)定（征求意見稿）》起草數(shù)據(jù)出境合同，完善自評(píng)估程序。

?

第三，推動(dòng)出境數(shù)據(jù)的本地化存儲(chǔ)。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信辦規(guī)定數(shù)量的個(gè)人信息處理者，應(yīng)當(dāng)將在中華人民共和國(guó)境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)。確需向境外提供的，應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門組織的安全評(píng)估。為順利通過(guò)數(shù)據(jù)出境通報(bào)，企業(yè)應(yīng)盡快在整改期內(nèi)將境內(nèi)收集的數(shù)據(jù)先行存儲(chǔ)在境內(nèi)數(shù)據(jù)系統(tǒng)或境內(nèi)云服務(wù)平臺(tái)后再行向境外傳輸。

?

十四、違反《辦法》可能面臨何種處罰？

?

——————————————————————

作者：

?

汪宏杰（筆名：高云），廣東啟源律師事務(wù)所高級(jí)顧問(wèn)、“高云合同六法”創(chuàng)始人。汪宏杰于1993年成為執(zhí)業(yè)律師，至今從事法律專業(yè)工作30年，長(zhǎng)期從事不良資產(chǎn)、IPO、并購(gòu)重組、網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)等方面法律事務(wù)，曾為多家國(guó)內(nèi)外知名企業(yè)例如廣州點(diǎn)動(dòng)信息科技股份有限公司提供過(guò)網(wǎng)絡(luò)服務(wù)和數(shù)據(jù)安全方面的盡職調(diào)查、風(fēng)險(xiǎn)評(píng)估、制度和體系建設(shè)等專項(xiàng)法律服務(wù)，系國(guó)內(nèi)最早一批涉足數(shù)據(jù)法律實(shí)務(wù)并且獲得豐富實(shí)務(wù)操作經(jīng)驗(yàn)的法律專業(yè)人才之一。

?

曾理，高云律師團(tuán)隊(duì)-實(shí)習(xí)律師、《民法典時(shí)代合同實(shí)務(wù)指南》作者成員，從業(yè)至今一直專注于知識(shí)產(chǎn)權(quán)、不正當(dāng)競(jìng)爭(zhēng)、網(wǎng)絡(luò)數(shù)據(jù)安全、企業(yè)數(shù)據(jù)合規(guī)等新型法律業(yè)務(wù)，服務(wù)客戶覆蓋了金融、健康醫(yī)療、呼叫中心、人工智能、電商等多個(gè)行業(yè)，系具備“互聯(lián)網(wǎng)+法律”思維的新銳法律人。