首页 / 文章发布 / 君合法评 / 君合法评详情

数据出境评估指南二次征求意见

2017.09.14 董潇 蔡克蒙 郭静荷

全国信息安全标准化技术委员会(以下简称“信标委”)于2017年8月30日公布了《信息安全技术数据出境安全评估指南(征求意见稿)》(以下简称“《新稿》”),并在2017年10月13日前进行公开征求意见。


信标委曾于2017年5月27日公布了《信息安全技术数据出境安全评估指南(征求意见稿)》(以下简称“《原稿》”)。相较《原稿》,《新稿》有以下重要修改和细化。


一、 澄清境内运营的含义


国家互联网信息办公室之前公布的《个人信息和重要数据出境安全评估办法》(征求意见稿)(以下简称“《评估办法》”)及《原稿》要求网络运营者向境外提供在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当进行安全评估。《新稿》第一次对“境内运营”的概念进行了澄清和细化。根据《新稿》,网络运营者即使未在中华人民共和国境内注册,但在中华人民共和国境内开展业务,或向中华人民共和境内提供产品或服务的,亦属于“境内运营”。判断网络运营者是否在中华人民共和国境内开展业务,或向中华人民共和境内提供产品或服务的参考因素包括但不限于使用中文、以人民币作为结算货币、向中国境内物流配送等。这一规定无疑扩大数据出境安全评估义务的适用范围,使《指南》具有域外效力。《新稿》还规定,中华人民共和国境内的网络运营者仅向境外机构、组织或个人开展业务、提供商品或服务,且不涉及境内公民个人信息和重要数据的,不视为“境内运营”。


二、 澄清数据出境的含义


《新稿》将数据出境界定为“网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。”根据《新稿》,以下情况属于数据出境:

  • 向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据; 

  • 数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);

  • 网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。 


而以下情况不属于数据出境:

  • 非在境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动或加工处理的,不属于数据出境。

  • 非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的,不属于数据出境。


三、 进一步澄清安全自评估启动的条件


《新稿》要求网络运营者应每年开展安全自评估,并进一步细化了应启动自评估的条件,包括(1)涉及数据出境的;(2)关键信息基础设施运营者进行数据出境之前的;(3)已完成数据出境安全自评估的产品或业务所涉及的个人信息和重要数据出境,在目的、范围、类型、数量等方面发生较大变化、数据接收方变更或发生重大安全事件的;(4)按照行业主管或者监管部门要求启动的。《新稿》规定“当网络运营者的数据出境满足连续出境的条件时,视为一次出境行为,免于重复评估;”而连续出境是指“数据出境的目的、接收方相同,范围、类型、数量不发生较大变化,且两次数据出境间隔不超过一年的。”


此外,在数据出境涉及多方主体的情况下(例如云服务、转包服务等),《新稿》要求根据数据出境发起方,确定安全自评估责任主体。例如,云服务客户主动要求云服务提供商进行数据出境的,由云服务提供商配合云服务客户开展安全自评估,且由云服务客户承担相应责任。如云服务提供商主动要求进行数据出境的,由云服务客户配合云服务提供商开展安全自评估,且由云服务提供商承担相应责任。

四、 安全评估的流程


《新稿》要求网络运营者建立数据出境安全自评估工作组,工作组主要包含法务、政策、安全、技术、管理相关专业人员,其职责包括负责审查业务部门提交的数据出境计划,并定期对数据出境情况开展检查、抽查。


《新稿》要求网络运营者有数据出境需求的业务部门制定数据安全计划,并按照规定的评估要点和方法对数据出境的目的,包括其合法性、正当性和必要性,及数据出境的安全风险进行评估。数据出境需获得国家网信部门、行业主管部门同意的,网络运营者应在数据出境前将评估报告按要求报送国家网信部门、行业主管部门,并获得其同意。与《评估办法》相似,《新稿》要求网络运营者应在以下情况下将安全自评估报告上报行业主管部门或国家网信部门(如行业主管部门不明确),包括:


  • 关键信息基础设施运营者开展的安全自评估;

  • 一年内出境的个人信息数量达到国家网信部门、行业主管部门上报要求的; 

  • 包含核设施、生物化学、国防军工、人口健康等领域数据,大型工程活动、海洋环境敏感地理信息数据,以及其他重要数据的;

  • 涉及关键信息基础设施的安全缺陷、具体安全防护措施等网络安全信息的;

  • 其他可能影响国家安全、经济发展和社会公共利益的。


《新稿》将评估报告的保存期限要求由5年缩短至2年。


五、 明确主管部门评估的流程和要求


1. 启动条件。根据《新稿》,国家网信部门、行业主管部门可根据数据出境类型、数量、范围、重要程度等,酌情组织开展主管部门进行的数据出境安全评估。而在上一节中介绍的网络运营者应上报主管部门评估的情况下,以及涉及大量用户投诉、举报的,全国性行业协会建议的,其他经国家网信部门、行业主管部门认定有必要启动主管部门评估的情况下,主管部门应主动启动安全评估。


2. 评估方案。主管部门在评估启动后,应制定评估方案,其内容包括确定主管部门评估对象、成立评估工作组、并制定评估程序与方法。


3. 评估工作组出具评估报告。主管部门评估方案制定后,国家网信部门、行业主管部门成立数据出境主管部门评估工作组,主管部门评估工作组根据评估方案,通过远程检测、现场检查的方式,按照《指南》所规定的评估要点及方法,对主管部门评估对象的出境情况开展评估,形成主管部门评估报告。评估报告的内容主要包括评估结果及理由、数据出境重大风险点及数据出境检查修正建议。


4. 专家委员会。国家网信部门、行业主管部门组织成立包括网络安全专家、数据安全专家以及所在行业专家等的专家委员会,专家委员会负责对企业提交的安全自评估报告和主管部门评估报告进行研讨分析,给出是否同意数据出境的建议。


5. 评估结论。主管部门结合评估报告及专家委员会建议作出是否同意数据出境的决定并书面告知被评估主体。可根据安全自评估结果、主管部门评估结论,结合网络运营者数据出境情况,定期对网络运营者开展的数据出境进行安全检查,形成检查结果及整改建议并书面告知被检查主体。


六、 进一步细化个人数据出境的“通知-同意”要求


《新稿》进一步细化了对个人数据出境的合法性评估中的“通知-同意”要求。网络运营者在取得个人信息主体同意前,应将数据出境目的、类型、数据接收方情况及数据出境可能存在的风险,网络运营者的联系人及其联系方式等信息明确告知个人信息主体。


当网络运营者隐私规则发生变更、数据出境目的、范围、类型、数量发生较大变化、数据接收方发生变更或数据出境风险发生较大变化时应重新取得个人信息主体同意。此外,《新稿》明确将合法向社会公开披露的个人信息出境,视为个人信息主体已经同意。


七、 简评


《新稿》从评估启动条件、流程、方法、要点等方面对《评估办法》提出的自评估-主管部门评估的数据出境评估框架做出了进一步的细化规定。与《原稿》相比,《新稿》首次提出了主管部门评估的具体条件、流程和要求。尤为重要的是,《新稿》此前实践中争论较多的问题,如数据出境的概念、涉及多方主体情况下评估责任的划分等做出了规定,为未来的数据出境评估工作提供了具体的指导规范。根据《新稿》,企业将面临更为严格的评估要求。目前,《新稿》仍处于征求意见阶段,我们将密切关注其后续发展及实施情况。