一、坚决贯彻习近平法治思想,依法监管数据向境外流动
近年来,我国加快完善数据出境安全管理制度,2016年11月通过的《网络安全法》,其中第37条规定了对关键信息基础设施运营者的重要数据和个人信息需进行安全评估,但其他主体的重要数据和个人信息出境并未加以明确。2021年6月通过的《数据安全法》,其中第31条在重申关键信息基础设施运营者的重要数据出境的安全评估要求之外,还进一步规定“其他数据处理者”的重要数据出境也需进行安全评估。2021年8月通过的《个人信息保护法》,其中第38条第1款第1项和第40条,在重申关键信息基础设施运营者的个人信息出境安全评估要求之外,还进一步规定“达到国家网信部门规定数量的个人信息处理者”的个人信息出境也需进行安全评估。由此,上述三大立法全面建立起数据出境的基础性制度——安全评估制度。
因此,为贯彻习近平法治思想,国家互联网信息办公室根据我国上述三部法律规定,统筹数据出境监管的国内法治和涉及境外接收方数据处理要求的涉外法治,制定了本《办法》,有力维护国家在数据领域的主权、安全和发展利益。
数据跨境流动在数字时代是一种常态,但由于跨境流动的数据在规模、范围、种类等方面容易给国家安全、公共利益和个人权益带来风险,因此各国对数据跨境流动的监管也会成为一种常态。《办法》明确数据出境安全评估的目的、原则、门槛、程序、评估决定的有效期、出境的终止和重新申报评估等内容,体现出监管有度、规则合理透明。
(二)适用安全评估的范围最大程度凝聚了各方共识。《办法》第4条规定数据处理者在四种情形下向境外提供重要数据或者个人信息,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。其中,按照现有立法要求,所有主体的重要数据出境都要申报安全评估。个人信息出境进行安全评估的门槛主要在于执行《个人信息保护法》第40条的规定,明确累计向境外提供个人信息的特定规模设定为年度累计,充分反映了相关主体有关科学设定个人信息出境安全评估范围的诉求,便利其通过认证、标准合同等机制开展个人信息出境。
(四)安全评估的多元考虑因素设计,较为全面地应对数据出境的各种安全风险。《办法》第8条明确了数据出境安全评估重点关注数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,并列举了七大评估因素。其中,一是关注数据处理者开展数据出境的合法性、正当性和必要性;二是关注境外接收方保障数据安全的能力,以及所在国家和地区的技术和法律环境对该能力的影响;三是关注数据出境可能面临的安全风险;四是关注数据出境后数据安全和个人信息权益是否最终得到充分保障;五是关注数据处理者对境外接收方的约束能力;六是考虑数据处理者和境外接收方遵纪守法的信誉;七是其他事项,应对数据安全技术、商业模式和境外环境的发展和变化。正是因为这七大安全评估因素的统筹设计,《办法》能够较为全面地应对数据出境的各种安全风险。
数据出境安全评估是我国对数据出境安全管理的重要措施,每一个规则细节不仅会对国家安全、公共利益、个人和组织合法权益带来重大影响,也会对数据跨境流动背后的全球数字经济带来重大影响。因此,要制定合理而巧妙的数据出境安全评估实施细则并非易事。《办法》除了设置合理的安全评估流程和评估考虑因素外,还在如下两个细节充分展现了有益探索。
其中,事前评估和持续监督相结合原则明确安全评估不仅关注数据出境前对出境后可能出现的风险的评估和所要采取的安全保障措施,还关注数据出境后风险发生的变化以及原有措施的有效性,因而该原则建立起数据出境风险全过程的动态评估要求。
(二)评估决定2年有效期的规定保障了企业参与全球数字经济建设的持续性和连贯性。《办法》第14条明确安全评估结果有效期为2年,意味着数据处理者可以申报2年内对特定境外接收方的数据出境计划,极大方便企业开展连续性数据出境业务,促进全球数字经济发展。这种设置带来了相对的制度优势。以个人信息出境为例,欧盟虽然设置了充分性认定、企业有效规则、标准合同条款等合法机制,但目前通过充分性认定的只有14个国家,企业有效规则难获审批(中国企业尚未有获批的案例),采用标准合同并不免除数据处理者根据数据出境个案的风险采取额外补充措施的义务。相比较而言,跨国企业在我国开展个人信息出境,如果符合安全评估的情形,那么其通过安全评估的确定性要显著增强,而且还可以提供2年有效期的稳定预期,极大方便了企业开展跨境业务。
本文来自网信办,如有侵权联系删除
浙公网安备 33010502006954号 
