7月7日,國家互聯網信息辦公室正式公布《數據出境安全評估辦法》(以下簡稱《辦法》),就個人信息和重要數據的出境安全評估管理措施提供具體的法律解決方案,明確了數據出境安全評估的目的、原則、范圍、程序和監督機制等具體規定,對保護我國國家安全、公共利益、個人合法權益和促進數字經濟發展具有重要的里程碑意義。
我國建立健全數據跨境管理規則
隨著數字經濟的蓬勃發展,數據跨境活動日益頻繁,數據處理者的數據出境需求快速增長。我國作為世界數據資源大國之一,面臨的數據安全風險相較于其他國家也更大,亟須建立健全數據跨境管理規則。同時,由于不同國家和地區法律制度、保護水平等的差異,數據出境安全風險也相應增大。數據跨境活動既影響個人信息權益,又關系國家安全和社會公共利益。
為此,我國加快完善數據出境安全管理制度,2016年11月通過的《網絡安全法》第三十七條規定了對關鍵信息基礎設施運營者的重要數據和個人信息需進行安全評估。2021年6月通過的《數據安全法》第三十一條在重申關鍵信息基礎設施運營者的重要數據出境的安全評估要求之外,還進一步規定“其他數據處理者”的重要數據出境也需進行安全評估。2021年8月通過的《個人信息保護法》第三十八條第一款第一項和第四十條,在重申關鍵信息基礎設施運營者的個人信息出境安全評估要求之外,還進一步規定“達到國家網信部門規定數量的個人信息處理者”的個人信息出境也需進行安全評估。由此,上述三大立法全面建立起數據出境的基礎性制度——安全評估制度。
《辦法》不僅是對《網絡安全法》《數據安全法》《個人信息保護法》等法律法規中“出境數據安全評估”規定的細化落實,也是保護我國基礎性戰略資源和國家安全的關鍵措施?!掇k法》將進一步規范數據出境活動,保護個人信息權益,維護國家安全和社會公共利益,促進數據跨境安全、自由流動。
《辦法》保障數據依法有序流動
國家工業信息安全發展研究中心總工程師黃鵬表示:“《辦法》立足維護國家安全和社會公共利益、保護個人信息權益,構建了我國數據出境安全評估的制度,將事前評估和持續監督相結合、風險自評估與安全評估相結合,防范數據出境安全風險,保障數據依法有序自由流動。”
其中,事前評估和持續監督相結合原則明確安全評估不僅關注數據出境前對出境后可能出現的風險的評估和所要采取的安全保障措施,還關注數據出境后風險發生的變化以及原有措施的有效性,因而該原則建立起數據出境風險全過程的動態評估機制。
同時,評估決定2年有效期的規定保障了企業參與全球數字經濟建設的持續性和連貫性?!掇k法》第十四條明確安全評估結果有效期為2年,意味著數據處理者可以申報2年內對特定境外接收方的數據出境計劃,極大方便企業開展連續性數據出境業務,促進全球數字經濟發展。這種設置帶來了相對的制度優勢。
“對于數據出境,不僅僅對數據處理者,還要對數據接收者進行評估。”中國科學院科技戰略咨詢研究院系統分析與管理研究所副所長、研究員孫曉蕾表示,“面對復雜的國際形勢,我國出于維護自身數據安全的需要,對數據接收者進行嚴格評估是極其必要的。特別是,境外接收方所在國家或者地區的數據安全保護政策法規及網絡安全環境對出境數據安全的影響,以及境外接收方的數據保護水平是否達到我國法律、行政法規規定和強制性國家標準的要求,應是評估重點。”
此外,針對法律文件的簽訂,明確要求境外接收方在實際控制權或者經營范圍發生實質性變化,或者所在國家、地區數據安全保護政策法規和網絡安全環境發生變化導致難以保障數據安全時,應當采取安全措施。這兩項規定,能夠更好地避免出境數據被惡意利用而產生各類風險。