观韬解读 | 《数据安全法》项下的数据出境合规要点解读
李洪江、李泸
背景:随着《网络安全法》《个人信息保护法》《数据安全法》的相继颁布,数据已经成为一种新的生产要素。我国对于数据合规的要求日趋严格,数据合规已成为企业无法回避的问题。本文对《数据安全法》项下的数据出境合规要求进行分析,并结合《数据出境安全评估办法(征求意见稿)》《信息安全技术 数据出境安全评估指南(征求意见稿)》等相关规定进行全面解读。虽然上述两份文件并未正式生效,但是其均为对《数据安全法》的具体解释,故这两份文件的相关规定对于正确理解《数据安全法》的相关规定仍有一定的指引和参考意义。
一、数据的概念
《数据安全法》第三条规定:“本法所称数据,是指任何以电子或者其他方式对信息的记录。”简单来说,数据是指对信息的记录,例如社交软件中的聊天记录、打车软件中的位置信息、购物软件中的交易记录等均属于数据。
需注意的是,《个人信息保护法》中“个人信息”是指“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”,该概念的内涵小于数据的内涵,即数据包含个人信息。因此在涉及与自然人相关的信息时,除了满足《数据安全法》的相关规定,还需满足《个人信息保护法》的相关规定。
二、数据出境的内涵
《数据安全法》中并未对数据出境的内涵进行解释。根据《数据出境安全评估办法(征求意见稿)》第二条的规定,数据出境是指数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据。
根据《信息安全技术 数据出境安全评估指南(征求意见稿)》第3.7条的规定,数据出境是指网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。
根据上述规定,《数据安全法》项下数据出境的内涵为:
1. 数据必须在中华人民共和国境内运营中收集和产生;
2. 出境的是重要数据;
3. 向境外提供。
此处的“境外”除了包括中国以外的所有国家和地区,还包括中国以内政府尚未实施行政管辖的地域,即香港、澳门、台湾均包含在内。
需注意的是,《信息安全技术 数据出境安全评估指南(征求意见稿)》第3.7条规定,以下情形属于数据出境:
1. 向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据;
2. 数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);
3. 网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。
三、数据出境的主体
《数据安全法》第三十一条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。据此可知,数据出境的主体包括两类:关键信息基础设施的运营者及其他数据处理者。
《关键信息基础设施安全保护条例》第二条规定,关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。根据《关键信息基础设施安全保护条例》第十条的规定,保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。故关键信息基础设施的运营者的认定由保护工作部门进行并通知运营者。
《数据安全法》并没有对“数据处理者”进行规定,其他数据处理者的定义可参照《数据安全法》第三条的规定:“数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。”故数据处理者即为对数据进行收集、存储、使用、加工、传输、提供、公开等行为的运营者。
四、数据出境的对象
根据《数据安全法》第三十一条规定可知,数据出境的对象仅针对重要数据。因此,一般数据的出境并不需要遵循特殊的数据出境规定,不在本文讨论范围之内。
根据《数据安全法》第二十一条规定,重要数据目录应当由国家数据安全工作协调机制统筹协调有关部门制定,各地区、各部门确定定本地区、本部门以及相关行业、领域的重要数据具体目录。但目前重要数据目录还并未正式出台。
根据《信息安全技术 数据出境安全评估指南(征求意见稿)》3.5条的规定,重要数据是指相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)。该指南附录A重要数据识别指南提出了各行业(领域)重要数据的范围,对于企业来讲具有一定的借鉴意义。
五、数据处理者的一般合规要求
(一)数据来源合规
根据《数据安全法》第三十二条的规定,任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。即数据处理者的数据来源应该合法、正当。
(二)取得行政许可
根据《数据安全法》第三十四条的规定,法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。
(三)建立健全全流程数据安全管理制度
(四)组织开展数据安全教育培训
(五)采取相应的技术措施和其他必要措施保障数据安全
《数据安全法》第二十七条规定,开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。
该规定从制度、人员、技术三个层面对数据处理者提出了数据安全保护要求,数据处理者应当全面制定数据安全管理制度,对于数据安全管理组织机构、人员配备、行为规范和管理责任进行细化规定,并组织相关人员进行内外部培训,提升从事数据安全管理人员的专业素质,配备相应的软硬件设施保障数据安全,以督促数据处理者全方位地落实数据安全保障义务。[1]
(六)事前风险防范、事中处置、事后通知
《数据安全法》第二十九条规定,开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
该规定要求数据处理者从事前风险防范、事中处置、事后通知三个角度构建数据处理全生命周期的监管机制。[2]为此,企业应该将其纳入数据安全管理制度中,形成有效的检测、处置及通知流程,提高数据安全保障效率。
(七)配合公安机关、国家安全机关调取数据
根据《数据安全法》第三十五条的规定,公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。
(八)未经中国主管机关批准,不得向外国司法或者执法机构提供境内数据
根据《数据安全法》第三十六条的规定,中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
需注意的是,此处规定的“外国司法或者执法机构”概念与“境外”的概念不同,因此该法条并不适用于香港、澳门及台湾地区。
六、数据出境的合规要点
(一)明确数据安全负责人和管理机构
《数据安全法》第二十七条规定,重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
由于本文讨论的《数据安全法》项下的数据出境对象为“重要数据”,故数据出境必然需满足关于“重要数据”的规定,即重要数据处理者应当明确数据安全负责人和管理机构。
此外,《个人信息保护法》第五十二条第一款规定“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人”,《网络安全法》第二十一条规定“制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任”,因此数据处理者应当结合《数据安全法》《个人信息保护法》《网络安全法》的规定,对于安全负责人进行体系化建设,除了减少企业组织管理的负担,还要严格满足各法律的具体规定,全面布局安全责任人制度。
(二)定期开展风险评估
《数据安全法》第三十条规定,重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
但目前在实践中对于报送风险评估报告的对象并不明确,风险评估的开展流程亦未确定。
(三)进行数据出境风险自评估
《数据出境安全评估办法(征求意见稿)》第五条规定,数据处理者在向境外提供数据前,应事先开展数据出境风险自评估。评估内容包括数据出境及境外接收方处理数据的目的、范围、方式,出境数据内的数量、种类,数据处理者的安全保障能力等内容。
(四)进行安全评估
针对关键信息基础设施运营者进行数据出境,《数据安全法》第三十一条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定。而《网络安全法》第三十七条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。故关键信息基础设施运营者进行数据出境应当进行安全评估。
针对其他数据处理者进行数据出境,《数据安全法》第三十一条规定,其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
结合《数据出境安全评估办法(征求意见稿)》第四条的规定:数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
1. 关键信息基础设施的运营者收集和产生的个人信息和重要数据;
2. 出境数据中包含重要数据;
3. 处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;
4. 累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;
5. 国家网信部门规定的其他需要申报数据出境安全评估的情形。
由于本文探讨的“数据出境”对象为重要数据,故“数据出境”必然满足上述第二项的情形,故其他数据处理者数据出境依然需要申报数据出境安全评估。
七、违反数据合规要求的法律后果
根据《数据安全法》第四十五条、第四十六条、第五十二条,若数据处理者对于数据的处理不符合《数据安全法》的规定,数据处理者可能被主管部门责令改正,给予警告,没收违法所得以及处以罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,并对直接负责的主管人员和其他直接责任人员处以罚款。构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
八、结语
《数据安全法》作为数据安全领域的基础性法律给企业进行数据经营和发展提供了指引,但目前该法律仅做了提纲挈领式的规定,许多具体规定的落实还需要等待配套规则的出台。企业应该时刻关注数据合规领域的相关立法动态,做好全方位的数据合规准备。
[1] 张平.中华人民共和国数据安全法理解适用与案例解读[M].北京:中国法制出版社:98.
[2] 张平.中华人民共和国数据安全法理解适用与案例解读[M].北京:中国法制出版社:102.
