双语图解! 一图读懂数据出境安全评估及申报规则
国家网信办于2022年8月31日发布了《数据出境安全评估申报指南(第一版)》(以下简称“《指南(第一版)》”), 对《数据出境安全评估办法》(下称“《评估办法》”)中提到的数据出境安全评估的适用情形、申报方式、申报流程、申报材料要求等内容进行了具体说明。本文整理了《指南(第一版)》中的重点内容, 以期为企业开展数据出境安全评估申报工作提供参考。此外, 我们准备了《数据出境安全评估申报指南(第一版)》中英文对照版, 供读者们学习参考, 请后台回复“申报指南”获取。
一
细化数据出境自评估与申报评估流程
根据《个人信息保护法》和《评估办法》, 数据出境安全评估申报所涉及的主要流程如下:
(1) 涉及个人信息的, 需进行个人信息保护影响评估(“PIA”)。
(2) 准备数据跨境传输合同/法律文件。
(3) 数据出境安全自评估。
(4) 申报网信办数据出境安全评估。
(5) 重新评估。
《指南(第一版)》细化了关于数据出境安全自评估及申报评估的具体流程。结合适用法律法规, 我们将数据跨境传输可能涉及的内部评估、文件签订、申报评估流程梳理如下(点击“阅读原文”即可获取高清原图(双语版)):
二
定义了“数据出境”, 但仍有未决问题
《指南(第一版)》一方面重申了《评估办法》第四条规定的申报数据出境安全评估的具体情形, 另一方面也明确了数据出境行为的情形, 为“数据出境”行为进行了定义(见下表及图示)。
虽然《申报指南(第一版)》在《评估办法》的基础上进一步明确了“数据出境”行为的认定方式, 但目前对于某些特定情形是否属于“数据出境”行为, 实践中仍存争议:
1. 数据处理者是否包括个人信息处理受托方?
境外的个人信息处理者出于处理中国境内个人信息的需要, 常常会委托境内主体作为个人信息处理受托方(以下简称“受托方”)进行个人信息的处理, 受托方根据业务需要将会将相关个人信息自境内传输至境外的个人信息处理者或是其他受托方。通常个人信息处理活动中的决策、安全措施的设置等均是由个人信息处理者决定, 同时个人信息处理活动的相关法律责任应当由个人信息处理者来承担, 故我们理解应进行数据出境安全评估的数据处理者不包括受托方。但由于目前《评估办法》及《申报指南(第一版)》并未对数据处理者进行定义, 受托方是否需要履行数据出境的相关义务仍待监管部门进一步予以明确。
2. 向位于本国境内的未在境内注册的主体(如使领馆、外国常驻新闻机构和外国记者)提供个人信息和重要数据的行为, 是否属于数据出境?
《申报指南(第一版)》将境外的机构、组织或者个人访问境内数据认定为“数据出境”行为, 但《申报指南(第一版)》并未明确“境外”是地理位置(主体是否位于境外)概念或是主体属性(是否是外籍主体)概念。实践中常会存在企业雇用外籍人士在境内从事涉及个人信息处理的工作以及企业向使领馆、外国常驻新闻机构提供个人信息等情形, 我们理解在上述情形中数据本身并未通过传输或远程访问等方式被转移至境外, 应不属于“数据出境”行为, 但仍有待监管部门对“境外的机构、组织或者个人”的确切含义进行澄清。
三
申报最长需57个工作日, 但存在延长的情形
数据出境安全评估需要经过省级网信部门完备性查验(5个工作日), 国家网信部门材料申报(7个工作日), 国家网信部门实质审查(45个工作日)三个步骤。对于情况复杂或者需要补充、更正材料的, 时间还会进一步延长。因此通常来说, 申报数据出境安全评估最长需要57(5+7+45)个工作日, 但存在情况疑难复杂、材料需补充更正或需申请复评等不确定因素, 相应的评估时间将会进一步延长。建议存在疑难复杂情况或数据出境对业务有关键影响的企业尽早进行申报, 以免因等待评估结果而影响业务的开展。
四
部分省级网信办出具的申报指南界定了重要数据
《评估办法》仅对“重要数据”的概念进行了定义, 而对于重要数据具体的类型、识别标准等并未明确说明, 而作为国家标准的《信息安全技术 重要数据识别指南》也仍在制定过程中, 这给企业排摸重要数据的持有情况带来了不小的挑战。此次《申报指南(第一版)》发布后, 部分地区省级网信办也随后出台了配套文件。《江苏省数据出境安全评估申报工作指引(第一版)》就提供了重要数据的界定标准, 将重要数据分为了7类, 涵盖了政务数据、基因数据、国防科研数据、国家经济运行数据、重点行业和领域安全生产、运行的数据等类别, 为企业进行重要数据界定提供了一定参考。
五
申报咨询方式汇总
随着《申报指南(第一版)》的发布以及《评估办法》的生效, 除了出台配套文件以外, 部分地区针对数据出境安全评估申报开通了咨询电话, 本文将截至发稿日各地公布的咨询电话汇总如下:
作者:
潘永建 合伙人 +86 136 2172 0830 +86 21 3135 8701 david.pan@llinkslaw.com | |
朱晓阳 业务合伙人 +86 180 1764 2887 +86 21 3135 8683 nigel.zhu@llinkslaw.com | |
邓梓珊 律师 |
宋欣逸 律师 |
往期分享
长按下图识别二维码关注我们
© 通力律师事务所
本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。