《数据出境安全评估办法》企业应对策略
一、背景介绍与立法沿革
1. 国际数据跨境规制模式
国际上主要存在三种数据跨境流动规制模式,了解这些模式有助于理解我国立法的背景和考量。
欧盟模式 (严格保护)
- 核心代表
: GDPR (《通用数据保护条例》)。
- 特点
: 以个人数据和隐私安全为核心,要求数据接收国具备“充分性保护”水平,否则需要采取标准合同条款(SCC)、约束性公司规则(BCR)等额外保障措施。
- 理念
: 保护优先,流动其次。
- 核心代表
美国模式 (宽进严出)
- 特点
: 强调数据的全球自由流动以促进数字贸易,但同时通过《云法案》(CLOUD Act)等手段严格限制本国数据流出,并要求获取全球范围内的数据,体现其数字霸权。
- 理念
: 贸易优先,严控本国关键数据。
- 特点
APEC 模式 (区域协调)
- 核心代表
: CBPR (跨境隐私规则体系)。
- 特点
: 致力于在亚太经合组织各经济体之间建立一套统一的隐私保护标准,通过认证机制促进区域内无障碍的数据传输,并寻求与欧盟等其他体系的互认。
- 理念
: 区域协同,促进流通。
- 核心代表
2. 我国数据跨境治理体系发展
我国的数据跨境治理经历了从“碎片化”到“体系化”的演进过程。
早期阶段 (碎片化、原则性)
2011年央行通知:要求个人金融信息本地化存储,原则上不得向境外提供。
2013年《征信业管理条例》:要求征信信息在境内整理、存储和加工。
- 趋势
: 强调 数据本地化 (Data Localization)。
- 特征
: 规定分散在特定行业领域,如金融、征信、交通等,立法层级较低,可操作性弱。
- 代表性文件
:
体系构建阶段 (协同统一)
- 《数据安全法》
: 完善了重要数据的跨境制度。
- 《个人信息保护法》
: 专章规定了个人信息出境的规则,明确了“单独同意”、出境路径等要求。
- 标志
: **2016年《网络安全法》**出台,首次提出“关键信息基础设施(CII)”和“重要数据”的概念,并确立了数据出境 安全评估制度。
- 发展
: 历经多次征求意见稿的迭代和完善,逐步细化评估范围、流程和要点。
- 顶层设计完成
: **《数据安全法》和《个人信息保护法》**于2021年相继出台,与《网络安全法》共同构成了我国数据治理的“三驾马车”。
- 《数据安全法》
落地实施阶段
- 标志
: **2022年7月7日《数据出境安全评估办法》**正式发布,于同年9月1日施行。
- 定位
: 作为上位法的首部细化落实部门规章,为数据出境安全评估提供了具体、可操作的法律依据。
- 配套体系
: 与《个人信息出境标准合同规定》、《个人信息跨境处理活动安全认证规范》共同构成了个人信息出境的三大路径。
- 标志
二、《办法》核心内容解读
1. 核心概念定义
数据出境活动:
- 直接传输
: 数据处理者将在境内运营中收集和产生的数据,通过物理携带、专线、邮件等方式传输、存储至境外。
- 远程访问: 数据存储在境内,但境外的机构、组织或个人可以访问、调用。
专业提示: 未经任何处理的过境数据(例如,数据仅通过中国大陆的服务器中转,目的地和源头均在境外)不属于本办法所称的数据出境。
- 直接传输
重要数据:
- 定义
: 一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
- 识别
: 实践中,重要数据由各地区、各部门及相关行业主管部门制定具体目录。例如,汽车、工业领域已有相关规定。企业需密切关注所在行业的重要数据目录发布情况。
- 定义
个人信息:
《个人信息保护法》中已定义。此处的关键在于,当个人信息达到一定数量级时,其出境风险会从个人权益层面上升到国家安全和公共利益层面,因此受到严格监管。
2. 申报安全评估的触发条件 (核心)
以下四种情形 必须 通过申报国家网信部门组织的安全评估来实现数据出境:
- 数据处理者向境外提供重要数据
。
- 关键信息基础设施运营者 (CIIO)
向境外提供个人信息。
处理 100万人以上 个人信息的数据处理者向境外提供个人信息。
- 自上年1月1日起累计
向境外提供 10万人 个人信息或 1万人 敏感个人信息的数据处理者向境外提供个人信息。
专业提示: 触发条件关注的是 数据处理者本身的属性和其历史处理行为,而非单次出境的数据量。例如,一个处理了100万用户信息的公司,哪怕本次只向境外传输1条个人信息,也需要申报评估。
3. 评估原则与流程
两大原则:
- 事前评估与持续监督相结合
: 评估不是一劳永逸的,有效期为2年,且在有效期内发生重大变化需重新评估。
- 风险自评估与安全评估相结合
: 企业内部的风险自评估是向主管部门申报官方安全评估的 必要前置条件。
- 事前评估与持续监督相结合
评估流程图解:
评估重点事项 (自评估 vs. 官方评估)
评估维度 | 风险自评估重点 | 官方安全评估重点 |
|---|---|---|
| 合法性、正当性、必要性 | ✅ | ✅ |
| 出境数据情况 | ✅ (规模、范围、种类、敏感程度) | ✅ |
| 数据处理者能力 | ✅ (技术、管理措施) | ✅ |
| 境外接收方 | ✅ (承诺、处理能力、维权渠道、再转移风险) | ✅ (承诺、处理能力) |
| 境外法律环境 | ✅ (对合同履行的影响) | ✅ (境外国家/地区的数据安全保护政策法规和网络安全环境) |
| 合同/法律文件 | ✅ (是否充分约定责任义务) | ✅ |
| 其他风险 | ✅ (出境及再转移后泄露、篡改等风险) | ✅ |
专业提示: 官方评估更侧重于宏观层面的 国家安全风险,特别是境外接收方所在地的法律环境和数据保护水平,这是企业自评估的难点,需要重点准备。
5. 法律文件要求
数据处理者应与境外接收方签署法律文件,充分约定数据安全保护责任义务,至少应包括以下内容:
出境数据的目的、方式和范围。
境外接收方的处理用途、方式等。
数据在境外保存地点、期限。
数据处理完毕后的处理措施(返还、销毁等)。
发生安全事件时的补救措施和责任承担。
违约责任和争议解决方式。
专业提示: 建议在法律文件中增加 “本文件需在通过中国数据出境安全评估后生效” 的条款,以规避评估未通过可能导致的法律风险。
6. 与其他评估/审查制度的比较
vs. 个人信息保护影响评估 (PIPIA)
- 目的不同
: PIPIA 聚焦于对 个人信息主体权益 的影响;安全评估则兼顾个人权益、国家安全和公共利益。
- 关系
: 在涉及个人信息出境的场景下,PIPIA 的内容可以作为风险自评估的重要组成部分,但不能完全替代。
- 目的不同
vs. 网络安全审查
- 交集
: 两者都可能涉及“处理超过100万用户个人信息”的运营者(前者是出境,后者是赴国外上市)。
- 关系
: 立法者解释二者不存在实质冲突。实践中,如果一家企业同时满足赴国外上市和数据出境的条件,建议 并行、独立地 分别申报网络安全审查和数据出境安全评估。
- 交集
三、企业应对策略
1. 准备阶段:自查与梳理
- 判定主体身份
: 识别自身是否为 CIIO 或处理大规模个人信息的数据处理者。
- 数据资产盘点与分级分类
:
这是所有数据合规工作的基础。
通过 数据映射 (Data Mapping),全面了解和掌握数据类别、分布、流向和影响程度。
识别和形成 重要数据目录,并对个人信息和敏感个人信息进行标识。
- 梳理跨境业务
: 建立跨境业务清单,明确业务场景、涉及部门、数据类型、境外合作方等信息。
2. 路径选择:三大出境通道
通道 | 《数据出境安全评估办法》 | 《个人信息出境标准合同规定》 | 《个人信息跨境处理活动安全认证规范》 |
|---|---|---|---|
| 适用场景 | 强制适用 : | 选择适用 : | 选择适用 : |
| 核心要求 | 通过国家网信部门的安全评估 | 与境外接收方签订标准合同并向省级网信部门备案 | 通过专业机构的安全认证 |
| 当前状态 | 已正式施行 | 已正式施行 | 已有实践指南,认证机构和细则逐步落地 |
决策建议: 企业应首先判断是否 强制 触发安全评估。若未触发,则可在标准合同和安全认证之间根据自身情况(如是否为跨国公司内部传输)选择更合适的路径。
3. 执行阶段:开展自评估与申报
- 组建评估团队
:
- 领导小组
: 应由高管、数据保护官(DPO)等决策层组成。
- 工作小组
: 需包含业务、IT、法务、数据安全等部门,并可引入外部专家顾问。
- 领导小组
- 开展风险自评估
:
参照《办法》第五条和第八条的重点要求,系统性地进行评估。
对于个人信息部分,可结合 PIPIA 的方法论进行(如参考国标 GB/T 39335)。
- 输出报告与整改
:
形成**《数据出境风险自评估报告》**,清晰列出风险清单和整改建议。
积极落实整改,如通过数据脱敏、加密、匿名化等技术手段降低风险,完善管理制度。
- 准备与提交申报材料
:
准备申报书、自评估报告、与境外接收方拟签订的法律文件等。
关注材料的真实性、准确性和完备性,避免因材料问题影响评估进程和结果。
四、关键修订与Q&A精粹
与征求意见稿的主要区别:
- 增加了起算时间
: 对累计出境个人信息的计算,明确为“自上年1月1日起”。
- 增加了省级网信部门的完备性查验程序
: 优化了申报流程。
- 增加了复评程序
: 给予企业对评估结果异议的救济渠道。
- 增加了6个月的整改宽限期
: 为存量业务的合规整改提供了缓冲。
- 取消了评估延长时间上限
: 之前是“一般不超过60个工作日”,现在删除了上限,给予监管机构更大灵活性。
- 增加了起算时间
关键问题解答 (Q&A):
- 答
: 否。根据相关法规,所有的数据出境活动,无论最终走哪条路径(安全评估、标准合同或认证),都应事先开展风险自评估。自评估是所有出境活动的前置义务。
- 答
: 指的是《办法》施行前(2022年9月1日前)已在进行的数据出境活动,如果不符合新规,必须在6个月内(即2023年3月1日前)完成整改。建议企业尽早启动评估,为申报、补材料、复评等环节预留充足时间。
- 答
: 算。从法域角度看,港澳台属于境外,向这些地区提供在境内收集和产生的数据,属于数据出境活动,需遵守相关规定。
- 问: 向香港、澳门、台湾提供数据算不算出境?
- 问: 6个月的宽限期如何理解?
- 问: 是否只有需要申报安全评估的企业才需要做自评估?
- 答
五、选择题 (检验学习效果)
说明: 每题均为单选题,答案附后。
根据视频内容,以欧盟GDPR为代表的数据跨境规制模式最核心的特点是?
A. 强调数据的自由流动以促进贸易
B. 要求数据接收国具备“充分性保护”水平
C. 通过《云法案》实现数据的长臂管辖
D. 仅适用于APEC经济体之间的数据传输标志着我国数据跨境治理从“诸法分立”走向“协同统一”时代的关键法律是?
A. 《征信业管理条例》
B. 《个人信息保护法》
C. 《网络安全法》
D. 《数据安全法》某公司将存储在中国大陆服务器上的用户数据,授权给其位于新加坡的总部进行远程数据分析。根据《数据出境安全评估办法》,这种行为是否属于数据出境活动?
A. 属于,因为境外机构可以访问和调用境内数据
B. 不属于,因为数据物理上没有离开中国大陆
C. 不属于,因为这是公司内部的数据调用
D. 视情况而定,取决于数据是否经过加密一家电商公司在中国大陆境内运营,累计处理了150万中国用户的个人信息。现因业务需要,需向其美国分公司提供100名用户的个人信息。该公司的数据出境行为应选择哪条合规路径?
A. 签订标准合同并备案即可
B. 必须申报国家网信部门组织的安全评估
C. 进行个人信息跨境处理活动安全认证
D. 只需要获得这100名用户的单独同意某数据处理者并非CIIO,也未处理超过100万人的个人信息。根据《办法》,从2023年1月1日起,该公司累计向境外提供了9万名用户的个人信息和8000名用户的敏感个人信息。此时,该公司若要再次向境外提供个人信息,是否需要申报安全评估?
A. 需要,因为累计提供的个人信息即将超过10万
B. 不需要,因为各项指标均未达到强制申报的阈值
C. 需要,因为敏感个人信息数量较大
D. 不需要,只要单次出境数量不超过1万即可在《数据出境安全评估办法》规定的流程中,企业提交申报材料后,首先进行完备性查验的机构是?
A. 国家网信部门
B. 企业内部的法务部门
C. 省级网信部门
D. 专业的第三方评估机构根据规定,数据出境安全评估结果的有效期是多久?
A. 1年
B. 2年
C. 3年
D. 永久有效,除非发生重大变化企业在开展数据出境风险自评估时,以下哪项 不是 《办法》明确要求的重点评估事项?
A. 数据出境的目的、范围、方式等的合法性、正当性、必要性
B. 境外接收方承诺承担的责任以及履行责任义务的管理和技术措施
C. 境外接收方所在国家或地区的年度GDP增长率
D. 个人信息主体维护个人信息权益的渠道是否通畅某企业对国家网信部门的评估结果有异议,它可以在收到结果后多少个工作日内申请复评?
A. 7个工作日
B. 10个工作日
C. 15个工作日
D. 45个工作日某企业计划通过与境外合作方签订标准合同的方式实现个人信息出境,那么它是否还需要开展数据出境风险自评估?
A. 不需要,因为标准合同本身就是一种风险评估
B. 需要,风险自评估是所有数据出境活动的前置义务
C. 只需要在签订合同后进行评估
D. 只需要进行个人信息保护影响评估(PIPIA)即可
选择题答案
- B
- C
- A
- B
(因为该公司处理了超过100万人的个人信息,触发了强制评估条件)
- B
(9万 < 10万,8000 < 1万,均未达到累计阈值)
- C
- B
- C
(经济指标与数据安全评估无直接关系)
- C
- B