在数字化博弈的全球浪潮下,伴随中国对于数据出境的治理力度持续走强,跨国企业正迎来更为严格的合规挑战。
10月29日,国家互联网信息办公室就《数据出境安全评估办法(征求意见稿)》(下称《征求意见稿》)公开征求意见,其中明确,数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。
继《数据安全法》填补“重要数据”的出境规制的立法空白后,《征求意见稿》再次明确,“数据出境”不仅包含数据处理者依法应当进行安全评估的个人信息,也包含数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据。
“这个评估办法是落实上位法的操作性细则,旨在堵住赴海外上市的企业数据合规漏洞,严格保护数据出境的大门。”网络安全领域资深学者、中国社会科学院经济学博士方燕对第一财经表示,在跨境情境下,数据安全超出中国司法管辖范围,很难事后管控,故而加强事先管控、将安全把控落实在出境环节上是关键。
7月份,监管部门启动了对滴滴出行、运满满、货车帮、BOSS直聘的网络安全审查。
《征求意见稿》也指出,国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当撤销评估结果并书面通知数据处理者,数据处理者应当终止数据出境活动。需要继续开展数据出境活动的,数据处理者应当按照要求进行整改,并在整改完成后重新申报评估。
《征求意见稿》对于数据处理者的监管再次收紧—— “累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息”的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
而在日前网信办公布的《网络安全审查办法(修订草案征求意见稿)》中,对于关键信息基础设施运营者和数据处理者,规定“掌握超过100万用户个人信心的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”,但并未涉及“累计用户数”的评估。
对此,方燕认为,这既是因为相对于更为广泛的网络安全,数据安全治理有其独特性,也是回应了现实中部分企业通过化整为零式手段,规避安全审查的漏洞。此外,还显示了此办法跟个人信息安全评估办法的不同。
“《征求意见稿》规定累计涉及的出境数据量达到一定规模才会触发数据安全评估制度,而对于个人信息安全的保护,则是只要存在或可能存在个人信息出境,就会触发相应流程。这背后是因为,数据和信息在概念上有交错,所以二者在安全评估制度也有交错。”方燕称。
北京师范大学网络法治国际中心执行主任吴沈括在接受第一财经采访时表示,《征求意见稿》提及对于数据处理者在数据出境场景下“累计用户数”的评估,意味着该场景数据安全监管、评估的细化,此前,通过数据处理者的业务历史而形成的数据规模未曾被关注到。
对于数据处理者数据出境监管的细化也体现在时间限定上。根据《征求意见稿》,数据出境评估结果有效期二年。有效期届满,需要继续开展原数据出境活动的,数据处理者应当在有效期届满六十个工作日前重新申报评估。
除了数据处理者,《征求意见稿》还强调了境外接收方需履行数据安全保护的义务。
比如,境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区法律环境发生变化导致难以保障数据安全时,应当采取的安全措施等。
“对于境外接收方义务的强调,是此次《征求意见稿》一大亮点。”方燕称,这一点表明中国法律在面临外国法律冲突时的应有姿态,或会展开“域外使用”。
吴沈括进一步表示,对于境外接收方的管制,意味着数据出境需要全流程、全生命周期的保护,特别是在境外的保护。“《征求意见稿》一方面要求境外接收方加强对于数据安全保护的主观意愿;另一方面,也要求其在客观上具有数据安全保护的技术和管理能力。”
但他也认为,从跨国企业的角度来看,在全球化运营的背景下,其组织管理模式和技术架构,往往具有全球一体化的色彩,如何针对中国市场设计出更有针对性的管理规则和技术配备,是该评估办法未来落地执行的一大挑战。
值得注意的是,《征求意见稿》中对于出境数据中包含“重要数据”这一概念并未细化,这是否会为其落地执行带来难点?
对此,吴沈括称,澄清界定“重要数据”是重要的,紧迫的,但也不会一蹴而就。当前,国家标准正在制定中,一些关键行业领域“重要数据”的出境管理办法正在加速推进。此外,各个层面的数据分类分析工作也在同步展开,这些都为最终厘清“重要数据”提供依据。
除此之外,在数据跨境流通中,中国的跨国企业还面临全球数据治理和不同国家监管政策差异化等难题。
对此,吴沈括建议,除了要加速推进《征求意见稿》等国内制度设计,中国还需要通过参与数据跨境执法联盟等方式,以有效解决国际规则变化和国内外规则不一所带来的冲突。