近日,國家互聯(lián)網(wǎng)信息辦公室正式公布《數(shù)據(jù)出境安全評估辦法》(以下簡稱《辦法》),就個人信息和重要數(shù)據(jù)的出境安全評估管理措施提供具體的法律解決方案,明確了數(shù)據(jù)出境安全評估的目的、原則、范圍、程序和監(jiān)督機制等具體規(guī)定,對保護我國國家安全、公共利益、個人合法權(quán)益和促進數(shù)字經(jīng)濟發(fā)展具有重要的里程碑意義。
我國建立健全數(shù)據(jù)跨境管理規(guī)則
隨著數(shù)字經(jīng)濟的蓬勃發(fā)展,數(shù)據(jù)跨境活動日益頻繁,數(shù)據(jù)處理者的數(shù)據(jù)出境需求快速增長。我國作為世界數(shù)據(jù)資源大國之一,面臨的數(shù)據(jù)安全風險相較于其他國家也更大,亟須建立健全數(shù)據(jù)跨境管理規(guī)則。同時,由于不同國家和地區(qū)法律制度、保護水平等的差異,數(shù)據(jù)出境安全風險也相應增大。數(shù)據(jù)跨境活動既影響個人信息權(quán)益,又關系國家安全和社會公共利益。
為此,我國加快完善數(shù)據(jù)出境安全管理制度,2016年11月通過的《網(wǎng)絡安全法》第三十七條規(guī)定了對關鍵信息基礎設施運營者的重要數(shù)據(jù)和個人信息需進行安全評估。2021年6月通過的《數(shù)據(jù)安全法》第三十一條在重申關鍵信息基礎設施運營者的重要數(shù)據(jù)出境的安全評估要求之外,還進一步規(guī)定“其他數(shù)據(jù)處理者”的重要數(shù)據(jù)出境也需進行安全評估。2021年8月通過的《個人信息保護法》第三十八條第一款第一項和第四十條,在重申關鍵信息基礎設施運營者的個人信息出境安全評估要求之外,還進一步規(guī)定“達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者”的個人信息出境也需進行安全評估。由此,上述三大立法全面建立起數(shù)據(jù)出境的基礎性制度――安全評估制度。
《辦法》不僅是對《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》等法律法規(guī)中“出境數(shù)據(jù)安全評估”規(guī)定的細化落實,也是保護我國基礎性戰(zhàn)略資源和國家安全的關鍵措施?!掇k法》將進一步規(guī)范數(shù)據(jù)出境活動,保護個人信息權(quán)益,維護國家安全和社會公共利益,促進數(shù)據(jù)跨境安全、自由流動。
《辦法》保障數(shù)據(jù)依法有序流動
國家工業(yè)信息安全發(fā)展研究中心總工程師黃鵬表示:“《辦法》立足維護國家安全和社會公共利益、保護個人信息權(quán)益,構(gòu)建了我國數(shù)據(jù)出境安全評估的制度,將事前評估和持續(xù)監(jiān)督相結(jié)合、風險自評估與安全評估相結(jié)合,防范數(shù)據(jù)出境安全風險,保障數(shù)據(jù)依法有序自由流動?!?
其中,事前評估和持續(xù)監(jiān)督相結(jié)合原則明確安全評估不僅關注數(shù)據(jù)出境前對出境后可能出現(xiàn)的風險的評估和所要采取的安全保障措施,還關注數(shù)據(jù)出境后風險發(fā)生的變化以及原有措施的有效性,因而該原則建立起數(shù)據(jù)出境風險全過程的動態(tài)評估機制。
同時,評估決定2年有效期的規(guī)定保障了企業(yè)參與全球數(shù)字經(jīng)濟建設的持續(xù)性和連貫性?!掇k法》第十四條明確安全評估結(jié)果有效期為2年,意味著數(shù)據(jù)處理者可以申報2年內(nèi)對特定境外接收方的數(shù)據(jù)出境計劃,極大方便企業(yè)開展連續(xù)性數(shù)據(jù)出境業(yè)務,促進全球數(shù)字經(jīng)濟發(fā)展。這種設置帶來了相對的制度優(yōu)勢。
“對于數(shù)據(jù)出境,不僅僅對數(shù)據(jù)處理者,還要對數(shù)據(jù)接收者進行評估?!敝袊茖W院科技戰(zhàn)略咨詢研究院系統(tǒng)分析與管理研究所副所長、研究員孫曉蕾表示,“面對復雜的國際形勢,我國出于維護自身數(shù)據(jù)安全的需要,對數(shù)據(jù)接收者進行嚴格評估是極其必要的。特別是,境外接收方所在國家或者地區(qū)的數(shù)據(jù)安全保護政策法規(guī)及網(wǎng)絡安全環(huán)境對出境數(shù)據(jù)安全的影響,以及境外接收方的數(shù)據(jù)保護水平是否達到我國法律、行政法規(guī)規(guī)定和強制性國家標準的要求,應是評估重點?!?
此外,針對法律文件的簽訂,明確要求境外接收方在實際控制權(quán)或者經(jīng)營范圍發(fā)生實質(zhì)性變化,或者所在國家、地區(qū)數(shù)據(jù)安全保護政策法規(guī)和網(wǎng)絡安全環(huán)境發(fā)生變化導致難以保障數(shù)據(jù)安全時,應當采取安全措施。這兩項規(guī)定,能夠更好地避免出境數(shù)據(jù)被惡意利用而產(chǎn)生各類風險。(記者劉彤)