请
登录
后使用快捷导航
没有帐号?
立即注册
设为首页
|
收藏本站
|
切换风格
快捷导航
首页
论坛
BBS
头条
都市圈
美国
欧洲
分类信息
更多
搜索
本版
用户
发帖
登录
注册
每日签到
网站工具箱
帮助中心
西兔生活网
›
华人生活
›
移民签证
›
快问快答——关于《数据出境安全评估办法(征求意见稿 . ...
回复
发帖
返回列表
[问答]
快问快答——关于《数据出境安全评估办法(征求意见稿 ...
[复制链接]
发疯的沃牛
当前离线
白金会员
积分
兔币
帖子
白金会员, 积分 3500, 距离下一级还需 1500 积分
3500
1926
1578
在线时间:0 小时
最后登录:2023-8-17
窥视卡
雷达卡
2119
0
发疯的沃牛
发表于 2022-5-23 21:04:41
|
只看该作者
作者:天达共和律师事务所 申晓雨 詹凯维
数据出境,一直以来都是企业最为关注的数据合规问题之一。从2017年《网络安全法》提出数据出境安全评估要求以来,我国关于数据出境的监管思路几经调整,天达共和数据合规团队也曾经在《个人信息安全出境监管趋势浅析》《草蛇灰线:从<个人信息保护法(草案)>看2021年几个数据问题的发展和走向(第一篇)》等文章中进行过探讨。2021年10月29日,国家网信办发布了《数据出境安全评估办法(征求意见稿)》(“《评估办法》”)。从《评估办法》所体现的监管方式和内容来看,我国关于数据出境的整体监管思路已基本成型,数据出境监管制度有望加速落地,成为《网络安全法》《数据安全法》和《个人信息保护法》的重要配套制度,为企业数据合规提供指导。
我们在此将企业普遍关注和最常提出的有关数据出境的问题进行总结,并根据《评估办法》进行解答,希望为企业更好地理解《评估办法》提供参考。
Q1:谁需要做安全评估?
答:
根据《评估办法》第二条,需要进行数据出境安全评估的主体是
数据处理者
。《评估办法》本身及其上位法,包括《网络安全法》《数据安全法》和《个人信息保护法》等,均未就“数据处理者”给出明确定义,但根据《数据安全法》第三条对“数据处理”的规定,只要组织或个人对数据实施了收集、存储、使用、加工、传输、提供、公开等任何处理活动,都将落入“数据处理者”的范围。考虑到在数字化转型的经济背景下,几乎所有企业都不可避免地要与数据“打交道”,因此,广泛来讲,
几乎每一家存在数据出境需求的企业都可能成为《评估办法》的规制对象
。
Q2:哪些情形下数据出境需要评估?
答:
我们刚才讲“几乎每一家存在数据出境需求的企业都可能成为《评估办法》的规制对象”,但
并不是所有的数据出境都需要进行安全评估
。以下情形下的数据出境才需要进行安全评估:
(1)
关键信息基础设施运营者
(“CIIO”)收集和产生的个人信息和重要数据。根据《关键信息基础设施安全保护条例》,是否是CIIO应当
以主管部门通知的认定结果为准
;
(2)出境数据中包含
重要数据
。注:无论是否是CIIO,只要出境的数据中包含重要数据,都需要进行安全评估。根据《数据安全法》,重要数据将由国家数据安全工作协调机制统筹协调有关部门制定具体目录;参考《信息安全技术 重要数据识别指南(征求意见稿)》,企业未来可能需要根据各地区、各主管部门的具体规定,自行识别本企业内的重要数据;
(3)处理个人信息达到
100万人
的个人信息处理者向境外提供个人信息。这里的100万人并
不限于出境的个人信息所对应的个体数量
,只要数据处理者处理的个人信息达到这一量级,向境外提供个人信息就需要进行安全评估,而不考虑出境的个人信息数量或涉及的个人信息主体的数量。参考国家市场监督管理总局于10月29日发布的《互联网平台分类分级指南(征求意见稿)》,超级互联网平台(在国内上年度活跃用户不低于5亿)、大型互联网平台(在国内上年度活跃用户不低于5,000万)都将落入监管范围;
(4)累计向境外提供超过
10万人以上个人信息
或者
1万人以上敏感个人信息
。这里的量级
针对的是出境的个人信息数量
;
(5)国家网信部门规定的其他需要申报数据出境安全评估的情形。其他情形包括哪些,有待网信部门进一步出台详细规定,
不排除依个案具体情形要求数据处理者申报的可能性
。
Q3:什么是数据出境?
答:
《评估办法》并未定义“数据出境”的具体含义。2017年发布的《信息安全技术 数据出境安全评估指南(第二次征求意见稿)》曾尝试对“数据出境”的情形和范围进行界定。目前在实践中,以下
几种情形普遍被认为属于“数据出境”
:通过线上或线下方式将数据传输至境外或以其他方式使数据“物理”转移到境外的;从境外直接访问位于中国境内的服务器查阅、调取数据的;集团内部的中国企业向境外关联机构提供数据的(例如,跨国企业在中国的分支机构将员工信息直接录入到总部部署在境外服务器上的人力资源管理系统中)。
那么,
过境数据
是否属于数据出境?从《评估办法》第二条来看,
如果数据过境不会使数据处理者在中国境内收集或产生新的数据后再出境,我们理解,应该不属于《评估办法》所规制的数据出境行为
。
Q4:数据出境安全评估的流程是什么?
答:
根据《评估办法》,总体上,数据出境安全评估包括
处理者风险自评估
和
主管部门安全评估
两个环节,其大致流程是:数据处理者在向境外提供数据前先开展风险自评估,并将风险自评估报告作为数据出境安全评估材料之一,通过所在地省级网信部门向国家网信部门进行申报。国家网信部门收到申报材料后,7个工作日内反馈是否受理,自出具书面受理通知书之日起45个工作日内完成数据出境安全评估;情况复杂或者需要补充材料的,可以适当延长,但一般不超过60个工作日。
Q5:数据处理者是否必须与境外接收方订立合同,是否必须采用国家网信部门制定的标准合同?
答:
《评估办法》提到,数据出境申报材料中应当包含“数据处理者与境外接收方拟订立的合同或者其他具有法律
效力的文件等”。因此,与境外接收方订立合同或类似的对双方具有
法律效力的文件是必要的。
“标准合同”的概念系出自于《个人信息保护法》第三十八条,即个人信息出境的合法路径之一,是按照国家网信部门制定的标准合同与境外接收方订立合同。因此,
如果出境的数据属于个人信息,且数据处理者采取上述数据出境路径的,则应当采用国家网信部门制定的标准合同
。关于重要数据出境的合同或其他文件的形式,《评估办法》及其他相关法律法规并未作出相应要求。
Q6:数据出境安全评估的要素中是否包括个人信息主体的单独同意?
答:
数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险。在《评估办法》列示的主要考虑因素中,
明确包括“数据出境的目的、范围、方式等的合法性、正当性、必要性”,但并没有特别提及在个人信息出境的场景下,必须取得个人信息主体的单独同意
。我们理解,这与《个人信息保护法》的规定是契合的。根据《个人信息保护法》第十三条,个人的同意不再是处理个人信息的唯一合法基础。因此,
如果数据处理者基于个人同意以外的其他合法基础向境外提供个人信息的,我们认为,并不必须取得个人的单独同意,但在进行出境安全评估时,需要证明其数据出境行为具备法律规定的其他合法基础
。
Q7:负责数据出境安全评估的部门有哪些?
答:国家网信部门
负责数据出境的安全评估。国家网信部门受理数据出境安全评估申报的,将组织
行业主管部门
、
国务院有关部门(例如公安部门)
、
省级网信部门
、
专门机构
等进行安全评估。涉及重要数据出境的,国家网信部门将征求相关行业主管部门意见。
Q8:《评估办法》规定的“安全评估”与《网络安全审查办法(修订草案征求意见稿》(“网络安全审查办法修订意见稿”)中的“安全审查”是否相同?
答:
今年7月份发布的网络安全审查办法修订意见稿扩大了现行《网络安全审查办法》的适用范围,将数据处理活动纳入网络安全审查范围,并将“
核心数据、重要数据或大量个人信息
被窃取、泄露、毁损以及非法利用或
出境
的风险”列入主要考虑因素之中。尽管网络安全审查办法修订意见稿中的网络安全审查与《评估办法》所规定的数据出境安全评估,在数据出境方面存在一定的相似度,但我们理解,
网络安全审查与数据出境安全评估并不相同
。
首先,从制度的着眼点和目的来看,《国家安全法》确立了国家安全审查制度,网络安全审查办法修订意见稿所规定的安全审查是国家安全审查制度在网络和数据安全领域的体现,其关注点在于CIIO对网络产品和服务的采购活动、数据处理者的数据处理活动以及国外上市可能带来的
国家安全风险
。而《评估办法》中安全评估制度的目的是保护个人信息权益,维护国家安全和社会公共利益,其评估重点并不仅限于国家安全,还包括数据出境
对公共利益、个人或者组织合法权益可能带来的风险
。
其次,从审查/评估内容来看,数据出境安全评估专门围绕数据出境风险展开,而数据出境风险仅是网络安全审查的内容之一。
最后,从机制落实方面来看,网络安全审查系由中央网络安全和信息化委员会领导,且存在常设机构——网络安全审查办公室;而数据出境安全评估系由国家网信部门主导并实施,《评估办法》中也并未就此设置常设机构。
尽管如此,从优化行政监管机制的角度而言,未来如果企业同时面临网络安全审查和数据出境安全评估要求,也许主管部门可以考虑将数据出境安全评估结果作为网络安全审查申报材料,从而提高监管效能,降低企业负担。
Q9:通过一次安全评估后是否就可以一劳永逸了?
答:
不是的。首先,
评估结果的有效期为二年
。有效期届满前,数据处理者需要继续开展原数据出境活动的,应当在有效期届满60个工作日前重新申报评估。其次,数据出境安全评估是一项
动态的监管机制
。
一方面
,如果在有效期内出现影响出境数据安全的情形,如出境数据的处理目的、类型、用途等发生变化,接收方自身实际控制权或其所处法律环境发生变化等,数据处理者应当重新申报评估。
另一方面
,如果国家网信部门在评估结果有效期内发现实际的数据出境活动不再符合数据出境安全管理要求的,应当撤销评估结果并书面通知数据处理者终止数据出境活动。如需继续开展数据出境活动的,数据处理者应当按照要求进行整改,并在整改完成后重新申报评估
Q10:未经安全评估即进行数据出境活动的,会受到处罚吗?
答:
根据《评估办法》第十七条,未经安全评估即进行数据出境属于违反《评估办法》的行为,应当视情况依照《网络安全法》《数据安全法》《个人信息保护法》等法律法规的规定处理;构成犯罪的,还将被依法追究刑事责任。
根据《网络安全法》第六十六条,CIIO未通过安全评估即在境外存储网络数据或者向境外提供网络数据的,除面临最高50万元罚款之外,还可能被处以停业整顿、吊销证照等处罚;另外,主管人员可能面临最高10万元的罚款。
根据《数据安全法》第四十六条,数据处理者违法从事数据出境活动的,除面临最高1,000万元罚款外,还可能被处以停业整顿、吊销证照等处罚;另外,主管人员可能面临最高100万元的罚款。
根据《个人信息保护法》第六十六条,个人信息处理者未经安全评估即进行个人信息出境活动的,罚款数额可能高达5,000万元或者上一年度营业额的5%,并面临被吊销证照等风险,主管人员还可能面临最高100万元的罚款以及从业限制等法律责任。
上一篇:
关于“个人养老金”制度的几点感想
下一篇:
民航气象预报员工作怎么样?航空公司的气象预报员工作怎么 ...
标签:
2017年
征求意见稿
律师事务所
网络安全
征求意见
@免
责
声
明
1.西兔生活网 CTLIVES 内容全部来自网络;
2.版权归原网站或原作者所有;
3.内容与本站立场无关;
4.若涉及侵权或有疑义,请点击“举报”按钮,其他联系方式或无法及时处理。
举报
分享
0人
收藏
0人
支持
0人
反对
0人
淘帖
关联主题
悉尼购物中心持刀行凶案细节:一警察抵达现场,发现死者中竟有自己的富豪千
朱丹被好友骗1600万?当事人田笑蜜回应:并非真相,已对朱丹提起诉讼
重磅发布!三大交易所就可持续发展信息披露指引公开征求意见,ESG推动上市
校外培训新规|校外培训不得占用国家法定节假日、休息日及寒暑假
一辆摩托车可以乘坐多少人?印度阅兵式的花样表演 创造世界纪录
涉全市超40%建面!深圳拟出城中村改造新规,拆除新建项目仅需2/3以上物权人
泰国前女总理英拉,事起12年后被宣布无罪,西那瓦家族或重新掌权
版署出台网游管理新办法,梦幻泡沫一夜戳破,氪金游戏末日降临
回复
使用道具
举报
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
返回列表
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
回帖并转播
回帖后跳转到最后一页
发疯的沃牛
白金会员
0
关注
7
粉丝
460
帖子
发送私信
收听TA
Ta的主页
热门图文
首个千人规模癌症疫苗试验计划启动,肿瘤治
外媒:“国会山骚乱”后川普 首次重返国会,
中专女孩全球数赛碾压名校学霸,别骂中考,
日本央行维持利率决议不变,宣布下个月才决
俄金融环境一夜回到30年前?美国最新制裁后
河北邯郸:买新房给予1%购房补贴,多孩家庭
热门帖子
都市圈
姚明被架空!力保乔尔杰维奇遭拒 更高层次
教育育儿
复读16年的唐尚珺是个高考病人
都市圈
央视《玫瑰的故事》出圈理由:蓝盈莹的演技
都市圈
现代、哈弗、福特、大众发力,6月5款重磅燃
都市圈
祝贺!中国女排拿到巴黎奥运会门票 奥运会1
都市圈
北京汽车一纸“澄清” 212的“王老吉”之争
都市圈
比亚迪:秦L订单很多很多 担心对行业震动太
都市圈
特斯拉“搬家”,马斯克4000亿薪酬,股东都
都市圈
退休人员基本养老金翻番!社保待遇稳步提升
都市圈
消失的存款!罚单牵出吉林银行员工违法金融
排行榜
日
周
月
1
杨笠加盟《非诚勿扰》,大方公开择偶标准
大象新闻·东方今报首席者 吴净净 如果要评选“最受欢迎的脱口秀演员”,杨笠一定榜上
99927
0
2
华为鸿蒙首超苹果iOS,成2024年Q1中国第二
IT之家 6 月 13 日消息,根据研究机构 Counterpoint Research 发布的最新数据,2024
99730
19
3
避免影响储户取款,深圳多家银行超5万元大
近日,吉林银行储户取款2万元需在派出所报备审核的新闻引发网络关注,吉林银行对此
99419
2
4
等待,也是一种操作
对经济下行的担忧,终于来到白酒这边。连续下跌后,检验白酒赛道成色的时候到了。 最
98492
4
5
多地开始40℃高温模式,要做哪些准备?
中新网北京6月13日电(韦香惠)近日,北方诸多城市开启4字头高温模式,局地地表温度
98245
3
6
看完各家券商的最新业绩,我真为券商民工们
文 | Garfield/RachelM 来源 | BP喵(ID:ibstory)最近遇到几个券商的朋友,他们都
97920
1
7
中国男篮集训营名单公布!辽宁男篮仅1人入
稍早之前,中国篮协正式公布了最新一期的集训营名单,一共有26人入选,这26人分别是张
97036
2
8
美元颓势尽显:美国-沙特石油美元条约的终
据报道,沙特阿拉伯没有续签“与美国的50年石油美元协议”。有传言称,该协议将于2024
97025
5
9
与拜登签完安保协议之后,泽连斯基再次对中
当地时间6月13日,“乌克兰和平峰会”前夕,“国际援乌大同盟”的盟主美国压轴出场
96883
18
10
信用卡新规全面实施在即,银行整改情况如何
2022年7月,原银保监会、人民银行发布《关于进一步促进信用卡业务规范健康发展的通知
95746
12
1
董军就台海划红线不到48小时,美27家军火商
我国防长董军在香格里拉对话会上明确表态: “谁胆敢把台湾从中国分裂出去,必将粉身
100741
20
2
苹果迟迟不入局,折叠屏手机能否成为手机厂
2019年2月24日,华为在巴塞罗那举办新品发布会,正式推出其首款折叠屏手机——华为Mat
99989
0
3
中国出口回暖
文/李晓喻 据海关总署7日公布的最新数据,5月中国出口额2.15万亿元,同比大增11.2%
99953
1
4
一到夏天生腌海鲜就被全网安利,但我劝你别
夏天来了,又到了非常适合吃生腌的季节。 在潮汕、顺德等沿海地区,一种名为“生腌”
99946
13
5
博主:华为Mate70系列已进入最后阶段 影响
【CNMO科技消息】6月12日,CNMO注意到,有数码博主分享了华为Mate70系列的最新进
99943
1
6
杨笠加盟《非诚勿扰》,大方公开择偶标准
大象新闻·东方今报首席者 吴净净 如果要评选“最受欢迎的脱口秀演员”,杨笠一定榜上
99927
0
7
沃尔沃官宣:新XC40卖32.08万!4S店优惠10
沃尔沃XC40极夜黑版正式上市,官方售价32.08万元,较配置相同的B4四驱智远运动版贵2,0
99920
14
8
又是一年高考时,国家选才话古今
全文共3609字 | 阅读需8分钟 ▲(图片来源:视觉中国)2024年6月7日,全国约有134
99871
1
9
楼市分化、房价有涨有跌,如何买房?内行:
近期,尽管有关房价未来几年可能下跌的议论甚嚣尘上,然而,今年的购房者数量依旧络绎
99853
1
10
归队!国泰航空最后一架海外封存客机返港,
在过去4年多的时间里,全球航空业曾面对前所未有的挑战:因为旅客数量大减,导致许多
99789
0
1
董军就台海划红线不到48小时,美27家军火商
我国防长董军在香格里拉对话会上明确表态: “谁胆敢把台湾从中国分裂出去,必将粉身
100741
20
2
广州300亿巨无霸旧改表决通过,周边二手房
每经记者:黄婉银 每经编辑:陈梦妤 5月24日,广州市海珠区凤阳街凤和经济联合
100182
1
3
268元引争议,《黑神话:悟空》不得不走这
作者|吴晓宇 万众期待的《黑神话:悟空》,终于公布了那个所有人都想要知道的信息。 5
100102
20
4
斯洛伐克总理遇刺细节,现场传出5声枪响,
当地时间5月15日,斯洛伐克发生了一件震惊世界的大事件。斯洛伐克总理菲佐在当地参加
100051
20
5
今晚《非诚勿扰》用“心跳”说话,“最强男
今晚(5月18日)《臻浓牛奶·非诚勿扰》出现了一个新设计,男嘉宾都戴了一个手环
100042
5
6
被严重低估的一个产业,这是最国际的中国供
曾航/文 大约十几年前,我到重庆参加一个外资电脑行业零部件厂商的新工厂开工仪式
100019
7
7
莫迪连任还没等到中国贺电,先收到了中方的
印度选举结果出来之后,尽管莫迪领导的人民党赢得不是很好看,先前夸下的海口一个都没
99999
3
8
苹果迟迟不入局,折叠屏手机能否成为手机厂
2019年2月24日,华为在巴塞罗那举办新品发布会,正式推出其首款折叠屏手机——华为Mat
99989
0
9
他救过隋文帝,助隋炀帝夺位,为何却被处死
在隋朝历史上,有这么一位特殊的武将,他是隋文帝杨坚的心腹,先是救了隋文帝。接着又
99968
1
10
最低租金每月600元,济南起步区首批保障性
5月28日上午,济南新旧动能转换起步区首批保障性租赁住房正式交付。新黄河记者从现场
99960
0
活跃网友
1
财神驾到
主题数:2128,精华帖:0
2
绿林道的
主题数:1565,精华帖:0
3
一抹伤
主题数:1292,精华帖:0
4
哇哇的哭
主题数:1038,精华帖:0
5
冷香丸
主题数:714,精华帖:0
返回顶部
快速回复
上一主题
下一主题
返回列表
APP下载
手机访问
扫一扫用手机访问
快速回复
返回顶部
返回列表