《法人》特約撰稿 周治成
莊燕君
方達律師事務所合規(guī)團隊合伙人,中國人民公安大學企業(yè)合規(guī)與社會治理研究院研究員����,北京律師協(xié)會智庫刑事合規(guī)專家組成員
新 聞
2022年7月7日,國家互聯(lián)網(wǎng)信息辦公室(下稱“國家網(wǎng)信辦”)出臺 《數(shù)據(jù)出境安全評估辦法》 (下稱“評估辦法”)���,于9月1日起正式施行�����。評估辦法規(guī)定了數(shù)據(jù)出境安全評估的范圍����、條件和程序�����,為數(shù)據(jù)出境安全評估工作提供了具體指引。2022年8月31日�����,國家網(wǎng)信辦發(fā)布了其編制的《數(shù)據(jù)出境安全評估申報指南(第一版)》�����,為企業(yè)申報提供更為具體的指引�����。
解 讀
評估辦法明確了個人信息與重要數(shù)據(jù)出境安全評估的適用范圍��、重點評估內容����、評估流程與期限,以及不進行事前評估的法律后果等實質性內容���。在申報流程方面�,評估辦法要求提請國家網(wǎng)信辦評估申報前,作為境內出境方的數(shù)據(jù)處理者應進行自評估�����,并形成自評估報告一并提交���。
鑒于數(shù)據(jù)跨境活動既影響個人信息權益����,也與國家安全和公共利益息息相關�����,數(shù)據(jù)跨境制度建設已經被世界上許多國家高度重視���。從我國數(shù)據(jù)跨境管理制度的沿革來看,不少敏感或關鍵行業(yè)��,如健康醫(yī)療�����、地理測繪等����,其監(jiān)管規(guī)則中早已納入數(shù)據(jù)出境管理規(guī)則�����,早在網(wǎng)絡安全法第三十七條中�����,國家就擬制了針對個人信息和重要數(shù)據(jù)跨境傳輸活動的基本規(guī)則����。隨著近年來數(shù)據(jù)安全法��、個人信息保護法的頒行�,以及境外數(shù)據(jù)跨境流動的監(jiān)管態(tài)勢日益趨嚴,我國數(shù)據(jù)跨境制度框架也得以進一步完善��,評估辦法正是落實數(shù)據(jù)保護三大基本法有關數(shù)據(jù)出境安全評估機制的重要舉措�����。
評估辦法規(guī)定��,本辦法施行前已經開展的數(shù)據(jù)出境活動��,不符合本辦法規(guī)定的,應當自本辦法施行之日起6個月內完成整改�。考慮到評估辦法留給境內數(shù)據(jù)出境方的整改過渡期限將至�,監(jiān)管部門是否會在過渡期結束后集中開展執(zhí)法活動尚不明確,建議企業(yè):(1)盡早梳理內部跨境業(yè)務場景�����,對涉敏感�����、風險高的業(yè)務數(shù)據(jù)出境場景開展優(yōu)先整改�,同時盡快落地數(shù)據(jù)分級分類管理,結合業(yè)務實際情況對數(shù)據(jù)出境的必要性予以自查;(2)創(chuàng)建評估所需的工具清單(包括但不限于對境內出境方的要求和對境外接收方的要求)�,參考《個人信息出境標準合同規(guī)定(征求意見稿)》等規(guī)定中對于境內出境方及境外接收方的要求�,制定內部的自評估流程,及早開展自評估工作;(3)根據(jù)安全評估的不同結果準備不同的操作預案����,并密切關注業(yè)內申報案例,尋找本地化替代方案以盡量避免出境風險��。
(責編 惠寧寧)
