数据出境不再任性-汉坤律师事务所.PDFVIP

20 17 年4 月13 日 李朝应 ︱许莹 ︱王晨 20 15 年 10 月10 日 数据出境不再任性 深度评析《个人信息和重要数据出境安全评估办法(征求意见稿)》 唐志华 ︱朱敏 2017 年 4 月 11 日，国家网信办发布了《个人信息和重要数据出境安全评估（征求意见稿）》 （“《评估办法》”），公开征求意见，以完善即将于2017 年6 月1 日生效的《网络安全法》。作为 《网络安全法》的重要配套文件之一，《评估办法》意在具体落实《网络安全法》第三十七条规定的 个人信息和重要数据出境安全评估。虽然目前 《评估办法》仅是征求意见稿，但从其具体内容看，数 据跨境转移的监管重点已一览无遗。 一、 监管对象 - 不管你是什么企业 本次 《评估办法》明显扩大了数据出境安全评估义务人的范围。 《网络安全法》第三十七条规定，“关键信息基础设施的运营者在中华人民共和国境内运营中收 集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网 信部门会同国务院有关部门制定的办法进行安全评估”。同时，《网络安全法》对“关键信息基础设 施”的范围在第三十一条也有限定，即“公共通信和信息服务、能源、交通、水利、金融、公共服务、 电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安 全、国计民生、公共利益的关键信息基础设施”。据此，《网络安全法》下的数据存储本土化和出境 安全评估义务仅适用于运营关键信息基础设施的企业。 但是，《评估办法》将数据存储本土化和出境安全评估的要求适用于所有网络运营者。根据 《评 估办法》第二条，网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据，应当 在境内存储。因业务需要，确需向境外提供的，应当按照本办法进行安全评估。此外，《评估办法》 第十六条要求其他个人和组织在中华人民共和国境内收集和产生的个人信息和重要数据出境的安全 评估工作参照本办法执行。虽然理论上，本条规定对网络运营者之外的企业不具有直接的强制适用效 力，但从目前个人信息和重要数据跨境传输的立法趋势和监管态势来看，“被参照”的个人和组织在 同等或类似情形中显然是要被新规所覆盖的。 从《评估办法》的上述两条规定，显而易见，凡存在数据跨境传输行为的企业都有可能都被囊括 在安全评估的监管范围之内，这无疑将增加企业的合规成本和负担，尤其是从事跨境的企业管理、融 资活动、信息服务、数据存储、技术研发、网络平台等行业或活动的企业，将会受安全评估的严格监 汉坤律师事务所  北京  上海  深圳  香港 管。我们估计该等适用范围的扩大可能会引起市场的强烈反响，也将是征求意见反馈的异议热点。 二、 监管内容 - 不管你是什么数据 《评估办法》第八、九和十一条分别从评估内容、需报请行业主管或监管部门评估的情形和不得 出境的数据等方面对不同类型、不同情形的数据跨境传输进行全方位的监管。 1. 数据出境安全评估重点 《评估办法》第八条规定，数据出境安全评估应重点评估以下内容： 1) 数据出境的必要性； 2) 涉及个人信息情况，包括个人信息的数量、范围、类型、敏感程度，以及个人信息主体 是否同意其个人信息出境等； 3) 涉及重要数据情况，包括重要数据的数量、范围、类型及其敏感程度等； 4) 数据接收方的安全保护措施、能力和水平，以及所在国家和地区的网络安全环境等； 5) 数据出境及再转移后被泄露、毁损、篡改、滥用等风险； 6) 数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险； 7) 其他需要评估的重要事项。 对于个人信息出境，《评估办法》要求网络运营者应向个人信息主体说明数据出境的目的、范围、 内容、接收方及接收方所在的国家或地区，并经其同意。未成年人个人信息出境须经其监护人同意。 除此之外，《评估办法》第十二条要求，当数据接收方出现变更，数据出境目的、范围、数量、类型 等发