<wbr id="xba50"></wbr>

<source id="xba50"><ins id="xba50"></ins></source>
    <track id="xba50"></track>
    <acronym id="xba50"></acronym>

  1. 中央政法委機關報法治日報社主辦

    您所在的位置:首頁  > 熱點財經

    數據出境前安全評估需先行

    2021-11-11 09:01:00 來源:法治日報·法治周末

    “《數據出境安全評估辦法(征求意見稿)》是網絡安全法、數據安全法和個人信息保護法的配套規定,主要規范數據處理者向境外提供在我國境內運營中收集和產生的重要數據和依法應當進行安全評估的個人信息,應當進行安全評估”

    法治周末見習記者 楊代媛

    近日,國家互聯網信息辦公室公布《數據出境安全評估辦法(征求意見稿)》(以下簡稱《征求意見稿》)?!墩髑笠庖姼濉芬环矫鎻娬{境外數據接收方遵循中國各項法律法規,另一方面賦予了數據跨境企業更多的合規責任,同時對執行數據安全風險評估工作的相關部門提出更高要求。

    “自評估”督促境內企業謹慎展業

    111日,個人信息保護法正式實施,信息安全再次成為人們關注的焦點。

    而此前已經實施的網絡安全法和數據安全法都提出,重要數據和個人信息出境應當通過國家網信部門組織的安全評估。

    《征求意見稿》提出“風險自評估與安全評估相結合”,也即除網信部門的評估外,還要求數據處理者在向境外提供數據前,應事先開展數據出境風險自評估。

    南京郵電大學數字經濟戰略與法治研究中心主任王春暉告訴法治周末記者,目前,其看到的個人信息及數據出境評估辦法征求意見稿至少有3個版本:一是2017年國家網信辦發布的《個人信息和重要數據出境安全評估辦法(征求意見稿)》;二是2019年發布的《個人信息出境安全評估辦法(征求意見稿)》;三是今年的《數據出境安全評估辦法(征求意見稿)》。

    王春暉介紹說,前兩部“評估辦法”依據的法律是網絡安全法,今年的《數據出境安全評估辦法(征求意見稿)》依據的法律除了網絡安全法外,還包括了數據安全法和個人信息保護法。顯然,2021年的“評估辦法”的上位法體系更加完善。

    2017年的‘評估辦法’中,評估方除了企業自己的評估外,還包括行業主管部門的評估;2019年的‘評估辦法’,評估方變為網信部門。2021年的‘評估辦法’第三條要求,數據出境安全評估堅持事前評估和持續監督相結合、風險自評估與安全評估相結合,防范數據出境安全風險,保障數據依法有序自由流動?!蓖醮簳熣f,這里有兩層含義:一是,數據出境安全評估堅持事前評估和持續監督相結合,即企業對于出境數據的安全一定要堅持事前評估風險,同時企業的合規部門和監管單位要進行持續監督;二是,風險自評估與安全評估相結合,即出境數據的安全評估,應當實施企業對數據出境風險的自評估,在此基礎上施行國家安全評估,其目的是保障數據依法有序自由流動。

    重要數據的跨境必須進行安全評估

    《征求意見稿》出臺當日,國家市場監督管理總局發布《互聯網平臺落實主體責任指南(征求意見稿)》,要求超大型平臺經營者應當建立健全數據安全審查與內控機制,對涉及用戶個人信息的處理、數據跨境流動,涉及國家和社會公共利益的數據開發行為,必須嚴格依法依規進行,確保數據安全。

    王春暉指出,《征求意見稿》是網絡安全法、數據安全法和個人信息保護法的配套規定,主要規范數據處理者向境外提供在我國境內運營中收集和產生的重要數據和依法應當進行安全評估的個人信息,應當進行安全評估。“有兩層意思,首先,重要數據的跨境必須進行安全評估;其次,個人信息出境的安全評估應當在法律規定的范圍內”王春暉說。

    去年9月,江蘇省連云港市海州區就發生了一起特大微信“養號”案。經查,犯罪嫌疑人盧某及其犯罪團伙通過使用采集軟件從各類外賣、點評APP上采集商家電話號碼并添加好友,待微信號“養肥”之后,與境外詐騙團伙及中介黃某對接銷售,以微信號中每個好友3.5元至3.8元的價格進行售賣。

    目前,該案仍在進一步偵辦中,而盧某及其團伙的行為,已經涉嫌非法向境外提供公民個人信息。

    《征求意見稿》第四條要求,數據處理者向境外提供數據,符合五種情形之一的,均應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估,其中包括“處理個人信息達到一百萬人的個人信息處理者向境外提供個人信息”“累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息”。

    對此,長期關注新消費的海豚社創始人李成東指出,一百萬人是一個很低的標準,幾乎所有擬上市的消費互聯網企業都會達到這一規模,新規無疑會讓這些互聯網企業海外上市的難度大增。

    王春暉認為,企業在向境外提供個人信息時,在達到國家網信部門規定的數量時必須進行安全評估,同時還應當向個人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式和程序等事項,并取得個人的單獨同意。

    在北京恒都律師事務所律師趙鴻祥看來,游戲行業是受沖擊較大的一個細分領域。

    “隨著行業的高速發展,‘游戲’已經遠遠不止‘娛樂’的屬性,更多地是‘社交’。隨著游戲屬性和功能的增加,所收集的各類數據也會突破其本身的必要限制。同時,中國網絡游戲的發展讓許多企業具備走向全球市場的能力和意愿,《征求意見稿》實施后,頭部游戲企業海外上市的周期和難度會增加?!壁w鴻祥說。

    企業需注意這些問題

    《征求意見稿》還明確了評估的流程、時間,對評估后的持續監管做了明確的規定,兼顧數據出境的全生命周期的管理。

    王春暉表示,《征求意見稿》中提出的“數據出境評估結果有效期二年”也是其亮點之一,但是,“國家網信部門應自出具書面受理通知書之日起45個工作日內完成數據出境安全評估”是一個較大的挑戰,對于發達城市來說,數據評估量都極大。

    “特別要提醒企業注意的是:企業因業務等需要,確需向境外提供個人信息,除了應當依法進行安全評估外,還應當深刻領會和認真執行個人信息保護法要求的‘個人信息處理者應當采取必要措施,保障境外接收方處理個人信息的活動達到本法規定的個人信息保護標準’?!蓖醮簳熣f。

    此外,《征求意見稿》要求,企業在進行數據出境時應該提供與境外接收方擬訂立的合同或者其他具有法律效力的文件等,并要求合同中明確數據的境外接收方的責任和義務。

    王春暉認為,根據個人信息保護法第三十八條(三)的規定:個人信息處理者因業務等需要,確需向中華人民共和國境外提供個人信息的,應按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務;與境外接收方訂立的數據出境相關合同是否充分約定了數據安全保護責任義務。

    由此,向境外提供數據所簽訂的合同應當是國家網信部門制定的標準合同,不是企業自行擬訂的合同。在簽訂合同時,應當按照《征求意見稿》第九條的要求,重點約定以下六項內容:一是數據出境的目的、方式和數據范圍,境外接收方處理數據的用途、方式等;二是數據在境外保存地點、期限,以及達到保存期限、完成約定目的或者合同終止后出境數據的處理措施;三是限制境外接收方將出境數據再轉移給其他組織、個人的約束條款;四是境外接收方在實際控制權或者經營范圍發生實質性變化,或者所在國家、地區法律環境發生變化導致難以保障數據安全時,應當采取的安全措施;五是違反數據安全保護義務的違約責任和具有約束力且可執行的爭議解決條款;六是發生數據泄露等風險時,妥善開展應急處置,并保障個人維護個人信息權益的通暢渠道。


    責編:王碩

    聯系我們 | 誠聘英才 | 廣告征訂 | 本站公告 | 法律聲明 | 報紙訂閱

    版權所有 Copyrights ? 2014-2019 www.fuhao588.com ALL RIGHTS Reserved 《法治周末》

    京ICP備10019071號-1 京報出證字第0143號

    京公網安備 11010502038778號

    日本高清在线www3344