数据出境趋严 企业须做好风险防范
《数据出境安全评估办法》已于9月1日起开始施行,数据安全逐渐成为国家安全的重要组成部分。与此同时,全球一些主要经济体和大国均发布了以发展数字经济、保护数据安全为核心的数据战略,如美国的《数据战略》、欧盟的《通用数据保护条例》《欧盟数据战略》以及近期欧洲议会正式通过的《数字市场法案》和《数字服务法案》等,多个国家均在积极进行数据安全保障领域的立法与战略规划,旨在解决大型科技公司的数据使用及管理权限问题。
“对于我国科技公司、互联网平台企业以及业务活动涉及出口管制范围内数据出口、个人信息收集与处理等相关企业而言,如何强化行业的风险防范及主体责任落实,如何检验和评估网络及数据安全防线,因事制宜地推进网络数据安全合规工作均需要深入探讨。”在日前举办的数据出境新规研讨会上,京己任律师事务所高级顾问律师(合伙人级)薛颖表示。
薛颖介绍说,数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,重点评估以下事项:数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险,个人信息权益维护的渠道是否通畅等;与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等是否充分约定了数据安全保护责任义务;其他可能影响数据出境安全的事项。
此外,数据出境安全评估存在一定期限。“如果在有效期内出现以下情形,数据处理者应当重新申报评估:一是向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的;二是境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化,以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的;三是出现影响出境数据安全的其他情形。”薛颖表示。
评估完成后,数据处理者需要与境外接收方拟订法律文件,保证数据安全。己任律师事务所律师陈扬表示,该文件中包括数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施;违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。