中企数据出境拟需申报安全评估

国家互联网信息办公室于日前发布了《数据出境安全评估办法（征求意见稿）》（下称《评估办法草案》），并向社会公开征求意见。“随着《个人信息保护法》的落地实施，其中涉及到的关于数据出境的条款将成为企业合规的重要内容之一。”君合律师事务所合伙人董潇表示，《评估办法草案》为企业的数据出境合规工作的开展提出了进一步明确的要求。企业需要结合两项法律，系统进行合规管理。

据了解，《评估办法草案》分别规定了“安全评估”与“风险自评估”的相关要求，前者是指按要求向监管机关申报的评估，后者是数据处理者自行开展的内部评估。适用的对象既包括关键信息基础设施的运营者，也包括处理个人信息和重要数据的一般处理者。

根据《评估办法草案》，数据处理者向境外提供数据，在如下情形中应当申报数据出境安全评估：关键信息基础设施的运营者收集和产生的个人信息和重要数据；出境数据中包含重要数据；处理个人信息达到一百万人的个人信息处理者向境外提供个人信息；累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息；

“值得注意的是，数据出境评估结果有效期为两年。在有效期内如有重大变更（例如境外接收方处理数据的用途、方式发生变化），应当重新申报评估。”董潇介绍说，无论数据处理者的数据出境活动是否触发安全评估申报的要求，其在向境外提供数据前均应事先开展数据出境风险自评估。自评估的重点评估事项与安全评估要求相对类似，包括：数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；出境带来的总体风险；数据转移风险；境外接收方的责任义务；出境后续风险；与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。

在中国政法大学网络法学研究所副所长商希雪看来，风险自评估制度经常适用于金融领域中，对于数据跨境的风险自评估机制，是指从事数据跨境流动业务的主体，主动根据规范要求进行风险评测得出初步论断。利用这种制度，企业对数据安全风险的来源、预防与处理的判断将更为熟悉与清晰，因此将跨境数据提供者的风险自评估作为网信部门安全评估的前提性程序，为网信部门提供了参考，也便于网信部门根据自评估报告有针对性地组织与开展数据安全评估工作。同时，企业要对自己的自评估结果负责任，令这项制度真正起到帮助企业管理出境数据的作用。