数据出境须google?voice承受平安评价,有何意义和影响?

  如何保证数据跨境活动的平安,是一个全球命题,中国亦补齐了数据出境的平安屏障。

  文|樊瑞  编辑|朱弢

  来源:财经E法 

  中国对数据出境的平安评价有了明白规则。

  7月7日,国度互联网信息办公室(下称“国度网信办”)发布《数据出境平安评价方法》(下称《方法》)。该《方法》自2022年9月1日起实施。

  国度网信办有关担任人表示,出台《方法》旨在落实《网络平安法》《数据平安法》《团体信息维护法》的规则,标准数据出境活动,维护团体信息权益,维护国度平安和社会公共利益,促进数据跨境平安、自在活动,实在以平安保开展、以开展促平安。

  多位专家在承受财经E法采访时表示,《方法》买的google voice补偿了数据出境的平安破绽,健全了数据出境平安屏障。他们建议,相关企业在数据出境活动发作前,应依法展开风险自评价、申报,并经过数据出境平安评价。

  01

  什么状况需求平安评价?

  《方法》中明白,其适于数据处置者向境外提供在中国境内运营中搜集和发生的重要数据和团体信息的平安评价。同时,提出数据出境平安评价坚持事前评价和继续监视相结合、风险自评价与平安评价相结合等准绳。

  《方法》明白,数据出境活动包括两种状况:一是数据处置者将在境内运营中搜集和发生的数据传输、存储至境外。二是数据处置者搜集和发生的数据存储在境内,境外的机构、组织或许团体可以拜访或调用。

  《方法》还规则,在四种状况下,数据处置者该当申报数据出境平安评价。

  (一)数据处置者向境外提供重要数据;(二)关键信息根底设备运营者和处置100万人以上团体信息的数据处置者向境外提供团体信息;(三)自上年1月1日起累计向境外提供10万人团体信息或许1万人敏感团体信息的数据处置者向境外提供团体信息;(四)国度网信部门规则的其他需求申报数据出境平安评价的情形。

  依据《关键信息根底设备平安维护条例》,关键信息根底设备运营者,是指公共通讯和信息效劳、动力、交通、水利、金融、公共效劳、电子政务、国防科技工业等重要行业和范畴的,以及其他一旦遭到毁坏、丧失功用或许数据泄露,能够严重危害国度平安、国计民生、公共利益的重要网络设备、信息零碎等的运营企业,大型电信运营商、动力企业、民航公司、金融机构等都属于此类主体范围。

  google voice注而为何将处置100万人的团体信息作为能否需求停止平安评价的规范?中国法学会网络与信息法学研讨会副秘书长、中国社科院法学所网络与信息法室副主任周辉泄漏,在《方法》制定中,100万人的规范已经有过争议,“虽然许多中国企业的用户都能够超越这一规范,虽然100万人占中国人口的比重并不大,但是要放在全球范围内来看,这是很大的一个规模。”

  北京德恒律师事务所合伙人、网络平安应急技术国度工程实验室数据平安征询专家刘扬对财经E法表示,“我的了解是,对到达100万人以上团体信息的数据处置者的平安要求,该当同等于关键信息根底设备运营者”。也就是说,相关机构假如呈现数据平安成绩,对大众形成的影响不低于关键信息根底设备运营者。

  那么,哪些类型的团体信息会遭到重点关注?周辉指出,结合《团体信息维护法》的有关规则来看,团体信息是以电子或许其他方式记载的,与已辨认或许可辨认的自然人有关的各种信息,但不包括匿名化处置后的信息。例如,团体的账号密码、身份证件号码、出生日期等。此外,还包括敏感团体信息,即一旦被泄露或被合法运用,容易招致详细团体人格尊严遭到损害,或人身、财富平安遭到危害的团体信息,详细包括生物辨认、宗教信仰、特定身份、安康情况、金融账户、行迹轨迹等信息,以及不满14周岁的未成年人的信息。

  02

  如何停止平安评价?

  依据《方法》,数据出境平安评价次要包括七个方面。

  一是数据出境的目的、范围、方式等的合法性、合理性、必要性。

  二是境外接纳方所在国度或许地域的数据平安维护政策法规和网络平安环境对出境数据平安的影响;境外接纳方的数据维护程度能否到达中国法律、行政法规的规则和强迫性国度规范的要求。

  三是出境数据的规模、范围、品种、敏感水平,出境中和出境后遭到窜改、毁坏、泄露、丧失、转移或许被合法获取、合法应用等风险。

  四是数据平安和团体信息权益能否可以失掉充沛无效保证。

  五是数据处置者与境外接纳方拟订立的法律文件中能否充沛商定了数据平安维护责任义务。

  六是恪守中国法律、行政法规、部门规章状况。

  七是国度网信部门以为需求评价的其他事项。

  《方法》也明白了数据出境平安评价的详细流程。

  首先是数据处置者在申报前,该当展开自评。尔后,应经过所在地省级网信部门向国度网信部门提交申报,而国度网信部门在收到申报资料之日起7个任务日内,确定能否受理,并告诉申报者。受理申报后,国度网信部门组织国务院有关部门、省级网信部门、专门机构等停止平安评价。国度网信部门在收回受理告诉书之日起45个任务日内完成评价。经过数据出境平安评价的后果无效期为2年。假如在无效期内,发作影响出境数据平安的状况,需求重新申报评价。

  间隔《方法》正式失效缺乏两月,将对企业发生什么影响?

  世辉律师事务所合伙人王新锐指出,自身用户数量较多(即超越100万)的企业,以及业务中触及少量出境场景的跨国企业,都会遭到较大影响,能够触发平安评价。

  周辉表示,《方法》施行后,将对到达评价申报规范的数据处置者发生约束性影响,尤其是金融、电信、卫生安康、动力、民航等重要行业和范畴。这些范畴的机构向境外提供的数据,一方面能够触及国度平安、经济运转、社会波动、公共安康和平安的重要数据;另一方面由于本身被确定为关键信息根底设备运营者,同时,其处置数据的量级随便即可到达“100万人以上”。

  周辉建议,上述相关行业,该当尽快顺应《方法》的要求,在数据出境活动发作前依法展开自评价、申报并经过评价。假如目前不契合《方法》的管理要求,该当在《方法》规则的期限(2023年3月1日)前完成整改。周辉还表示,这能够意味着数据出境活动频率、数量会遭到一定水平的影响。一些难以在期限内完成整改的数据出境业务,能够因合规要求而暂停甚至终止。

  刘扬建议,在停止数据出境平安评价进程中,该当结合企业实践状况,延聘专业人员辅佐评价,构成标准化流程。

  03

  补齐数据出境的平安屏障

  在全球化的背景下,中国的数据出境已呈常态化趋向。

  周辉指出,随着全球数字经济的疾速开展和大数据、互联网等技术的普遍使用,数据出境活动日益普遍。目前,一些国度和地域已树立起有关数据出境的管理制度,简直都将数据跨境平安作为重点和动身点。

  2022年5月19日,《方法》经国度网信办2022年第10次室务会议审议经过。《方法》共有20条,规则了数据出境平安评价的范围、条件和顺序,为数据出境平安评价提供了详细指引。

  中国迷信技术大学公同事务学院、网络空间平安学院教授左晓栋通知财经E法,数据是国度的战略资源,“假如一个国度关于数据出境不设防,相当于国度平安大门洞开。在当今社会,每一个国度都该当树立数据出境平安的有关管理制度”。《方法》要求,对能够会影响国度平安、公共利益的数据出境,要经过网信部门的平安评价。左晓栋指出,《方法》在很大水平上补偿了国度平安破绽,健全了国度数据出境平安的屏障。

  实践上,中国近年正在逐渐完善关于数据出境的相关立法。

  2016年11月,全国人大常委会经过《网络平安法》,其中第37条中规则,关键信息根底设备的运营者在中国境内搜集和发生的团体信息和重要数据该当在境内存储。因业务需求,确需向境外提供的,该当停止平安评价。同时明白,平安评价方法由国度网信部门会同国务院有关部门制定。

  2021年,全国人大常委会先后经过了《数据平安法》和《团体信息维护法》,将数据出境平安评价制度的施行范围作出扩展,不再将其局限于关键信息根底设备运营者。

  左晓栋指出,依据一系列立法,中国完善了数据出境平安评价制度的法律根据。他还指出,《数据平安法》和《团体信息维护法》树立了中国数据出境平安管理的根本框架,但详细落地还有待细则和明白。2021年10月29日,国度网信办发布了《数据出境平安评价方法(征求意见稿)》,8个月后,《方法》正式出台。

  周辉指出,在霹雳mit全集下载《数据平安法》《团体信息维护法》施行前,国际不少机构的数据出境活动根本处于“裸奔”形态,有时数据权益人甚至都不清楚本人数据被出境,严重要挟着团体信息权益、社会公共利益乃至国度平安。经过立法确立了数据出境平安评价的根本制度后,触及数据出境的机构也迫切希望尽快明白详细的规则,以处理合规规范不明晰的成绩,《方法》由此应运而生。

  04

  数据平安出境的全球趋向

  如何保证数据跨境活动的平安,是一个全球命题。

  欧盟的数据跨境规则次要集中在《通用数据维护条例》(GDPR)中。周辉向财经E法引见,GDPR强调向欧盟境外提供团体信息不得减弱对团体信息的维护力度,除了取得团体信息主体知情赞同等特定例外状况外,详细要求包括:

  第一,需求取得欧盟充沛维护认定,这种认定本质上是欧盟对他国法律制度、监管机构设置、参与国际条约等方面的评价,是最严厉的方式。一旦进入这一白名单,数据跨境的便当性最大。目前只要新加坡、瑞士、日本等极多数国度经过了认定。

  第二,未经过认定国度的数据接纳方,满足以下条件之一,欧盟的数据可以出出google voice境:1.其所在国与欧盟无数据跨境协议;2.采用欧盟委员会或欧盟委员会同意的成员国经过的规范数据维护条款;3.恪守经欧盟监管机构同意的行为原则,以及数据处置者本身的数据维护承诺。

  第三,关于企业集团或跨国企业外部子公司及其雇员的数据跨境,可以遵照“有约束力的公司规则”。该规则由企业集团跨国企业制定,且需求经过欧盟监管机构同意。

  左晓栋表示,中国的数据出境平安管理制度,应该说和国际常规,特别是欧盟坚持分歧,“明白了数据出境平安的几种情形”。

  而美国则有不同的处置方式。周辉表示,美国虽然自称数据自在活动,对数据跨境没有严厉的法律限制,更多经过市场机制处理。但在2022年4月,美国宣布了全球跨境隐私规则 (CBPR)声明,试图将APEC框架下的数据跨境传输机制(CBPR)的适用扩展至全球范围。CBPR的中心是树立基于CBPR和处置者隐私辨认零碎(PRP)的国际认证体系,经过在全球推行CBPR和PRP零碎,支持所谓的数据自在活动。

发表评论