数据出境关乎国家安全,自2017年6月1日起施行的《中华人民共和国网络安全法》(“《网络安全法》”)、2021年9月1日起施行的《中华人民共和国数据安全法》(“《数据安全法》”)和2021年11月1日(暨今天)起施行的《中华人民共和国个人信息保护法》(“《个人信息保护法》”),均从法律层面规范了数据出境的合规机制。从目前数据合规的整体法律体系的构建框架来看,针对数据出境的合规要求,需要针对数据出境主体的不同身份以及拟出境数据的不同类型进行甄别,然后分别按照不同法律法规的要求进行具体规范。本文通过对现行法律法规(包含征求意见稿)中关于数据出境合规要求的梳理,提出相关合规建议,以供同行参考与交流。
针对数据出境不同的合规要求中,其中一项是针对数据出境进行评估。本文主要是基于2021年10月29日国家互联网信息办公室(“网信办”)发布的《数据出境安全评估办法(征求意见稿)》(“《2021年办法(征求意见稿)》”),对数据出境的企业自评估与监管机构的安全评估进行重点评析。另外,“数据出境”和“数据本地化”实质是一个硬币的两面,从境内业务的视角管理数据出境,可以考虑的思路是:基于数据分类设立“数据本地化”的梯度要求,对不同类型数据出境机制配备不同层级的本地化要求,并促成配套的评估、备案/许可和认证机制。
一、数据出境的基本监管要求
境内数据出境是指网络运营者通过网络等方式将其在中国大陆境内(以下简称“境内”)运营中收集和产生的个人信息或其他数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。
需要说明的是:(1)网络运营者包括所有者、管理者和网络服务提供者,可能是内资公司、外资工作、合资公司等。(2)数据出境有多种形式,不囿于数据境外存储。数据虽未转移存储至本国以外的地方,但被境外机构、组织、个人访问查看的(公开信息、网页访问除外);网络运营者在境内运营中收集和产生的个人信息(主要指集团内部数据)由境内转移至境外;向境内但不属于我国司法管辖或未在境内注册的主体提供数据。[1](3)出境的数据既可能是个人信息,也可能是非个人信息但构成重要数据或者国家核心数据,或者是非个人信息且非重要数据、国家核心数据的企业其他业务运营类数据。
因此不难理解,在任何部门或行业中使用网络的任何位于中国境内的企业都有可能属于“网络运营者”,进而受到关于个人信息和重要信息出境的规制。我国目前针对数据跨境传输而言,没有针对外企的“特殊待遇”,内外资企业实施同等国民待遇。内外资企业能够将其在中华人民共和国境内运营的数据出境,实际需要同时满足三个层面的要求:数据跨境的一般性要求、特定行业的数据本地化增强要求、外企准入负面清单要求。
《网络安全法》2016年提出了对于“关键信息基础设施运营者”(“CIIO”)的数据(无论是个人信息还是重要数据)均有本地化存储和必要情况下跨境传输时的评估义务要求,实践中引起了监管部门和广大企业的广泛关注。2017年4月《个人信息和重要数据出境安全评估办法(征求意见稿)》(“《2017年办法(征求意见稿)》”)对“个人信息和重要数据”出境的规制主体进一步扩大,由《网络安全法》规定的CIIO扩展到所有的“网络运营者”,但对个人信息和重要数据未予区分,规定了一致的出境规则。随后,推荐性国家标准《信息安全技术 数据出境安全评估指南(征求意见稿)》(“《数据出境安全评估指南(征求意见稿)》”)于2017年10月13日完成了意见征求,但至今尚未公布。此外,网信办于2019年6月13日发布了《个人信息出境安全评估办法(征求意见稿)》(“《2019年办法(征求意见稿)》”),针对个人信息的出境情形作出了比较严格的规定,但仍然保持着《2017年办法(征求意见稿)》针对整个网络运营者将境内收集个人信息出境的规范立场,重点规定了个人信息出境的安全评估要求,将个人信息和重要数据评估拆分为二,有分别规定评估机制的尝试。
上述这些办法虽然制定时间较早,但目前都仍然处于征求意见稿状态,并且是在上位法还未全面颁布之时仅根据《网络安全法》为依据制定的。如今,《数据安全法》和《个人信息保护法》均已出台并生效,其分别对重要数据出境和个人信息出境的评估要求做出规定:其中,《数据安全法》对于数据出境评估的被规制主体规定为“CIIO”、“重要信息的处理者”以及“其他数据处理者”[2];《个人信息保护法》对于个人信息出境的被规制主体为“CIIO”和“个人信息处理者”[3];而《2021年办法(征求意见稿)》将被规制主体设定为“数据处理者”。我国目前已经公布的法律法规、标准尚未对“数据处理者”或“处理者”术语进行定义,在做出判断时,可参考:《个人信息保护法》第七十三条中对“个人信息处理者”的定义,即“在个人信息处理活动中自主决定处理目的、处理方式的组织、个人”,以及《数据安全法》第三条中对“数据处理”的定义,即“数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等”的相关规定。
《2021年办法(征求意见稿)》题为“数据出境安全评估办法”,顾名思义,着眼于支撑《数据安全法》下所规定的数据的出境评估,必然包括了“个人信息”及“重要数据”出境评估,更有利于作为《网络安全法》、《数据安全法》及《个人信息保护法》数据安全出境、安全评估相关规定的实施细则,为法律落地做出细化规定。其规定了数据出境的风险自评估与安全评估的义务主体、监管机构、评估重点等,还细化了数据出境评估申报流程、要求和处理时间节点,为数据安全义务方履行合规义务提供了指引。作为“网络运营者”、“数据处理者”的企业,在参与经济全球化的过程中,时常会涉及各类数据跨境传输的情形,因此,准确界定数据跨境传输行为及其法律合规义务,是企业实施跨境商业运营中最基础的一环。
本文也主要围绕以上内容,厘清风险自评估与安全评估的义务并提出合规建议;最后提示未依法完成评估工作而可能产生的责任,以期为业务中涉及数据出境场景的数据处理者理解《2021年办法(征求意见稿)》并关注后续监管动向,把握合规要点,做好相应的准备工作提供合规思路。
二、数据出境评估相关法律法规
我们在下图中梳理了数据出境评估相关法律法规(含征求意见稿)的发布情况供企业参考:
除此之外,国家网信部门和行业主管部门已经针对部分行业就特定垂直领域的数据本地化出台了相关文件,包括涉及国家秘密、增值电信、征信信息、审计底稿、地图、网络出版、气象卫星、医疗健康大数据、人类遗传资源、网约车、个人金融信息、网络租赁自行车等行业。相关行业的企业也应关注此类文件提出的合规义务。
三、数据出境评估的适用范围
如前所述,“跨境传输”与“本地存储”两者只有有效组合才能设立较为完善的数据出境监管环境。如何设立不同层级的数据本地化严苛度/数据出境自由度,应基于不同“数据类型”而差别对待,因此“数据分类分级”是数据跨境传输监管的有效抓手和基石。《2021年办法(征求意见稿)》对于评估的适用范围包括针对CIIO及一般网络运营者,“个人信息”及“重要数据”的出境场景。下文将分别对这不同类型企业针对不同敏感程度的数据出境适用情况分别做出阐述:
(一)针对CIIO数据的评估适用情况
《网络安全法》规定了CIIO向境外提供数据的安全评估义务;《数据安全法》亦明确CIIO向境外提供重要数据适用《网络安全法》的规定;《个人信息保护法》中明确了CIIO向境外提供个人信息的安全评估义务。《2021年办法(征求意见稿)》回应了《网络安全法》、《数据安全法》和《个人信息保护法》的相关规定,明确CIIO收集和产生的个人信息和重要数据应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。我们提示,作为CIIO的企业,原则上,在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。确有需要向境外提供数据时,不论数据类型为个人信息或重要数据,不论数据量多少,都应进行安全评估。
(二)针对重要数据的评估适用情况
《数据安全法》要求重要数据的处理者对其数据处理活动定期开展风险评估,除CIIO外,其他数据处理者向境外提供重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。《2021年办法(征求意见稿)》也结合了《数据安全法》的相应要求,明确出境数据中包含重要数据出境的业务需要履行数据出境安全评估的要求。
值得关注是,目前已生效法律法规尚未对“重要数据”做出明确定义,《数据安全法》将重要数据的具体目录的制定工作分配至各地区、各部门,如《汽车数据安全管理若干规定(试行)》中就对重要数据所包含的具体数据类别做出了划分。在部分法规和标准中我们也可以看到重要数据的相关规定,如《数据安全管理办法(征求意见稿)》对重要数据进行了定义,《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》对重要数据的危险程度识别特征进行了列举;[4]《2017年办法(征求意见稿)》中提到重要数据是与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围需参照国家有关标准和重要数据识别指南。而目前《信息安全技术 重要数据识别指南(征求意见稿)》也尚处于征求意见阶段,尚未正式生效。《网络安全标注实践指南——数据分类分级指引》中将重要数据作为一个定级概念;部分国家标准也尝试对重要数据的范围做出划分,如《信息安全技术 数据出境安全评估指南(征求意见稿)》附件A对重要数据的给出了具体范围,国家推荐性标准《信息安全技术 重要数据识别指南(征求意见稿)》提出了重要数据的特征,明确了识别重要数据的基本流程和对重要数据的描述格式,为识别重要数据提供支撑。同时,《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》也对重要数据出境后的管理提出了进一步的要求,即企业须加强对数据出境后的跟踪掌握。
我们提示,重要数据出境安全评估要求不涉及主体性质和数量多少的限制,即只要出境的数据中包含重要数据,不论数据多少,都应当申报安全评估。因此,建议企业应关注涉及出境的数据是否包含重要数据,并根据要求做好合规评估工作。
(三)针对个人信息的评估适用情况
本次《2021年办法(征求意见稿)》的一大亮点是,明确了《个人信息保护法》第四十条规定的“个人信息达到国家网信部门规定数量的个人信息处理者”的数量级别,并且明确了“达到规定数量”应从两个不同维度的标准计算:
-
处理个人信息达到一百万人的个人信息处理者
我们理解,这是以数据处理者处理个人信息的规模进行的评估,如数据处理者处理个人信息达到一百万人,涉及数据出境业务时,则不论向境外提供个人信息数量多少,都应申请安全评估。
在《2021年办法(征求意见稿)》一出台后,很多人会关注的是今年7月发布的《网络安全审查办法(征求意见稿)》中提及的“掌握超过一百万用户个人信息的运营者赴国外上市”的安全审查义务和《2021年办法(征求意见稿)》中的“处理个人信息达到一百万人的个人信息处理者向境外提供个人信息”的安全评估义务是否相互冲突,即完成了网络安全审查是否还需要进行数据出境安全评估。我们理解,根据两个文件的内容来看,申报网络安全审查和数据出境安全评估提交的材料、审查重点、审查主体都不尽相同。有些拟向国外上市的中概股企业根本不涉及重要数据和个人信息跨境传输给境外实体的情况,因此从业务层面而言,不受《2021年办法(征求意见稿)》的规制。但需要注意的是,如果这些企业后续在申报上市过程中可能会被境外监管机构要求提供说明数据运营情况的支持性文件,特别是涉及个人信息和重要数据的情况,那么是既需要进行网络安全审查的申报申请,同时还需要进行数据出境自评估与安全评估的。因此,《2021年办法(征求意见稿)》与网信办于2021年7月10日发布的《网络安全审查办法(修订草稿征求意见稿)》(“网安审查征求意见稿”)不存在替代关系,针对的是网信办所管辖的两项不同行政审批内容。网安审查征求意见稿中“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”没有被取代,且其详细的申报要求和指南亦未在数据出境评估文件中明确,至于当两个审批事宜发生重合情况时,是否企业只须履行一套流程,尚需等待生效的规定出台以及进一步指引性文件进行阐释。因此,我们建议涉及以上两种场景的企业充分了解《网络安全全审查办法(征求意见稿)》和《2021年办法(征求意见稿)》的合规要求,提前做好合规工作。
-
累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息
我们理解,这是针对数据处理者出境个人信息的规模进行的评估,即不论企业所实际掌握的用户个人信息规模多大,也不论数据处理者单次处理个人信息的数量规模,如果累计向境外提供十万人以上个人信息或者一万人以上敏感个人信息的,则均应当申报数据出境安全评估。
可以看出,《2021年办法(征求意见稿)》中对这两项数量标准设置得相对较低,体现了国家对于数据出境的管控日趋严格,也无形中拟推动了数据本地化的要求。
因此,建议企业尽快开展自查,充分了解内部涉及向境外提供的个人信息数据量及流转情况,判断是否达到了上述规定的标准。需要注意的是,只要满足这两项标准之一,则企业应申报数据出境安全评估。
(四)其他情形
《2021年办法(征求意见稿)》还保留兜底条款,即国家网信部门规定的其他需要申报数据出境安全评估的情形,为后期其他细则的规定留出空间,这就意味着企业应当关注国家网信部门出台的其他文件中对于数据出境安全评估的规定。
根据目前的法律法规规定,我们梳理了各类数据跨境的场景下数据处理者的安全评估义务,当数据处理者存在数据跨境传输的要求时,应当明确自身性质结合涉及的数据类型,从而判断合规义务:(1)CIIO:涉及个人信息和重要数据出境应当完成安全评估;(2)一般网络运营者:涉及重要数据出境应当进行安全评估,而涉及个人信息则分为两种情况:a.处理个人信息的梳理未达到网信办规定的门槛,在获取了个人信息主体的单独同意并选择适当的额外保护措施(如签署标准合同条款等)后,完成风险自评估后可以进行出境;b.如达到了上文提及的《2021年办法(征求意见稿)》规定的两大类限制出境标准之一的,则应当进行安全评估。除此之外,在做安全评估之前,数据处理者都应该对企业自身的性质、拟出境数量的门槛、出境数据的类型及敏感程序及接受方数据保护能力,以及是否有部门规章对于数据出境或者服务器需要放置于本地有特殊要求等方面做出风险自评估。为了能让企业具有更为清晰的思路,我们做以下图表以供参考:
三、数据出境评估义务的梳理与建议
《2021年办法(征求意见稿)》规定了数据出境的两类评估义务,一是《2021年办法(征求意见稿)》第4条规定的“数据出境安全评估”义务,二是《2021年办法(征求意见稿)》第5条规定的“数据出境风险自评估”义务。这两类评估义务的适用主体以及评估要求略有不同,与此对应的适用场景也有所不同,下文将具体展开分析企业需要在何种情况下分别履行这两类评估义务。
(一)数据出境风险自评估义务
关于数据出境风险自评估义务,《个人信息保护法》第55条规定,向境外提供个人信息的个人信息处理者应当事前进行个人信息保护影响评估。这是由于根据《个人信息保护法》第38条的规定,在个人信息出境前,企业需要确认境外接收方处理个人信息的活动达到《个人信息保护法》规定的个人信息保护标准,且若选择通过在专业机构进行个人信息保护认证或提交国家网信部门进行安全评估的方式进行出境,则应当提前充分了解出境个人信息的数量、敏感程度、出境目标国家的个人信息保护水平、境外接收方情况以及个人信息出境频率等情况,这决定了个人信息保护影响自评估的必要性。除此之外,《网络安全法》《数据安全法》等现行有效的法律法规均未对风险自评估有所规定,只有2017年发布的《信息安全技术数据出境安全评估指南(征求意见稿)》的国家标准中提到了数据出境安全自评估的相关内容,但由于发布时间较早且未生效,其参考意义有限。
此次出台的《2021年办法(征求意见稿)》第5条规定,数据处理者在向境外提供数据前,应事先开展数据出境风险自评估,即明确规定了所有数据处理者无论是关键信息基础设施运营者或一般网络运营者,其所处理的数据类型无论是国家核心数据、重要数据或一般数据(包括个人信息与非个人信息),均应当在数据出境前进行风险自评估。
根据《2021年办法(征求意见稿)》第5条的规定,企业在进行风险自评估时应关注以下要点:
-
数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
-
出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
-
数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险;
-
境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
-
数据出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;
-
与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。
此处需要提醒企业注意的是,上文最后一个评估项“境外接收方订立的数据出境相关合同”并不完全等同于《个人信息保护法》第38条规定的“按照国家网信部门制定的标准合同”,其包括但不仅限于后续网信部门拟颁布的标准合同模板。在标准合同尚未公布的现阶段,企业仍应履行上述义务。在与境外接收方订立合同时,数据处理者可以参考《2021年办法(征求意见稿)》第九条的规定对数据安全保护责任义务进行明确约定,以确保符合评估要求,具体如下所示:
-
数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
-
数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施;
-
限制境外接收方将出境数据再转移给其他组织、个人的约束条款;
-
境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区法律环境发生变化导致难以保障数据安全时,应当采取的安全措施;
-
违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款;
-
发生数据泄露等风险时,妥善开展应急处置,并保障个人维护个人信息权益的通畅渠道。
在风险自评估后,参照《个人信息保护法》第56条以及《2021年办法(征求意见稿)》第6条的规定,企业应当形成《数据出境风险自评估报告》并至少留存三年,以满足留存评估记录或进一步申请进行安全评估的要求。
(二)数据出境安全评估义务
如上文梳理图所示,《网络安全法》《数据安全法》与《个人信息保护法》均规定了数据出境安全评估的要求。本次出台的《2021年办法(征求意见稿)》也是在这三部法律的基础上,填补了此前留待进一步解释的空白地带。因此,在分析《2021年办法(征求意见稿)》中有关数据处理者的数据出境安全评估义务时,需要同时参照《网络安全法》《数据安全法》与《个人信息保护法》这三部上位法的相关规定:
-
《网络安全法》第37条规定了关键信息基础设施运营者向境外提供在中国境内收集和产生的个人信息和重要数据时,应当进行安全评估。
-
《数据安全法》侧重规定了重要数据的出境安全评估制度,即第31条提到的关键信息基础设施运营者在中国境内收集和产生的重要数据的出境适用于《网络安全法》的规定,其他数据处理者在中国境内收集和产生的重要数据的出境适用于国家网信部门制定的要求。
-
《个人信息保护法》第40条规定了,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者进行数据出境活动时,应当事先通过国家网信部门组织的安全评估。
总体而言,结合《2021年办法(征求意见稿)》第4条的规定,需要进行数据出境安全评估的主体包括:(1)向境外提供重要数据的所有数据处理者(包括关键信息基础设施运营者与一般数据处理者);及(2)向境外提供个人信息的关键信息基础设施运营者以及处理数量达到《2021年办法(征求意见稿)》第4条第3、4款规定的一般数据处理者。具体如下图所示:
若满足上述条件,则企业应该履行数据出境安全评估义务,向所在地省级网信部门向国家网信部门申报数据出境安全评估。根据《2021年办法(征求意见稿)》第8条,安全评估的内容与数据出境风险自评估的内容虽有重合之处,但前者的范围大于后者,即也是符合一般企业在完成自评估后再向国家监管部门履行申报数据出境的安全评估义务。监管机构的安全评估不仅会审查双方合同中对境外接收方义务的约定,而且会更加全方位地审查数据出境活动对于国家以及行业的整体风险系数与其所采取的相应安全保障措施,包括数据处理者对境外接收方的选择是否妥当,是否采取有效的数据安全保护措施、数据安全与个人信息主体的权益是否得到保障以及是否为违反了其他法律法规的要求。具体而言,安全评估共包括以下七大方面:
-
数据出境的目的、范围、方式等的合法性、正当性、必要性;
-
境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规规定和强制性国家标准的要求;
-
出境数据的数量、范围、种类、敏感程度,出境中和出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险;
-
数据安全和个人信息权益是否能够得到充分有效保障;
-
数据处理者与境外接收方订立的合同中是否充分约定了数据安全保护责任义务;
-
遵守中国法律、行政法规、部门规章情况;
-
国家网信部门认为需要评估的其他事项。
针对以上评估项,笔者建议若企业的日常经营活动确有数据出境的需要,则应当根据法律法规要求,提前做好合规准备。例如:
-
制定内部数据管理制度和操作规程,对数据实行分类分级管理,根据法律法规要求划分允许出境的数据范围;
-
针对部分需要满足本地化存储要求的数据,如地图数据、人口健康信息、金融信息等,应存储在境内或在完成匿名化后方才能向境外提供;
-
针对未禁止出境的数据,建议制定数据出境安全操作规范指引,明确企业员工进行数据出境活动时应遵守的基本原则、操作流程、禁止出境的数据范围、与境外接收方的合同要求、安全自评估流程等等;
-
尽量选择所在国家当地数据保护法律较为完善的境外接收方,如欧盟、英国、日本、韩国、美国加州等;
-
在与境外接收方签署合同时,应当明确双方的权利义务,确保接收方采取了充分的数据安全保护措施,并提供了实现个人信息权益的有效途径等。
根据《2021年办法(征求意见稿)》第6、10与12条的规定,数据处理者申报数据出境安全评估时,应当提交的材料包括申报书、数据出境风险自评估报告、数据处理者与境外接收方拟订立的合同或者其他具有法律效力的文件以及安全评估工作需要的其他材料。国家网信部门会在收到申报材料之日起七个工作日内,确定是否受理评估并书面反馈受理结果。国家网信部门在确认受理后,会组织行业主管部门、国务院有关部门、省级网信部门、专门机构等共同进行安全评估。一般情况下,最终的评估结果会在六十日内以书面通知的形式反馈数据处理者。数据出境评估结果的有效期为2年。若有效期届满,数据处理者需要继续开展原数据出境活动的,应当在有效期届满六十日前重新申报评估。
但请企业特别注意的是,在收到评估结果后,若此前被评估的事项发生改变需要重新申报安全评估。如:
-
向境外提供数据的目的、方式、范围和类型发生变化;
-
境外接收方处理数据的用途、方式发生变化;
-
延长个人信息和重要数据境外保存期限;
-
境外接收方所在国家或者地区法律环境发生变化;
-
数据处理者或者境外接收方实际控制权发生变化;
-
数据处理者与境外接收方合同变更等可能影响出境数据安全的情况。
也因此,企业应当注意在数据出境活动时,严格遵守申报时的数据处理目的、方式等。同时,在与境外接收方的合同中明确接收方的如下义务:在处理数据的用途、方式发生变化或者接收方所在国家数据保护相关法律发生可能影响数据处理活动安全的变更时,应及时告知企业并确保采取达到境内法律要求同等水平的保护措施。
四、违反数据出境评估义务的法律责任
目前《2021年办法(征求意见稿)》尚未规定详细的违规责任与惩罚措施,根据《2021年办法(征求意见稿)》第十七条的规定,若违反《2021年办法(征求意见稿)》中的相应规定,则将按照《网络安全法》《数据安全法》《个人信息保护法》进行处理。同时,若数据处理者构成犯罪的,将依法追究刑事责任。以《个人信息保护法》第66条之规定为例,若企业违法处理个人信息,例如未在出境前进行安全评估,则可能面临最高五千万元以下或者上一年度营业额百分之五以下罚款、停业整顿、吊销相关业务许可或者吊销营业执照等严厉的处罚措施;同时,针对直接负责的主管人员和其他直接责任人员,也有可能被处以十万元以上一百万元以下罚款,并在一定期限内禁止担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
由此可见,在《数据安全法》《个人信息保护法》相继生效之际,企业应当更加重视数据出境合规问题,根据法律法规的要求及时履行相关义务,在日常运营中及时梳理数据出境场景并完成风险自评估,依法向网信部门申请进行数据出境安全评估,树立守法合规的企业形象,以避免违法数据出境活动带来的法律责任与负面影响。
注释:
[1] 《信息安全技术 数据出境安全评估指南(征求意见稿)》
https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20170830211755&norm_id=20170221113131&recode_id=23883 (最后访问时间:2021年10月31日)
[2] 《数据安全法》第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
[3] 《个人信息保护法》第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
[4] 《数据安全管理办法(征求意见稿)》第三十八条:
重要数据,是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。
《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》第九条:
危害程度符合下列条件之一的数据为重要数据:
(一)对政治、国土、军事、经济、文化、社会、科技、网络、生态、资源、核安全等构成威胁,影响海外利益、生物、太空、极地、深海、人工智能等重点领域国家安全相关数据的安全;
(二)对工业、电信行业发展、生产、运行和经济利益等造成影响;
(三)造成重大数据安全事件或生产安全事故,对公共利益或者个人、组织合法权益造成严重影响,社会负面影响大;
(四)引发的级联效应明显,影响范围涉及多个行业、区域或者行业内多个企业,或者影响持续时间长,对行业发展、技术进步和产业生态等造成严重影响;
(五)恢复数据或消除负面影响所需付出的代价大;
(六)经行业监管部门评估确定的其他重要数据。