7月7日,国家互联网信息办公室公布《数据出境安全评估办法》(以下简称《办法》),自今年9月1日起施行。国家网信办有关负责人表示,出台《办法》旨在落实网络安全法、数据安全法、个人信息保护法的规定,规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,切实以安全保发展、以发展促安全。
近年来,随着我国数字经济的蓬勃发展,数据跨境活动日益频繁,数据处理者的数据出境需求快速增长。同时,由于不同国家和地区法律制度、保护水平等的差异,数据出境安全风险也相应凸显。
为此,我国加快完善数据出境安全管理制度,自2016年起,陆续出台网络安全法、数据安全法、个人信息保护法等法律,基本构建了数据治理顶层法律制度。不过,专家指出,上述法律并未对数据出境评估规范进行细化规定,导致实践中对数据出境进行安全评估时缺乏具体实施规则。
中国信息通信研究院政策与经济研究所所长辛勇飞表示,《办法》的出台,对数据出境管理中最为重要的“安全评估”手段予以明确,实现了规则性立法落地,是完善数字治理顶层制度设计的重要配套性规章。
《办法》规定了应当申报数据出境安全评估的4种情形,包括数据处理者向境外提供重要数据、关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息以及国家网信部门规定的其他需要申报数据出境安全评估的情形。
“纵观关于数据安全的各类法律法规可以看出,关键信息基础设施数据等重要数据不仅最为敏感,数据也最为广泛,涵盖了国计民生的方方面面。此类数据一旦处理不当特别是在出境过程中被非法获取、非法利用,将给国家安全带来严重威胁。因此,《办法》明确和界定需要申报评估的数据范围是非常重要的,这对数据处理者自觉遵守法律法规要求,主动申报出境评估工作具有重要意义。”中国科学院科技战略咨询研究院系统分析与管理研究所副所长、研究员孙晓蕾说。
《办法》提出了数据出境安全评估的具体要求,规定数据处理者在申报数据出境安全评估前应当开展数据出境风险自评估并明确了重点评估事项。规定数据处理者在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,在数据出境安全评估有效期内发生影响数据出境安全的情形应当重新申报评估。
“《办法》坚持安全和发展并重,明确了数据出境安全评估的流程和要求,对规范促进数据依法有序流动具有十分重要的制度价值和实践意义,标志着我国数据治理法治实践走出关键一步。”辛勇飞说,《办法》通过法治途径提升产业预期,给予规范指引,有利于数据出境活动的依法有序进行,保障数据安全出境,推动形成数字经济外循环的重要模式和路径。
奇安信集团副总裁孔德亮则表示,《办法》明确了监管的要求和细则,企业对数据安全整体建设思路将更加清晰。明确监管细则后,企业急需补上短板,优先保障数据安全基础安全防护问题。在合规要求和企业意愿带动下,预计数据安全服务市场空间将是百亿元起。