个人信息和重要数据出境安全评估办法.docx

个人信息和重要数据出境安全评估办法 解读2019-05-06 11:20来源：计算机与网络安全460500587第三十七条规定，“关键信息基础设施的运营者在中华人民共和国境内运营中收 集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提 供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。” 国家高度重视数据出境引发的流动性安全问题，已经将数据出境安全作为一项 核心内容，纳入国家网络安全整体框架中予以考虑，并通过立法的形式为数据 出境管理奠定了坚实的法律基础。2017年4月11日，国家互联网信息办公室颁布了个人信息和重要数据出境 安全评估办法（征求意见稿）（以下简称办法）。考虑到中国立法程序 的基本规律，意见稿的结构和大部分内容将会在正式法案中得以保留。办 法是与法律条文相配套的数据出境安全评估办法，既是对的一种延伸，又对 进行了相应的补充。办法明确规定，网络运营者在中华人民共和国境内运营中收集和产生的和 重要数据，应当在境内存储。因业务需要，确需向境外提供的，应当进行安全 评估。也就是说，如果办法实施，交通导航、电子商务、等各类涉及数据收集 与跨境传输的企业，都将受到监管。那么，什么是个人信息？什么是重要数据？怎么理解数据出境？数据出境，是指网络运营者将在中华人民共和国境内运营中收集和产生的个人 信息和重要数据，提供给位于境外的机构、组织、个人。个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自 然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件 号码、个人生物识别信息、住址、电话号码等。重要数据，是指与国家安全、经济发展，以及社会公共利益密切相关的数据， 具体范围参照国家有关标准和重要数据识别指南。重要数据是从影响因子的权重来区分数据，而不是从用途和归属的角度去分类 的。重要数据不仅仅包括业务数据、运营数据、服务数据、个人数据、企业数 据、国家数据等，哪些具体数据属于重要数据，国家主管部门后继会出台相关 指导性文件。“关键信息基础设施”的判断网安法第三十七条中规定的数据跨境传输的相关限制所适用的主体为“关键信息基础设施的运营 者”，但是对于到底谁是“关键信息基础设施的运营者”，网安法及评估办法中均未给出任何明确 的定义、范围或解释。但是，值得注意的是，在2016年底发布并实施的国家网络空间安全战略（以下简称安全战略） 中：“国家关键信息基础设施是指关系国家安全、国计民生，一旦数据泄露、遭到破坏或者丧失功能可能 严重危害国家安全、公共利益的信息设施，包括但不限于提供公共通信、广播电视传输等服务的基础信息 网络，能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家 机关的重要信息系统，重要互联网应用系统等1。”虽然网安法并未直接指向安全战略，但是鉴 于其监管指向的相似性，我们倾向于认为有关部门在实践操作中也有可能参照安全战略中“关键信 息基础设施”的相关定义。在判断特定基础设施/系统是否应被归类为“关键信息基础设施"时' 我们建议通过对特定基础设施/系统 进行一个分三个步骤的评估来得出倾向性的意见。若特定的基础设施/系统符合每一个步骤设置的条件， 那么将会有比较大的可能性被视为“关键信息基础设施”，并且使用和运营该等基础设施/系统的企.业也会 同样有可能被认为是“关键信息基础设施的运营者二首先, 分析、识别特定基础设施/系统涉及的行业及业务是否落入关键信息基础设施涉及的关键行业及业务。基于安全战略中的有关定义，公共通信、广播电视、能源、金融、交通、教育、科研、水 利、工业制造、医疗卫生、社会保障、公用事业等行业被视为关键信息基础设施涉及的关键行业及业务。 值得我们注意的是，“工业制造”这一行业属于关键信息基础设施涉及的关键行业，这意味着生产型企业 也有可能会被认为从事、参与关键行业及业务。其次， 将根据上一步骤中所确定的关键业务，梳理出支撑关键业务运行或与关键业务相关的信息系统或工业控制系统。对于一般生产型企业来说，除普通信息化办公系统外，若其通过使用工业集控系统来进 行工业生产、制造与加工，则该工业集控系统也会有比较大的可能性被视为关键信息基础设施。最后， 具体评估一旦该等信息或控制系统发生安全事故、遭到破坏，是否可能导致严重的后果，比如造成危机国家安全及公共利益的信息泄露、干扰国民经济正常运行，严重的人员伤亡或是巨大的财产损 失。如果任何恶意第三方通过远程控制该工业控制系统或信息系统，仅能使得该等系统停机、故障等，而 无法造成前述或类似严重后果，则该等系统被认为是关键信息基础设施，且有关企业被视作关键信息基础 设施运营者的可能性不大。“个人信息”与“重要数据”的界定根据网安法，“个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个 人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、 电话号码等2。仅通过上述定义，难以准确判断公司收集的员工信息是否属于个人信息，但值得关注的 是，网安法中所规定的需要在境内存储的个人信息为“境内运营”中收集和产生的个人信息，而员工 信息并不必然是在公司业务运营过程中所收集的个人信息；此外，网安法主要针对关键信息基础设施 运营者收集的个人信息，对该等信息，如需转移出境，需要获得相应的授权进行必要的安全评估。根据评估办法，“重要数据”是指与国家安全、经济发展，以及社会公共利益密切相关的数据，具体范 围参照国家有关标准和重要数据识别指南3。目前，网信办暂未出台前款提及的有关标准和重要数据识 别指南，对于“重要数据”范围的界定还不够清晰，我们也将持续关注此方面的法规动态。安全评估若有关企业确实落入“关键信息基础设施的运营者”的范围内，并且拟将其在境内运营中收集和产生的 “个人信息”与“重要数据”传输至境外，则该企业需要针对其数据出境报请行业主管或监管部门组织安全评估。若有关企业仅被认为是“网络运营者”而非“关键信息基础设施的运营者”，则根据评估办法，在符合 相关条件的情况下（如出境数据不含有50万人以上的个人信息、数据量不超过1000GB,因数据传输更多 是传输原始数据，普通企业达到该等数据传输规模的可能性不大）4,其仅需要自行组织对数据出境进 行安全评估，实质性阻碍或限制企业数据的跨境传输的可能性不大。二、立法目的办法第一条就表明立法目的，为保障和重要数据安全，维护网络空间主权 和、社会公共利益，保护公民、法人和其他组织的合法利益，根据中华人民 共和国国家安全法等法律法规，制定本办法。目前，国际上已形成了成熟、系统的跨境数据流动管理制度框架，如欧盟与美 国达成的隐私盾协议（EU-U.S.Privacy Shield） 世界经合组织的隐私保护和 个人数据跨境流通的指南、亚太经合组织的跨境隐私规则等，有效地保 障了个人信息和一些重要数据的跨境安全。我国作为全球数据资源大国，也是数据资源流出大国，迫切需要建立符合自身 国情的数据出境监管办法，在确保安全的情况下享受数据红利带来的高效发 展。同时，随着国际经济贸易的不断加深，我国优秀的信息服务企业（如跨境 金融、跨境电商等）及境外大型跨国公司的数据出境活动日益频繁，其中可能 存在涉及我国公民个人隐私甚至涉及我国国家安全、经济发展和社会公共利益 相关的重要数据，国家迫切需要对这些企业数据出境行为进行规范和指引。三、哪些出境数据需要评估个人信息和重要数据出境安全评估办法（征求意见稿）第九条明确规定， 出境数据存在以下情况之一的，网络运营者应报请行业主管或监管部门组织安 全评估：（-）含有或累计含有50万人以上的个人信息；（二）数据量超过1000 GB；（三）包含核设施、化学生物、国防军工、人口健康等领域数据，大型工程活 动、海洋环境以及敏感地理信息数据等；（四）包含关键信息基础设施的系统、安全防护等信息；（五）关键信息基础设施运营者向境外提供个人信息和重要数据；（六）其他可能影响国家安全和社会公共利益，行业主管或监管部门认为应该 评估。国家网信部门统筹协调数据出境安全评估工作，指导行业主管或监管部门组织 开展数据出境安全评估。行业主管或监管部门负责本行业数据出境安全评估工 作，定期组织开展本行业数据出境安全检查。行业主管或监管部门不明确的， 由国家网信部门组织评估。数据出境安全评估应重点评估以下内容：（一）数据出境的必要性；（二）涉及情况，包括的数量、范围、类型、敏感程度，以及主体是否同意其 出境等；（三）涉及重要数据情况，包括重要数据的数量、范围、类型及其敏感程度 等；（四）数据接收方的安全保护措施、能力和水平，以及所在国家和地区的网络 安全环境等；（五）数据出境及再转移后被泄露、毁损、篡改、滥用等风险；（六）数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利 益带来的风险；（七）其他需要评估的重要事项。四、哪些数据禁止出境个人信息和重要数据出境安全评估办法（征求意见稿）第十一条明确规 定，存在以下情况之一的，数据不得出境：（一）出境未经主体同意，或可能侵害个人利益；（二）数据出境给国家政治、经济、科技、国防等安全带来风险，可能影响国 家安全、损害社会公共利益；（三）其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境 的。五、评估频率和责任主体1、评估频率 网络运营者应根据业务发展和网络运营情况，每年对数据出境至少进行一次安 全评估，及时将评估情况报行业主管或监管部门。当数据接收方出现变更，数 据出境目的、范围、数量、类型等发生较大变化，数据接收方或出境数据发生 重大安全事件时，应及时重新进行安全评估。年度评估为强制性评估义务，其时间的起算应从上次评估的日期计算。对于网 络运营者，需要把握年度评估的时间和流程，以免对正常运营造成不利影响。 而对于重新评估事项，新规并未明确何为“较大变化”情形，会对企业评估造成 模糊和困扰，因此只能等待进一步的细则或规定出台。2、评估机构网信办统筹协调数据出境安全评估工作，指导行业主管或监管部门组织开展数 据出境安全评估。评估办法第十一条第三款也提及了网信办、公安部门、 安全部门等有关部门有权认定数据是否可以出境。可以理解为，将来网信办将 协调各领域监管部门对各自领域内的数据出境监管工作做进一步的分工和细 化，包括中国人民银行、银监会、证监会、保监会和国家工商总局等机构均有 可能出台相关领域数据出境的配套细则。行业主管或监管部门组织的安全评估，应当于60个工作日内完成，及时向网 络运营者反馈安全评估情况，并报国家网信部门。3、自我评估征求意见稿指出，网络运营者在中华人民共和国境内运营中收集和产生的和重 要数据，应当在境内存储。因业务需要，确需向境外提供的，网络运营者应在 数据出境前，自行组织对数据出境进行安全评估，并对评估结果负责。数据出 境安全评估应遵循公正、客观、有效的原则，保障和重要数据安全，促进网络 信息依法有序自由流动。出境，应向主体说明数据出境的目的、范围、内容、 接收方及接收方所在的国家或地区，并经其同意。未成年人出境须经其监护人 同意。六、网络运营者需要关注什么1、境内数据存储分析存储标准采用属地原则，仅针对境内运营中收集和产生的数据。所有的网络运 营者，而非仅仅关键信息基础设施，都是境内存储义务所涵盖的主体。按照网络安全法的规定，网络运营者是指网络的所有者、管理者和网络服务提 供者。因此，所有涉及网络运营的企业均有新规设定的合规义务。并不是所有信息都必须在境内存储。的定义与所规定的一致，指的是以电子或 者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信 息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。根据的规定，经过处理无法识别特定个人且不能复原 的信息，不属于之列。重要数据在此次立法中仅作概括式的表述，确定了重要数据是与国家安全、经 济发展以及社会公共利益密切相关的数据，但是其具体范围需参照国家有关标 准和重要数据识别指南。可以看出，重要数据的轮廓已日渐清晰，趋向于国计 民生、公共利益相关的重大数据资料。但网络运营者仍需要等待指南的出现， 才能进一步明确其具体的合规义务。2、出台数据出境管理办法数据出境是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信 息和重要数据，提供给位于境外的机构、组织、个人。可以看出，“境外”是物 理边界，而“提供”的含义较广，不仅包括境内向境外以任何方式提供，也指境 外通过相关方式读取、获取规制数据。细化数据出境的数据内容，并开展自评估。根据新规的规定，安全评估中必须 论述规制数据出境的必要性。如基于公司管理的要求、上市公司披露和申报的 要求、开展正当业务的要求等，都可以被视为具有必要性。出台管理规范。评估不仅包含的数量、范围、类型、敏感程度，还包括主体是 否同意其出境等，如书面同意或者任何能够证明其作出同意之意思表示的合法 证据。3、密切配合监督管理机构的工作新规设定的评估机制是以自我评估为主。在数据出境之前，网络运营者须对自 己的评估结果负责。对于缺乏独立自我评估能力的网络运营者，建议聘请专 业、有经验的第三方服务机构，按照法规要求对企业进行相应评估。构成新规第九条规定的特别评估数据的，需要向行业主管和监管部门申请安全 评估。如主管或监管部门不明确的，应当向网信办申请评估。值得注意的是， 法定安全评估的时限为60个工作日，考虑到主管或监管部门一般为政府机构, 如商务部、银监会、保监会等，网络运营者在数据合规机制设定时需考虑特别 规制数据出境前法定机构评估的时间跨度和难度。4、法律责任新规并未就法律责任进行具体规定，但规定了定期安全检查和举报制度。一旦 主管机关查实网络运营者未按照规定履行评估义务，违规者将按照网络安全 法及有关法律的规定承担行政法律责任和民事责任。刑法修正案（九）专章列明了两项相关罪名：“拒不履行信息管理义务罪” 和“出售、非法提供公民罪:特别是“拒不履行信息管理义务罪”，只要网络信 息服务提供者不履行相关安全管理义务，经监管部门责令措施拒不改正，具有 法定情形的，即构成本罪。