7月7日,国家互联网信息办公室发布了《数据出境安全评估办法》(以下简称《办法》)。国立网络信息处相关人士就《办法》相关问题回答了记者的提问。
问题:能简单介绍一下《办法》推出的背景吗?
答:近年来,随着数字经济的蓬勃发展,数据跨境活动越来越频繁,数据处理者对数据出境的需求迅速增加。同时,由于国家和地区法律制度、保护水平等方面的差异,数据出境安全风险也相应突出。数据跨境活动不仅影响个人信息权益,还影响国家安全和社会公共利益。世界各国和地区从本国、本地区实际出发,对跨境数据安全管理进行了制度探索。制定《办法》是实施《网络安全法》、《数据安全法》、《个人信息保护法》相关数据出境规定的重要措施,进一步规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益。
问题《办法》中所说的数据出国活动意味着什么?
答《办法》中提到的数据出站活动主要包括数据处理程序在海外存储收集和国内运营产生的数据传输。第二,数据处理者收集和生成的数据存储在国内,海外机构、组织或个人可以访问或调用。
问:什么情况下需要申报数据出口安全评估?
答《办法》明确了需要申报数据出境安全评估的4种方案。一个是数据处理者向海外提供重要数据。二是主要信息基础设施运营者和处理100多万个人信息的数据处理者向海外提供个人信息。第三,从去年1月1日开始,累计向海外提供10万人个人信息或1万人敏感个人信息的数据处理程序将向海外提供个人信息。第四,国家网络新娘规定的其他资料出境安全评价需要申报的情况。
问:数据出站安全评估的主要评估是什么?
答:数据出境安全评价重点评价数据出境活动对国家安全、公共利益、个人或组织合法权益可能造成的风险,主要包括数据出境的目的、范围、方式等合法性、正当性、必要性等。二是海外收件人所在国家或地区的数据安全政策规定和网络安全环境对出境数据安全的影响。海外收件人的数据保护水平是否符合中华人民共和国法律、行政法规规定和强制性国家标准。三、出国数据的规模、范围、种类、敏感性、出国和出国后存在篡改、破坏、泄露、丢失、转移或非法获取、非法利用等危险。第四,数据安全和个人信息权益能否得到充分有效的保障。第五,数据处理者和海外接收人制定的法律文件中是否充分约定了数据安全责任义务。六、遵守中国法律、行政法规、部门规章。七、国家网信部门认为需要评估的其他事项。
问:为了规范数据出境安全评估活动,《办法》规定了哪些具体程序?
答《办法》明确了数据出境的具体程序。一、前期评估,数据处理程序在向海外提供数据之前,首先要进行数据出境风险自我评估。二、申报评估,符合申报数据出境安全评估情况的,数据处理机构应当通过所在地省级网络通信公司向国家网络新娘申报数据出境安全评估。三、进行评估,国家网申部门将从收到申报资料之日起7个工作日内决定是否接受评估。从发出书面接受通知书之日起45个工作日内完成数据出境安全评估。如果情况复杂或需要补充、修改,您可以适当地延长,并通知数据处理者预计延长的时间。四、重新评估和出国结束、评估结果有效期到期或在有效期内出现本办法规定的重新评估情况时,数据处理程序应重新申报数据出国安全评估。通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求,在收到国家互联网通信部门的书面通知后,数据处理人员应停止数据出境活动。数据处理程序要继续数据出国活动,按照要求进行整理,整理完成后再申报评价。
问:在评估过程中,如何保障数据处理者的商业秘密等合法权益?
答《办法》规定,参与安全评估的有关机关和人员在履行职责时必须依法保密,不得泄露、非法提供给他人或非法使用已知的国家秘密、个人信息、个人信息、商业秘密、机密商业信息等。
问《办法》还规定了什么规定?
答:除上述评价内容、具体程序、保密要求等管理措施外,《办法》还明确国家互联网信息部门负责决定是否接受安全评价,并根据申报情况,根据国务院有关部门、省级互联网信息部门、专门机构等进行安全评价。省级网信部门负责接收数据出境安全评估申请资料,完成完整性检查。任何组织或个人如果发现数据处理程序违反该方法向海外提供数据,可以向省级以上网信部门举报。
问:数据处理程序什么时候申报数据出站安全评估?
答:数据处理程序应在数据出国活动发生前申报,并通过数据出国安全评估。实际上,数据处理人员在与海外收件人签订数据出境相关合同或其他具有法律效力的文件(以下统称法律文件)之前,必须申报数据出境安全评估。如果在签署法律文件后申报评估,为了防止评估失败造成的损失,建议在通过数据出境安全评估后在法律文件中说明该文件。
问题:企业申报数据出境安全评价的结果可能是什么样的?
a:第一,不允许申报。如果不属于安全评估范围,数据处理程序在收到国家网申部门不受理的书面通知后,可以通过法律规定的其他合法途径进行数据出境活动。二是通过安全性评价。数据处理人员收到通过评估的书面通知后,可以根据申报事项严格进行数据出国活动。第三,没有通过安全评估。如果数据处理程序未通过数据出站安全评估,则无法执行报告的数据出站活动。
问:如果对评价结果有异议,如何处理?
答:数据处理人员对评价结果有异议,可以在收到评价结果后15个工作日内向国家网络研究所申请重新审查,以得出结论。
果为最终结论。问:通过数据出境安全评估的结果有效期是多久?
答:通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算。有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。
问:违反《办法》如何追究法律责任?
答:《办法》明确数据处理者违反本办法规定的,依照《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规的规定处理;构成犯罪的,依法追究刑事责任。
问:对于个人信息向境外提供,安全评估与标准合同、个人信息保护认证之间的关系,三种方式如何衔接?
答:《办法》适用范围已经明确,对于适用安全评估的个人信息处理者的数据出境情形应当申报安全评估;《办法》适用范围外的个人信息处理者的数据出境情形,可以通过个人信息保护认证或者签订国家网信部门制定的标准合同来满足个人信息跨境提供条件,便利个人信息处理者依法开展数据出境活动。