2022年9月1日,國家互聯(lián)網(wǎng)信息辦公室發(fā)布的《數(shù)據(jù)出境安全評估辦法》(以下簡稱《評估辦法》)正式實施。《評估辦法》旨在規(guī)范數(shù)據(jù)出境活動,保護個人信息權益,促進數(shù)據(jù)跨境安全、自由流動。本文主要分析《評估辦法》的價值特點、《評估辦法》主要內(nèi)容及其對促進數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展的思考。
一《評估辦法》價值特點分析
《評估辦法》作為部門規(guī)章,其法規(guī)價值在于落實《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》等上位法構建的數(shù)據(jù)出境安全評估制度,其價值特點可歸納為以下三方面:
一、推進制度閉環(huán)?!毒W(wǎng)絡安全法》(第37條)、《數(shù)據(jù)安全法》(第31條)、《個人信息保護法》(第40條)對于重要數(shù)據(jù)和個人信息的出境安全評估做出了制度授權并預留了法規(guī)細化空間?!对u估辦法》對于數(shù)據(jù)出境安全評估的內(nèi)容和工作機制等做出具體規(guī)定,是對其上位法相關制度框架的細化發(fā)展,有效推進了數(shù)據(jù)出境安全評估制度的閉環(huán)。
二、實現(xiàn)規(guī)則劃一。此前《數(shù)據(jù)安全法》在規(guī)定“重要數(shù)據(jù)出境安全評估”時,將“關鍵基礎設施重要數(shù)據(jù)”和其他重要數(shù)據(jù)進行區(qū)分,即:關鍵信息基礎設施運營者的重要數(shù)據(jù)出境安全管理,適用《網(wǎng)絡安全法》,其他數(shù)據(jù)處理者的重要數(shù)據(jù)出境安全管理,由國家網(wǎng)信部門會同國務院有關部門制定重要數(shù)據(jù)的出境安全管理辦法?!对u估辦法》的頒布,在重要數(shù)據(jù)主體方面不再突出強調(diào)關鍵信息基礎設施運營者和其他重要數(shù)據(jù)運營主體的區(qū)分,并將“重要數(shù)據(jù)出境的管理辦法”進一步明確為“數(shù)據(jù)出境安全評估辦法”,有利于推進規(guī)則合一并提高立法效率。
三、明確范圍界定。國家互聯(lián)網(wǎng)辦公室對數(shù)據(jù)出境安全評估相關管理辦法進行過三次公開征求意見,分別是:2017版《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》、2019版《個人信息出境安全評估辦法(征求意見稿)》及2021版《數(shù)據(jù)出境安全評估辦法(征求意見稿)》。不難看出,此次《評估辦法》的頒布,將個人信息、重要信息等統(tǒng)一納入數(shù)據(jù)出境評估的范疇,進一步統(tǒng)一和明確了需評估信息的范圍,有助于推進數(shù)據(jù)出境評估工作的統(tǒng)一性。
二《評估辦法》主要內(nèi)容梳理
《評估辦法》明確了數(shù)據(jù)出境安全評估的監(jiān)管主體、評估對象和實施流程等,具體內(nèi)容分析如下。
01 監(jiān)管主體
《評估辦法》根據(jù)不同評估階段對有關主體提出明確要求。在評估申報階段,由省級網(wǎng)信部門負責申報材料的完備性檢查,申報材料不齊全應當退回并告知數(shù)據(jù)處理者需要補充的材料;在評估受理階段,由國家網(wǎng)信部門在7個工作日內(nèi)確認是否受理安全評估;在評估實施階段,由國家網(wǎng)信部門組織國務院有關部門、省級網(wǎng)信部門、專門機構等進行安全評估。
與2021版《征求意見稿》相比,《評估辦法》刪除了行業(yè)主管部門,一是避免行業(yè)主管部門和國務院有關部門語義重復;二是確保涉及重要數(shù)據(jù)出境的情形仍由國家網(wǎng)信部門主導評定。
02 評估對象
從數(shù)據(jù)處理對象來說,評估對象分為重要數(shù)據(jù)處理者、個人信息處理者和關鍵信息基礎設施運營者三類;從數(shù)據(jù)處理內(nèi)容來說,評估對象可分為提供重要數(shù)據(jù)和個人信息兩大類,其中個人信息提供者又可細分為關鍵信息基礎設施運營者、處理100萬人以上個人信息處理者、自上年1月1日起累計向境外提供10萬人個人信息處理者和累計向境外提供1萬人敏感個人信息處理者四種類型。
對比2021版《征求意見稿》,《評估辦法》一方面簡化了數(shù)據(jù)處理主體,刪除單列的關鍵信息基礎設施運營者處理數(shù)據(jù)活動;另一方面細化了評估適用對象,明確了向境外提供數(shù)據(jù)的時間節(jié)點。
03 實施流程
《評估辦法》對申報數(shù)據(jù)出境安全評估過程做出詳細規(guī)定,通過評估需經(jīng)過“自評估+安全評估+重新評估”等一系列環(huán)節(jié),具體流程如下圖所示。
圖 1 數(shù)據(jù)出境安全評估流程圖
與2021版《征求意見稿》相比,《評估辦法》主要完善了以下三方面流程:一是明確省級網(wǎng)信部門的完備性查驗責任,規(guī)定省級網(wǎng)信部門在5個工作日內(nèi)完成查驗,并有義務告知數(shù)據(jù)處理者需補充的材料;二是增加數(shù)據(jù)處理者申請復評流程,數(shù)據(jù)處理者可在收到評估結果15個工作日內(nèi)申請復評,復評結果為最終結論;三是設定數(shù)據(jù)出境評估活動整改期限,不符合辦法規(guī)定的數(shù)據(jù)處理者應當于2023年2月28日前完成整改。
三 《評估辦法》促進產(chǎn)業(yè)發(fā)展思考
《評估辦法》在強化數(shù)據(jù)出境安全管理的同時,對于促進數(shù)據(jù)安全產(chǎn)業(yè)的發(fā)展同樣具有很強的導向作用。主要體現(xiàn)在其能夠帶動和引導以下兩類需求發(fā)展。
一、促進數(shù)據(jù)出境安全評估服務。《評估辦法》規(guī)定了數(shù)據(jù)處理者“應當開展數(shù)據(jù)出境風險自評估”的義務,這對于網(wǎng)絡安全行業(yè)而言,無疑會推動數(shù)據(jù)出境評估相關服務的發(fā)展。一方面,促進面向數(shù)據(jù)處理者的專業(yè)化數(shù)據(jù)出境安全服務,如數(shù)據(jù)出境自評估咨詢、出境數(shù)據(jù)資產(chǎn)審計、數(shù)據(jù)安全風險評估、數(shù)據(jù)脫敏、以及數(shù)據(jù)出境安全評估一體化解決方案等。另一方面,促進面向數(shù)據(jù)評估專業(yè)機構的支撐服務發(fā)展,如出境重要數(shù)據(jù)識別、數(shù)據(jù)出境安全風險甄別、數(shù)據(jù)出境安全事件處置等專用工具研發(fā)等。此外,還能促進數(shù)據(jù)安全出境相關培訓服務的發(fā)展,如數(shù)據(jù)安全相關資質(zhì)和技能培訓、數(shù)據(jù)風險分析與應急培訓等。
二、促進數(shù)據(jù)出境安全監(jiān)管支撐服務?!对u估辦法》規(guī)定了國家相關職能部門所應承擔的監(jiān)管職責,這對于相關的監(jiān)管支撐服務也具有積極促進作用。主要包括:數(shù)據(jù)出境風險監(jiān)測、敏感數(shù)據(jù)威脅情報支持、數(shù)據(jù)出境安全協(xié)同管理平臺等。
綜上可見,《評估辦法》是我國數(shù)據(jù)安全制度體系的重要組成部分,也是全面提升我國數(shù)據(jù)安全保障能力的重要基礎一環(huán),并且隨著數(shù)據(jù)出境安全評估制度的逐步落實推進,數(shù)據(jù)安全產(chǎn)業(yè)也必將伴隨得到深入促進發(fā)展?!对u估辦法》的發(fā)布,不僅是我國數(shù)據(jù)安全法治建設的里程碑,更是見證和保護數(shù)據(jù)安全產(chǎn)業(yè)高質(zhì)量發(fā)展的新征程。
更多信息可以來這里獲取==>>電子技術應用-AET<<