隨著數字化成為我國社會發(fā)展中不可或缺的一部分�,數據已被我國政府視為保障國家主權�����、對國家安全和經濟發(fā)展具有重大影響的一項重要資產�����。監(jiān)管部門對數據跨境傳輸的合規(guī)情況亦越發(fā)關注。
【資料圖】
2022年7月�����,國家互聯(lián)網信息辦公室正式發(fā)布《數據出境安全評估辦法》(下稱《評估辦法》)��,并于同年9月施行�����,且要求不符合規(guī)定的數據出境活動于6個月內完成整改�����。截至今年3月����,《評估辦法》施行已達半年,企業(yè)落實政策要求����、進行合規(guī)整改的實際成效如何將迎來初考。
為了解當下境內企業(yè)數據跨境的現(xiàn)狀與困境�,探討如何建設更為安全高效的數據跨境傳輸渠道與監(jiān)管機制���,由環(huán)球律師事務所與南方財經全媒體集團合規(guī)科技研究院組成的聯(lián)合研究團隊結合問卷調查、深度訪談��、案例分析等多種研究方法���,對我國企業(yè)進行數據跨境傳輸和安全評估的實踐情況進行了調查����。
在梳理當前涉及數據跨境法律法規(guī)的基礎上����,研究團隊就調研結果中的典型問題進行了分析,并結合當前政府管理部門披露的公開數據與案例�����,最終撰寫完成《數據跨境現(xiàn)狀調查與分析報告——基礎問題與十個痛點的解決》(以下簡稱《報告》)��,希望為政策制定��、執(zhí)行和產業(yè)實踐提供參考���。
在《報告》的上篇���,研究團隊對我國數據跨境的基礎性問題進行了羅列,從判定數據處理者身份�、識別數據類型、申報安全評估的方法等方面對我國數據跨境合規(guī)的全流程周期進行全景掃描�,并突出法規(guī)要求中易被忽略的細節(jié),從而全面展現(xiàn)數據跨境主體需要具備的知識圖譜�。主體身份與數據種類識別
在梳理數據跨境合規(guī)要求前,首先需要明確對數據跨境行為的定義���,網信辦于2022年8月發(fā)布的《數據出境安全評估申報指南(第一版)》��,將數據跨境傳輸的場景歸納如下:數據處理者將在境內運營中收集和產生的數據傳輸����、存儲至境外����;數據處理者收集和產生的數據存儲在境內,境外的機構�、組織或者個人可以查詢、調取��、下載�、導出����;網信辦規(guī)定的其他數據出境行為�����。
在整理上述三種行為的基礎上�����,結合實際操作中數據的采集����、流通、存儲的流程要點����,《報告》將企業(yè)實踐中涉及的數據出境行為進一步劃分為三種類型,具體為:(1)數據處理者將在境內運營中收集和產生的數據通過境內服務器或“直接”傳輸�����、存儲至境外��;(2)數據處理者收集和產生的數據存儲在境內,境外的機構�����、組織或者個人可以訪問或者調用(公開信息����、網頁訪問除外)����;(3)境外產生收集的數據在境內存儲后再向境外傳輸。
此外�����,部分外實體或應用直接收集境內產生的數據等情況也屬于數據跨境傳輸場景���,此類特殊情況應加以區(qū)分和明確����。
值得注意的是���,《報告》特別指出�����,如果企業(yè)運營的產品僅向境外提供服務�,不涉及收集境內的數據,或境內的網絡運營者僅向境外機構�、組織或個人開展業(yè)務、提供商品或服務�����,且不涉及境內公民個人信息和重要數據的�����,均不視為境內運營�。
但涉及上述跨境傳輸場景的數據處理者,也并非所有都需要申報出境安全評估����,在《評估辦法》中列出了需要開展數據出境安全評估的情形,具體包括數據處理者向境外提供重要數據�;關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息;自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息�;國家網信部門規(guī)定的其他需要申報數據出境安全評估的情形。
精彩回顧
