政策框架初定,互联网企业数据出境如何合规?

零壹财经 零壹财经
2021-11-22 15:04 2169 0 0
中国作为“数据大国”,保证数据出境安全,不仅是提高数字经济全球竞争力的基础,更是守护国家安全的保障。

作者:赵越

来源:零壹财经(ID:Finance_01)

在数字经济时代,数据的跨境流动对全球经济增长具有较强的驱动作用。根据美国布鲁金斯学会测算,全球数据跨境流动对全球GDP增长的推动作用已经超过贸易和投资。中国作为“数据大国”,保证数据出境安全,不仅是提高数字经济全球竞争力的基础,更是守护国家安全的保障。

2021年10月29日,国家互联网信息办公室(以下简称“网信办”)发布了《数据出境安全评估办法(征求意见稿)》,明确了数据出境安全评估的适用标准、评估内容和评估流程等问题,使得企业开展数据出境的流程更加明确。

一、数据出境的初步监管框架:以重要数据和个人信息为核心

2016年11月7日,《网络安全法》正式颁布,首次明确了数据出境需进行安全评估。之后,网信办分别于2017年和2019年发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》和《个人信息出境安全评估办法(征求意见稿)》,但由于《数据安全法》和《个人信息保护法》尚未实施,以上两个评估办法缺乏法律基础,一直未出台正式文件。

随着《数据安全法》和《个人信息保护法》的正式颁布,网信办出台《数据出境安全评估办法(征求意见稿)》,将重要数据和个人信息出境的安全评估流程进行了具体规定。一旦《数据出境安全评估办法(征求意见稿)》正式颁布,我国关于数据出境监管框架将初步形成,即以《网络安全法》《数据安全法》《个人信息保护法》为法律基础,以《数据出境安全评估办法》为配套法规,以重要数据和个人信息为监管重点。

表:重要数据和个人信息的出境监管制度

资料来源:零壹智库根据公开资料整理

二、数据出境安全评估的适用范围

《个人信息和重要数据出境安全评估办法(征求意见稿)》对于“数据出境”给出了定义。所谓数据出境,是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人。定义明确了数据出境安全评估的适用主体(网络运营者)和数据类型(个人信息和重要数据)。

其中,网络运营者主要指关键信息基础设施的运营者和其他数据处理者。然而,从《网络安全法》到《数据安全法》和《个人信息保护法》,都只对关键信息基础设施的运营者做出了明确的个人数据或重要数据安全评估需求,而对于其他数据处理者的数据出境安全评估并未明确规定。

(一)明确主体:关键信息基础设施的运营者+其他数据处理者

《数据出境安全评估办法(征求意见稿)》则进一步完善了数据出境的适用范围,除关键信息基础设施的运营者外,其他数据处理者的类型也被明确,即数据处理者向境外提供数据,满足以下情形之一的,均应申请安全评估:

表:不同法规制度中对于数据出境安全评估的要求

资料来源:《数据出境安全评估办法(征求意见稿)》

这意味着对于其他数据处理者而言,只要出境数据中包含重要数据,就需要进行安全评估;在处理个人信息时,一旦满足“处理个人信息达到一百万人”或“累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息”这两项,就需要进行安全评估。

对于关键信息基础设施的定义,虽然《数据出境安全评估办法(征求意见稿)》没有明确指出,但根据《关键信息基础设施安全保护条例》,关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

(二)数据类型:重要数据的边界仍较为模糊

从需要进行安全评估的出境数据类型看,对于个人信息和敏感个人信息的定义、范围等,《网络安全法》《个人信息保护法》均进行了明确规定。

而对于重要数据,目前的边界比较模糊。《个人信息和重要数据出境安全评估办法(征求意见稿)》曾提到重要数据的定义,即与国家安全、经济发展,以及社会公共利益密切相关的数据,但并未明确重要数据的具体范围。《信息安全技术数据出境安全评估指南(征求意见稿)》的附录A《重要数据识别指南》,列举了27个领域的重要数据。在实际应用中,对于重要数据的判定,通常具有明显的行业特征。 

(三)数据出境安全评估的流程

《数据出境安全评估办法(征求意见稿)》明确了数据出境的安全评估流程。数据处理者在向境外提供数据前,应事先开展数据出境风险自评估,然后通过所在地网信部门向国家网信部门申请安全评估。

图:数据出境安全评估流程图

资料来源:锦天城律师事务

三、互联网企业:数据出境的重点监管对象 

随着互联网企业的迅速发展,其用户数量、业务生态等不断壮大,海量数据在互联网企业生成、汇聚、融合、应用,在释放数据价值的同时,也带来巨大的数据安全问题。

2021年7月28日,工信部网络安全局委托中国互联网协会组织召开重点互联网企业贯彻落实《数据安全法》座谈会,中国互联网协会、中国信息通信研究院及阿里、腾讯、美团、奇安信、小米、京东、微博、字节跳动、58同城、百度、拼多多、蚂蚁集团等12家企业参加。座谈会对数据安全相关工作进行了部署,其中要求互联网加强重要数据安全风险评估和出境管理。

在此之前,滴滴、BOSS直聘以及运满满和货车帮(满帮集团旗下两大品牌)等上市后曾被实行网络数据安全审查。上述企业分别为日常出行、大众求职及网络货运领域的头部平台。根据各自的招股书披露,滴滴年活跃用户数量4.93亿,年活跃司机数量1500万,日均单量4100万,年平台交易总额3410亿元;截至 2021 年 3 月 31 日,BOSS直聘共服务8580万认证求职者,共拥有1300万认证企业端用户,服务630万家认证企业;满帮集团2020年GTV(平台总交易额)达1738亿元人民币,占我国数字货运平台GTV总量的64%,订单量达7170万单,平台司机达到280万。

这些互联网企业不论是从主体认定,还是拥有的数据类型上看,均属于数据出境安全评估的范围。巨大的用户规模和巨额的交易量决定了其信息设施安全与国家安全、国计民生、公共利益日渐紧密,满足了关键信息基础设施运营者的认定条件。而且这些企业拥有的数据可以间接反应我国的区域人口分布、商业热力、人口流动、企业经营及货物流动等情况,这些数据与经济发展、社会公共利益等密切相关。 

近日,富途控股、老虎证券等跨境互联网券商因个人信息收集、出境等问题连遭“点名”。其实,除向境外提供个人信息外,富途控股和老虎证券的投资量和用户量等均体现了其与关键信息基础设施有密切关联。以富途为例,截止2021年第二季度,全球注册用户数突破1550万,有资产客户数突破100万,第二季度交易额达1694亿美元。此外,从数据类型看,用户在注册过程中提供的收入信息、资产信息等个人信息均属于《信息安全技术数据出境安全评估指南(征求意见稿)》列示的重要数据。

因此,这些跨境互联网券商不仅满足关键信息基础设施运营者的认定条件,并且其收集的用户重要数据已经构成重要数据,在数据出境时理应满足安全评估的监管要求。

小结

数据出境一直是数据合规领域的重要话题。随着《数据出境安全评估办法(征求意见稿)》的发布,数据出境的监管框架已经相对清晰。在全球数字经济深入发展的背景下,数据的开发利用成为打造数字经济新优势的“助推剂”,数据安全也上升到了国家主权的高度。对出境数据进行有效的安全评估,至关重要。

对满足条件的互联网企业而言,应在合理利用“数据红利”的基础上,尽快推进数据出境合规化建设,避免后期因数据问题影响而影响业务的推进发展。

注:文章为作者独立观点,不代表资产界立场。

题图来自 Pexels,基于 CC0 协议

本文由“零壹财经”投稿资产界,并经资产界编辑发布。版权归原作者所有,未经授权,请勿转载,谢谢!

原标题: 政策框架初定,互联网企业数据出境如何合规?

零壹财经

金融与科技知识服务平台,提供研究 + 咨询 + 品牌 + 培训 + 传播等服务,目前已经服务超过300家机构;更多精彩内容请登陆网站:01caijing.com。

120篇

文章

10万+

总阅读量

热门文章
推荐专栏
更多>>
  • 资产界
  • 蒋阳兵
    蒋阳兵

    蒋阳兵,资产界专栏作者,北京市盈科(深圳)律师事务所高级合伙人,盈科粤港澳大湾区企业破产与重组专业委员会副主任。中山大学法律硕士,具有独立董事资格,深圳市法学会破产法研究会理事,深圳市破产管理人协会个人破产委员会秘书长,深圳律师协会破产清算专业委员会委员,深圳律协遗产管理人入库律师,深圳市前海国际商事调解中心调解员,中山市国资委外部董事专家库成员。长期专注于商事法律风险防范、商事争议解决、企业破产与重组法律服务。联系电话:18566691717

  • 刘韬
    刘韬

    刘韬律师,现为河南乾元昭义律师事务所律师。华北水利水电大学法学学士,中国政法大学在职研究生,美国注册管理会计师(CMA)、基金从业资格、上市公司独立董事资格。对法律具有较深领悟与把握。专业领域:公司法、合同法、物权法、担保法、证券投资基金法、不良资产处置、私募基金管理人设立及登记备案法律业务、不良资产挂牌交易等。 刘韬律师自2010年至今,先后为河南新民生集团、中国工商银行河南省分行、平顶山银行郑州分行、河南投资集团有限公司、郑州高新产业投资基金有限公司、光大郑州国投新产业投资基金合伙企业(有限合伙)、光大徳尚投资管理(深圳)有限公司、河南中智国裕基金管理有限公司、 兰考县城市建设投资发展有限公司、郑东新区富生小额贷款公司等企事业单位提供法律服务,为郑州科慧科技、河南杰科新材料、河南雄峰科技新三板挂牌、定向发行股票、股权并购等提供法律服务。 为郑州信大智慧产业创新创业发展基金、郑州市科技发展投资基金、郑州泽赋北斗产业发展投资基金、河南农投华晶先进制造产业投资基金、河南高创正禾高新科技成果转化投资基金、河南省国控互联网产业创业投资基金设立提供法律服务。办理过担保公司、小额贷款公司、村镇银行、私募股权投资基金的设立、法律文书、交易结构设计,不良资产处置及诉讼等业务。 近两年主要从事私募基金管理人及私募基金业务、不良资产处置及诉讼,公司股份制改造、新三板挂牌及股票发行、股权并购项目法律尽职调查、法律评估及法律路径策划工作。 专业领域:企事业单位法律顾问、金融机构债权债务纠纷、并购法律业务、私募基金管理人设立登记及基金备案法律业务、新三板法律业务、民商事经济纠纷等。

  • 睿思网
    睿思网

    作为中国基础设施及不动产领域信息综合服务商,睿思坚持以专业视角洞察行业发展趋势及变革,打造最具公信力和影响力的垂直服务平台,输出有态度、有锐度、有价值的优质行业资讯。

  • 大队长金融
    大队长金融

    大队长金融,读懂金融监管。微信号: captain_financial

  • 破产圆桌汇
    破产圆桌汇

    勘破破产事,与君破僵局。

微信扫描二维码关注
资产界公众号

资产界公众号
每天4篇行业干货
100万企业主关注!
Miya一下,你就知道
产品经理会及时与您沟通