作者:赵越
来源:零壹财经(ID:Finance_01)
在数字经济时代,数据的跨境流动对全球经济增长具有较强的驱动作用。根据美国布鲁金斯学会测算,全球数据跨境流动对全球GDP增长的推动作用已经超过贸易和投资。中国作为“数据大国”,保证数据出境安全,不仅是提高数字经济全球竞争力的基础,更是守护国家安全的保障。
2021年10月29日,国家互联网信息办公室(以下简称“网信办”)发布了《数据出境安全评估办法(征求意见稿)》,明确了数据出境安全评估的适用标准、评估内容和评估流程等问题,使得企业开展数据出境的流程更加明确。
一、数据出境的初步监管框架:以重要数据和个人信息为核心
2016年11月7日,《网络安全法》正式颁布,首次明确了数据出境需进行安全评估。之后,网信办分别于2017年和2019年发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》和《个人信息出境安全评估办法(征求意见稿)》,但由于《数据安全法》和《个人信息保护法》尚未实施,以上两个评估办法缺乏法律基础,一直未出台正式文件。
随着《数据安全法》和《个人信息保护法》的正式颁布,网信办出台《数据出境安全评估办法(征求意见稿)》,将重要数据和个人信息出境的安全评估流程进行了具体规定。一旦《数据出境安全评估办法(征求意见稿)》正式颁布,我国关于数据出境监管框架将初步形成,即以《网络安全法》《数据安全法》《个人信息保护法》为法律基础,以《数据出境安全评估办法》为配套法规,以重要数据和个人信息为监管重点。
表:重要数据和个人信息的出境监管制度
资料来源:零壹智库根据公开资料整理
二、数据出境安全评估的适用范围
《个人信息和重要数据出境安全评估办法(征求意见稿)》对于“数据出境”给出了定义。所谓数据出境,是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人。定义明确了数据出境安全评估的适用主体(网络运营者)和数据类型(个人信息和重要数据)。
其中,网络运营者主要指关键信息基础设施的运营者和其他数据处理者。然而,从《网络安全法》到《数据安全法》和《个人信息保护法》,都只对关键信息基础设施的运营者做出了明确的个人数据或重要数据安全评估需求,而对于其他数据处理者的数据出境安全评估并未明确规定。
(一)明确主体:关键信息基础设施的运营者+其他数据处理者
《数据出境安全评估办法(征求意见稿)》则进一步完善了数据出境的适用范围,除关键信息基础设施的运营者外,其他数据处理者的类型也被明确,即数据处理者向境外提供数据,满足以下情形之一的,均应申请安全评估:
表:不同法规制度中对于数据出境安全评估的要求
资料来源:《数据出境安全评估办法(征求意见稿)》
这意味着对于其他数据处理者而言,只要出境数据中包含重要数据,就需要进行安全评估;在处理个人信息时,一旦满足“处理个人信息达到一百万人”或“累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息”这两项,就需要进行安全评估。
对于关键信息基础设施的定义,虽然《数据出境安全评估办法(征求意见稿)》没有明确指出,但根据《关键信息基础设施安全保护条例》,关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
(二)数据类型:重要数据的边界仍较为模糊
从需要进行安全评估的出境数据类型看,对于个人信息和敏感个人信息的定义、范围等,《网络安全法》《个人信息保护法》均进行了明确规定。
而对于重要数据,目前的边界比较模糊。《个人信息和重要数据出境安全评估办法(征求意见稿)》曾提到重要数据的定义,即与国家安全、经济发展,以及社会公共利益密切相关的数据,但并未明确重要数据的具体范围。《信息安全技术数据出境安全评估指南(征求意见稿)》的附录A《重要数据识别指南》,列举了27个领域的重要数据。在实际应用中,对于重要数据的判定,通常具有明显的行业特征。
(三)数据出境安全评估的流程
《数据出境安全评估办法(征求意见稿)》明确了数据出境的安全评估流程。数据处理者在向境外提供数据前,应事先开展数据出境风险自评估,然后通过所在地网信部门向国家网信部门申请安全评估。
图:数据出境安全评估流程图
资料来源:锦天城律师事务
三、互联网企业:数据出境的重点监管对象
随着互联网企业的迅速发展,其用户数量、业务生态等不断壮大,海量数据在互联网企业生成、汇聚、融合、应用,在释放数据价值的同时,也带来巨大的数据安全问题。
2021年7月28日,工信部网络安全局委托中国互联网协会组织召开重点互联网企业贯彻落实《数据安全法》座谈会,中国互联网协会、中国信息通信研究院及阿里、腾讯、美团、奇安信、小米、京东、微博、字节跳动、58同城、百度、拼多多、蚂蚁集团等12家企业参加。座谈会对数据安全相关工作进行了部署,其中要求互联网加强重要数据安全风险评估和出境管理。
在此之前,滴滴、BOSS直聘以及运满满和货车帮(满帮集团旗下两大品牌)等上市后曾被实行网络数据安全审查。上述企业分别为日常出行、大众求职及网络货运领域的头部平台。根据各自的招股书披露,滴滴年活跃用户数量4.93亿,年活跃司机数量1500万,日均单量4100万,年平台交易总额3410亿元;截至 2021 年 3 月 31 日,BOSS直聘共服务8580万认证求职者,共拥有1300万认证企业端用户,服务630万家认证企业;满帮集团2020年GTV(平台总交易额)达1738亿元人民币,占我国数字货运平台GTV总量的64%,订单量达7170万单,平台司机达到280万。
这些互联网企业不论是从主体认定,还是拥有的数据类型上看,均属于数据出境安全评估的范围。巨大的用户规模和巨额的交易量决定了其信息设施安全与国家安全、国计民生、公共利益日渐紧密,满足了关键信息基础设施运营者的认定条件。而且这些企业拥有的数据可以间接反应我国的区域人口分布、商业热力、人口流动、企业经营及货物流动等情况,这些数据与经济发展、社会公共利益等密切相关。
近日,富途控股、老虎证券等跨境互联网券商因个人信息收集、出境等问题连遭“点名”。其实,除向境外提供个人信息外,富途控股和老虎证券的投资量和用户量等均体现了其与关键信息基础设施有密切关联。以富途为例,截止2021年第二季度,全球注册用户数突破1550万,有资产客户数突破100万,第二季度交易额达1694亿美元。此外,从数据类型看,用户在注册过程中提供的收入信息、资产信息等个人信息均属于《信息安全技术数据出境安全评估指南(征求意见稿)》列示的重要数据。
因此,这些跨境互联网券商不仅满足关键信息基础设施运营者的认定条件,并且其收集的用户重要数据已经构成重要数据,在数据出境时理应满足安全评估的监管要求。
小结
数据出境一直是数据合规领域的重要话题。随着《数据出境安全评估办法(征求意见稿)》的发布,数据出境的监管框架已经相对清晰。在全球数字经济深入发展的背景下,数据的开发利用成为打造数字经济新优势的“助推剂”,数据安全也上升到了国家主权的高度。对出境数据进行有效的安全评估,至关重要。
对满足条件的互联网企业而言,应在合理利用“数据红利”的基础上,尽快推进数据出境合规化建设,避免后期因数据问题影响而影响业务的推进发展。
注:文章为作者独立观点,不代表资产界立场。
题图来自 Pexels,基于 CC0 协议
本文由“零壹财经”投稿资产界,并经资产界编辑发布。版权归原作者所有,未经授权,请勿转载,谢谢!