《資料出境安全評估辦法》正式實施,將會給資料安全產業帶來哪些影響?

綠盟科技發表於2022-09-05

2022年9月1日,國家網際網路資訊辦公室釋出的《資料出境安全評估辦法》(以下簡稱《評估辦法》)正式實施。《評估辦法》旨在規範資料出境活動,保護個人資訊權益,促進資料跨境安全、自由流動。本文主要分析《評估辦法》的價值特點、《評估辦法》主要內容及其對促進資料安全產業發展的思考。


一、《評估辦法》價值特點分析

《評估辦法》作為部門規章,其法規價值在於落實《網路安全法》《資料安全法》《個人資訊保護法》等上位法構建的資料出境安全評估制度,其價值特點可歸納為以下三方面:

一是推進位制度閉環。《網路安全法》(第37條)、《資料安全法》(第31條)、《個人資訊保護法》(第40條)對於重要資料和個人資訊的出境安全評估做出了制度授權並預留了法規細化空間。《評估辦法》對於資料出境安全評估的內容和工作機制等做出具體規定,是對其上位法相關制度框架的細化發展,有效推進了資料出境安全評估制度的閉環。

二是實現規則劃一。此前《資料安全法》在規定“重要資料出境安全評估”時,將“關鍵基礎設施重要資料”和其他重要資料進行區分,即:關鍵資訊基礎設施運營者的重要資料出境安全管理,適用《網路安全法》,其他資料處理者的重要資料出境安全管理,由國家網信部門會同國務院有關部門制定重要資料的出境安全管理辦法。《評估辦法》的頒佈,在重要資料主體方面不再突出強調關鍵資訊基礎設施運營者和其他重要資料運營主體的區分,並將“重要資料出境的管理辦法”進一步明確為“資料出境安全評估辦法”,有利於推進規則合一併提高立法效率。

三是明確範圍界定。國家網際網路辦公室對資料出境安全評估相關管理辦法進行過三次公開徵求意見,分別是:2017版《個人資訊和重要資料出境安全評估辦法(徵求意見稿)》、2019版《個人資訊出境安全評估辦法(徵求意見稿)》及2021版《資料出境安全評估辦法(徵求意見稿)》。不難看出,此次《評估辦法》的頒佈,將個人資訊、重要資訊等統一納入資料出境評估的範疇,進一步統一和明確了需評估資訊的範圍,有助於推進資料出境評估工作的統一性。


二、《評估辦法》主要內容梳理

《評估辦法》明確了資料出境安全評估的監管主體、評估物件和實施流程等,具體內容分析如下。


01 監管主體

《評估辦法》根據不同評估階段對有關主體提出明確要求。在評估申報階段,由省級網信部門負責申報材料的完備性檢查,申報材料不齊全應當退回並告知資料處理者需要補充的材料;在評估受理階段,由國家網信部門在7個工作日內確認是否受理安全評估;在評估實施階段,由國家網信部門組織國務院有關部門、省級網信部門、專門機構等進行安全評估。

與2021版《徵求意見稿》相比,《評估辦法》刪除了行業主管部門,一是避免行業主管部門和國務院有關部門語義重複;二是確保涉及重要資料出境的情形仍由國家網信部門主導評定。


02 評估物件

從資料處理物件來說,評估物件分為重要資料處理者、個人資訊處理者和關鍵資訊基礎設施運營者三類;從資料處理內容來說,評估物件可分為提供重要資料和個人資訊兩大類,其中個人資訊提供者又可細分為關鍵資訊基礎設施運營者、處理100萬人以上個人資訊處理者、自上年1月1日起累計向境外提供10萬人個人資訊處理者和累計向境外提供1萬人敏感個人資訊處理者四種型別。

對比2021版《徵求意見稿》,《評估辦法》一方面簡化了資料處理主體,刪除單列的關鍵資訊基礎設施運營者處理資料活動;另一方面細化了評估適用物件,明確了向境外提供資料的時間節點。


03 實施流程

《評估辦法》對申報資料出境安全評估過程做出詳細規定,透過評估需經過“自評估+安全評估+重新評估”等一系列環節,具體流程如下圖所示。



圖片

圖 1 資料出境安全評估流程圖


與2021版《徵求意見稿》相比,《評估辦法》主要完善了以下三方面流程:一是明確省級網信部門的完備性查驗責任,規定省級網信部門在5個工作日內完成查驗,並有義務告知資料處理者需補充的材料;二是增加資料處理者申請複評流程,資料處理者可在收到評估結果15個工作日內申請複評,複評結果為最終結論;三是設定資料出境評估活動整改期限,不符合辦法規定的資料處理者應當於2023年2月28日前完成整改。


三、《評估辦法》促進產業發展思考

《評估辦法》在強化資料出境安全管理的同時,對於促進資料安全產業的發展同樣具有很強的導向作用。主要體現在其能夠帶動和引導以下兩類需求發展。

一是促進資料出境安全評估服務。《評估辦法》規定了資料處理者“應當開展資料出境風險自評估”的義務,這對於網路安全行業而言,無疑會推動資料出境評估相關服務的發展。一方面,促進面向資料處理者的專業化資料出境安全服務,如資料出境自評估諮詢、出境資料資產審計、資料安全風險評估、資料脫敏、以及資料出境安全評估一體化解決方案等。另一方面,促進面向資料評估專業機構的支撐服務發展,如出境重要資料識別、資料出境安全風險甄別、資料出境安全事件處置等專用工具研發等。此外,還能促進資料安全出境相關培訓服務的發展,如資料安全相關資質和技能培訓、資料風險分析與應急培訓等。

二是促進資料出境安全監管支撐服務。《評估辦法》規定了國家相關職能部門所應承擔的監管職責,這對於相關的監管支撐服務也具有積極促進作用。主要包括:資料出境風險監測、敏感資料威脅情報支援、資料出境安全協同管理平臺等。

綜上可見,《評估辦法》是我國資料安全制度體系的重要組成部分,也是全面提升我國資料安全保障能力的重要基礎一環,並且隨著資料出境安全評估制度的逐步落實推進,資料安全產業也必將伴隨得到深入促進發展。《評估辦法》的釋出,不僅是我國資料安全法治建設的里程碑,更是見證和保護資料安全產業高質量發展的新徵程。


相關文章