新闻中心

新闻中心

关注安百最新动态,掌握新鲜安全资讯

《个人信息和重要数据出境安全评估办法》解读
2019-05-08 11:13:07

2017年4月11日,国家互联网信息办公室公布了《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称《评估办法》),提出网络运营者在我国境内运营中收集和产生的个人信息和重要数据,因业务需要向境外提供的,应进行安全评估。


出台背景


2016年11月颁布,将于2017年6月1日生效的《中华人民共和国网络安全法》(以下简称《网络安全法》)首次在法律中确立了对个人信息及重要数据出境的安全评估制度。《网络安全法》授权国家网信部门会同其他监管部门制定详细的安全评估实施办法。《网络安全法》下的这一规定与《中华人民共和国国家安全法》(以下简称《国家安全法》)共同构成了《评估办法》的法律基础。


使用范围


《评估办法》制定的依据是《国家安全法》和《网络安全法》,因此,在安全评估的适用范围上,已经超出了《网络安全法》第三十七条规定的范围。按照第二条的规定,所有网络运营者在境内收集和产生的个人信息和重要数据应当在境内存储,这是一般性要求;作为例外,对于因业务需要,确需向境外提供的,应当事先进行安全评估。此条明显地扩大了数据本地化要求的适用范围。


网络运营者的数据出境适用本办法,对于非网络运营者(其他个人和组织)数据出境的安全评估工作,参照本办法执行。


什么是数据出境


依照《评估办法》的规定,数据出境是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人。


以上定义实际上规定了一个物理边界,将数据提供给位于境外的主体,即构成数据的出境,而不论接受数据者的身份。我们理解,以下情形的数据传输构成《评估办法》规定的数据出境情形:境内的网络运营者将数据通过网络直接传输给境外的主体;允许境外主体通过网络访问,读取境内的数据;境内的网络运营者通过网络传输外的其它方式(比如携带)提供给境外的主体。


如何评估数据出境


《评估办法》通过所谓自行评估及监管机构评估的方式对数据出境进行监管。简要来说,网络运营者需对所有数据出境进行自行评估(第七条),而对满足相应条件的数据出境,网络运营者需报告行业监管部门或国家网信部门进行评估(第九条)。


需进行监管机构评估的情况包括:出境数据含有或累计含有50万人以上的个人信息;数据量超过1000GB;包含核设施、化学生物、国防军工、人口健康等领域的数据;大型工程活动、海洋环境以及敏感地理信息数据等。同时还包括了一个兜底性条款:“其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估”。(第九条)


网络运营者每年应对数据出境至少进行一次安全评估;当数据出境的相关方面出现较大变化时,应重新进行安全评估。(第十二条)


简  评


与《网络安全法》相比,《评估办法》扩大了数据本地化及安全评估义务适用对象的范围,并且对网络运营者施加了广泛的评估义务(自行评估或监管机构评估),但相关明确、具体的标准、程序、要求尚未出台。


在这样一个数字化迅速发展的世界,《评估办法》发布及实施后,可能对跨境运营公司的运营及IT结构产生广泛影响。《评估办法》与现有法律制度的衔接(例如现有法律法规之中存在境内存储或出境限制的特别规定)、网信主管部门与行业主管部门的对接和配合,也待在实践中进一步观察。


  • 个人信息
  • 数据安全评估
  • 个人信息
  • 数据安全评估