国家互联网信息办公室于2022年7月7日公布了《数据出境安全评估办法》(以下简称《办法》),《办法》将于2022年9月1日起施行。这是自去年《汽车数据安全管理若干规定(试行)》出台之后,对汽车行业数据处理者影响较大的又一重磅新规。现就《办法》对数据出境安全评估制定的系列规范,北京朗诚律师事务所整理了以下热点问题分析:
问:汽车行业数据处理者向境外提供数据,需要经历哪些具体评估流程?
1. 事前评估:数据处理者应当先进行数据出境风险自评估;
2. 申报安全评估:通过所在地省级网信部门向国家网信部门申报数据出境安全评估;
3. 复评:对申报安全评估的结果有异议的,可以向国家网信部门申请复评;
4. 重新评估:评估结果有效期届满但需要继续开展数据出境活动的,或者在有效期内出现《办法》规定重新评估情形的,数据处理者应当重新申报数据出境安全评估。
问:汽车行业数据处理者具有哪些情形的,需要向国家网信部门申报数据出境安全评估?
《办法》明确了4种应当申报数据出境安全评估的情形:1. 数据处理者向境外提供重要数据。汽车行业数据处理者可以根据《汽车数据安全管理若干规定(试行)》第3条第5款确定特定数据对象是否属于重要数据;
2. 关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;3. 自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;4. 国家网信部门规定的其他需要申报数据出境安全评估的情形。
问:开展事前数据出境风险自评估,应当重点评估哪些事项?
1. 数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;2. 出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;3. 境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;4. 数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;5. 与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等是否充分约定了数据安全保护责任义务;
问:国家网信部门在进行数据出境安全评估时,主要评估哪些内容?
数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项:
1. 数据出境的目的、范围、方式等的合法性、正当性、必要性;
2. 境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求;
3. 出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险;
4. 数据安全和个人信息权益是否能够得到充分有效保障;5. 与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等是否充分约定了数据安全保护责任义务;
问:数据处理者应当向哪个部门申报数据出境安全评估?
向所在地省级网信部门提交申报材料,通过所在地省级网信部门向国家网信部门申报,由国家网信部门对申报材料组织进行安全评估。
3. 数据处理者与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等;
问:数据处理者与境外接收方订立数据出境相关合同或者其他具有法律效力的文件(统称为法律文件)中,需要包括哪些内容?
法律文件中应当明确约定数据安全保护责任义务,至少包括以下内容:
1. 数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;2. 数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;3. 对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;4. 境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施;5. 违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;6. 出境数据遭到篡改、破坏、泄露、丢失、转移或者出现被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。
问:提交申报材料后要经过哪些程序、安全评估结果何时才能作出、如何获取安全评估结果?1. 省级网信部门在收到材料后5日内开展并完成完备性查验;2. 省级网信部门查验材料齐全的,将材料报送国家网信部门;3. 国家网信部门收到报送材料之日起7个工作日内,确定是否受理并发出书面通知;4. 国家网信部门自向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估,并将评估结果书面通知数据处理者。情况复杂或者需要补充、更正材料的,国家网信部门可以适当延长评估时间,并将预计延长的时间告知数据处理者。
根据《办法》规定,如果数据处理者提交的材料不符合要求,可能造成以下后果:1. 省级网信部门收到材料后进行完备性查验,认为申报材料不齐全的,应当退回数据处理者并一次性告知需要补充的材料;2. 国家网信部门发现申报材料不符合要求的,可以要求数据处理者补充或者更正。数据处理者无正当理由不补充或者更正的,国家网信部门可以终止安全评估;3. 数据处理者故意提交虚假材料,按照评估不通过处理,并依法承担相应法律责任。
问:数据处理者申报数据出境安全评估的结果可能有哪几类?
1. 申报不予受理。对于不属于安全评估范围的,数据处理者接到国家网信部门不予受理的书面通知后,可以通过法律规定的其他合法途径开展数据出境活动;2. 通过安全评估。收到通过评估的书面通知后,应严格按照申报事项开展活动;3. 未通过安全评估。未通过安全评估的,不得开展所申报的数据出境活动。
问:数据处理者对安全评估的结果有异议时,有哪些救济途径?
可以在收到评估结果15个工作日内向国家网信部门申请复评,复评结果为最终结论。
问:数据出境安全评估的结果存在有效期限吗?
通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算。有效期届满,需要继续开展数据出境活动的,应当在有效期届满60个工作日前重新申报评估。
问:通过数据出境安全评估后,出现哪些情形时,数据处理者应当重新申报评估?
一、安全评估的有效期届满:有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估;二、安全评估有效期尚未届满,但出现《办法》规定的影响出境数据安全的情形:1. 向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的;2. 境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的;三、被终止数据出境活动:国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当书面通知数据处理者终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估。
问:数据处理者违反《办法》的规定将如何承担法律责任?《办法》明确数据处理者违反本办法规定的,依照《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规的规定处理;构成犯罪的,依法追究刑事责任。
-北京朗诚律师事务所助力广汽集团合规建设——协助开展经销店法律合规压力测试“消防演练”活动
-武峰律师应邀参加“新能源汽车第二十八次联席会议”、“厂家二手车第七次工作联席会议”
-武峰律师应邀参加在成都举办的 2021中国汽车金融产业峰会
-《关键信息基础设施安全保护条例》新法解读及对汽车行业的影响
