关注并将「摩创律所」设为 星标
每晚8-9点准时推送哟~
2022年7月21日,网信办依据《网络安全法》《数据安全法》《个人信息保护法》(以下分别简称《网安法》、《数安法》、《个保法》)等法律法规,对滴滴处以人民币80.26亿元罚款。
同时7月7日正式发布的《数据出境安全评估办法》(以下简称《评估办法》)将在9月1日起施行。由此可见,在业务上涉及个人信息等数据的企业,尤其涉及数据出境的活动存在较大合规压力和风险。
为帮助商业精英和企业更好地进行数据出境合规,大摩对《评估办法》提供如下梳理和解读。
01
什么是“数据出境”?
“数据出境”包括2种方式:
1、数据物理跨境,即将境内收集和产生的数据传输、储存到境外。
2、从境外访问或调用境内数据。
打个比方,如果一个美国企业在中国境内注册的商场,将中国境内收集的会员个人信息传输给其美国母公司的;又或者美国母公司可以通过访问、查看该商场的网站来获取会员个人信息的,属于数据出境。
02
数据出境的适用条件
一、评估对象
数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息,具体包括:
1、数据处理者将在境内运营中收集和产生的数据传输、存储至境外;
2、数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。
简单来说,个人信息和重要数据原则上应当存储在中国境内,只有因业务需要,“确需向境外提供的”,通过安全评估后方可出境。
二、重要数据的定义:
根据《评估办法》第19条规定,重要数据指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
举个例子:
比如公开的地图数据、中国铁路信号数据、邮政、快递企业的运单数据(含寄件人和收件人名址、联系电话等个人信息,以及寄递过程中的位置轨迹等);未公开的政务数据、工作秘密、情报数据和执法司法数据;突发公共卫生事件与传染病疫情监测过程中获取的传染病病人及其家属、密切接触者的个人隐私等;出口管制数据(如出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家重要的科学技术成果数据)。
三、应当评估情形
1、数据处理者向境外提供重要数据。
2、关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息。
3、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。
4、其他需要申报数据出境安全评估的情形。
03
数据出境的事先评估及评估流程
一、对于适用数据出境安全评估的企业,首先需要进行数据出境风险自评估。主要内容如下 :
(点击即可查看原图)
二、数据出境安全评估具体流程为:企业开展数据出境风险自评估(申报前)→向省级网信部门提交申报材料→材料齐全的,报送国家网信部门→国家网信部门确定是否受理→国家网信部门完成数据出境安全评估,并书面通知数据处理者。
04
重新申报评估的情形
一、有效期2年,自评估结果出具之日起计算。有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。
二、有效期内需重新评估情形
(点击即可查看原图)
05
过渡期安排
1、《评估办法》明确了施行后6个月的过渡期安排。
2、数据出境发生在《评估办法》施行前,且后续处理行为已经结束,相关个人信息已不再于境外留存,则不影响效力。
3、发生在《评估办法》施行前,但仍在境外持续开展的数据处理行为,或目前仍在持续数据传输的:可以开展,但要在2023年2月28日前完成数据出境安全评估。
4、对于《评估办法》施行后:要在完成安全评估申报后,才可以数据出境。
06
法律责任
一、行政责任
(点击即可查看原图)
网信办指出,滴滴共存在16项违法事实,其中包括过度收集和违法收集用户信息、在未明确告知乘客的情况下分析乘客出行意图信息等,因此,滴滴董事长兼CEO程维、总裁柳青被处罚人民币100万元。
二、刑事责任
企业数据违法违规出境还有刑事法律风险,已有企业涉嫌非法向境外提供数据、企业相关责任人被刑事处罚。
如上海某公司为境外公司搜集、提供的数据涉及铁路GSM-R敏感信号(直接用于高铁列车运行控制和行车调度指挥,承载着高铁运行管理和指挥调度等各种指令),触犯了《中华人民共和国刑法》第111条规定的“为境外刺探、非法提供情报罪”,其法定代表人、销售总监、销售被逮捕。
就滴滴事件来看,滴滴公司存在严重影响国家安全的数据处理活动及恶意逃避监管等情形,网信办指出,“滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。因涉及国家安全,依法不公开。”可以预见存在相关的刑事责任风险,具体待其他相关部门(如国家安全部门、检察机关等)进行处理和公布。
三、民事责任
同时《网安法》、《数安法》及《个保法》均规定数据处理主体违反法律规定,给他人造成损害的,须依法承担民事责任。
一
建议商业精英和企业按照法律规定加强数据合规管理,企业及相关主管、负责人员务必加以重视,从国家安全、公共利益、个人信息保护等角度来监督和管理数据出境。
滴滴事件给企业敲响了数据安全合规警钟,在业务上涉及个人信息等数据处理的企业,必须重视数据合规,否则一旦引发合规风险,企业将可能面临高额的罚款等行政处罚和刑民事责任等严重法律后果,甚至可能将企业及相关人员拖入深渊。
二
企业在申请安全评估前,需要先完成数据出境行为识别、数据出境合同签署、数据出境风险自评估的相关工作,6个月的过渡期对于企业略显紧迫,建议需申报的企业尽快着手开展自查、合规调整,充分确保数据出境活动合规开展。
【常年法律顾问】精细化解决方案:
体验精细化高品格法律服务
微信公众号的规则又进行了调整
大摩也不得不跟大家求个三连
这样大摩的推送才能
继续出现在你的订阅列表~
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.