(三)安全评估程序设置科学合理。具体而言,《办法》明确安全评估的程序包括:(1)数据处理者自评估;(2)数据处理者申报安全评估;(3)省级网信部门的申报接收和国家网信部门的申报受理;(4)国家网信部门组织安全评估,评估过程中可要求数据处理者进行材料补充或更正;(5)评估结果的告知与申请复评;(6)通过数据出境安全评估但在有效期内出现特定情形的重新申报评估;(7)通过数据出境安全评估后的终止数据出境。其中,《办法》第13条相对于征求意见稿专门新增了评估结果的复评,为数据处理者提供了异议机会,进一步增强了制度的科学性。
(四)安全评估的多元考虑因素设计,较为全面地应对数据出境的各种安全风险。《办法》第8条明确了数据出境安全评估重点关注数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,并列举了七大评估因素。其中,一是关注数据处理者开展数据出境的合法性、正当性和必要性;二是关注境外接收方保障数据安全的能力,以及所在国家和地区的技术和法律环境对该能力的影响;三是关注数据出境可能面临的安全风险;四是关注数据出境后数据安全和个人信息权益是否最终得到充分保障;五是关注数据处理者对境外接收方的约束能力;六是考虑数据处理者和境外接收方遵纪守法的信誉;七是其他事项,应对数据安全技术、商业模式和境外环境的发展和变化。正是因为这七大安全评估因素的统筹设计,《办法》能够较为全面地应对数据出境的各种安全风险。
三、规则细节体现数据治理的中国探索
数据出境安全评估是我国对数据出境安全管理的重要措施,每一个规则细节不仅会对国家安全、公共利益、个人和组织合法权益带来重大影响,也会对数据跨境流动背后的全球数字经济带来重大影响。因此,要制定合理而巧妙的数据出境安全评估实施细则并非易事。《办法》除了设置合理的安全评估流程和评估考虑因素外,还在如下两个细节充分展现了有益探索。
(一)提出数据安全评估的两大原则,既明确数据出境的主体责任,又实现监管闭环。相较于2017年和2019年有关数据出境安全评估的草案,《办法》第3条首次明确提出数据出境安全评估的两大原则,即事前评估和持续监督相结合原则、风险自评估与安全评估相结合原则。
其中,事前评估和持续监督相结合原则明确安全评估不仅关注数据出境前对出境后可能出现的风险的评估和所要采取的安全保障措施,还关注数据出境后风险发生的变化以及原有措施的有效性,因而该原则建立起数据出境风险全过程的动态评估要求。
风险自评估和安全评估相结合原则明确数据处理者的主体责任,即通过自评估的形式对自己的数据出境行为负责,确保根据数据出境风险采取相适应且有效的安全保障措施。然而,数据出境关涉国家利益、公共利益和个人权益,而且数据处理者的自评估的结论倾向于通过评估,因此《网络安全法》《数据安全法》《个人信息保护法》都要求通过国家网信部门安全评估,确认数据处理者是否切实承担主体责任,以及评估数据出境风险和所采取措施的充分性、有效性。
(二)评估决定2年有效期的规定保障了企业参与全球数字经济建设的持续性和连贯性。《办法》第14条明确安全评估结果有效期为2年,意味着数据处理者可以申报2年内对特定境外接收方的数据出境计划,极大方便企业开展连续性数据出境业务,促进全球数字经济发展。这种设置带来了相对的制度优势。以个人信息出境为例,欧盟虽然设置了充分性认定、企业有效规则、标准合同条款等合法机制,但目前通过充分性认定的只有14个国家,企业有效规则难获审批(中国企业尚未有获批的案例),采用标准合同并不免除数据处理者根据数据出境个案的风险采取额外补充措施的义务。相比较而言,跨国企业在我国开展个人信息出境,如果符合安全评估的情形,那么其通过安全评估的确定性要显著增强,而且还可以提供2年有效期的稳定预期,极大方便了企业开展跨境业务。
总体而言,经过多年酝酿和公开讨论的《办法》,在充分平衡各方利益的基础上对数据出境安全管理作出新探索,既着力于维护国家安全、公共利益和个人与组织合法权益,也为全球数字经济健康发展提供了中国方案。(作者:张金平 中央财经大学副教授