据“网信北京”微信公众号于2023年1月18日发文公布[1],首都医科大学附属北京友谊医院与荷兰阿姆斯特丹大学医学中心合作研究项目、中国国际航空股份有限公司项目相继成为全国首个、第二个被北京市互联网信息办公室(“北京网信办”)批准的数据出境安全评估案例,这标志着国家数据出境安全评估制度在北京市率先落地。根据该文,北京网信办服务数据出境需求主体270余家,组织指导北京市社交媒体、医疗、金融、汽车、民航等重点领域16家单位递交正式申报,10家单位申报材料通过完备性查验,2家单位通过数据出境安全评估。尽管北京网信办在该文中并未披露上述两个案例的详细出境数据类型、数量、敏感程度等信息,结合其业已发布的申报材料标准模板和其他公开信息,我们建议相关企业关注以下事项:
根据《数据出境安全评估办法》(“《评估办法》”)第四条,满足(一)向境外提供重要数据;(二)属于关键信息基础设施运营者;(三)处理100万人以上个人信息;(四)自上年1月1日起累计向境外提供10万人份个人信息或者1万人份敏感个人信息;(五)有国家网信部门规定的其他需要申报数据出境安全评估的情形中任一情形的数据处理者,需要向企业所在地省级网信部门申报安全评估,作为向境外提供数据的唯一合规路径。
本次公布的首个获批案例,即可能因构成上述第(一)种情形而适用安全评估路径。正如我们在《“健康医疗数据合规”那些事儿——系列之一》文章中所分析,健康医疗数据作为关系国计民生的重要数据领域,正面临着多部法规的全方位、多维度的强监管挑战,而该案例中医学合作活动可能涉及公共卫生数据、遗传、基因组信息等多种重要数据类别。同时需要注意的是,根据《人类遗传资源管理条例》,当医学合作活动中向外国组织提供的数据同时构成人类遗传资源信息时,应当通过国务院科学技术行政部门(即科技部)组织的安全审查,且应当向科技部备案并提交信息备份。
而第二个获批案例,则可能涉及传输航空旅客数据规模超过了上述(三)、(四)情形中的三个数量门槛之一,尤其是个人敏感信息门槛的情况。国际航空客运因其性质,必然涉及境内与境外航司、机场、海关等机构的双向信息交流。由于旅客指纹、护照号、照片等信息构成敏感个人信息[2],且单一航班的旅客运输量即有数百人,国际航司很可能因上一年度至今向境外机构提供1万人份敏感个人信息而适用安全评估。
根据北京网信办所发布的公开数据,在递交正式申报的16家单位中,仅有2家通过评估,通过率为12.5%;若将统计范围扩大至所有270家出境需求主体,则通过率仅有0.74%。可见,即使经过了5个月的自评估、咨询乃至自我整改,多数企业的数据出境合规性,距离获批标准仍有相当的距离。
安全评估的较高标准也体现在申报文件中。国家网信办所制作的《数据出境安全评估申报指南(第一版)》所附《数据出境安全评估申报表》(模板)要求数据处理者提供与其自身、数据出境业务、拟出境数据、境外接收方以及出境法律文件相关的基本信息,且要求对数据规模、数据出境链路、出境法律文件作出较为详尽的技术性或法律描述。此外,《数据出境风险自评估报告》(模板)要求自评估活动需要在数据出境安全评估申报前3个月内完成,且至申报之日未发生重大变化,无疑增大了评估失败时须再次进行自评估的可能性。因此,及时咨询当地网信办与取得专业机构的协助,就显得极为重要。
我们建议有数据出境需求的企业若尚未对数据出境活动进行梳理,应尽快启动核查和梳理活动,确定是否需要按照《评估办法》申报安全评估。若有较大可能需要申报安全评估,则应在专业律师的协助下,及时咨询当地网信办,并同步准备包括《自评估报告》《评估申报表》在内的所有申报材料,以期尽快通过评估后合法合规开展相关业务和项目。
鉴于目前距离《评估办法》所规定的六个月宽限期已不足一月,由于有申报安全评估需求的企业数量较为庞大,相关企业可能难以在剩余时间内准备好完善的申报材料,取得各地网信办的业务指引,乃至成功通过评估。
我们建议,现时尚未取得批准的企业应审慎考虑宽限期届满时仍未获批的可能性,并将备选方案及时提上日程。此类方案包括根据自身具体情况考虑暂停相关数据出境活动、及时限制或停止“非必要”数据出境,以及尽快联系本地数据存储方案提供商,进行数据本地化部署,以避免今年3月1日宽限期届满后,因数据出境活动不合规而使企业业务持续运营受到影响,导致企业及其人员承担相关行政与刑事责任[3]。当然,在采用备选方案之余,企业也应当继续积极准备申报安全评估,并借鉴相关成功或失败经验,以期尽早、顺利通过安全评估。
特别声明:
大成律师事务所严格遵守对客户的信息保护义务,本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考,不代表大成律师事务所任何立场,亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源。未经授权,不得转载或使用该等文章中的任何内容。