• 分类：专业研究
• 作者：
• 来源：
• 发布时间：2023-04-14 16:23
• 访问量：

【概要描述】 海外上市、债券发行、国际合作研发、跨境贸易等均会涉及数据出境问题，随着国家产业数字化和数字产业化进程，数据流动日益频繁，如何实现数据合法有效利用，又能符合国家数据安全规定，成为现实的需要，那么企业如何完成数据出境安全评估呢？   一、何谓数据，何谓数据出境   数据，是指任何以电子或者其他方式对信息的记录，“任何”一词可见数据涵盖范围极广。数据出境的本质就是中国境内产生的原始数据或收集汇总数据被通过不同的方式被境外主体获得，比如直接进行数据传输或存储，或者开放数据服务器境外主体可以查询调用或下载。无论是主动传输还是被动开放数据，只要存在被境外主体获得的情形，均属于数据出境。   二、何种数据出境需要完成安全评估   数据安全是每个主体应当负担的义务，单个的数据价值可能不大，但大量看似无价值数据汇总后就具有新的功能，甚至具有极高的利用价值，这就是大数据难以估量的作用，但数据出境安全评估并非所有数据出境均需要进行。以下情形必须进行数据安全评估：   （一）数据处理者向境外提供重要数据； （二）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息； （三）自上年度1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；   除此之外是否就不必进行安全评估？并非如此，除前述情形外，国家网信办有权规定其他需要申报数据出境安全评估的情形。另外对于第一项重要数据的概念并不明确，直接关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，这些似乎容易确认，但实践中又难以泾渭分明。如果我们专精特新“小巨人”或制造业单项冠军企业大量汇集研发数据，利用该数据就能分析推断企业研发路径和国家发展方向，甚至泄密后为竞争对手所用，导致境内企业丧失竞争力，这些企业本就是国家产业链“补链” “强链”和“延链”的作用，由此而言虽然是单个企业的数据，但却具有重要意义，需要完成安全评估。假若普通企业如果汇聚大量信息，同样产生放大效应，作为大数据仍具有不可估量作用，是否需要安全评估，又要以具体情况而定。   国家数据安全制度本身也要求建立数据分类分级保护制度，需要企业在经营中建立数据安全管理制度，并指定数据安全负责人及管理机构，对于重要数据要进行定期的评估。   三、如何进行数据出境安全评估申报   数据处理者申报数据出境安全评估，应当通过所在地省级网信办申报数据出境安全评估。申报方式为送达书面申报材料并附带材料电子版。省级网信办收到申报材料后，在5个工作日内完成申报材料的完备性查验。通过完备性查验的，省级网信办将申报材料上报国家网信办；国家网信办自收到省级网信办上报申报材料之日起7个工作日内，确定是否受理并书面通知数据处理者。   评估完成后，数据处理者将收到评估结果通知书。对评估结果无异议的，数据处理者须按照数据出境安全管理相关法律法规和评估结果通知书的有关要求，规范相关数据出境活动；对评估结果有异议的，数据处理者可以在收到评估结果通知书15个工作日内向国家网信办申请复评，复评结果为最终结论。   四、数据出境安全评估的核心要求   数据如果必须出境，就要证明该行为本身合法正当和必要性。数据输出方是否建立数据安全管理制度及具体负责人和机构，有无保障数据安全的能力。数据出境中和出境后数据流动过程中是否安全，接收数据方是否能持续实现数据安全保障。数据输出方和接收方之间是否就相关问题作出协议安排，以及相关协议安排如何保障被正确有效实施，具体而言，至少应在数据出境安全自评估报告中包含以下方面：   （一）数据出境的目的、范围、方式等的合法性、正当性、必要性； （二）境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响；境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求； （三）出境数据的规模、范围、种类、敏感程度，出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险； （四）数据安全和个人信息权益是否能够得到充分有效保障； （五）数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务； （六）遵守中国法律、行政法规、部门规章情况；   总之，无论数据出境还是境内数据利用，开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，加强数据风险监测，定期完成风险评估，保障数据安全情况下实现有效利用，于国于民均有裨益。