中国数据保护之中国跨境数据传输及新措施明确安全审查要求

中国已发布措施，详细规定了跨境数据传输的安全审查要求。自中国颁布立法要求希望出口某些类型数据的公司接受网络安全部门的安全评估以来，外国公司和大型跨国公司一直在热切等待此类措施。

这些措施明确了负责监督安全评估的政府机构，以及公司必须通过哪些程序才能获得海外数据传输许可。

中国最高网络安全机构中国网络空间管理局（CAC）发布了关于数据出口安全审查要求的最终措施。这份名为《数据出口安全评估措施》（“安全评估措施”）的文件是在2021 11月发布征求公众意见稿之后发布的。

最终版本与草案基本保持不变，但进行了一些关键的语义更改，以使安全评估措施与其他数据导出法规更加一致。

该文件概述了公司进行安全评估以将数据或个人信息（PI）转移到海外的具体要求、步骤和程序，这是处理来自中国用户的大量数据或其数据被归类为“重要”或“敏感”的公司的必备条件。

自从中国在2017年发布的《网络安全法》（CSL）中首次限制某些类型数据的出口以来，许多公司一直在焦急地等待安全评估的澄清。

安全评估措施为需要将数据发送到海外进行运营的公司提供了一条明确的途径，并明确了当局在评估跨境数据传输时将考虑公司业务的哪些方面。

新的评估措施基于中国三大数据安全法律，即CSL、数据安全法（DSL）和个人信息保护法（PIPL），后者于2021 11月1日生效，安全评估措施旨在“规范中国数据出口”和“保护个人信息、维护国家安全和公共利益”。

安全评估措施将于2022年9月1日生效。如果一家公司以前从事过不符合这些措施规定的数据导出活动，则该公司将被要求在该日期后的六个月内进行必要的更改以符合要求。

并非所有公司都需要在向海外传输数据之前进行安全评估。安全评估措施重申了包括CSL和PIPL在内的先前立法中概述的要求，其中规定，“关键信息基础设施”运营商（CIIO）和从中国用户收集数据的国家机构等公司在被允许向海外传输数据之前，必须经过安全评估。

安全评估措施专门针对上述第一个程序以及其他立法中的要求，并阐明了要求公司采取这一路线的情况。

安全评估措施的最终版本增加了一条新条款，将“重要”数据的范围定义为“一旦被篡改、破坏、泄露或非法获取或使用，可能危及国家安全、经济运行、社会稳定或公共健康和安全的数据”。

最后，《关键信息基础设施安全和保护条例》将CIIO定义为从事“重要行业或领域”的公司，

任何其他重要的网络设施或信息系统，如果发生失能、损坏或数据泄漏，可能严重损害国家安全、国民经济和人民生计，或公共利益。

不被视为CIIO或处理的数据量小于上述阈值的公司，只需与海外接收方签订“标准合同”，就可以获得向海外传输数据或PI的许可。该程序比CAC安全审查更简单，因为它不需要外部审计。要了解贵公司是否符合此简化程序，请参阅此处关于标准合同要求的文章。

如果公司符合CIIO标准或处理的数据或PI超过上述数量，则必须向CAC申请安全评估，以获得将数据转移到中国境外的许可。安全评估措施详细描述了公司通过安全评估必须满足的程序和标准。

要申请安全评估，公司必须首先对其希望导出的数据进行安全风险自我评估。自我评估主要侧重于评估数据出口可能对中国国家安全造成的风险，以及收集数据的中国个人或组织的个人权利。

1. 跨境数据传输的目的、范围和方法以及海外接收方处理数据的合法性、合法性和必要性。

2. 传输数据的规模、范围、类型和敏感性，以及跨境数据传输可能对中国国家安全、公共利益以及个人和组织的合法权利造成的风险。

3. [数据]海外接收方承担的责任和义务，以及履行责任和义务的管理和技术措施和能力是否能够确保出境数据的安全。

4. 数据在海外转移过程中或出境后被篡改、破坏、泄露、丢失、转移或非法获取或使用的风险，以及保护PI[主体]权益的渠道是否畅通。

5. 与海外接收方签订的数据出口相关合同或其他具有法律约束力的文件（以下统称为“法律文件”）是否充分规定了数据保护的责任和义务。

6. 其他可能影响数据导出安全的事项。

在申请数据出口安全评估时，企业需要提交以下材料：

• 一份声明

• 跨境数据传输风险自我评估报告

• 数据处理方和海外接收方之间签署的法律文件；

• 安全评估工作所需的其他材料

数据处理方与海外接收方签署的法律文件必须包括（但不限于）以下职责和义务：

• 数据传输的目的和方法以及传输的数据范围；海外接收者需要这些数据的目的和处理这些数据的方法。

• 数据将存储在海外的位置和时间；在数据存储期限到期、达到规定目标或法律文件终止后，对导出数据的处理措施。

• 海外接收方向其他组织或个人传输数据的约束性要求。

• 如果海外接收方的控制或运营范围发生实质性变化，或数据传输地区的安全保护政策和法规发生变化，网络安全环境发生变化，将采取的安全措施，或其他难以保证数据安全的不可抗力情况。

• 补救措施、违约责任以及违反法律文件规定的数据安全保护义务的争议解决方法。

• 适当应急响应的要求，以及保护个人权利的渠道和方法，以在出站数据有被篡改、破坏、泄露、丢失、转移或非法获取或使用的风险时保护其PI。

• 在提交必要的材料后，CAC将在七天内以书面形式通知申请人其接受申请的决定。

CAC接受申请后，将组织国务院有关部门和政府机构根据申报情况进行安全评估。

网络安全部门将在发出申请被接受通知后的45个工作日内进行安全评估。但是，对于复杂的情况或需要额外文件或更正的情况，可以扩展此程序。在这种情况下，将通知数据处理者评估的预期延长期限。评估结果将以书面形式提供给申请人。

如果在评估期间发现申请材料不符合要求，当局将要求数据处理者进行必要的更正或补充缺失的材料。

如果数据处理者无正当理由未能提供正确的材料和信息，则评估可能终止。数据处理者还应对所提供材料的真实性承担法律责任，如果发现他们故意提交虚假材料或信息，可能会面临法律后果。

自评估结果发布之日起，安全评估的有效期为两年。然而，如果批准跨境数据传输的情况发生实质性变化，则可以提前撤销评估。

如果数据处理者对评估结果有异议，可在收到评估结果后的15个工作日内向相关部门申请重新评估。然而，重新评估的结果将是最终的。

如果在评估有效期内发生以下任何情况，公司将被要求重新申请安全评估：

海外提供的数据的目的、方法、范围或类型发生变化，海外接收方处理数据的用途和方法发生变化，或个人信息或重要数据的海外保留期延长。

其他不可抗力情况。

其他可能影响出站数据安全的情况。

尽管新的安全评估措施为公司向海外出口和处理数据提供了重要的澄清和切实可行的途径，但仍存在一些关于如何实施这些法规的问题。

这些问题主要源于安全评估措施所依据的数据安全立法中某些术语的定义不明确。其中最值得注意的是“重要数据”和“CIIO”的定义，目前在其他立法中的定义仍然很松散。

尽管如此，我们可以通过一些立法文件来对这些术语进行一般定义。2021 9月1日生效的关于关键信息基础设施（CII）安全和保护的法规更加明确了哪些部门将为公司提供CII封条——能源、运输、水和国防，但仍为某些行业（尤其是数字平台）的解释敞开了大门，并将指定的最终责任推给了监管部门。

对于“重要数据”的定义，也是一个类似的故事。2021 9月30日，工业和信息技术部（MIIT）开始就一系列法规草案征求公众意见，这些法规草案按敏感性级别对数据进行分类。

在其分类中，“重要数据”有一个宽泛的定义，包括（但不限于）对核心国家利益构成威胁的任何数据，包括中国的政治、领土、经济、社会、互联网和资源，以及其安全性可能影响中国在“海外利益、生物、太空、极地、深海和人工智能”等关键领域的国家安全的数据

值得注意的是，上述“重要数据”的定义与文件中的“核心数据”定义非常相似，唯一的区别（在该定义中）是“核心数据对中国的国家利益构成“严重”威胁。

该法规目前没有提供如何定义“严重”的详细信息。这一模糊性使条例在实践中如何实施变得更加不明确，并可能给当局一些他们认为合适的解释条例的余地。

最后，安全评估措施没有说明当局将如何处理在实施这些措施之前进行的数据输出活动。如上所述，在这些措施生效之前已从事数据导出活动的公司将被要求采取必要措施，确保该活动在六个月内（如果尚未遵守），即2023年3月1日之前符合规定。

但是，他们没有为必须纠正的活动定义时间框架。这意味着，尚不确定2022年9月1日之前开展的任何出口活动是否必须在2023年3月1日前进行追溯安全审查，也不确定多年前开展的出口活动是否可以豁免。这是一个在实施过程中可能必须考虑的问题，目前尚不清楚当局将如何执行这一规定，以及如何始终如一地执行这一条款。

尽管某些行业缺乏明确性，但新的安全评估措施仍然是朝着为中国境外数据出口建立强有力的监管环境迈出的重要一步，最终为拥有海外业务的公司提供了寻求批准将数据转移到海外的途径。

由于存在额外要求和不规则裁决的可能性，建议寻求申请安全评估的公司咨询当地CAC部门，以评估是否需要申请安全评估以及是否需要任何额外程序。

此外，合格的法律专业人员可以帮助确保合同和其他具有法律约束力的文件包含所有必要的规定，以满足安全评估措施中规定的要求。