数安条例百问55、56、57、58、59：关于年度评估与对外提供数据的风险评估

数据安全君

小贝案语
11月14日，国家互联网信息办公布了《网络数据安全管理条例（征求意见稿）》。为此，小贝说安全设立《网络数据安全管理条例（征求意见稿）》（后文简称《条例》）解读专栏，以百问百答的形式对《条例》进行系列解读。

需要指出，这些解读只是专家个人观点，不代表官方意见；且这些解读针对的是征求意见稿，未来条文本身可能会发生变化，不排除会有新增和删除。

对应条款
第三十二条 处理重要数据或者赴境外上市的数据处理者，应当自行或者委托数据安全服务机构每年开展一次数据安全评估，并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门，年度数据安全评估报告的内容包括：

（一）处理重要数据的情况；

（二）发现的数据安全风险及处置措施；
（三）数据安全管理制度，数据备份、加密、访问控制等安全防护措施，以及管理制度实施情况和防护措施的有效性；
（四）落实国家数据安全法律、行政法规和标准情况；
（五）发生的数据安全事件及其处置情况；
（六）共享、交易、委托处理、向境外提供重要数据的安全评估情况；
（七）数据安全相关的投诉及处理情况；
（八）国家网信部门和主管、监管部门明确的其他数据安全情况。
数据处理者应当保留风险评估报告至少三年。
依据部门职责分工，网信部门与有关部门共享报告信息。
数据处理者开展共享、交易、委托处理、向境外提供重要数据的安全评估，应当重点评估以下内容：
（一）共享、交易、委托处理、向境外提供数据，以及数据接收方处理数据的目的、方式、范围等是否合法、正当、必要；
（二）共享、交易、委托处理、向境外提供数据被泄露、毁损、篡改、滥用的风险，以及对国家安全、经济发展、公共利益带来的风险；
（三）数据接收方的诚信状况、守法情况、境外政府机构合作关系、是否被中国政府制裁等背景情况，承诺承担的责任以及履行责任的能力等是否能够有效保障数据安全；
（四）与数据接收方订立的相关合同中关于数据安全的要求能否有效约束数据接收方履行数据安全保护义务；
（五）在数据处理过程中的管理和技术措施等是否能够防范数据泄露、毁损等风险。
评估认为可能危害国家安全、经济发展和公共利益，数据处理者不得共享、交易、委托处理、向境外提供数据。

解读
《条例》第五十五条规定，主管部门应当定期组织开展本行业、本领域的数据安全风险评估，对数据处理者履行数据安全保护义务情况进行监督检查，指导督促数据处理者及时对存在的风险隐患进行整改。这里的“主管部门”是指行业主管监管部门。《条例》还在第五十七条明确了主管、监管部门在监督检查时可以采取的措施手段：
  
对比上述条款，目前看《条例》未规定网信部门对重要数据处理者进行监督检查。那么，作为数据安全的统筹协调部门，网信部门怎么掌握情况呢？这便是《条例》第三十二条的初衷。该条规定，重要数据数据处理者，应当自行或者委托数据安全服务机构每年开展一次数据安全评估，并在每年1月31日前将上一年度数据安全评估报告报市级网信部门。《条例》还规定了年度数据安全评估报告的内容。

不仅如此，《条例》还要求赴境外上市的数据处理者也应当提交年度评估报告，这是考虑到了赴境外上市的敏感性及其相关的数据安全风险。此前，《条例》第十三条对数据处理者赴境外上市提出了网络安全审查要求，这种审查是一次性的，但对境外上市数据安全风险的关注不应成为“一锤子买卖”。企业赴境外上市后，将持续同境外机构打交道，并接受境外证券管理部门的监管，因此国家有必要对其提出持续监督要求。

这意味着，境外上市机构需要关注的不仅仅是上市时接受网络安全审查。“侯门一入深似海”，只要其在境外上市，便终生需要向境内网信部门提交年度数据安全报告。

对应条款
第三十二条 处理重要数据或者赴境外上市的数据处理者，应当自行或者委托数据安全服务机构每年开展一次数据安全评估，并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门，年度数据安全评估报告的内容包括：
（一）处理重要数据的情况；
（二）发现的数据安全风险及处置措施；
（三）数据安全管理制度，数据备份、加密、访问控制等安全防护措施，以及管理制度实施情况和防护措施的有效性；
（四）落实国家数据安全法律、行政法规和标准情况；
（五）发生的数据安全事件及其处置情况；
（六）共享、交易、委托处理、向境外提供重要数据的安全评估情况；
（七）数据安全相关的投诉及处理情况；
（八）国家网信部门和主管、监管部门明确的其他数据安全情况。
数据处理者应当保留风险评估报告至少三年。
依据部门职责分工，网信部门与有关部门共享报告信息。
数据处理者开展共享、交易、委托处理、向境外提供重要数据的安全评估，应当重点评估以下内容：
（一）共享、交易、委托处理、向境外提供数据，以及数据接收方处理数据的目的、方式、范围等是否合法、正当、必要；
（二）共享、交易、委托处理、向境外提供数据被泄露、毁损、篡改、滥用的风险，以及对国家安全、经济发展、公共利益带来的风险；
（三）数据接收方的诚信状况、守法情况、境外政府机构合作关系、是否被中国政府制裁等背景情况，承诺承担的责任以及履行责任的能力等是否能够有效保障数据安全；
（四）与数据接收方订立的相关合同中关于数据安全的要求能否有效约束数据接收方履行数据安全保护义务；
（五）在数据处理过程中的管理和技术措施等是否能够防范数据泄露、毁损等风险。
评估认为可能危害国家安全、经济发展和公共利益，数据处理者不得共享、交易、委托处理、向境外提供数据。

解读
《条例》在三十二条中同时规定了两种评估要求。一是年度数据安全评估，二是数据处理者开展共享、交易、委托处理、向境外提供重要数据的安全评估。每一类评估都规定了多款要求。就法言法语而言，这样的处理不合常规，后续有必要将其改为两条。

特别是，第一款之后的“数据处理者应当保留风险评估报告至少三年”引起了歧义。既然该款要求数据处理者向网信部门提交评估报告，何以又要求数据处理者自身对评估报告保留三年呢？事实上，这里的“风险评估报告”指的是后续的“共享、交易、委托处理、向境外提供重要数据的”安全评估报告。即，《条例》在此处存在前后语序方面的瑕疵，后续应予以修正。

抛去上述问题不谈，为什么《条例》要求数据处理者对共享、交易、委托处理、向境外提供重要数据进行安全评估呢？这是因为，上述行为有一个共同点，即重要数据脱离了原数据处理者的控制，可能转移到新的数据处理者手中。那么，自然就随之产生了安全风险，必须审慎对待下列问题：

一是，重要数据能提供给他人（包括出境，下同）吗？对方处理数据的目的、方式、范围等合适吗？

二是，因共享、交易、委托处理、向境外提供重要数据是否会使数据面临被泄露、毁损、篡改、滥用的风险？是否会影响国家安全、经济发展、公共利益？

三是，数据接收方靠谱吗？其诚信状况、守法情况如何？其是否与境外政府机构有某种特殊的合作关系（例如情报关系），是否曾被中国政府制裁？其有无能力有效保障数据安全？

四是，与数据接收方订立的相关合同合理吗？能否有效约束数据接收方履行数据安全保护义务？

五是，在共享、交易、委托处理、向境外提供重要数据过程中，是否采取了适宜的管理和技术措施，以防范数据泄露、毁损等风险？

为此，必须开展风险评估，以判断是否适宜共享、交易、委托处理、向境外提供重要数据。

这里面有一个问题：为什么第三十二条不对向第三方提供个人信息提出要求呢？特别是，《条例》第十二条针对的是“数据处理者向第三方提供个人信息，或者共享、交易、委托处理重要数据”，何以第三十二条比第十二条多了“向境外提供重要数据”的情况，而少了“向第三方提供个人信息”的情况？

这是因为，《个人信息保护法》第五十五条已经规定了个人信息保护影响评估制度，其适用于“委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息”和“向境外提供个人信息”的情况。这些情况下的“个人信息保护影响评估”与《条例》第三十二条规定的对外提供重要数据的安全评估有着相同的目标。既然《个人信息保护法》已作了规定，《条例》不必再另行关注个人信息的情况。

对应条款
第三十二条 处理重要数据或者赴境外上市的数据处理者，应当自行或者委托数据安全服务机构每年开展一次数据安全评估，并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门，年度数据安全评估报告的内容包括：
（……
数据处理者应当保留风险评估报告至少三年。
依据部门职责分工，网信部门与有关部门共享报告信息。
数据处理者开展共享、交易、委托处理、向境外提供重要数据的安全评估，应当重点评估以下内容：
……

解读
共享、交易、委托处理、向境外提供重要数据前应当开展安全评估，这是一项重要的义务，目的是防止重要数据被不当对外提供。那么，由谁来实施这类风险评估呢？
  
《条例》在第三十二条中指出，数据安全年度评估由数据处理者自行或者委托数据安全服务机构实施。但该条并未明确共享、交易、委托处理、向境外提供重要数据前的安全评估主体。
  
从工作实际看，此类评估依然应当由数据处理者自行开展，必要时可委托专业机构实施，但不是指由监管部门进行评估。

对应条款
第三十二条 处理重要数据或者赴境外上市的数据处理者，应当自行或者委托数据安全服务机构每年开展一次数据安全评估，并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门，年度数据安全评估报告的内容包括：

（……
数据处理者应当保留风险评估报告至少三年。
依据部门职责分工，网信部门与有关部门共享报告信息。
数据处理者开展共享、交易、委托处理、向境外提供重要数据的安全评估，应当重点评估以下内容：
……

解读
对共享、交易、委托处理、向境外提供重要数据活动进行安全评估后，应当形成风险评估报告。那么，该评估报告当如何使用呢？
  
一般而言，有以下几种用途：

一是，在征得主管部门同意时，要同步提交风险评估报告。《条例》第三十三条规定，数据处理者共享、交易、委托处理重要数据的，应当征得设区的市级及以上主管部门同意，主管部门不明确的，应当征得设区的市级及以上网信部门同意。

二是，在申请数据出境安全评估时，要同步提交风险评估报告。《条例》第三十七条规定，数据处理者向境外提供在中华人民共和国境内收集和产生的数据，如包含重要数据，应当通过国家网信部门组织的数据出境安全评估。显然，既然数据处理者向网信部门提出申请，则其必然已经对重要数据出境的合理性、安全性作了风险评估，故网信部门将首先研判该风险评估报告是否科学合理。

三是，在撰写年度数据安全评估报告时，要提交该年中每一次的此类风险评估报告。《条例》第三十二条第一款规定，年度评估报告内容应当包括共享、交易、委托处理、向境外提供重要数据的安全评估情况。这个“评估情况”，自然包括风险评估报告。

对应条款
第三十二条 处理重要数据或者赴境外上市的数据处理者，应当自行或者委托数据安全服务机构每年开展一次数据安全评估，并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门，年度数据安全评估报告的内容包括：

（……
数据处理者应当保留风险评估报告至少三年。
依据部门职责分工，网信部门与有关部门共享报告信息。
数据处理者开展共享、交易、委托处理、向境外提供重要数据的安全评估，应当重点评估以下内容：
……

解读
“风险评估”在网络安全领域是一个基本概念。早在2006年，原国务院信息办便印发了《关于开展信息安全风险评估工作的意见》。目前为止，在网络安全风险评估领域，我国已经制定了两部国家标准：GB/T 20984—2007《信息安全技术 信息安全风险评估规范》和GB/T 31509—2015《信息安全技术 信息安全风险评估实施指南》。
  
在这一背景下，很多人关心：数据安全风险评估与网络安全风险评估有区别吗？
  
笼统说，数据安全风险评估与网络安全风险评估没有本质区别，两者都是风险评估理论的运用。但具体到《条例》第三十二条，这里的数据安全风险评估却有特殊性。其没有重复攻击破坏等行为对数据安全带来的风险，而是强调了重要数据离开原处理者而转移到新的处理者后，可能出现的安全风险。为此，在落实《条例》第三十二条的此项要求时，不能套用GB/T 20984—2007、GB/T31509—2015等传统的网络安全风险评估理论。

【下期预告】
60、共享、交易、委托处理重要数据前需要遵循什么规定？
61、如何理解云计算安全评估制度？

【往期链接】
0、条例正文
1、《条例》的定位及其同《数据安全法》和《个人信息保护法》的关系是什么？
2、如何理解《条例》的结构？
3、如何理解《条例》名称中使用的是“网络数据”？
4、如何理解数据处理者？
5、如何理解《条例》的域外效力？
6、如何理解《条例》的不适用范围？
7、如何理解数据分类分级保护制度？
8、如何理解数据分类分级管理？
9、如何理解重要数据？
10、如何理解重要数据与个人信息的关系？
11、如何组织识别重要数据和核心数据？
12、如何理解重要数据和核心数据目录？
13、如何理解数据开发利用？
14、如何理解数据交易管理制度？
15、如何理解数据处理者的安全保护义务？
16、如何理解等级保护、关键信息基础设施安全保护与数据安全的关系？
17、如何理解对发现安全缺陷、漏洞、风险时提出的补救措施要求？
18、如何理解数据处理者的应急处置义务？
19、如何理解重要数据或者十万人以上个人信息事件的处置义务？
20、如何理解向第三方提供个人信息或发送重要数据的安全要求？
21、如何理解“单独同意”？
22、为什么要求留存个人同意记录？
23、如何理解《条例》提出的网络安全审查要求？
24、《条例》规定的网络安全审查与《数据安全法》规定的数据安全审查是什么关系？
25、为什么对数据处理者赴国外上市和赴香港上市分别提出不同的审查要求？
26、为什么对大型互联网平台运营者在境外设立总部或者运营中心、研发中心提出安全要求？
27、为什么对合并、重组、分立或解散、破产提出数据安全要求？
28、为什么要对国家机关专门提出数据安全要求？
29、如何理解对自动化工具访问、收集数据的安全要求？
30、《条例》提出数据安全情况披露要求是基于什么考虑？
31、如何理解对“合法、正当、必要”提出的要求？
32、为什么增加了对处理个人信息“频次”“时机”的要求？
33、为什么要细化对个人信息处理规则的要求？
34、如何理解对个人信息处理规则提出的“清单形式”？
35、为什么要在个人信息处理规则中对第三方代码、插件提出要求？
36、无法对掌握开源第三方代码的个人信息处理规则怎么办？
37、为什么要细化对“同意”的要求？
38、为什么规定不得以改善服务质量等为由强迫要求用户同意处理个人信息？
39、什么叫做“频繁”征求同意？
40、对个人同意行为有效性存在争议时如何处理？
41、如何理解“十五个”工作日的删除个人信息要求？
42、如何理解“无法避免采集”场景？
43、《条例》从哪些方面保障个人行使查询、复制等权利？
44、如何理解个人信息转移请求？
45、如何理解个人请求直接对外转移个人信息的条件？
46、《条例》对生物特征应用的规定是基于什么考虑？
47、如何理解对生物特征识别的必要性、安全性评估？
48、如何理解重要数据处理者的要求适用于一百万人以上个人信息处理者？
49、如何理解《条例》对建立对个人信息保护制度和重要数据安全制度的侧重点不同？
50、如何理解对数据安全负责人和数据安全管理机构的要求？
51、为什么要求数据安全负责人有权直接向网信部门反映情况？
52、如何理解重要数据处理者的备案要求？
53、如何理解对重要数据处理者的培训要求？
54、如何理解重要数据处理者采购网络产品和服务的要求？

  总编辑|小贝