數安條例非常具有特色和原創性的一方面就是將數據處理的主體發生變更，作為一種高風險動作，進而提出了增強的安全要求。這方面值得各位重視。

　　何為數據處理的主體發生變更？在條例中有兩種情況：一是數據對外提供，具體包括“共享、交易、委托處理”；二是數據處理者發生合并、重組、分立等情況的。實際上還有數據向境外提供，上一篇文章做了分析【數安條例 | 數據跨境安全管理】，此處就不再贅述。

　　對于情形一：數安條例主要在第十二條做了一般性規范。

　　第十二條 數據處理者向第三方提供個人信息，或者共享、交易、委托處理重要數據的，應當遵守以下規定：

　　（一）向個人告知提供個人信息的目的、類型、方式、范圍、存儲期限、存儲地點，并取得個人單獨同意，符合法律、行政法規規定的不需要取得個人同意的情形或者經過匿名化處理的除外；

　　（二）與數據接收方約定處理數據的目的、范圍、處理方式，數據安全保護措施等，通過合同等形式明確雙方的數據安全責任義務，并對數據接收方的數據處理活動進行監督；

　　（三）留存個人同意記錄及提供個人信息的日志記錄，共享、交易、委托處理重要數據的審批記錄、日志記錄至少五年。

　　數據接收方應當履行約定的義務，不得超出約定的目的、范圍、處理方式處理個人信息和重要數據。

　　分析起來有這么以下要點：

　　1、個人信息的對外提供要詳細告知，該取得同意的需要取得同意。但是存在《個人信息保護法》第十三條規定的（二）至（七）的情形時，無需取得同意。

　　2、無論是個人信息和重要數據的對外提供，都要和下游簽訂明確的合同。

　　3、上游要留存相關記錄，為未來接受監督做好準備。

　　4、下游要遵守合同約定，“不得超出約定的目的、范圍、處理方式處理個人信息和重要數據”。

　　但是對于重要數據，數安條例除了一般性規范之外，還提出了更進一步的安全要求，主要是數安條例的第三十二條和第三十三條。

　　第三十二條 數據處理者開展共享、交易、委托處理、向境外提供重要數據的安全評估，應當重點評估以下內容：

　　（一）共享、交易、委托處理、向境外提供數據，以及數據接收方處理數據的目的、方式、范圍等是否合法、正當、必要；

　　（二）共享、交易、委托處理、向境外提供數據被泄露、毀損、篡改、濫用的風險，以及對國家安全、經濟發展、公共利益帶來的風險；

　　（三）數據接收方的誠信狀況、守法情況、境外政府機構合作關系、是否被中國政府制裁等背景情況，承諾承擔的責任以及履行責任的能力等是否能夠有效保障數據安全；

　　（四）與數據接收方訂立的相關合同中關于數據安全的要求能否有效約束數據接收方履行數據安全保護義務；

　　（五）在數據處理過程中的管理和技術措施等是否能夠防范數據泄露、毀損等風險。

　　評估認為可能危害國家安全、經濟發展和公共利益，數據處理者不得共享、交易、委托處理、向境外提供數據。

　　分析總結：

　　1、提出了重要數據發生共享、交易、委托處理、向境外提供前，應當自行開展安全評估。

　　2、安全評估考慮的重點是數據接收方的身份、履約和承擔責任的能力、用途、合同中約定的數據安全措施的有效性和可執行性，以及可能對“國家安全、經濟發展、公共利益帶來的風險”。

　　3、如果評估后發現還是“可能危害國家安全、經濟發展和公共利益”，則“不得共享、交易、委托處理、向境外提供數據”。

　　第三十三條 數據處理者共享、交易、委托處理重要數據的，應當征得設區的市級及以上主管部門同意，主管部門不明確的，應當征得設區的市級及以上網信部門同意。

　　這是一個行政許可式的要求了。相當于主管部門或者網信部門要審核安全評估的情況，并做出允許或者禁止的決定。

　　對于情形二：數安條例主要在第十四條做了規范。

　　第十四條 數據處理者發生合并、重組、分立等情況的，數據接收方應當繼續履行數據安全保護義務，涉及重要數據和一百萬人以上個人信息的，應當向設區的市級主管部門報告；數據處理者發生解散、被宣告破產等情況的，應當向設區的市級主管部門報告，按照相關要求移交或刪除數據，主管部門不明確的，應當向設區的市級網信部門報告。

　　對這個條文，可以做如下解讀：

　　1、數據處理者發生“合并、重組、分立等情況”，實際上就存在一個新的主體來承接數據。新的數據處理主體出現，被認為是高風險處理動作之一。

　　2、如果“涉及重要數據和一百萬人以上個人信息的，應當向設區的市級主管部門報告”。但此處并沒有明確“報告”的含義。但公號君認為，立法者的意圖應該是要求數據處理者在“合并、重組、分立”之前，按照情形一中的要求，開展安全評估，并將安全評估結果提交給主管部門，取得其批準。

　　3、如果數據處理者不復存在——發生解散、被宣告破產等，則應當移交或刪除數據，并將有關情況報告主管部門。

　　最后做一個總結，為什么公號君認為數安條例把數據處理的主體變更作為高風險處理情形之一，原因在于，對于重要數據的主體發生變更，無論是發生了“共享、交易、委托處理、向境外提供”，還是“發生合并、重組、分立等情況”，數安條例事實上設立了行政許可。

　　很有意思的是，對于重要數據的收集，沒有這樣的行政許可式的要求。僅僅是事后的備案要求：

　　第二十九條 重要數據的處理者，應當在識別其重要數據后的十五個工作日內向設區的市級網信部門備案，備案內容包括：

　　（一）數據處理者基本信息，數據安全管理機構信息、數據安全負責人姓名和聯系方式等；

　　（二）處理數據的目的、規模、方式、范圍、類型、存儲期限、存儲地點等，不包括數據內容本身；

　　（三）國家網信部門和主管、監管部門規定的其他備案內容。

　　處理數據的目的、范圍、類型及數據安全防護措施等有重大變化的，應當重新備案。

　　依據部門職責分工，網信部門與有關部門共享備案信息。

　　換句話說，重要數據的收集，不那么敏感。但是重要數據的對外提供和境外提供，非常敏感。

　　另外一點：對比《汽車數據安全管理若干規定（試行）》，這是目前唯一生效的明確界定重要數據的部門規章。在這個規定中，對重要數據在境內的“共享、交易、委托處理”，還是“發生合并、重組、分立等情況”，都僅僅規定了風險評估（第十條）和備案（第十三條）的要求而已，并沒有行政許可式的要求。這也體現了立法部門思路的演進。

　　本篇文章完。