数安条例非常具有特色和原创性的一方面就是将数据处理的主体发生变更，作为一种高风险动作，进而提出了增强的安全要求。这方面值得各位重视。

　　何为数据处理的主体发生变更？在条例中有两种情况：一是数据对外提供，具体包括“共享、交易、委托处理”；二是数据处理者发生合并、重组、分立等情况的。实际上还有数据向境外提供，上一篇文章做了分析【数安条例 | 数据跨境安全管理】，此处就不再赘述。

　　对于情形一：数安条例主要在第十二条做了一般性规范。

　　第十二条 数据处理者向第三方提供个人信息，或者共享、交易、委托处理重要数据的，应当遵守以下规定：

　　（一）向个人告知提供个人信息的目的、类型、方式、范围、存储期限、存储地点，并取得个人单独同意，符合法律、行政法规规定的不需要取得个人同意的情形或者经过匿名化处理的除外；

　　（二）与数据接收方约定处理数据的目的、范围、处理方式，数据安全保护措施等，通过合同等形式明确双方的数据安全责任义务，并对数据接收方的数据处理活动进行监督；

　　（三）留存个人同意记录及提供个人信息的日志记录，共享、交易、委托处理重要数据的审批记录、日志记录至少五年。

　　数据接收方应当履行约定的义务，不得超出约定的目的、范围、处理方式处理个人信息和重要数据。

　　分析起来有这么以下要点：

　　1、个人信息的对外提供要详细告知，该取得同意的需要取得同意。但是存在《个人信息保护法》第十三条规定的（二）至（七）的情形时，无需取得同意。

　　2、无论是个人信息和重要数据的对外提供，都要和下游签订明确的合同。

　　3、上游要留存相关记录，为未来接受监督做好准备。

　　4、下游要遵守合同约定，“不得超出约定的目的、范围、处理方式处理个人信息和重要数据”。

　　但是对于重要数据，数安条例除了一般性规范之外，还提出了更进一步的安全要求，主要是数安条例的第三十二条和第三十三条。

　　第三十二条 数据处理者开展共享、交易、委托处理、向境外提供重要数据的安全评估，应当重点评估以下内容：

　　（一）共享、交易、委托处理、向境外提供数据，以及数据接收方处理数据的目的、方式、范围等是否合法、正当、必要；

　　（二）共享、交易、委托处理、向境外提供数据被泄露、毁损、篡改、滥用的风险，以及对国家安全、经济发展、公共利益带来的风险；

　　（三）数据接收方的诚信状况、守法情况、境外政府机构合作关系、是否被中国政府制裁等背景情况，承诺承担的责任以及履行责任的能力等是否能够有效保障数据安全；

　　（四）与数据接收方订立的相关合同中关于数据安全的要求能否有效约束数据接收方履行数据安全保护义务；

　　（五）在数据处理过程中的管理和技术措施等是否能够防范数据泄露、毁损等风险。

　　评估认为可能危害国家安全、经济发展和公共利益，数据处理者不得共享、交易、委托处理、向境外提供数据。

　　分析总结：

　　1、提出了重要数据发生共享、交易、委托处理、向境外提供前，应当自行开展安全评估。

　　2、安全评估考虑的重点是数据接收方的身份、履约和承担责任的能力、用途、合同中约定的数据安全措施的有效性和可执行性，以及可能对“国家安全、经济发展、公共利益带来的风险”。

　　3、如果评估后发现还是“可能危害国家安全、经济发展和公共利益”，则“不得共享、交易、委托处理、向境外提供数据”。

　　第三十三条 数据处理者共享、交易、委托处理重要数据的，应当征得设区的市级及以上主管部门同意，主管部门不明确的，应当征得设区的市级及以上网信部门同意。

　　这是一个行政许可式的要求了。相当于主管部门或者网信部门要审核安全评估的情况，并做出允许或者禁止的决定。

　　对于情形二：数安条例主要在第十四条做了规范。

　　第十四条 数据处理者发生合并、重组、分立等情况的，数据接收方应当继续履行数据安全保护义务，涉及重要数据和一百万人以上个人信息的，应当向设区的市级主管部门报告；数据处理者发生解散、被宣告破产等情况的，应当向设区的市级主管部门报告，按照相关要求移交或删除数据，主管部门不明确的，应当向设区的市级网信部门报告。

　　对这个条文，可以做如下解读：

　　1、数据处理者发生“合并、重组、分立等情况”，实际上就存在一个新的主体来承接数据。新的数据处理主体出现，被认为是高风险处理动作之一。

　　2、如果“涉及重要数据和一百万人以上个人信息的，应当向设区的市级主管部门报告”。但此处并没有明确“报告”的含义。但公号君认为，立法者的意图应该是要求数据处理者在“合并、重组、分立”之前，按照情形一中的要求，开展安全评估，并将安全评估结果提交给主管部门，取得其批准。

　　3、如果数据处理者不复存在——发生解散、被宣告破产等，则应当移交或删除数据，并将有关情况报告主管部门。

　　最后做一个总结，为什么公号君认为数安条例把数据处理的主体变更作为高风险处理情形之一，原因在于，对于重要数据的主体发生变更，无论是发生了“共享、交易、委托处理、向境外提供”，还是“发生合并、重组、分立等情况”，数安条例事实上设立了行政许可。

　　很有意思的是，对于重要数据的收集，没有这样的行政许可式的要求。仅仅是事后的备案要求：

　　第二十九条 重要数据的处理者，应当在识别其重要数据后的十五个工作日内向设区的市级网信部门备案，备案内容包括：

　　（一）数据处理者基本信息，数据安全管理机构信息、数据安全负责人姓名和联系方式等；

　　（二）处理数据的目的、规模、方式、范围、类型、存储期限、存储地点等，不包括数据内容本身；

　　（三）国家网信部门和主管、监管部门规定的其他备案内容。

　　处理数据的目的、范围、类型及数据安全防护措施等有重大变化的，应当重新备案。

　　依据部门职责分工，网信部门与有关部门共享备案信息。

　　换句话说，重要数据的收集，不那么敏感。但是重要数据的对外提供和境外提供，非常敏感。

　　另外一点：对比《汽车数据安全管理若干规定（试行）》，这是目前唯一生效的明确界定重要数据的部门规章。在这个规定中，对重要数据在境内的“共享、交易、委托处理”，还是“发生合并、重组、分立等情况”，都仅仅规定了风险评估（第十条）和备案（第十三条）的要求而已，并没有行政许可式的要求。这也体现了立法部门思路的演进。

　　本篇文章完。