数据的价值在于流通。随着数字经济的蓬勃发展,数据跨境活动日益频繁,数据出境需求快速增长1。数据出境活动是监管重点,企业在跨境服务、跨境交易、跨境合作、跨境管理活动都会涉及到数据出境。如何合法合规地和境外分享境内产生的数据?需要遵循什么要求和程序?我们相信,这些都是企业萦绕于心的问题。为此,我们推出《境内数据出境,你必须知道的那些事》系列文章。
2022年7月7日,网信办发布《 数据出境安全评估办法》(下称“《 评估办法》”),于2022年9月1日起正式施行。《评估办法》正式确定了重要数据和个人信息出境的监管机制,是落实《网络安全法》(2017年6月生效)、《数据安全法》(2021年9月生效)和《个人信息保护法》(2021年11月生效)有关数据出境规定的重要举措。此外,就个人信息出境,国家信息安全标准化技术委员会于2022年6月24日发布了《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》(下称“《认证规范》”),网信办于2022年6月30日发布了《个人信息出境标准合同规定(征求意见稿)》(下称“《标准合同规定》”或“SCC”)。
上述数据出境配套措施和规则在本系列文章《(一)数据出境规则概览》、《(二)个人信息出境合规》、《(三)重要数据出境合规》之后相继落地。本文作为系列之(四),旨在协助企业及时了解《评估办法》要点,综合梳理讨论数据出境的合规路径,以期为企业有效选择正确的合规路径提供指引和参考。
根据网信办有关负责人于7月7日就《数据出境安全评估办法》答记者问,数据出境活动主要包括:一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。(何谓数据出境,详见本系列文章《(一)数据出境规则概览》)
由此可见,向境外提供数据不仅限于物理上的传输至境外(例如邮件发送、上传至境外服务器),还包括境外机构访问或调用境内服务器的情况。在个别场景下,如境内企业的境外关联机构或境外合作伙伴可以访问存储于中国服务器中的相关数据,或在境内向境外机构展示或允许其在境内查看境内的数据或文件信息,均有可能涉及“数据出境”的合规问题。
根据《评估办法》第四条,下述(一)-(四)中任一数据出境活动,应当采用向企业所在地省级网信部门申报安全评估作为向境外提供数据的合规路径,不得选择其他路径,完成申报安全评估且评估结果允许出境后,企业方可开展数据出境活动。
根据《数据安全法》的规定,各地区、各部门应当确定本地区、本部门以及相关行业、领域的重要数据具体目录。相关部门尚未发布该等具体目录,企业可先行参考2022年1月13日发布的国家标准《信息安全技术 重要数据识别指南(征求意见稿)》中提出的重要数据识别因素,识别企业自身是否具有重要数据。(重要数据识别,详见系列文章《(三)重要数据出境合规》)
CIIO由行业的主管部门认定和通知。企业可以依据《网络安全法》、国务院发布并于2021年9月1日施行的《关键信息基础设施安全保护条例》、公安部于2020年发布的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》、网信办网络安全协调局于2016年6月公布的《国家网络安全检查操作指南》,参考2020年8月发布的国家标准《信息安全技术 关键信息基础设施边界确定方法(征求意见稿)》,初步判断自己是否可能属于CIIO。
该条采用累计计算标准,意味着数据处理者若在最长2年(上年1月1日到今年12月31日)的期限内“多次”进行个人信息出境,“累计”达到“10万人”个人信息或“1万人”敏感个人信息,也需要申报安全评估。
该条作为兜底条款,为未来可能产生的其他适用《安全评估办法》的情形留下空间,如《网络数据安全管理条例(征求意见稿)》所规定核心数据的出境。
数据出境风险自评估为申报安全评估的前置流程,在申报安全评估前,企业应当开展数据出境风险自评估,提前准备完备申报书、自评估报告等申报材料,并向企业所在地的省级网信部门提交。
《评估办法》第五条和第八条分别就自评估和安全评估的重点评估事项进行了规定,两者在内容上有一定重叠,安全评估范围相比于自评估范围更大。相比自评估,安全评估额外评估:境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求;数据安全和个人信息权益是否能够得到充分有效保障;遵守中国法律、行政法规、部门规章情况。《评估办法》第九条还就作为自评估和安全评估的重要组成部分的数据跨境法律文件应当包含的内容进行规定。因此,我们理解企业在自行开展数据出境风险自评估时,基于对安全评估的整体流程和内容认知,不应将自评估内容局限于《评估办法》第五条所列举的自评估事项,宜充分考量安全评估的事项和数据跨境法律文件条款,以提高一次性通过网信部门安全评估的成功率。
数据出境安全评估的有效期为两年,企业需定期在有效期届满60个工作日前,或有效期内出境情况变化时重新申报评估及完成数据出境自评估。违反《评估办法》规定的,将依据《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。2
根据《个人信息保护法》,结合《评估办法》,参考《认证规范》和《标准合同规定》(SCC),个人信息出境之合规路径,应同时满足下述(1)+(2)+(3)中的条件:
个人信息处理者向中国境外提供个人信息的,应当向个人告知境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式等事项,并取得个人的单独同意。3
个人信息处理者应当事前进行个人信息保护影响评估(PLA)4,该评估属于企业自评估的性质,评估内容包括:①个人信息的处理目的、处理方式等是否合法、正当、必要;②对个人权益的影响及安全风险;③所采取的保护措施是否合法、有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。5
但是本文第2.1所述之(二)和(三)应当适用 (a)申报安全评估,其他情形可以选择适用(a)或 (b) 或 (c)。
(a)申报安全评估(详见本文第2部分);
(b)按照国家网信部门的规定经专业机构进行个人信息保护认证;
《认证规范》受制于其体例与效力层级,个人信息保护认证的具体有权认证机构、程序与要求等,仍待网信办后续进一步发布相关法规予以明晰。根据《认证规范》,个人信息跨境处理活动安全认证的适用情形相对较狭窄,仅包括跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动,以及境外处理境内自然人个人信息的活动。
(c)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务。
待《标准合同规定》正式施行后,企业可据此与境外接收方签订标准合同并在10个工作日内向省级网信部门备案。《标准合同规定》并未规定对备案材料进行实质性审查,也未将完成备案作为数据出境的前置步骤。标准合同生效后,个人信息处理者即可开展个人信息出境活动。值得注意的是,备案虽不是合同生效的前提,但不备案可能会导致网信部门责令改正、责令停止个人信息出境活动等处罚。SCC在个人信息出境方面适用范围广泛,且相较于安全评估和保护认证,SCC也是较为简便、成本较低的路径。
依据《评估办法》第二条“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法。法律、行政法规另有规定的,依照其规定。”
以医疗健康行业的企业为例,如果出境数据包含人口健康数据、地图数据、人类遗传资源信息等医疗健康数据,企业应遵循行业内生效法律法规的规定进行数据出境。此外,参考2021年发布的《重要数据识别指南(征求意见稿)》中提出的重要数据识别因素,如果出境的特定医疗健康数据落入“重要数据”范畴,企业还需要完成“重要数据”出境的安全申报评估,企业应当对此保持关注。
在数据出境具体实践中,企业应从企业属性以及数据类型两个维度综合评估和判断适用的出境规则和合规路径,一是评估自身是否可能落入CIIO的范畴,二是识别出境数据类型是否涉及个人信息、重要数据、出口管制事项以及特殊行业数据。
当企业落入CIIO范畴,在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储,确需向境外提供的,不论数据类型为个人信息或重要数据,不论数据量多少,都应根据本文第2部分向网信部门申请安全评估,在安全评估通过后,方才可以向境外传输。
无论企业是否为CIIO,也无论出境数据数量有多少,只要向境外提供的数据中包含“重要数据”,都应当根据本文第2部分向国家网信部门申报出境安全评估。因此,企业尽快落实重要数据的识别工作显得尤为重要。待各主管部门负责制定的重要数据目录公布并正式施行后,将成为各行业重要数据识别的重要依据,企业可以据此再次进行重要数据的认定。
个人信息出境,要评估企业属性、处理个人信息的规模、出境数据规模,从而确定应当根据本文第2部分采用申报安全评估还是可以根据本文第3部分选择申报安全评估、认证或标准合同。
我们将会持续关注数据出境领域的法律法规更新动态,并在后续文章中予以分享。
注释及参考文献:
1、国家网信办就《数据出境安全评估办法》答记者问。
2、《数据出境安全管理办法》第十八条。
3、《个人信息保护法》第三十九条。
4、《个人信息保护法》第五十五条。
5、《个人信息保护法》第五十六条。
-
lanboyang@hengtai-law.com
-
021-68816261
-
Corporate and M&A/Dispute Resolution/Healthcare and Life Sciences/Foreign-related Business
-
Chinese、English
