国家相继出台《数据安全法》(21年9月已经生效)(“数安法”)、《个人信息保护法》(21年11月已经生效)(“个保法”),与此前2017年生效的《网络安全法》(“网安法”)共同构成了现阶段中国数据与信息领域的基本法律体系。近期相关部门又发布了一系列的征求意见稿,如21年9月的《信息安全技术 重要数据识别指南(征求意见稿)》,21年10月的《数据出境安全评估办法(征求意见稿)》,以及21年11月的《网络数据安全管理条例(征求意见稿)》,征求意见稿并非生效法律,但是代表了立法动态,具有参考和指导意义。
跨国公司常常需要将在中国境内产生收集的业务运营数据(如市场、客户数据、个人信息等)和境外总部或集团成员互通分享。如何合法合规地和境外分享这些数据?需要遵循什么要求和程序?出台的法律对该互通分享有何影响?我们相信,这些都是企业萦绕于心的问题。为此,我们将推出系列文章,分别从数据出境规制概览、个人信息出境、重要数据出境等方面进行梳理并提出实务建议。本文作为系列之(一),梳理讨论什么数据出境受法律规制、何谓数据出境、以及数据处理主体分类。
整体来看,国家的基本态度,是鼓励一般数据的出境流动,重点监管个人信息及重要数据的出境。
《个人信息保护法》第三章“个人信息跨境提供的规则”对个人数据跨境进行了专章规定。《网络安全法》(第三十七条)1和《数据安全法》(第三十一条)2对重要数据出境进行了规定。
目前生效法律没有就个人信息和重要数据之外的一般数据出境规定要求。值得注意的是,《数据出境安全评估办法(征求意见稿)》和《网络数据安全管理条例(征求意见稿)》就一般信息跨境也规定了“与境外数据接收方订立合同”3以及“事先开展数据出境风险自评估”4的要求。
参考2017年《信息安全技术 数据出境安全评估指南(征求意见稿)》5,数据出境是指:网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。
(1)向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据;
(2)数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);
(3)网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。
(1)非在境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动或加工处理的;
(2)非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的。
主体有两类:(1)关键信息基础设施运营者(“CIIO”),是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等的运营者6。前述重要行业和领域的主管部门、监管部门制定关键信息基础设施认定规则,并将认定结果通知运营者。认定规则尚未出台,仍待明确。(2)非CIIO的其他数据处理者7。
跨国公司在中国境内收集的业务运营数据(如客户信息、市场信息、个人信息等)和境外公司或机构互通分享,如果涉及个人信息和重要数据,属于数据出境,会受到规制,系列后续文章会就个人信息出境合规和重要数据出境合规进行详述。
重要数据和个人信息以外的一般数据的跨境分享,以目前正式施行的法律法规来看,可以自由出境。但我们也需紧密关注两部相关征求意见稿的立法动态,看是否会对一般数据跨境产生影响。
注释及参考文献:
1、《中华人民共和国网络安全法》第三十七条:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”
2、《中华人民共和国数据安全法》第三十一条:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。”
3、《网络数据安全管理条例(征求意见稿)》第三十五条:“数据处理者因业务等需要,确需向中华人民共和国境外提供数据的,应当具备下列条件之一:(一)通过国家网信部门组织的数据出境安全评估;(二)数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证;(三)按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同,约定双方权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件。数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的,或者为了保护个人生命健康和财产安全而必须向境外提供个人信息的除外。”
4、《数据出境安全评估办法(征求意见稿)》第五条:“数据处理者在向境外提供数据前,应事先开展数据出境风险自评估,重点评估以下事项:(一)数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;(二)出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;(三)数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险;(四)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;(五)数据出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;(六)与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。”
5、尽管2021年10月《数据出境安全评估办法(征求意见稿)》的发布在一定程度上取代了2017年的《信息安全技术 数据出境安全评估指南(征求意见稿)》的部分规定,但就“数据出境”这个概念,无论是网安法、数安法、个保法还是此后出台的各征求意见稿,都只是用到了这一概念而未做出明确界定。故具体哪些行为会被认定为“数据出境”,在尚无官方规定的情况下,我们认为《信息安全技术 数据出境安全评估指南(征求意见稿)》中的规定可以作为参考。
6、见《关键信息基础设施安全保护条例》第二条。
7、见注释2。
