国家相继出台《数据安全法》(21年9月已经生效)(“数安法”)、《个人信息保护法》(21年11月已经生效)(“个保法”),与此前2017年生效的《网络安全法》(“网安法”)共同构成了现阶段中国数据与信息领域的基本法律体系。近期相关部门又发布了一系列的征求意见稿,如21年9月的《信息安全技术 重要数据识别指南(征求意见稿)》,21年10月的《数据出境安全评估办法(征求意见稿)》,21年11月的《网络数据安全管理条例(征求意见稿)》,征求意见稿并非生效法律,但是代表了立法动态,具有参考和指导意义。
21年12月31日全国信息安全标准化技术委员会秘书处刚发布《网络安全标准实践指南——网络数据分类分级指引》,用于指导数据处理者开展数据分类分级工作,也可为主管监管部门进行数据分类分级管理提供参考1;22年1月4日国家互联网信息办公室又公布《网络安全审查办法》(自22年2月15日起施行),就这两部新规相关要点,本文也将予以体现。
跨国公司常常需要将在中国境内产生收集的业务运营数据(如市场、客户数据、个人信息等)和境外总部或集团成员互通分享。如何合法合规地和境外分享这些数据?需要遵循什么要求和程序?出台的法律对该互通分享有何影响?我们相信,这些都是企业萦绕于心的问题。为此,我们推出系列文章,分别从数据出境规制概览、个人信息出境、重要数据出境等方面进行梳理并提出实务建议。
本系列往期文章《数据合规 | 境内数据出境,你必须知道的那些事(一)数据出境规制概览》,我们讨论了何谓数据出境,数据处理主体有哪几类,从而得出小结:法律重点监管和规制个人信息及重要数据出境;个人信息和重要数据之外的一般数据出境,目前生效施行的法律没有规定要求,可以自由出境。本文作为系列之(二),我们为大家梳理讨论什么是个人信息,个人信息出境需遵循的程序和要求,以及什么情形下不得向境外提供个人信息。
1、什么是个人信息?具体指哪些信息?
个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。具体哪些属于个人信息呢?参考21年12月31日最新发布的《网络安全标准实践指南——网络数据分类分级指引》(《实践指南》)5.2.2条,按照涉及的自然人特征,个人信息可分为下述 16 个类别2,具体分类示例见《实践指南》附录 B。
2、个人信息出境应遵循哪些程序和要求?
跨国公司与境外公司分享的数据中如果有个人信息,应遵守有关个人信息出境的下述通用要求和相应的特殊要求:
2.1 通用要求
单独同意是指数据处理者在开展具体数据处理活动时,对每项个人信息取得个人同意,不包括一次性针对多项个人信息、多种处理活动的同意(参考《网络数据安全管理条例(征求意见稿)》第73条第(八)项)。
企业在收集个人信息时已单独就个人信息出境取得个人同意,且按照取得同意的事项出境的,无需再次取得个人单独同意(参考《网络数据安全管理条例(征求意见稿)》第36条)。
如果涉及到员工个人信息的跨境,在符合《个保法》第十三条第一款“(二)为订立、履行个人作为一方当事人的合同【所必需】,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理【所必需】”向境外提供员工信息,无需取得员工单独同意;如不是所必需,则同样需要员工单独同意。(就是否需要员工单独同意问题,可详见我们往期文章《数据合规 |《个人信息保护法》之员工个人信息,你需要知道的那些事(一)核心原则和“告知-同意”》,在信息出境场景下,公司应更为谨慎判断)。
(可参考《数据出境安全评估办法(征求意见稿)》第五条所列,企业自行进行评估,并将评估报告和处理情况至少保存三年。)
2.2 根据主体性质应遵循的特殊要求:
注1:CIIO是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等的运营者。前述重要行业和领域的主管部门、监管部门制定关键信息基础设施认定规则,并将认定结果通知运营者。认定规则尚未出台,仍待明确。
注2:“国家网信部门规定数量”尚待立法进一步明确,参考《数据出境安全评估办法(征求意见稿)》第四条,数据处理者如 “处理个人信息达到一百万人”或“累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息”,该数据处理者向境外提供个人信息,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估(即特殊要求(2))。另需注意的是,根据22年1月4日刚刚公布的《网络安全审查办法》(自22年2月15日起施行)第七条的规定,掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查(提交材料、评估内容和审查流程等具体见该办法)。
注3:参考目前《网络数据安全管理条例(征求意见稿)》第35条,数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的,或者为了保护个人生命健康和财产安全而必须向境外提供个人信息的,无论是A、B还是C类主体,均无需满足特殊要求。
3、不得向境外提供个人信息的情形
有三种不得向境外提供个人信息的情况:
(1)未经国家主管机关批准,向境外司法机构或执法机构提供3;
(2)境外接收方被列入在限制、禁止个人信息提供清单中4;
(3)任何国家或者地区在个人信息保护方面对中国采取了歧视性禁止、限制或者其他类似措施5。
我国的限制、禁止个人信息提供清单尚未公布,清单由网信部门公示。
4、小结
如果公司和境外集团公司分享的运营数据中含有个人信息:公司需遵循上述通用要求和对应的特殊要求。
关于2.1所列通用要求,公司需要遵循所列(1)-(3)项。
关于2.2所列特殊要求,公司首先需要判断自身是否为A-CIIO,如果判断不是CIIO, 接着需要判断是否是B-处理个人信息达到国家网信部门规定数量的个人信息处理者,如果符合其一,则需遵守上述2.2特殊要求所列 (1)和(2)。如果公司不是A或B, 则是C-非CIIO的其他数据处理者,仅需满足(a)或(b)二者之一即可,建议直接采用后者。
注释及参考文献:
1、来源:全国信息安全标准化技术委员会秘书处《网络安全标准实践指南——网络数据分类分级指引》之“摘要”。
2、来源:全国信息安全标准化技术委员会秘书处《网络安全标准实践指南——网络数据分类分级指引》之“5.2.2 个人信息分类”。
3、《个人信息保护法》第四十一条:“非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。”
4、《个人信息保护法》第四十二条:“境外的组织、个人从事侵害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。”
5、《个人信息保护法》第四十三条:“任何国家或者地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。”
