中伦观点 | 个人信息和重要数据出境法案对企业合规的新挑战
一、新规的颁布
数据跨境流动一直以来就是数据合规的难点和风险所在,即将实施的《网络安全法》确定了跨境传输的安全审查机制,但是谁应该进行评估、如何进行安全评估等问题均悬而未决。
2017年4月11日,国家互联网信息办公室(“网信办”)颁布了《个人信息和重要数据出境安全评估办法(征求意见稿)》(简称“新规”)。新规虽然是意见稿,考虑到中国立法程序的基本规律,意见稿的结构和大部分内容将会在正式法案中得以保留。
因此,新规作为《网络安全法》的配套法案(非正式),将作为企业进行数据信息规范、合规管理的重要参考。
二、对企业数据信息管理的合规
对于企业来说,新规对其数据信息的管理提出要求。笔者认为,企业尤其应当关注以下几点方面的合规:
(一) 境内存储数据
网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。此条所含的合规要求为:
1
所有的网络运营者,而非仅关键信息基础设施,都是境内存储义务所涵盖的主体。按照《网络安全法》的规定,网络运营者是指网络的所有者、管理者和网络服务提供者(此定义包含的网络运营主体,我们理解包括一般网站,平台网站,工业控制网络,内部办公网络,与境内有数据交换的境外网络系统等)。因此,所有涉及网络运营的企业均有新规设定的合规义务。
2
存储标准采用属地原则,仅针对境内运营中收集和产生的数据。
3
并不是所有信息都必须在境内存储。个人信息的定义与《网络安全法》所规定的一致,指的是以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。根据《网络安全法》的规定,经过处理无法识别特定个人且不能复原的信息,不属于个人信息之列。
4
重要数据在此次立法中仅作概括式的表述。新规确定重要数据是与国家安全、经济发展,以及社会公共利益密切相关的数据,但是其具体范围需参照国家有关标准和重要数据识别指南。可以看出,重要数据的轮廓已日渐清晰,趋向于国计民生、公共利益相关的重大数据资料。但企业仍需要等待指南的出现,才能进一步明确其具体的合规义务。
(二)数据安全评估
数据安全评估是规制数据跨境的“必经之路“,也是新规中着墨最多的地方。新规对启动安全评估的前提、评估的内容、评估的机构、评估的方式等等进行了较为具体的规定,是企业数据合规参照的重点。
1.安全评估的前提
(1)规制数据出境
数据出境是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据(统称“规制数据”),提供给位于境外的机构、组织、个人。可以看出,“境外”是物理边界,而“提供”的含义较广,不仅包括境内向境外以任何方式提供,也指境外通过相关方式读取、获取规制数据。
(2)业务需要(必要性)
根据新规的规定,安全评估中必须论述规制数据出境的必要性。由于新规对必要性没有进一步限定,故这种必要性可以作较为“宽泛”的解读,如基于公司管理的要求、上市公司披露和申报的要求、开展正当业务的要求等,都可以被视为具有必要性。
因此,在进行安全评估前,应当确认是否符合以上前提,上述先决条件不具备的,不符合安全评估的基本要素。
2.评估的内容
除了上述必要性之外,评估的内容重点在以下方面:
(1)个人信息的评估
个人信息评估不仅包含个人信息的数量、范围、类型、敏感程度,还包括个人信息主体是否同意其个人信息出境等。我们认为,这里的“同意”不能做宽泛的理解,就是指书面同意或者任何能够证明其做出同意之意思表示的合法证据。
(2)数据接收方诚意和能力的评估
诚意评估体现在规制数据出境及再转移后,要将被泄露、毁损、篡改、滥用等风险降到最低;能力评估指数据接收方的安全保护措施和水平,以及对所在国家和地区的网络安全环境等内容的评估。
(3)公共利益的评估
公共利益评估重点在规制数据出境及出境规制数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险。
可见,企业安全评估涉及的内容较多,专业性较强,不仅涉及企业自身数据合规体系的建设评价、重点法律问题的查明,也包含境内外有关风险的披露和评价。
3.安全评估机构
(1)自我评估
新规设定的评估机制是自我评估为主,构成特别规制数据的则必须经法定机构评估。评估的时点为规制数据出境之前,网络运营者须对自己的评估结果负责。自我评估是新规设定的重要合规义务之一,对于缺乏独立自我评估能力的网络运营者,建议聘请专业、有经验的第三方服务机构,按照法规要求对企业进行相应评估。
(2)法定机构评估
构成新规第九条规定的特别规制数据的,需要向行业主管和监管部门申请安全评估。如主管或监管部门不明确的,应当向网信办申请评估。值得注意的是,法定安全评估的时限为60个工作日,考虑到主管或监管部门一般为政府机构,如商务部、银监会、保监会等,网络运营者在数据合规机制设定时,需考虑特别规制数据出境前法定机构评估的时间跨度和难度。
4.评估周期及法律责任
(1)年度评估
根据新规,网络运营者应根据业务发展和网络运营情况,每年对数据出境至少进行一次安全评估,评估后进行相应报备。当数据接收方出现变更,数据出境目的、范围、数量、类型等发生较大变化,数据接收方或出境数据发生重大安全事件时,应及时重新进行安全评估。
因此,年度评估为强制性评估义务,其时间的起算应从上次评估的日期计算。对于网络运营者,需要把握年度评估的时间和流程,以免对正常运营造成不利影响。而对于重新评估事项,新规并未明确何为“较大变化”情形,会对企业评估造成模糊和困扰,因此只能等待进一步的细则或规定出台。
(2)相关法律责任
新规并未就法律责任进行具体规定,但规定了定期安全检查和举报制度。一旦主管机关查实网络运营者未按照规定履行评估义务,违规者将按照《网络安全法》及有关法律的规定承担行政法律责任和民事责任。
值得注意的是,《刑法修正案(九)》专章列明了两项相关罪名——“拒不履行信息网络安全管理义务罪”和“出售、非法提供公民个人信息罪”,特别是“拒不履行信息网络安全管理义务罪”,只要网络信息服务提供者不履行相关安全管理义务,经监管部门责令措施拒不改正,具有法定情形的,即会构成本罪。
三、企业数据信息管理的挑战
新规有关义务的设定,延续了《网络安全法》对跨境数据从严监管的监管趋势。在严峻的监管要求和全球一体化的竞争环境中,新规对跨国企业的合规体系提出了新的挑战,重点表现为:
1
与评估监管机构的配合
评估监管机构的设定机制为各自行业监管,而非统一机构,因此在评估中容易造成尺度不一等对企业不利的情况发生。且行业监管机构在数据评估上缺乏相关经验,对于适用法定机构评估情形的企业而言,需要紧密的与对应监管机构进行沟通和配合,才能达到预期目标。
2
与外部机构的合作
为符合新规设定的各项义务,特别是普通数据的年度和特别安全评估,对于缺乏相应法律和技术能力的网络运营者,需要及早规划与专业外部机构的联络配合机制。
3
个人信息的管理趋严
由于用户同意成为唯一的授权手段,网络运营者必须对个人信息进行系统完善的风险管理,以应对新规中的基本要求。
随着《网络安全法》实施日期的临近,各配套法案也呼之欲出。从新规的立法方法和具体规定来看,虽不会超出《网络安全法》的范畴,但是在实操层面仍会对网络运营者的合规部门形成不小的挑战。从长远来看,搭建系统的数据保护和管理体系,建立符合企业发展需要的独立数据评估机制是网络运营者们的必由之路。这既是法案对网络运营者提出的要求,同时也是企业保护自身和客户利益、提高用户信任度和自身市场信誉度的战略需要,可谓鱼与熊掌兼得!
此文为LexisNexis律商联讯特约撰稿。
特别声明:
以上所刊登的文章仅代表作者本人观点,不得视为北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜。并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
作者简介:
蔡鹏 律师
非权益合伙人 北京办公室
业务领域:知识产权,收购兼并,银行与金融