中国数据出境合规监管
作者:斯响俊 何静澜 章依汇
本文结合最近的法律法规,对个人信息和重要数据出境的监管路径进行了梳理。
///
随着互联网的快速发展,在全球化的背景下,数据交互频繁,企业在日常业务中,难免涉及到数据出境。此前,《个人信息保护法》(《个保法》)、《数据安全法》(《数安法》)和《网络安全法》(《网安法》)对向境外提供数据都有作出相关规定,但只提出关键信息基础设施运营者以及达到国家互联网信息办公室(“网信办”) “规定数量”个人信息的处理者,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估,并未详细说明“规定数量”是多少,何谓“安全评估”,又要遵循什么“办法”来进行评估。2022年9月1日正式施行的《数据出境安全评估办法》(《出境评估办法》)以及配套的《数据出境安全评估申报指南(第一版)》(《出境评估申报指南》)在此基础上进一步填补了空缺,形成了中国数据出境合规的基本框架。
本文在现有法规的基础上,结合实务,对个人信息和重要数据出境的不同路径进行了梳理,以供参考。
一、个人信息的出境
I. 个人信息出境的前置合规
在进行个人信息出境活动前,首先应遵守以下三点基本要求:
1. 告知
个人信息处理者应当告知个人信息主体:
1)个人信息处理者的(i)名称或者姓名和联系方式,(ii)个人信息的处理目的、处理方式、处理的个人信息种类、保存期限,以及(iii)个人信息主体可向个人信息处理者行使《个保法》下规定权利的方式和程序[1];
2)境外接收方的(i)名称或者姓名、联系方式,(ii)处理目的、处理方式、处理的个人信息种类,以及(iii)个人信息主体向境外接收方行使《个保法》下规定权利的方式和程序[2]。
2. 取得同意
个人信息处理者还应当:
1)就个人信息的处理向个人信息主体取得同意[3];
2)就个人信息的出境向个人信息主体取得单独同意。
3. 进行个人信息保护影响评估(Personal Information Protection Impact Assessment, 以下简称“PIPIA”)
向境外提供个人信息的情形下,还应当事前进行PIPIA,并对处理情况进行记录。PIPIA报告和处理情况记录至少保存三年[4]。
II. 个人信息的三种出境路径
根据《个保法》第三十八条,个人信息出境有三条路径,分别为:(i)安全评估,(ii)安全认证,以及(iii)标准合同。
1. 关键信息基础设施运营者和达到 “规定数量”的个人信息处理者:安全评估
1)什么是“规定数量”
根据《出境评估办法》第四条,“规定数量”指的是个人信息处理者处理或传输的个人信息达到以下门槛的数量:
i)处理100万人以上个人信息的数据处理者;
ii)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者。
2)达到“规定数量”的后果
对于达到上述“规定数量”的个人信息处理者向境外提供个人信息的,需要报网信办进行安全评估。
需要注意的是:
i)对于关键信息基础设施的运营者来说,不存在“规定数量”一说,其任何个人信息出境,均需网信办的安全评估;
ii)为判断是否触发数据出境安全评估而统计个人信息数量,需要考虑的是涉及的个人信息主体数量,而并非个人信息具体条数;以及
iii)对于关键信息基础设施运营者和处理100万人以上个人信息的数据处理者,哪怕出境数据只涉及一个信息主体、只有一条个人信息出境,理论上也需申报。
3)风险自评估
在触发网信办安全评估的情况下,数据出境方应在进行出境安全评估申报前3个月内完成出境风险自评估,并将自评估报告以及其他申报材料(包括但不限于(i)申报书以及(ii)出境方与境外接收方拟订立的法律文件)提交省网信办报送国家网信办审查。
4)申报流程
根据《出境评估申报指南》,安全评估申报流程大致如下:
i)申报评估
需要申报的个人信息处理者应通过所在地省级网信部门提交申报材料。省级网信办收到申报材料后,在5个工作日内完成申报材料的完备性查验。通过完备性查验的,省级网信办将申报材料上报国家网信办;未通过完备性查验的,数据处理者将收到申报退回通知。
ii)开展评估
国家网信部门自收到申报材料之日起7个工作日内确定是否受理评估,并自出具书面受理通知书之日起45个工作日内完成数据出境安全评估;情况复杂或者需要补充、更正材料的,国家网信部门可以适当延长并告知数据处理者预计延长的时间。
iii)重新评估
评估结果有效期届满,或在有效期内出现《出境评估办法》第十四条中规定重新评估情形的,数据处理者应当重新申报数据出境安全评估。
已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,在收到国家网信部门书面通知后,数据处理者应终止数据出境活动并进行整改。数据处理者应在整改完成后重新申报评估[5]。
以下流程指引图供参考:
点击可查看大图
2. 其他个人信息处理者:安全认证
对于非关键信息基础设施运营者以及未达到 “规定数量”的个人信息处理者,无须申报出境安全评估,可根据《个保法》第三十八条第(二)项,按照国家网信部门的规定经专业机构进行个人信息保护认证,完成数据出境的合规。
2022年11月8日,全国信息安全标准化技术委员会(“信安标委”)发布了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0(征求意见稿)》(《认证规范2.0》),对此前发布的《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》(《认证规范1.0》)进行了修改和细化。
1)适用范围
《认证规范1.0》规定的适用范围非常局限,仅为:(i)跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动,以及(ii)境外个人信息处理者,在境外处理中华人民共和国境内自然人个人信息的活动。
《认证规范2.0》删除了《认证规范1.0》中对于适用范围的限制,改为“个人信息处理者开展个人信息跨境处理活动”,大大扩充了安全认证的适用范围。此外,《认证规范2.0》第2条“认证主体”中还增加了“申请认证的个人信息处理者应取得合法的法人资格,正常经营且具有良好的信誉、商誉”这一要求。
2)法律文件
与安全评估情形类似,《认证规范2.0》要求,开展个人信息跨境处理活动的个人信息处理者应与境外接收方签订具有法律约束力和执行力的文件。相较《认证规范1.0》,《认证规范2.0》对于法律文件内容提出了更为细化的要求,我们将在下文第3点展开说明。
3)认证要求
根据网信办2022年11月4日发布的《个人信息保护认证实施规则》(以下简称《认证实施规则》),进行安全认证的模式为:技术验证+现场审核+事后监督。
认证机构评估材料后,对符合认证要求的,颁发认证证书。认证证书有效期为3年。证书到期需延续使用的,认证委托人应当在有效期届满前6个月内提出认证委托。
具体认证程序实施细则,由各个认证机构根据《认证实施规则》进一步制定并公布。
3. 其他个人信息处理者:标准合同
1)什么是标准合同?
根据《个保法》第三十八条,对于非关键信息基础设施运营者以及未达到 “规定数量”的个人信息处理者,可以 “按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务”。
2022年6月30日,国家网信办发布《个人信息出境标准合同规定(征求意见稿)》并附上了《个人信息出境标准合同》样本。这一系列安排与欧盟GDPR的标准合同条款(Standard Contractual Clause, “SCC”)极为类似,因此被称为“中国版SCC”。
2)标准合同和前两种路径下“法律文件”的对比
中国版SCC中对于(i)个人信息处理者的权利义务,(ii)境外接收方的权利义务,(iii)境外接收方当地个人信息保护政策法规对于中国版SCC的影响,(iv)个人信息主体的权利,(v)救济,(vi)违约责任及(vii)适用法律与争议解决均作出了详细的规定。详细内容可见我们此前的分析文章:《Ins and Outs of China's SCC》。
我们将中国版SCC与前两种路径下“法律文件”的要求进行了详细对比,以下供参考:
点击可查看大图
由上表可见,相比《出境评估办法》和《认证规范2.0》中对于出境法律文件的要求,中国版SCC包含的要点是最广的。因此,虽然中国版SCC尚在征求意见阶段,实务中若参照中国版SCC与境外接收方签署相关法律文件,大概率可以满足前两种路径下对于法律文件的要求。
二、重要数据的出境
I. 重要数据出境的前置合规
《数安法》要求,重要数据的处理者应当明确数据安全负责人和管理机构、定期开展风险评估并向有关主管部门报送风险评估报告。2021年11月网信办发布的《网络数据安全管理条例(征求意见稿)》(《管理条例》)第四章中,也对重要数据者在识别重要数据后的备案、成立数据安全管理机构、制定数据安全培训计划、开展年度数据安全评估等要求作出了详细规定。
但对于如何识别重要数据,目前法规尚不明确,主要有以下两个问题待澄清:
1. 重要数据目录
《数安法》《管理条例》中,都提出要求本地区、本部门以及相关行业、领域制定重要数据目录。然而事实上目前除汽车行业和基础电信行业已制定了重要数据目录、工信行业的重要目录正在拟订中之外,其他行业领域的重要数据目录仍为空白[6]。
2022年出台的国标《信息安全技术 重要数据识别指南》(下简称《识别指南》)提出了重要数据的识别原则、识别因素,对于认定何种数据属于重要数据具有重大意义。2017年8月30日,信安标委还曾发布过《信息安全技术 数据出境安全评估指南》,其中详细地罗列了多行业的重要数据识别指南。但以上国标目前均未正式施行。
2. 重要数据是否包括个人信息
《网安法》第三十七条将个人信息与重要数据并列,似乎意味着“个人信息”与“重要数据”属于不交叉的两个类别。2022年9月14日发布的国标《信息安全技术 网络数据分类分级要求(征求意见稿)》中也提到,仅影响组织自身或公民个体的数据一般不作为重要数据。
但与此同时,目前未生效的《识别指南》表示,虽然重要数据不包括个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。此外,汽车行业立法与实操中均已采纳并实施的重要数据目录里,更是明确包括了“涉及个人信息主体超过10万人的个人信息”。
由此可见,个人信息与重要数据之间目前似乎并不存在十分清晰的界线。
II. 重要数据出境:安全评估
根据《出境评估办法》,重要数据的出境必须通过安全评估。具体评估流程与个人信息出境安全评估的流程相同。
三、数据出境的其他合规要求
如果法律法规对于数据出境有其他合规要求的,还应满足该等要求。比如:
1.《网络安全审查法》中规定,到达规定数据处理量的网络平台经营者在国外(不包括香港)上市,还需同时向网络安全审查办公室申报网络安全审查;
2.《关于加强车联网网络安全和数据安全工作的通知》中规定,智能网联汽车生产企业、车联网服务平台运营企业需向境外提供重要数据的,还需同时向所在省(区、市)通信管理局、工业和信息化主管部门报备;
3.《个保法》[7]及《数安法》[8]还规定,对于外国司法或者执法机构关于提供存储于境内个人信息或数据的请求,中华人民共和国主管机关应当根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则处理。
四、结语
个人信息和重要数据的出境一直以来都是数据合规中的一大难题。2021年《个保法》刚出台及生效时,对于第三十八条个人信息出境的路径有多种解读。但仅一年时间,数据出境相关法律法规及配套文件相继出台,各地网信办也陆续公开了咨询通道、为企业的实践给予指导。相比去年此时的模糊状态,现在的数据出境监管路径正在逐渐变得清晰。对于企业来说,随着监管细则的相继出台,其合规风险也会变得更加切实,因此应当尽快梳理其数据出境情况、及时采取相应的措施,以防范和化解相应的法律风险。
[注]
[1]《中华人民共和国个人信息保护法》第十七条
[2]《中华人民共和国个人信息保护法》第三十九条
[3] 但有《中华人民共和国个人信息保护法》第十三条第一款第二项至第七项规定情形的除外。
[4]《中华人民共和国个人信息保护法》第五十五条。
[5]《数据出境安全评估办法》第十七条
[6] 金融、医疗等行业虽未制定重要数据目录,但已有数据分类分级指南,可能具有对重要数据的识别具有参考意义。
[7]《中华人民共和国个人信息保护法》第四十一条
[8]《中华人民共和国数据安全法》第三十六条
作者简介
斯响俊 律师
上海办公室 合伙人
业务领域:投资并购和公司治理, 网络安全和数据保护, 劳动人事
特色行业类别:能源与自然资源
何静澜 律师
上海办公室 公司业务部
章依汇
上海办公室 公司业务部
作者往期文章推荐
《中国网络安全、数据安全和个人信息保护法概览》
《NFT在中国面临的法律监管》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。