更上层楼一览:数据出境安全评估申报近期动态与实操指南丨数据出境合规解读系列文章(六)
本文将分为两部分,第一部分总结近期各地网信部门开展数据出境安全评估工作的新进展,第二部分结合我们开展数据出境安全评估申报的实操经验,分享向网信部门申报出境安全评估的实务建议,以期为相关企业提供有益借鉴。
作者丨李瑞 贾申 李梦涵 马悦
导读
2023年3月1日,《数据出境安全评估办法》(以下简称《评估办法》)中规定的整改期届满。自2023年2月底以来,各地网信部门陆续公布了其辖区内企业提交申报材料和安全评估审查工作的进展和动态。可以看出,在各地已提交的申报项目中,目前仅有小部分企业通过了数据出境安全评估,大部分申报项目仍在如火如荼的推进过程中。
本文将分为两部分,第一部分总结近期各地网信部门开展数据出境安全评估工作的新进展,第二部分结合我们开展数据出境安全评估申报的实操经验,为企业分享向网信部门申报出境安全评估的实务建议,以期为有需求的企业提供有益借鉴,更高效地推进相关工作。
第一部分:安全评估申报工作近期动态概览
截止目前,北京市、上海市、江苏省和浙江省四地的网信办公告发布了各自辖区内的数据出境安全评估申报工作的最新动态,我们在此归纳如下:
北京网信办:2023年2月,北京市网信办公告其已收到48家单位正式提交的申报材料,其中2家单位的相关数据出境场景已获国家网信办批准,5家单位的数据出境安全评估申请已被国家网信办受理,6家单位的申报材料已由北京网信办完成审核;此外,还有35家单位正在补充完善申报材料,142家单位初步表达了申报意愿,120余家单位咨询申报事宜。5月25日,经北京网信办、国家网信办双重审核,某汽车公司数据出境案例成为我国汽车领域首个全系统盘点、全业务申报、且全场景获批的数据出境安全评估案例。
上海网信办:5月5日,上海市网信办公告称上海市首批两家企业通过数据出境安全评估;截至4月28日,上海市网信办累计接收涉及金融、零售、商务服务、汽车、医疗等重点领域的申报材料超400件,通过完备性查验并报送国家网信办申报材料近60件。
江苏网信办:5月9日,江苏省网信办公告称某公司的“中国制造网外贸电商平台业务”通过国家网信办数据出境安全评估,成为跨境电商领域全国首个数据合规出境案例。
浙江网信办:5月24日,浙江省网信办公告称浙江省首批两家企业通过国家网信办数据出境安全评估;截止5月24日,浙江网信办已接收正式申报材料70余份,其中通过完备性查验并报送国家网信办32件,主要涉及电商平台、金融、物流、安防、通信等领域。
第二部分:安全评估申报工作实务建议
实务要点一:准确识别数据出境场景与申报门槛
准确识别数据出境场景是企业开展数据出境安全评估工作的第一步,也是至关重要的步骤。根据国家网信办发布的《数据出境安全评估申报指南(第一版)》,数据出境包含两类情形:“(1)数据处理者将在境内运营中收集和产生的数据传输、存储至境外;以及(2)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出。”这两类数据出境场景在企业实务中可能表现为多种具体的场景,包括境内主体使用软件或硬件介质向境外主体提供数据、境内主体使用服务器位于海外的信息系统/软件平台上载或存储数据、公开网页访问、境外访问数据处理者部署于境内的服务器/数据库/信息系统等,具体请参见我们在《企业数据出境合规系列解读(一):盘点常见数据出境风险场景》一文的盘点。
其次,在明确自身数据出境场景的情况下,企业需要进一步评估出境场景是否达到数据出境安全评估的申报门槛。根据《数据出境安全评估办法》规定,触发申报的条件包括三种情形(如下图1所示):“(1)向境外提供重要数据;(2)关键信息基础设施运营者(CIIO)和处理100万人以上个人信息的数据处理者向境外提供个人信息;(3)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。”要想准确判断自身是否触发数据出境安全评估要求,企业需要准确识别个人信息和重要数据。我们在《数据出境合规解读系列文章(二):哪些数据受到出境监管?》一文中的解读可为企业提供一些帮助。
图1:数据出境安全评估申报门槛
【虚拟案例】
关键在于评估A公司对于经销商信息系统中的个人信息是否掌握“控制权”,从而构成个人信息出境的“数据处理者”。评估的要素包括A公司与经销商之间签署的数据处理协议、由哪一方决定对个人信息的收集和处理方式、信息系统由哪一方搭建并进行控制等。如果经评估后认为,A公司能够控制经销商信息系统中的个人信息,且该信息系统中个人信息出境的情形已触发安全评估的标准,则A公司应当进行出境安全评估申报。 |
实务要点二:留足申报时间
数据出境安全评估中,企业需要组织数据出境风险自评估工作,并向省级网信部门提交申报书、数据出境风险自评估报告、与境外接收方拟订立的法律文件以及其他需要的材料,省级网信部门完成申报材料完备性审核后再向国家网信办提报。其中,自评估工作需要企业全面筛查数据出境的场景和情形,并深入评估数据出境的风险。
考虑数据出境安全评估申报准备工作的复杂程度,企业应预留充足的内部审批时间用于组织申报相关材料和提交申报。提交申报后,法规规定的申报流程总计约为57个工作日(申报流程具体请见下图2),复杂情形还可延长,且申报流程中企业补充或修改申报材料的时间不计入申报时长计算。就实际申报工作开展的情况而言,省级网信部门进行材料完备性审核的过程中可能会多次要求企业进行申报材料的修改和完善,从而耗时更长。从目前各地网信部门公告的安全评估工作动态推算,即便是已经完成申报的第一批企业,其完成评估工作的实际时长也远超57个工作日。因此,有需求的企业需提前规划数据出境安全评估申报,为合法合规开展出境业务留足时间。
图2:数据出境安全评估申报流程
实务要点三:确定集团或关联公司间的申报主体
在实践中,不少集团公司在各地设有很多分子公司,但多个集团公司涉及的数据出境业务同一、涉及的信息系统也同一,且存在较多数据共享的情形。在这种情况下,集团可以选择以总公司(而非子公司或分公司)的名义进行申报;如果是境内设有多家实体的跨国企业,也可以选择一家关联实体作为申报主体。在上述情况下,申报材料中均应全面说明申报主体和相关关联企业间的关系、数据共享情况、所涉数据业务的具体情形、以及与数据出境有关的其他信息。
如果跨国集团在境内没有实体,但存在从境内采集数据的情形,且触发了数据出境安全评估要求,则跨国集团应按照《个人信息保护法》第53条的要求,在境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,包括数据出境安全评估相关的申报工作。
实务要点四:分场景开展出境安全评估申报
企业应当就不同的数据出境业务分场景开展申报。具体而言,重要数据出境与个人信息出境应当分别申报;同类型数据视出境业务不同,也需要在申报中明确区分场景,例如,员工个人信息出境与客户个人信息出境应区分为两个不同出境场景进行说明。在数据出境安全评估工作的早期,对于企业在准备申报材料时是否必须按照逐个场景来填写申报材料的要求尚未明确。但是根据我们的实务经验,近期网信办已明确要求,企业在申报表以及自评估报告中都需明确区分不同数据出境场景。
实务要点五:重视重要数据的识别和申报
重要数据的安全保护和出境合规是《数据安全法》项下企业最重要的合规义务之一,重要数据出境也是数据出境安全评估的一种重点情形。随着重要数据合规制度的深入,如企业对重要数据出境管理不善,可能构成不同法律项下的竞合违法行为。
例如,近期新修订后的《反间谍法》专门将“间谍组织及其代理人以外的其他境外机构、组织、个人实施或者指使、资助他人实施,或者境内机构、组织、个人与其相勾结实施的窃取、刺探、收买、非法提供……其他关系国家安全和利益的文件、数据、资料、物品”纳入了间谍行为的范畴,其中新增的“其他关系国家安全和利益的数据”与“重要数据”的范围显然存在交叉和重合。在这一背景下,在符合相关要件的情况下,重要数据违规出境行为也可能会构成《反间谍法》项下所规制的间谍行为。我们在《慎始而无后忧:结合《反间谍法》修订看涉外调研、统计活动的合规风险》一文中对此进行了详细解读。
在此背景下,我们建议企业要更加重视重要数据的识别和出境安全评估申报工作。在存在非个人信息出境的情形下,如果不能确定某项非个人信息是否属于重要数据的范畴,建议企业遵循谨慎保守的原则,必要时可通过向网信部门申报数据出境安全评估,请网信部门明确相关数据是否属于重要数据,从而进一步降低潜在合规风险,避免产生严重的违法后果。
【虚拟案例】
问题一:A公司对于B公司将其数据调研和统计的成果提供给境外间谍组织的行为并不知情,而仅是出于经济利益而接受项目委托并开展数据调研活动,其行为应如何界定? 从《反间谍法》角度,窃密行为的成立并不要求境外机构是间谍机构及其代理人,因此,A公司对B公司所联系的间谍组织知情与否并不影响对A公司行为是否构成间谍行为的判断。如果A公司采取了窃取、刺探、收买、非法提供等非法手段处理了关于国家安全和利益的数据,则可能被定性为间谍行为。 问题二:如果A公司事先就其向境外传输重要数据履行了《数据安全法》项下的合规义务,如办理并通过了数据出境安全评估,是否可以论证其在《反间谍法》项下也不构成违法? 我们倾向于认为,如果企业履行了《数据安全法》项下的出境合规义务,并在办理数据出境安全评估的过程中如实披露了境外接收方的情况,则可以说明其并不具备“窃取、刺探、收买或者非法提供……关系国家安全和利益的数据”的主观意图,这应当可以作为其未违反《反间谍法》的较为有力的抗辩理由。从这个角度说,企业积极履行合规义务,有助于降低其违法风险。 |
实务要点六:出境安全评估申报实操工作贴士
在明确前述申报要点的基础上,根据我们的实践经验,实践中申报工作的难点在于企业需要妥善和有效地组织材料、安排工作。为此,我们提供如下申报的实操建议,供企业在实际开展申报工作、准备申报材料的过程中参考:
1. 统筹企业资源开展申报
由于数据出境安全评估工作的复杂性和重要性,在决定开展申报前,企业应在内部争取高层支持,统筹包括IT部门、网安部门、法务部门、合规部门、业务部门等各相关部门和人员共同准备申报。
2. 指派申报的具体经办人
根据国家网信办的要求,企业在数据出境安全评估工作中应当指派一名内部人员作为经办人,经办人将作为与网信办对接的专门人员。需要注意的是,经办人必须是企业内部的人员,但其所在的部门、岗位和职务并无具体要求。
3. 审查拟订立的法律文件
根据我们的实务经验,就数据出境安全评估而言,监管部门对于企业与境外接收方订立的法律文件的内容也提出了较高要求。对于个人信息出境场景的申报,可参考国家网信办发布的《个人信息出境标准合同规定》后附的个人信息出境标准合同模板,与境外接收方订立数据跨境传输协议。需要注意的是,法律文件中对于数据出境场景的约定,应当与企业在申报书和自评估报告中的说明一一对应。
4. 指派专业人员开展数据出境风险自评估并准备申报材料
如前所述,企业需要向网信办提交申报书、数据出境风险自评估报告、与境外接收方拟订立的法律文件以及其他需要的材料,应当严格参考国家网信办发布的《数据出境安全评估申报指南(第一版)》填写申报表。在数据出境风险自评估工作中,企业应当对每一数据出境场景下出境数据字段的出境目的、敏感程度以及合法性、正当性和必要性等进行逐一自查,对于自评估工作中发现的问题应当及时整改。
根据我们的实务经验,自评估工作和申报材料的组织和填写具有一定的专业性,网信办对申报材料的内容精细度及组织程度要求也较高,因此出于效率考量,我们建议企业指派专业人员来统筹和经办相关工作。相关专业人员可以是企业内部人员,也可以是外部专家顾问,其需要在了解企业实际情况和监管部门审核要求的基础上,有效、妥善地组织自评估工作和申报材料,方能尽量缩短评估工作的耗时。
结语
在中国已建立的数据出境合规机制的“三驾马车”中,数据出境安全评估是外部监管要求最高的一项制度,相关工作需要引起企业的足够重视。我们建议企业在日常运营中,重视自身数据出境合规工作,在发现触发数据出境安全评估的情形下,按要求、按步骤开展和落实安全评估申报工作,从长远角度保障数据出境业务合规、顺利开展。
李瑞 律师
北京办公室 合伙人
业务领域:跨境投资并购, 反垄断和竞争法, 网络安全和数据保护
特色行业类别:文化娱乐产业, 通讯与技术
贾申
北京办公室 顾问
业务领域:反垄断和竞争法, 贸易合规和救济, 诉讼仲裁
李梦涵
北京办公室 合规与政府监管部
马悦
北京办公室 公司业务部
《<个人信息出境标准合同备案指南(第一版)>六大要点解析》
《慎始而无后忧:结合<反间谍法>修订看涉外调研、统计活动的合规风险》
《数据出境合规解读系列文章(五)丨<个人信息出境标准合同办法>出台落地相关实务要点十问十答》
《前沿观察丨从境外热点案例中看NFT性质认定与法律风险》
《算法治理系列观察(一)丨从ChatGPT谈生成合成类算法》
《投资中东专题系列之:沙特反垄断申报制度速览、新规和趋势》
《欧盟<外国补贴条例>十问十答》
《意气自生春——数字经济领域市场支配地位认定的困境与出路》
特别声明
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。