解读:“出境标准合同”与“出境安全评估”要点与异同
The following article is from CCIA数据安全工作委员会 Author 王泽
《数据安全法》第四条及《个人信息保护法》第三章对数据出境、个人信息跨境提出明确要求,《数据安全法》与《个人信息保护法》存在互相包含、被包含、衔接、特性、独立性、相互补充等内涵。
本文通过上位法互相衔接、关联、特性的思路,去观察《个人信息出境标准合同办法》和《数据出境安全评估办法》的包含、被包含、独立性等,比对分析,量化不同与相同之处的要求,并进行相应诠释。
1
“个人信息合同方式出境”与“申报数据出境安全评估”要点比对分析
通过对《个人信息出境标准合同办法》与《数据出境安全评估办法》第四条进行比对可看出,以订立合同方式向境外提供个人信息的无论是属性级别、数据量等级都要低于通过所在地省级网信部门向国家网信部门申报数据出境安全评估的要求。具体如下:
相同属性:
两部办法在数据出境的基本要求上,都是从属性、属性级别、出境数据/个人信息的数量、出境数据/个人信息的数量范围的角度进行的量化。
不同属性:
属性:
《个人信息出境标准合同办法》面向个人信息处理者;
《数据出境安全评估办法》面向数据处理者。
属性级别:
《个人信息出境标准合同办法》面向非关键信息基础设施运营者;
《数据出境安全评估办法》面向关键信息基础设施运营者;
数量:
《个人信息出境标准合同办法》要求:个人信息总量不满100万人、个人信息不满10万人(自上年1月1日起)、敏感个人信息不满1万人(自上年1月1日起);
《数据出境安全评估办法》要求:100万人以上个人信息、自上年1月1日起向境外提供10万人个人信息、1万人敏感个人信息(大于等于)。
数量级别:
《个人信息出境标准合同办法》指小于XX数量;
《数据出境安全评估办法》指大于等于XX数量。
2
出境前开展评估要求比对分析
相同属性:
在处理过程中都需要对“境内外主体”在处理个人信息/数据过程中满足“处理的目的、范围、方式等合法性、正当性、必要性”;
对境外主体承担履行保障“个人信息/数据安全”义务要求相同(即:管理、技术措施、能力等)。
不同属性:
在风险方向侧:《个人信息出境标准合同办法》更多强调的是“可能对个人信息权益带来的风险”。而《数据出境安全评估办法》更多从全局性风险的角度出发,涵盖了国家安全、公共利益,同时,也包括了个人或者组织合法权益带来的风险。
在风险细节侧:《个人信息出境标准合同办法》在围绕风险方向强调的“个人信息权益带来的风险”, 强调了面向对个人信息的非法利用和维权渠道是否通畅的角度进行了约束,同时,对出境后可能面对的风险进行了要求 (即:篡改、破坏、泄露、丢失等);而《数据出境安全评估办法》映射出境中的风险应包括非法获取、映射出境后的风险应包括非法利用,同时,《数据出境安全评估办法》既涵盖“国家安全、公共利益”,也涵盖了“个人或者组织合法权益”(即:个人信息权益维护的渠道是否通畅)。
合同履行侧:在《数据出境安全评估办法》第五条 第五项中强调“双方订立的数据出境合同是否充分约定了数据安全保护责任义务”,其内涵包括双方要求以我国法律法规为主体,拟定数据出境相关合同,并围绕我国法律内涵及要求量化双方数据安全保护责任及义务,如果境外国家的法律法规与我国法律法规方向差异较大或进行了内容变动,对履行数据安全保护责任是存在安全隐患的。回到《个人信息出境标准合同办法》第五条 第五项中,将境外接收方所在国家或地区的个人信息保护政策和法规对标准合同履行的影响视为了个人信息保护影响评估的环节。
3
“重新开展个人信息评估”与“数据处理者重新申报评估”比对分析
相同属性:
发生变化或延长保存期限属性:在《个人信息出境标准合同办法》第八条第一项和《数据出境安全评估办法》第十四条第一项中都要求在目的、范围、方式、种类、用途、方式发生变化,或延长保存期限的需要重新评估及重新申报评估;
政策法规变化:在《个人信息出境标准合同办法》第八条第二项和《数据出境安全评估办法》第十四条第二项中,均提到政策法规发生变化需要重新评估及重新申报评估。
不同属性:
数据/个人信息级别属性:数据是具有级别属性的(如:一般数据、重要数据、核心数据),在《数据出境安全评估办法》第十四条 第一项中提到了个人信息和重要数据,强调了数据的级别属性。针对个人信息如需从级别的角度来看,可将个人信息划分为一般个人信息、敏感个人信息等。相对于《数据出境安全评估办法》第十四条 第一项中提到的重要数据,在《个人信息出境标准合同办法》第八条 第一项强调的是个人信息敏感程度;
政策法规变化:在《数据出境安全评估办法》第十四条 第二项中除围绕数据安全保护政策法规的变化外,还相对于《个人信息出境标准合同办法》第八条 第二项中增加了网络安全环境变化 、其他不可抗力情形、境内外主体实际控制权变化等要求;
其他情形:《个人信息出境标准合同办法》围绕个人信息权益(即:权益即安全);《数据出境安全评估办法》围绕出境数据安全。
4
“个人信息出境坚持原则”与“数据出境安全评估坚持原则”比对分析
相同属性:
防范风险;
跨境安全;
自由流动。
不同属性:
《个人信息出境标准合同办法》第三条,从合同的自主订立、强化对合同的管理 、保障个人信息权益、风险角度进行的明确 ——即:坚持自主缔约与备案管理相结合、保护权益与防范风险相结合;
《数据出境安全评估办法》第三条,从对数据出境前的强化风险、防范风险、安全评估角度,及对事前、事中、事后持续监督角度进行要求——即:坚持事前评估和持续监督相结合、风险自评估与安全评估相结合等。