汇业评论|《数据出境安全评估办法》八个实务问题解读
The following article is from 网络与数据法律实务 Author 黄春林、冯莉
文 | 黄春林 冯莉 汇业律师事务所
前后历经四年三易其稿,合合分分合合,国家网信办于2021年10月29日发布了最新一版《数据出境安全评估办法》公开征求意见(下称“2021版”),业界终于迎来了《个人信息保护法》生效前临门一稿,数据合规三大“玄学”之一的“数据出境规则”即将掀开神秘面纱。
结合立法沿革、监管意见及近期项目经验,汇业律师事务所黄春林律师团队简要解读如下,仅供参考。正式法律建议及场景化落地,还请正式咨询律师意见。
问题一:2021版还会大改吗?
自《网络安全法》第37条“开天辟地”以来,数据出境规则每两年一变,先后经历了三个大版本:
从题目就看得出来,正是应了《三国演义》开篇之词,“分久必合合久必分”,开始是“个人信息”与“重要数据”合并规范的2017版,后来分道扬镳才有了2019版,最新版握手言和又“在一起”,统称为“数据出境”。
二龙湖浩哥说过“事不过三”。江湖上普遍预测,这一版已经是综合考虑了立法基础及国内外形势,兼顾了各方意见后的相对成熟的一个版本。考虑到《个人信息保护法》生效在即, “奉子成婚”已是必然之选,因此,不出意外,《2021版》将在2021年11月28日征求意见到期后尽快发布,毕竟江湖上各大厂已经“苦秦久矣”。否则,真是一鼓作气再而衰三而竭,“狼来了”效应会大大削弱立法的威严性。
若是如此,2022年1月1日估计是一个比较好的时点。但是,我们建议正式版本设立一个三个月左右的过渡期,否则按照要求应“事先评估”,而“事先评估”的依据和基础是“法律生效”。因此,企业显然无法在法律生效的同时完成评估、申报等工作。到时是选择“暂停传输”损害业务连续性,还是选择“消极违法”损害企业合规性,必然是两难的选择。墨子说,法不“逼良为娼”,这是底限。
问题二:哪些企业会落入?
数据出境安全评估的落入门槛,也是符合历史发展的“单摆规律”,先右(2017版有门槛)再左(2019版无门槛)后右(2021版有门槛),具体如下表:
不过,相较于2017版的落入门槛,2021版逻辑更加严密,所谓“法网恢恢疏而不漏”,具体从两个维度设立了门槛:
(1)两类主体需要评估:CIIO + 处理个人信息达到100万人;出境数量在所不问,理论上哪怕1条也需要。
(2)两类数据需要评估:出境涉及重要数据 + 数据量超过10万(PI)或1万(SPI);主体类型在所不问,理论上哪怕个人也需要。
而以上两个维度只要符合任何一个就需要,因此,考虑到中国网民基数及当前互联网及数字化发展程度,绝大多数跨境经营的企业都会落入需要出境安全评估的范畴,进而极大的“弥补”了《网络安全法》第37条了适用范围。
反过来可能更好理解,只有一种企业可能不需要出境安全评估,即用户数<100万,且跨境传输的PI<10万(且含有的SPI<1万,且含有的重要数据<0)。这种情形,是不是本身就可以适用《个人信息保护法》第六十二条第2款来构建制度?
问题三:什么叫“跨境提供”?
远的不说,《个人信息保护法》上叫“跨境提供”,2021版叫“出境”,法条内部叫“向境外提供”。如何理解这三个术语,确实很多企业都很懵逼。我们理解,立法者的原意应该是没有差别对待的意图,都是一个意思。
但从《个人信息保护法》的内部关系理解,又犯迷糊了,即第三章的跨境提供的“提供”含义和第23条的“提供”是不是一个含义?汇业律师事务所黄春林律师团队理解,这两个“提供”的含义(或称“场景范围”)是不一样的,即跨境提供的“提供”实质上是包含了第20条至23条的几种可能发生“客观转移”的情形,尤其包括委托处理和对外提供中可能涉及个人信息出境的情形,举例而言:
有人会问,那么第一种情况,为什么需要?你去想想出境安全评估规则的立法目的就知道了,否则这些系统也不会考虑本地化的问题了。那么,和谁签出境合同呢?当然是和受托方签啊。对方不同意签怎么办?那是你公司的谈判能力不够啊,放心,有人在给你开路。
此外,另外几个被广泛关注的问题汇总如下:
(1)境外镜像、远程访问也是出境;
(2)去标识化(如MD5加密)和ID转化(例如openID、jdID、VIN、各种封闭ID)后的个人信息出境仍然算;
(3)员工(含外籍员工)信息出境也算;
(4)用户根据国内公司指引(例如跳转、通知)或基于国内公司的信赖(例如购买国内产品)向境外网站或系统直接提供(例如投递简历等)还是算;
(5)用户直接(国内公司没有任何参与)向境外提供(例如注册、打电话、发邮件等)的不算……
问题四:如何理解“因业务需要,确需”?
无论是《网络安全法》还是《个人信息保护法》,法条规定的数据出境都有个前提,即“因业务需要,确需”,只不过后者多了一个“等”字,兼顾了业务、技术等多样化需求。这个前提非常重要,只有满足这个“需要”的前提才能出境,否则不能出境,就更不考虑38条的路径选择问题和39条的单独同意问题了。
如何理解“因业务需要,确需”?首先,《个人信息保护法》第六条规定了处理个人信息应“合理”、“相关”, 大家很能理解颗粒度、范围等的合理、相关;但是,针对不同处理行为也应分别开展合理、相关性判断,这是很多人容易忽视的判断点。即,收集、使用行为你可能满足合理、相关(例如收集生日信息为了发放生日礼物),但并不代表你的“对外提供”、“跨境提供”(生日信息)的行为也满足合理、相关性。也正是因此,历次版本的出境安全评估规则中安全评估的重点内容之一就是“正当性”、“必要性”,以及《个人信息保护法》第五十五条设置了个人信息保护影响评估制度,评估的一个重要内容也是正当性、合理性。所以,不能用收集、使用环节的合理、相关性,去解释38条出境环节的合理、相关性。
其次,《个人信息保护法》确立了一套“需要等级”,“必需”>“需要”。例如第13条要求的“必需”是最强的,因此可以不经同意(例如跨境电商);但是,《网络安全法》37条和《个人信息保护法》38条都没有用“必需”,只是说“需要”(可以是业务上合理需要,例如全球联保;也可以技术上的合理需要,例如国内没有替代技术),因此才有39条的单独同意。
最后,对“需要”的判断不是企业一厢情愿的“单方价值判断”(例如为了节约成本、境外集团不放权等),而应当从用户、监管的视角来客观评价“需要”的合理性,进而满足“确(实)需(要)”,否则这套制度的价值将荡然无存。
问题五:“本地化”有依据吗?
不同于2017版、2019版,2021版全篇没提“应当在境内存储”,是不是说就没有“本地化”的要求了?事实上,这仅仅是个立法技术问题。
回到《个人信息保护法》第40条的条文结构,即大前提是“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者”,满足这个大前提后导致两个法律后果,即应当“存储在境内”和触发“出境安全评估”。
在2021版发布前,至于“国家网信部门规定数量”,可能有多个参考维度,包括2017版、《互联网个人信息安全保护指南》等。2021版发布后,这个数量实质上比较明确了,且与已经生效的《汽车数据安全管理若干规定(试行)》基本一致。
但是,有人认为2021版第4条的数据仅是《个人信息保护法》第40条后半句“出境安全评估”触发的参照标准,不能套用到前半句应当“存储在境内”。汇业黄春林律师团队认为,这种理解实质上是人为割裂了数据跨境流动安全管理制度的“本地化”和“出境安全评估”的“一体两面”,这两点实际上是同一个立法目的,一个有机的、完整的制度整体,不能割裂开来。我们也很难理解,网信办会再出一个办法叫《数据境内存储办法》来单独规定应当境内存储的“规定数量”。
问题六:如何做“单独同意”?
“明示同意”还没完全搞明白,《个人信息保护法》规定的这个“单独同意”,导致整个数据合规圈 “花样百出”、“鸡飞狗跳”,这样形容一点都不为过,要不各位看官等11月1日后看各大厂的个保规则和交互界面就明白了。
首先,“同意”和“单独同意”是平行关系还是包含关系,各方争论激烈,似乎都有道理,但我个人认为这个是“语文作业”,最多也就算个“数学作业”,认为是平行关系的可以去补补课。哦对,学科教育“双减”了,没地方。
其次,单独同意怎么搞?坦诚的说,这个问题我觉得要开账单,这里仅表一二:
(1)5种单独同意可以归纳为两类:敏感度可能提高(T26、29),需要增强同意;处理者可能发生转移(T23、25、39),需要个人自决。
(2)收集敏感个人信息,主要无外有两种情况:一种是用户自己主动填写、提交、口述、配合等,这当然是单独同意了;另一种系统权限自动采集,现在开启系统权限都有弹框授权、撤回授权和状态提示,当然也满足单独同意了。其他的一些特殊的小场景,不是单独同意的问题,是你连有效的同意都没做到问题。
(3)极少企业有纯粹的公开或对外提供个人信息的场景(毕竟数据是企业的竞争力和生命线,谁愿意对外提供啊),例如把个人信息“卖”或“赠”给接收方(“不用还回来”,现在很多风控业务也仅仅是“通道模式”);大多数情况下是委托处理(“要还回来的”)或者“合同必需”的提供(例如物流、支付等)或“法定义务“的提供(例如不良申报)。目前真正意义的对外提供,最多的其实是关联公司之间的提供,严格意义来说也是对外提供,只不过(非法利用、泄露或被发现的)风险相对可控。
(4)跨境提供其实才是“单独同意”的主战场,因为大量外资企业存在(用户或员工)个人信息跨境提供的情况。这种情况怎么做落地?说实话,由于业务复杂性、系统多样性以及各公司的管理架构和合规文化差异较大,很难有绝对合规、放之四海而皆准的落地做法,只能根据各公司的实际情况单独讨论(说人话就是要开账单),并分步推进合规建设,不断探索风险与成本的平衡点。
此外,“单独同意”绝对不是简单的增加一个勾选框或弹窗那么简单,是必选吗?用户不同意怎么办?用户只同意部分数据出境可以吗?数据库表是不是要加字段?系统怎么改造?这些问题都要配套解决。SayNO,谁不会?
最后一点,整个行业实践及用户习惯,需要一个养成过程,当年我们提出来必须弹窗权限、主动勾选隐私政策的时候,业务和技术的不也跳出来咆哮,这样会搞死“用户体验”吗?
问题七:“标准合同”不需要了?
2021版第9条“怎么还在教我们做合同”?《个人信息保护法》不是说“按照国家网信部门制定的标准合同”签署吗?那么是不是意味着“标准合同”跳票了呢?
不是的。不管采取《个人信息保护法》第38条的哪种路径出境,都需要与接收方签订合同(参考第21、23条)。只不过,如果按照第38条第3款路径出境的,需要签“按照国家网信部门制定的标准合同”;而如果第38条第1款路径(安全评估)出境需要签订的合同,可以不用标准合同,但是内容需要涵盖2021版第9条规定的内容。
这也就是为什么,我们没有等国家的法定标准合同出来,已经帮很多企业草拟非标版数据出境协议先用起来满足形式合规要求。相比较于2019版对合同内容的各方责任的详细规定,2021版规定更加原则,但增加了“具有约束力且可执行的争议解决条款”等内容,汇业黄春林律师团队建议约定为境内法院管辖或香港仲裁。
问题八:现在要做什么?
我们已经完成的外企数据合规项目中,在提示政策大趋势后,大多数都是把数据跨境合规模块放在第二阶段的,原因是当时网信办细则还没出来,避免重复合规建设。目前,2021版基本成型,政策路径相对清晰,建议符合“落入门槛”的企业尽快推进数据跨境合规模块,以避免办法生效后要么“停业”要么“违法”的艰难抉择。汇业黄春林律师团队建议,企业应当着手准备包括但不限于工作:
(1)组建项目团队,调研数据出境情况(第一阶段已经完成的除外);
(2)项目宣导,以及境外集团、供应商沟通、讨论;
(3)必要的系统改造、改进机制(例如系统迁移、本地备份、字段限制与脱敏、访问控制等等)方案评审、解释及谈判等;
(4)制定数据出境协议,审核涉及数据出境相关产品或服务的个保规则/条款以及交互界面文案(第一阶段已经完成的除外);
(5)结合个人信息保护影响评估制度,制定数据出境风险自评估制度及机制,包括但不限于评估范围、评估组织、评估流程、评估指标、评估标准、评估申报、标准模板及配套表格等;
(6)关键入境地法律政策环境及安全环境调研;
(7)根据公司资源情况,选择全域或关键模块(例如CRM系统)开展数据出境风险自评估,并撰写自评估报告(初稿)备用;
(8)持续跟进政策及行业实践变化;等等。
作者往期文章推荐:
重在数据安全保护,夯实出境管理制度——简评《数据安全法(草案)》二审稿