通力法评 | 日渐严格的数据出境要求: 跨国公司的困境与选择
作者:通力律师事务所 杨迅 | 熊雪雨
注: 本篇文章首次发表于中国法律透视电子版第104期(总第139期)。
2017年《网络安全法》生效以来, 我国政府对个人信息和重要数据(“信息数据”)的获取、使用和处分的监管日趋严格, 尤其是不断探索收紧信息数据的出境。特别是, 今年五、六月间, 国家互联网信息办公室(以下简称“网信办”)相继公布了《数据安全管理办法(征求意见稿)》(“《数据安全办法》”)以及《个人信息出境安全评估办法(征求意见稿)》(“《信息出境办法》”), 在信息数据方面取代了《个人信息和重要数据出境安全评估办法(征求意见稿)》(“《信息数据评估办法》”)对信息数据出境采取统一的安全评估模式的要求, 对个人信息和重要数据的出境要求分别进行了规定。
一. 历史沿革
信息数据出境的讨论源于2016年11月7日发布并于2017年6月1日生效的《中华人民共和国网络安全法》(《网安法》)。事实上, 《网安法》仅仅设定了网络运营者的一般安全责任, 并没有对所有的信息数据出境提出要求。《网安法》对信息数据出境的限制仅仅针对关键信息基础设施的运营者, 而非一般的网络运营者。该法第三十七条规定, 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储, 因业务要求, 确需向境外提供的, 应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
2017年公布的《信息数据评估办法》则将安全评估义务主体的范围扩大至所有网络运营者, 要求网络运营者向境外提供个人信息和重要数据前应当进行安全评估。在评估的具体形式上, 分别规定了网络运营者自行评估和行业主管或监管部门组织评估两种形式: 在一般情况下安全评估由网络运营者自行开展, 在一些重要情形下网络运营者应当报请行业主管部门组织评估, 比如: 当个人信息涉及的个体数量过多, 拟出境的数据量过大, 或者拟出境的信息和数据涉及国家安全和社会公共利益等。另外, 该征求意见稿在第十一条中明确规定了数据不得出境的情形, 比如个人信息出境可能侵害个人利益, 数据出境可能影响国家安全、损害社会公共利益或者其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。
虽然, 《信息数据评估办法》一经公布, 就有大量的关于评估要求是否突破《网安法》授权的质疑, 但是网信办对信息数据出境安全审查的决心没有变, 今年颁布的《数据安全办法》和《信息出境办法》继承了这样的要求, 并且在此将安全评估要求扩大到所有个人信息和重要数据。
在网络安全法律法规之外, 一些行政法规或规章也同样存在对信息和数据出境要求的规定。比如, 国家卫生计生委发布的《人口健康信息管理办法(试行)》第十条规定, 不得将人口健康信息在境外的服务器中存储, 不得托管、租赁在境外的服务器。国务院发布的《征信业管理条例》第二十四条规定, 征信机构在中国境内采集的信息的整理、保存和加工, 应当在中国境内进行, 征信机构向境外组织或者个人提供信息, 应当遵守法律、行政法规和国务院征信业监督管理部门的有关规定。《中国人民银行金融消费者权益保护实施办法》第三十条以及《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第六条均规定, 在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行, 除法律法规及中国人民银行另有规定外, 银行业金融机构不得向境外提供境内个人金融信息。
由此可见, 我国对信息数据出境的限制并不是一部法规的要求, 而是一个体系化的考虑。而且, 从立法趋势上, 我国对信息出境的要求也是日益严格。
二. 新征求意见稿对信息数据出境的规定
今年五、六月间, 网信办相继公布的《数据安全办法》和《信息出境办法》表明政府对个人数据和信息出境的管理要求由统一规定变为分别规定, 最终期望形成个人信息出境和数据出境分别规定的监管格局。
1. 对重要数据出境的监管要求
《数据安全办法》第二十八条规定: 网络运营者发布、共享、交易或向境外提供重要数据前, 应当评估可能带来的安全风险, 并报经行业主管监管部门同意; 行业主管监管部门不明确的, 应经省级网信部门批准。与《信息数据评估办法》一样, 《数据安全办法》要求网络运营者履行重要数据出境前的安全评估义务, 并且要求重要数据出境前必须经过行业主管监管部门或者网信办同意。
与《信息数据评估办法》不同的是: 《信息数据评估办法》下的“安全评估”要求主要是网络运营者的“自行评估”, 仅在数量较大、影响较大的情况下需要由行业主管、监管部门或省级网信部门组织评估。而《数据安全办法》在评估的基础上, 要求重要数据的出境“报经行业主管监管部门同意; 行业主管监管部门不明确的, 应经省级网信部门批准”。也就是说, 无论重要数据的量和影响程度, 其出境都需要政府有关部门的首肯。
此外, 《数据安全办法》第28条指出, 个人信息的出境评估, 由网信办另行规定, 这就为《信息出境办法》的制定奠定了基础。
2. 对个人信息出境的监管要求
(1) 个人信息出境需向网信部门申报安全评估
与《信息数据评估办法》所规定的自我评估为主, 在数量和影响较大情况下政府组织评估的规定不同, 《信息出境办法》要求对于任何个人信息出境, 都必须向省级网信部门申报个人信息出境安全评估。并经安全评估认定个人信息出境可能影响国家安全、损害公共利益, 或者难以有效保障个人信息安全的, 不得出境。上述规定为个人信息出境间接地设置了“经省级网信部门同意”的要求, 即同意”的主体是“省级网信部门”, “同意”的标准是: 是否可能影响国家安全、损害公共利益或者是否难以有效保障个人信息安全。该“同意”标准与《信息数据评估办法》的“同意”标准大体相同。
(2) 个人信息安全评估的重点内容
《信息出境办法》对个人信息出境安全评估需要重点评估的内容进行了规定, 包括: (1)是否符合国家有关法律法规和政策规定; (2)合同条款是否能够充分保障个人信息主体合法权益; (3)合同能否得到有效执行; (4)网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件; (5)网络运营者获得个人信息是否合法、正当以及其他应当评估的内容。可以发现, 上述需要重点评估的内容与省级网信部门“同意”个人信息出境的标准几乎是一致的, 总体而言就是要确保个人信息出境不会导致国家安全、社会公共利益以及个人信息主体的合法权益受到侵害。
(3) 合同必备条款
根据《信息出境办法》, 网络运营者与个人信息接收者签订关于个人信息出境的合同应当明确: (1)个人信息出境的目的、类型、保存时限; (2)个人信息主体是合同中涉及个人信息主体权益的条款的受益人; (3)个人信息主体合法权益受到损害时所享有的索赔的权利, 以及信息接收者和网络运营者的过错推定责任和连带责任; (4)接收者所在国家法律环境发生变化导致合同难以履行时, 应当终止合同, 或者重新进行安全评估; (5)合同的终止不能免除合同中涉及个人信息主体合法权益有关条款规定的义务。
此外, 《信息出境办法》亦规定了合同应当明确网络运营者和信息接收者必须履行的安全责任,比如,网络运营者必须按照信息主体的要求披露信息出境的详情,提供出境信息的副本,以及转达、回应信息主体的诉求和投诉; 信息的接收者必须回应信息主体修正或删除信息的要求,按照约定使用个人信息,以及当所在国家法律环境发生变化时,及时通知网络运营者,并通过网络运营者报告网信部门。
虽然, 《信息出境办法》对网络运营者与信息接收者之间的合同必备条款作出了上述规定, 但这些条款的可执行性仍值得商榷。特别是, 根据合同相对性的原理, 在个人信息主体并非合同当事人的情况下, 如何确保其能够行使上述合同条款赋予的权利。
三. 实践中将给企业带来的影响及建议
毫无疑问, 《数据安全办法》和《信息出境办法》的公布意味着国家在信息数据出境方面的监管日益严格。一旦上述两项规章得以正式通过和实施, 将给涉及信息数据出境的公司带来巨大影响。
在实践中, 很多场景需要将个人信息和数据提供给境外, 比如: 跨国公司的信息处理中心在境外, 全球各分支机构需要将信息数据集中在境外的处理中心处理, 以便公司总部能够对全球范围内的分支机构进行管理和控制; 全球临床试验和基因研究, 需要将全球各地反复收集的临床数据, 集中在一个地点处理, 而该地点是境外的某研发中心; 已经上市的药品的不良反应, 需要上报到各国的药监部门; 跨国运作的金融机构, 需要从全球角度对其投资决策进行风险控制, 需要从包括中国在内的各国收集客户和自身的金融融资信息, 也需要从反洗钱审查角度, 将包括从中国境内收集的信息在全球范围内进行评估。在上述情形下, 信息数据的出境都是不可避免的。
与《信息数据评估办法》相比, 《数据安全办法》和《信息出境办法》下的安全评估要求和“政府同意”要求更高, 覆盖范围更广, 可能会对需要信息出境的企业带来沉重的行政负担。
首先, 个人信息和重要数据, 无论数量多大, 重要性多强, 其出境都需要经过安全评估, 以及政府有关部门的同意。而政府部门最终是否会予以同意, 具有一定的不确定性。因而, 如果一项业务的开展有赖于信息数据的出境处理, 则会由于政府是否允许出境的不确定性而陷入风险。
其次, 个人信息和重要数据的分别评估程序。对于重要数据的出境, 根据《数据安全办法》, 采取先评估, 再由主管机关同意的模式。对于个人信息的出境, 根据《信息出境办法》, 则采取向网信部门申报安全评估的模式。虽然, 程序上有很大相似度, 但也不完全相同。对于很多涉及信息出境的企业而言, 重要数据和个人信息的出境通常是同时或伴随发生的。比如跨国金融机构, 涉及个人投资者的, 其个人财务信息、交易信息等既属于个人信息也可能是重要数据; 又如医疗医药企业, 病患的个人诊疗记录和健康信息等也往往同时落入个人信息和重要数据的范畴。这就意味着, 对于同一份信息的出境, 需要适用不同的监管程序, 无疑会给网络运营者带来沉重的负担。
再次, 重要数据和个人信息出境的监管机构不完全相同。《信息出境办法》下的主管机关是省级网信部门, 任何个人信息的出境都必须向其申报安全评估。这一点和重要数据出境有所不同, 后者以行业主管部门同意为主, 在行业主管部门不明确时由网信部门进行审批。这就意味着, 对于金融、医疗医药、互联网等行业的企业而言, 包含重要数据和个人信息的信息出境, 将同时受到行业主管部门和网信部门的监管。比如, 证券基金类企业的信息出境将可能受到证监会和网信部门的双重监管, 制药企业的信息出境将可能受到药监部门和网信部门的双重监管。
从政府层面不断出台相应法律法规限制个人信息和重要数据出境的举动可以看出, 未来针对个人信息和数据出境的监管有趋严之势。对于企业而言, 为避免有关信息和数据无法出境导致业务影响, 不妨考虑重审其IT架构, 尽可能在中国建立地区数据中心, 在中国处理源自于中国的个人信息和数据。此外, 如果出于商业或技术上的原因, 信息和数据必须出境的, 企业不妨尽早作出相应准备, 根据《信息出境办法》和《数据安全办法》规定的要求, 自我评估是否满足信息出境的安全要求, 包括:
(1)收集和整理用于信息出境安全评估所需要的材料, 自我审核是否足以满足信息安全的有关要求;
(2)重审关于信息出境的合同, 确保以尽可能符合《合同法》的方式具备《信息出境办法》所要求的必备条款; 以及
(3)自审其保护个人信息安全的有关政策和实践, 确保符合《网络安全法》及配套法规的要求。
作者:
熊雪雨
通力律师事务所
如您希望就相关问题进一步交流,请联系:
杨迅
+86 152 2182 2373
+86 21 3135 8799
xun.yang@llinkslaw.com
往期分享
通力法评 | “翻墙”SOS!首家企业因使用非法定信号通道受罚
通力法评 | 个人信息出境必须安全评估: 跨国企业如何应对——深度剖析《个人信息出境安全评估办法(征求意见稿)》
通力法评 | 医疗信息在个人、企业、国家三重维度下的保护与共享
通力法评 | 海斯凯尔专利侵权案: 侵权认定•产品注册•网络安全通力法评 | 简评弹性推动诉海斯凯尔专利侵权纠纷案
长按下图识别二维码关注我们
© 通力律师事务所
本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。
点击“阅读原文”,直达通力官网了解更多资讯!