其他
数据出境:涉及谁,怎么做,港澳所受影响
By Charlie Wu 吴卓言
9月1日,《数据出境安全评估办法》(《评估办法》)正式实施,数据领域法律专家告诉ALB,相关企业应协调资源,尽快开展数据合规升级工作。
受访律师 AN INTERVIEW WITH
*按受访者英文名首字母排序
段志超
汉坤律师事务所,合伙人
龚 钰
鸿鹄律师事务所,合伙人
值得注意的是,8月31日,就在《评估办法》生效前日,网信办发布了《数据出境安全评估申报指南(第一版)》,对数据出境安全评估申报方式、流程、材料等具体要求进一步作出说明,并附上申报材料要求、经办人授权委托书、数据出境安全评估申报书、数据出境风险自评估报告等材料。
谁是合规主体?
段律师指出,实务中对此概念存在两种解读方式。“一种意见认为‘数据处理者’的定义应当参照《评估办法》上位法《个人信息保护法》中对‘个人信息处理者’的定义,理解为‘在数据处理活动中自主决定处理目的和处理方式的个人和组织’,不包含数据处理受托方;另一种意见则认为,此概念应当按照其字面含义理解为‘处理数据的个人和组织’,比前一种定义更广泛。”
此外,值得注意的是,“立法者在《评估办法》中避免使用‘个人信息处理者’这一表述,而是统一使用‘数据处理者’,可能是有意为之,希望将受托处理方的个人信息出境活动也涵盖在内”。因此,在段律师看来,更为广泛的界定,或将更贴合法规的体系解释与主管部门的监管思路。
“从本质上讲,那些处理或出口个人信息或重要数据超过一定数量的公司都需要申请评估。”鸿鹄律师事务所合伙人龚钰律师补充道。他指出:“此外,在大多数情况下,这些企业必须考虑将数据的本地存储作为出口的前提条件。”
具体到企业类型,“那些雇用大量员工、传输重要数据或处理大量消费者数据的公司更容易受到《评估办法》的影响,因此应尽早布局数据合规策略”,龚律师说。
段志超律师则分享道,7月以来,汉坤已持续接到各个行业领域客户关于数据出境合规的咨询,其中包括跨国企业,也包括在中国内地之外的国家与地区开展业务的本土企业。虽然企业在判断《评估办法》是否适用时,产业领域可能不是决定性因素,但不可否认,特定产业领域的企业可能需要特别关注数据跨境传输和处理。
段律师解释道:“处理大量个人信息的企业与处理数据敏感程度较高的企业,有可能成为《评估办法》实施过程中的监管重点。前者包括互联网、零售行业企业;后者典型如汽车、金融、医疗行业企业,这些企业需要重点关注新规对其数据跨境传输安排可能产生的影响。”
把握评估流程
目前相关申请已按部就班展开,作为流程中的重要环节,企业如何应对“自评估”及“申报评估”两个阶段?专家表示,相关企业应首先对自评估予以足够重视。段志超律师指出,自评估阶段与申报评估阶段的依据标准虽然既不同又有所交叉,但对合规工作的要求是一以贯之的。
“根据《评估办法》第6条,数据处理者在向网信部门申报安全评估时需要提交自评估报告。这意味着,自评估将成为网信部门开展安全评估时重要的参考材料。”段律师说,“可以预见的是,若企业递交的自评估报告中可以针对申报评估阶段的评估内容作出有针对性的回应,将帮助企业增加申报评估阶段的确定性。”
龚钰律师则建议道,企业在考虑是否需要为数据出境申请安全评估时,需要首先对自己的数据出境情况展开彻底摸底,同时考虑本地数据存储的选择,以及评估后未获批准的可能后果。
如企业需要申请安全评估,龚律师建议其保留数据出境活动的记录,同时监测企业处理或对外传输的个人信息量。“企业应提前准备好进行自我评估,并与数据的境外接收方签订出口合同。”龚律师说,“同时,跨国公司还应考虑其供应商、供货商和客户签署的合同是否可行;如果不能通过评估将对业务连续性造成破坏,企业应提前对安全评估带来的不确定性有所应对。”
针对新规落地所带来的强监管态势,段志超律师则提示了“四步应对法”。首先,梳理实施情况,在监控立法动态的基础上,评估新规对企业数据跨境传输安排可能产生的影响;随后进行场景认定,确定数据出境场景及相关事实情况,为企业提供数据出境合规策略。
第三,实行合规性评估,协助企业开展数据出境活动合规分析及相关整改;最后则是安全性评估,协助企业撰写数据出境自评估报告,以及向网信部门申报数据出境安全评估。
此外,段律师还建议“企业内部应建立与完善数据出境相关的制度,除起草内部数据出境合规指引、建立数据出境审批机制与流程之外,企业还可以建立数据出境长期监测机制”,作为应对数据跨境传输的长久之策。
港澳问题
据悉,8月31日,香港个人资料私隐专员公署针对香港本地企业——包括在中国内地有运营业务的银行、保险公司、证券公司等——发出提醒,如企业踩到网信办要求“门槛”,则需有所行动,展开自评估。
《南华早报》在一篇报道指出,《评估办法》的实施可能会影响香港作为国际企业通往内地市场的门户作用,并影响香港打造“亚太区数据中心基地”的雄心:作为亚太地区金融、贸易中心,香港承载着近万家跨国企业的总部或办公室,每年都要产生巨大的数据流。
不过,龚律师认为《评估办法》的实施并不会对香港的地位产生消极作用。“如果流向香港的数据可以在目前的数据出境制度下享受一定程度的优惠待遇,这也将会为两岸三地企业带来一些额外的驱动力。”他说。
**本文同时刊登在《亚洲法律杂志》中国版9月刊中,请点击此处,查看9月刊详情。