数据出境征求意见—新规解读丨威科先行
2021年10月29日,国家互联网信息办公室颁布了《数据出境安全评估办法(征求意见稿)》,对数据出境安全评估进行了详细规定。数据跨境的流动需在合法框架内,又不失公平与效率。新规每条的含义从多方面,会有别样的解读。本文拟对新规条款提些拙见,供参考。
第一条 为了规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,制定本办法。
【解读】
《数据出境安全评估办法(征求意见稿)》(“《评估办法》”)的制定机关是国家互联网信息办公室,评估办法的法律效力级别属于部门规范性文件,制定的依据是《网络安全法》、《数据安全法》和《个人信息保护法》,包括《民法典》等法律法规。
第二条 数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息,应当按照本办法的规定进行安全评估;法律、行政法规另有规定的,依照其规定。
【解读】
一、本条规定了安全评估的范围。根据《评估办法》,在中国境内收集和产生的重要数据和依法应进行安全评估的个人信息,应进行评估。此处有两层含义,第一是在中国境内收集和产生的重要数据。第二是依法应进行评估的个人信息,此处的“依法”是否理解仅指法律?根据评估办法第四条,国家网信部门有权规定应当评估的情形,因此,“依法”包括部门规范性文件。本条最后一句“法律、行政法规另有规定的,依照其规定”,在法律、行政法规没有规定时,部门规范性文件可以填补法律和法规的空白,决定应当进行安全评估的情形。
《评估办法》中数据出境的具体含义是什么?在境外处理境内自然人信息的相关活动产生的个人信息,即使信息处理者在境外,但信息处理者将相关信息提供给境外第三方,该等情形应适用《个人信息保护法》。《评估办法》下,是否属于数据出境?
此外,重要数据的内涵与外延可进一步规定细节,因为直接影响是否进行安全评估。
二、安全评估适用对象方面,国家互联网信息办公室于2017年4月11日颁布了《个人信息和重要数据出境安全评估办法(征求意见稿) 》(“《个人信息和重要数据评估办法》”);在2019年6月13日颁布了《个人信息出境安全评估办法(征求意见稿)》(“《个人信息评估办法》”),两部评估办法均规定安全评估的适用对象是网络运营者。并且,两部评估办法对网络运营者的概念也规定一致,是指网络的所有者、管理者和网络服务提供者。另一方面,《评估办法》规定的适用对象是信息处理者。尽管《评估办法》未提及信息处理者的概念,一般理解,信息处理者包括非网络行业的从业者。例如金融机构处理个人信息。
另外,对于同一次信息出境三个评估办法均适用的企业,是否需要分别申请?是否可以考虑按新法优于旧法原则,仅以《评估办法》的要求进行评估?
第三条 数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。
【解读】
数据出境的安全评估是全流程、持续的评估,而不限于出境时。另外,其他法律法规规定了不以出境为目的的评估。例如,《网络安全法》要求关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送有关部门。专门为出境进行事前和持续监督,尽管某种程度增加成本,但从信息安全角度亦为必要。
第四条 数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
(一)关键信息基础设施的运营者收集和产生的个人信息和重要数据;
(二)出境数据中包含重要数据;
(三)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;
(四)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;
(五)国家网信部门规定的其他需要申报数据出境安全评估的情形。
【解读】
一、关键信息基础设施运营者指哪些主体,承担什么责任?《网络安全法》以具体列举加兜底的方式进行了规定,包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域等。《关键信息基础设施安全保护条例》也是列举加兜底的方式规定关键信息基础设施,并专章规定了关键信息基础设施的认定。该保护条例规定重要行业和领域的主管部门、监督管理部门作为责任人,由其结合本行业、本领域实际,制定关键信息基础设施认定规则,并报国务院公安部门备案。是否可以理解未经备案的不是关键信息基础设施运营者?如果符合运营者标准,但未进行认定,是否需要承担一定的不利后果?
二、从个人信息权益角度,《个人信息保护法》规定个人信息在匿名化后,已不属于《个人信息保法》保护的信息范围。与《个人信息保护法》不同,《网络安全法》中个人信息的概念未排除匿名化的个人信息。关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息,包括匿名化个人信息,是否经评估方能出境?
三、根据《评估办法》,需要进行安全评估的情形之一是处理个人信息达到100万人的个人信息处理者,向境外提供信息。100万人如何计算?如果将个人信息处理者理解为企业实际控制人,以此计算100万人,安全评估的门槛实质上降低,也避免企业成立多家公司处理个人信息,而每家企业均不足100万人的情形。此外,100万人的个人信息是否包括违法处理的信息?如果剔除违法信息,100万的门槛又有所提高。类似地,本条第四款个人信息和个人敏感信息的计算,具体参照什么标准?
《个人信息和重要数据安全评估办法》对于安全评估的门槛为含有或累计含有50万人以上的个人信息;数据量超过1000GB等。较之于《评估办法》,《个人信息和重要数据安全评估办法》的门槛更低,也即个人信息处理者处理个人信息在50—100万之间的安全评估,按《个人信息和重要数据安全评估办法》执行。如果 是100万以上,是否需要进行两次安全评估?出于有效监管及成本考量,将三份评估办法有效整合,不失为一方法。
四、2021年7月10日,国家互联网信息办公室颁布了《网络安全审查办法(修订草案征求意见稿)》。根据该审查办法,掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。100万用户的运营者怎么判定?是否可以理解是上市主体内所有直接或间接控股和参股企业掌握的个人信息总和?
此外,若掌握超过100万个用户运营者为国外上市之目的,向境外提供个人信息,将同时适用《评估办法》和审查办法。
五、本条规定了需要安全评估的范围,较之于第二条更具体,最好与第二条能有效衔接。
第五条 数据处理者在向境外提供数据前,应事先开展数据出境风险自评估,重点评估以下事项:
(一)数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
(二)出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
(三)数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险;
(四)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
(五)数据出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;
(六)与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。
【解读】
尽管是自评事项,但与评估结果有直接关系。评估办法的自评估重点事项与《个人信息和重要数据安全评估办法》和《个人信息评估办法》重点评估事项的相关联系与区别如下表:
主要内容 | 分析 | |
个人信息和重要数据安全评估办法
| 评估内容包括个人信息出境是否经过个人同意。
| 《评估办法》未要求对是否经个人同意进行评估。《个人信息保护法》要求个人信息出境应经个人单独同意。《评估办法》是否在考虑如果个人同意信息出境,需另行评估信息出境的风险? 此外,两个评估办法同时适用时,如何解决冲突? |
未规定个人信息出境再转移后出现风险,个人维护个人信息权益的渠道是否通畅。 | 《评估办法》新增了此规定。对于个人维权而言,除了渠道是否通畅,维权过程的合法和裁判文书的有效执行均为重要内容。 此外,信息出境后,使用目的完成,数据如何处理亦为关注事项。 | |
未规定与境外签署合同,要求合同约定数据安全保护义务。 | 《评估办法》新增了此规定。由于合同是基于民事主体的合意达成,不排除境内外当事人约定数据出境,并对数据进行充分保护。然而,前提是合同约定的数据是否能出境,是否危及国家安全。可以考虑增加“在数据合法出境的前提下……”。 | |
个人信息安全评估办法
| 规定数据出境需符合法律法规和政策。 | 政策的含义较为广泛,对于评估资料的准备有一定难度。可以考虑加上“规章、规范性文件”将“政策”的范围予以限定。 |
未规定数据出境的目的、范围、方式等的合法性、正当性、必要性。 | 《评估办法》增加此内容。个人信息出境评估,除了仅以合法为标准进行评估,其正当、必要的目的也是评估内容之一。 | |
规定合同条款是否充分保障个人信息主体的合法权益,合同是否能得到有效执行。 | 在申报评估时,《评估办法》未要求评估合同是否能得到有效执行。 | |
规定网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件。 | 《评估办法》对此未进行规定。过去的安全事件如果加上整改内容,并达到现行数据出境的管理和技术能力要求;或无安全事故,评估现在的管理和技术能力。 | |
规定获得个人信息是否合法、正当。 | 《评估办法》对此未进行规定。在自评时增加此内容更有利于对数据出境合法情况的判断。 |
个人信息安全的保护更多的是国家承担责任。因为一旦大量个人信息或重要数据由境外掌握并利用,一定程度上威胁国家安全。对于个人而言,维权成本不低。著名的人脸识别第一案,原告是大学特聘副教授,普通人仅对个人信息维权,可能是难玩的游戏。
第六条 申报数据出境安全评估,应当提交以下材料:
(一)申报书;
(二)数据出境风险自评估报告;
(三)数据处理者与境外接收方拟订立的合同或者其他具有法律效力的文件等(以下统称合同);
(四)安全评估工作需要的其他材料。
【解读】
安全评估申报的拟订立的合同,应理解为合同定稿版本。若以补充协议进行后续修改,将按《评估办法》第十二条规定执行,即数据出境评估结果有效期二年,合同变更若可能影响数据安全,需要进行重新评估。
尽管信息处理者在申报时提交自评估报告,并按第五条的规定准备材料,但考虑《评估办法》第八条规定需要重点评估的事项,信息处理者在申报材料前,对第八条项下的事项亦需有所准备。
第七条 国家网信部门自收到申报材料之日起七个工作日内,确定是否受理评估并以书面通知形式反馈受理结果。
【解读】
安全评估的受理的依据之一是信息处理者需要依法进行安全评估。在此阶段,国家网信部门受理申报的条件之一是判断信息处理者达到评估的门槛条件。
第八条 数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项:
(一)数据出境的目的、范围、方式等的合法性、正当性、必要性;
(二)境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规规定和强制性国家标准的要求;
(三)出境数据的数量、范围、种类、敏感程度,出境中和出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险;
(四)数据安全和个人信息权益是否能够得到充分有效保障;
(五)数据处理者与境外接收方订立的合同中是否充分约定了数据安全保护责任义务;
(六)遵守中国法律、行政法规、部门规章情况;
(七)国家网信部门认为需要评估的其他事项。
【解读】
较之于自我评估重点事项,本条的评估重点事项增加了“境外接收方对数据安全保护政策法规及网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规规定和强制性国家标准的要求”。
本条第四款规定较为宽泛,将加大被评估者的证明责任。第六款的规定则明晰,对信息处理者以相关法律、行政法规和部门规章为依据进行评估。
此外,第七款与第二条的规定有一定冲突。
第九条 数据处理者与境外接收方订立的合同充分约定数据安全保护责任义务,应当包括但不限于以下内容:
(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施;
(三)限制境外接收方将出境数据再转移给其他组织、个人的约束条款;
(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区法律环境发生变化导致难以保障数据安全时,应当采取的安全措施;
(五)违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款;
(六)发生数据泄露等风险时,妥善开展应急处置,并保障个人维护个人信息权益的通畅渠道。
【解读】
本条从当事人的合同约定,落实自我评估相关信息处理方和信息接收方的数据安全保障义务。然而,合同需要充分保障数据安全,何为“充分”比较宽泛,实务中一事一议。
根据《评估办法》第八条第三款,在数据允许出境的情形下,如果出境数据再转移不构成相关风险,数据可以再转移。本条规定当事人合同需要约定,限制境外接收方将数据再转移。是否可以因此认为合法出境的数据不能再转移?
另外,合同约定发生数据泄露风险,保障个人维权的畅通渠道,可以理解为合同一方当事人不得阻碍另一方当事人维权等。
第十条 国家网信部门受理申报后,组织行业主管部门、国务院有关部门、省级网信部门、专门机构等进行安全评估。
涉及重要数据出境的,国家网信部门征求相关行业主管部门意见。
【解读】
一、鉴于各行业监管法律法规等的不同,可以考虑行业主管部门共同进行评估。
根据《评估办法》,重要数据出境的安全评估需要行业主管机构共同参与。对于掌握大量个人信息机构而言,如金融机构的个人金融信息,个人信息的出境可以考虑行业主管部门为必要参与部门,而并非是可选评估部门。
《个人信息和重要数据安全评估办法》规定,数据出境需符合一定条件,如含有或累计含有50万人以上的个人信息出境,经行业主管或监管部门进行安全评估。《个人信息安全评估办法》规定的信息出境评估部门是网信部门,由网信部门组织专家或技术力量进行评估。此外,根据《个人信息和重要数据安全评估办法》、《个人信息安全评估办法》,均需要进行安全评估的情形下,数据出境评估部门包括网信部门和行业主管或监管部门,可考虑共同评估,而非独立形成各自的评估结果。
以能源行业为例,能源属于关键基础设施行业,能源数据的监管目前尚无专门规定,因此适用一般法律法规等。对于合法披露的信息,无所谓出境问题,因为已公开披露。目前上市公司披露能源信息遵循自愿原则,并无强制披露要求。有些能源上市公司披露了可持续发展报告。严格意义上说,公开披露的信息,实质上已构成数据的出境。对此部分,国家网信部门的规定和行业主管部门规定,在一定程度上存在冲突。
目前开展ESG评估的困难之一是企业的底层信息披露不足,因此无法形成真实、客观、有效的ESG评估报告。另一方面,如为ESG评估为目的,向相关部门和机构披露信息,假如该等信息被机构的境外法律实体使用,实质上构成的数据的出境。为有效促进ESG评估,以使ESG评估报告成为投资机构进行投资决策的重要依据之一,ESG评估机构对于数据安全应承担责任。
2021年11月3日,国际财务报告准则基金会正式成立国际可持续发展准则理事会。该理事会将启动可持续发展披露准则的制定和发布工作。是否意味着披露相关能源信息,已成为需要履行的国际义务?
二、对于什么信息能自愿公开披露、什么信息只限于对一定机构披露、什么信息不能披露等,可以考虑行业主管部门根据实际情况制定具体规范,以使数据出境安全评估有法定依据。
第十一条 国家网信部门自出具书面受理通知书之日起四十五个工作日内完成数据出境安全评估;情况复杂或者需要补充材料的,可以适当延长,但一般不超过六十个工作日。
评估结果以书面形式通知数据处理者。
【解读】
本条规定的评估时间为45个工作日,延长一般不超过60个工作日,起算时间是出具书面通知之日。《个人信息和重要数据安全评估办法》规定的是应当在60个工作日内完成,未规定起算时间。《个人信息安全评估办法》要求15个工作日内完成,情形复杂适当延长,自收到资料并审查是否完备后,进行评估。15个工作日的起算时间点以审查资料完备为基础,时间较为不可控。
第十二条 数据出境评估结果有效期二年。在有效期内出现以下情形之一的,数据处理者应当重新申报评估:
(一)向境外提供数据的目的、方式、范围、类型和境外接收方处理数据的用途、方式发生变化,或者延长个人信息和重要数据境外保存期限的;
(二)境外接收方所在国家或者地区法律环境发生变化,数据处理者或者境外接收方实际控制权发生变化,数据处理者与境外接收方合同变更等可能影响出境数据安全的;
(三)出现影响出境数据安全的其他情形。
有效期届满,需要继续开展原数据出境活动的,数据处理者应当在有效期届满六十个工作日前重新申报评估。
未按本条规定重新申报评估的,应当停止数据出境活动。
【解读】
国家网信部门主动在有效期内监管,需要配备一定的人力物力。是否考虑信息处理者每年对履行数据评估情况进行备案?
第十三条 数据处理者应当按照本办法的规定提交评估材料,材料不齐全或者不符合要求的,应当及时补充或者更正,拒不补充或者更正的,国家网信部门可以终止安全评估;数据处理者对所提交材料的真实性负责,故意提交虚假材料的,按照评估不通过处理。
【解读】
补充、更正材料、检验虚假材料是否不计入评估期限?
第十四条 参与安全评估工作的相关机构和人员对在履行职责中知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。
【解读】
《个人信息和重要数据安全评估办法》和《个人信息安全评估办法》未特别规定类似内容。
第十五条 任何组织和个人发现数据处理者未按照本办法规定进行评估向境外提供数据的,可以向省级以上网信部门投诉、举报。
【解读】
网信部门如何处理投诉、举报可以考虑制定相应规定,如保护举报人,给予举报人奖励等。
第十六条 国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当撤销评估结果并书面通知数据处理者,数据处理者应当终止数据出境活动。需要继续开展数据出境活动的,数据处理者应当按照要求进行整改,并在整改完成后重新申报评估。
【解读】
与第十二条类似,可以考虑国家网信部门主动发现和信息披露人主动备案相结合。
第十七条 违反本办法规定的,依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规的规定处理;构成犯罪的,依法追究刑事责任。
【解读】
在法规与法律规定有冲突时,以法律为准。法规效力以下的规定,不作为追究责任的依据。
第十八条 本办法自 年 月 日起施行。
作者介绍
廖敏 上海兰迪律师事务所合伙人
美国波士顿大学税法硕士,税务师资格,企业法律顾问资格,上海法学会会员。
曾为某律师事务所律师,任职于某上市公司法务副总监、高级税务经理,四大会所税务经理。
推荐阅读
众望所归 —— 《个人信息保护法》之个人金融信息保护与征税(二)
Wolters Kluwer | 威科先行
威科先行财税信息库是威科集团(WoltersKluwer)为中国财税专业人士打造的在线信息库产品,集法规、案例、实务指南、专业解读、智能工具等于一体,为您高效检索,精准决策提供综合信息解决方案。