《数据出境安全评估办法》常见问题汇总、解读和场景应用 | 数据法评4
The following article is from 高云合同 Author 高云 曾理
来源:高云合同
作者:高云、曾理目录
第一部分:关键定义
一、什么是“数据出境”?有哪几种常见类型?
二、“数据出境安全评估”的触发条件有哪几种?
三、什么是“关键信息基础设施运营者”与“重要数据”?
四、什么是“敏感个人信息”?如何判断?
第二部分:安全评估
五、企业向网信部门申报出境安全评估,需提供什么材料?
六、办理数据安全评估的具体步骤?
七、企业内部自评估与国家网信部门安全评估有什么差异?
八、数据出境安全评估的结果有效期系多久?
九、数据出境自评估只能由企业自行开展吗?
十、已订立标准合同或经过个人信息认证的,还需要进行安全评估吗?
第三部分:标准合同
十一、数据处理者与境外接收方签署数据出境合同有什么要求?
十二、“法律文件”与“标准合同”有什么区别?
第四部分:合规建议
十三、律师对于企业数据出境合规项目有什么具体建议?
十四、违反《办法》可能面临何种处罚?
第一部分:关键定义
一、什么是“数据出境”?有哪几种常见类型?
根据《办法》规定和国家网信办答记者问,《办法》所称数据出境活动主要如下两种: 第一种:数据处理者将在境内运营中收集和产生的数据传输、存储至境外。 第二种:数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。 | |
数据类型 | 境内运营中收集和产生的重要数据或个人信息 |
出境方式 | 向境外提供,包括物理跨越和远程访问 |
境外的含义 | 中华人民共和国大陆地区的以外的其他国家/地区,包括港澳台地区 |
开展数据出境活动的双方 | 涉及数据传输方和数据接收方 |
图:主要的数据出境情形判断示例
某境外公司A在中国大陆地区境内无实体 | 情形1 | A公司直接面向大陆地区消费者提供APP及相关服务,涉及收集处理消费者个人信息,根据《个保法》第三条第二款直接适用《个保法》,与消费者之间不构成数据出境。 |
某境外公司A在中国大陆地区境内有子公司B | 情形2 | 在情形1的基础上,A公司在境外使用云服务器C存储其收集的来自大陆地区消费者的个人信息,A与C之间构成数据出境。 |
情形3 | B公司面向大陆地区消费者提供APP及相关服务,涉及收集处理消费者个人信息。为了总部业务管理的目的,B会将其所收集的个人信息同步给其总部A,B与C之间构成数据出境。 | |
情形4 | B公司所使用的某个IT系统是境外技术服务提供D协助在大陆地区本地化部署的,且D会远程访问该IT系统进行日常运维及Bug修复,B与D之间构成数据出境。 |
二、“数据出境安全评估”的触发条件有哪几种?
三、什么是“关键信息基础设施运营者”与“重要数据”?
关键信息基础设施运营者 | 企业要判断其数据出境行为是否适用《办法》的规定,就要判断企业是否属于关键信息基础设施运营者。 |
依据2021年颁布的《关键信息基础设施安全保护条例》(以下简称《关基条例》)第二条,关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施。 | |
依据《关基条例》第十条,由保护工作部门根据其制定的认定规则负责组织认定本行业、本领域的关键信息基础设施,并将认定结果通知运营者。 | |
基于此,企业一旦被认定为关键信息基础设施的运营者将会收到相关主管部门的通知。可以理解,企业如未收到主管部门的认定关键信息基础设施的运营者的通知,企业可以暂时认为自己不是CIIO。 | |
重要数据 | 依据《办法》第十九条,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。 |
据此可以判断,重要数据的识别主要聚焦于数据的性质和对国家安全和公共利益影响。重要数据采用的是定性与定量相结合判断的方法。若单条信息对国家安全可能造成影响的,单条信息亦可能构成重要数据,如国家战略物资的储备量。但若单条或少量信息不会影响国家安全或社会公共利益,但覆盖较大范围或较长时间的,或是涉及某些重要区域或时期的信息集合亦可能构成重要数据。 |
四、什么是“敏感个人信息”?如何判断?
(1)生物识别:如人脸识别;
(2)宗教信仰;
(3)特定身份(十四周岁以下未成年人等);
(4)医疗健康;
(5)金融账户;
(6)行踪轨迹;
(7)等信息(现在不能列举的敏感个人信息)。
信息主体 | 信息主体的年龄、身份甚至性别会影响个人信息的敏感性,比如未成年人、犯罪记录、性别、个人的种族、政治观点、宗教和哲学信仰、性取向、就诊记录、是否感染过新冠等过往病史等个人信息。其中,未成年人个人信息以及特定身份信息已经为《个人信息保护法》第28条第1款所列举。上述信息一旦泄露或者非法使用,会使个人遭受歧视或受到不公正的对待,社会评价降低,侵害人格尊严。 |
信息处理者 | 一是信息处理者的规模会导致信息由非敏感变为敏感; 二是信息处理者的技术操控能力可能会使信息由非敏感变为敏感; 三是第三方主体往往是敏感个人信息的接收方,其与信息处理者或信息主体的关系可能影响信息的敏感度,比如一般而言,作为信息处理者的委托处理方相较作为信息主体指定的接收信息方更敏感。 |
使用目的 | 对于具体的个人信息,还应当依据使用场景的不同,使用目的的不同,来对其是否属于敏感个人信息进行判断。例如,在金融机构办理相关业务时,提供个人的身份信息、金融账户信息,由于这些信息与个人的财产安全紧密相关,基于处理目的的敏感性,上述信息属于敏感个人信息。使用打车软件时,所提供的个人位置信息、个人电话号码,上述信息与个人的人身自由与安全密切相关,同样属于敏感个人信息。 |
危害后果 | 与人格尊严、人身财产权益相关的个人信息一旦被信息处理者利用来谋取利益,那对个人可能会造成危害将难以预料和控制。比如掌握自然人的基因、指纹、声纹、掌纹、脸部特征等生物识别信息,就可以精准且永久识别特定自然人。若个人的上述身份识别信息被他人窃取并滥用,则极容易导致个人金融账户被远程盗取、个人的行踪信息被定位追踪、个人的肖像被替换滥用,对个人的人身、财产、人格尊严造成巨大的危害后果。 |
第二部分:安全评估
五、企业向网信部门申报出境安全评估,需提供什么材料?
六、办理数据安全评估的具体步骤?
步骤一 | 企业应首先判断数据出境是否满足目的、范围、方式等的合法性、正当性、必要性的要求。 |
步骤二 | 如果满足步骤一,应当考虑适用《个人信息保护法》下三种要件中的何种要件进行办理: (1)通过国家网信部门安全评估; (2)获得专业机构的认证; (3)签订国家网信部门制定的标准合同。 如果企业属于关键信息基础设施运营者(CIIO)和处理个人信息达到国家网信部门规定数量(10万人个人信息或者1万人敏感个人信息)的个人信息处理者,确需向境外提供数据的,应当适用通过国家网信部门组织的安全评估这一要件。 |
步骤三 | 如果属于本办法规定的需要申报安全评估的情况,企业应当事先进行自评估,并通过所在地省级网信部门向国家网信部门申报安全评估,按照规定提交材料。 |
步骤四 | 省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验。申报材料齐全的,将申报材料报送国家网信部门;申报材料不齐全的,应当退回数据处理者并一次性告知需要补充的材料。 |
步骤五 | 申报材料报送国家网信部门后,国家网信部门应当自收到申报材料之日起7个工作日内,确定是否受理并书面通知数据处理者,自向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估。 |
步骤六 | 情况复杂或者需要补充、更正材料的,安全评估可以适当延长并告知数据处理者预计延长的时间。虽然正式发布稿取消了征求意见稿中延长时间一般不超过六十个工作日的限制,但是复杂情况或者需要补充材料的情况下评估时间可能较长,建议符合条件的企业尽快准备相关材料和手续。 |
数据出境安全评估申报流程图
七、企业内部自评估与国家网信部安全评估有什么差异?
企业内部自评估 | 主管部门评估 |
(一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性; | (一)数据出境的目的、范围、方式等的合法性、正当性、必要性; |
(二)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全; | (二)境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求; |
(三)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险; | (三)出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险; |
(四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等; | (四)数据安全和个人信息权益是否能够得到充分有效保障; |
(五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务; | (五)数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务; |
(六)遵守中国法律、行政法规、部门规章情况; | |
(六)其他可能影响数据出境安全的事项。 | (七)国家网信部门认为需要评估的其他事项。 |
八、数据出境安全评估的结果有效期系多久?
九、数据出境自评估只能由企业自行开展吗?
十、已订立标准合同或经过个人信息认证的,还需要进行安全评估吗?
路径 | 依据 | |
路径一 | 通过国家网信部门组织的安全评估 | 《数据出境安全评估管理办法》 |
路径二 | 经专业机构进行个人信息保护认证 | 《个人信息跨境处理活动认证技术规范》 |
路径三 | 与境外接受方订立合同 | 《个人信息出境标准合同规定(征求意见稿)》 |
路径四 | 《个人信息出境标准合同规定(征求意见稿)》 |
第三部分:标准合同
十一、数据处理者与境外接收方签署数据出境合同有什么要求?
《个人信息出境标准合同规定(征求意见稿)》第六条 个人信息出境标准合同 | 《数据出境安全评估办法》第九条 数据处理者与境外接收方订立的法律文件 |
(一)个人信息处理者和境外接收方的基本信息,包括但不限于名称、地址、联系人姓名、联系方式等; | |
(二)个人信息出境的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点等; | (一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等。 (二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施; |
(三)个人信息处理者和境外接收方保护个人信息的责任与义务,以及为防范个人信息出境可能带来安全风险所采取的技术和管理措施等; | |
(三)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求; | |
(四)境外接收方所在国家或者地区的个人信息保护政策法规对遵守本合同条款的影响; | (四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施: |
(五)救济、合同解除、违约责任、争议解决等。 | (五)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式; |
(六)个人信息主体的权利,以及保障个人信息主体权利的途径和方式: | (六)出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。 |
十二、“法律文件”与“标准合同”有什么区别?
在《办法》所要求提交的申报资料包括“数据处理者与境外接收方拟订立的法律文件”(“法律文件”),《评估办法》第九条规定:
数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,至少包括以下内容:
(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;
(三)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;
(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施;
(五)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;
(六)出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。
个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务:
(四)法律、行政法规或者国家网信部门规定的其他条件。
“法律文件” | “标准合同” | |
一 | 安全评估的申报资料之一 | 与安全评估并列的个人信息出境的安全管理制度之一 |
二 | 由数据处理者与境外接收方在满足安全评估要求的前提下自由约定 | 主要条款由国家网信部门制定 |
三 | 事前监管 | 事后监管 |
第四部分:合规建议
十三、律师对于企业数据出境合规项目有什么具体建议?
十四、违反《办法》可能面临何种处罚?
《数据出境安全评估办法》第十八条规定:违反本办法规定的,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。 | |
《网络安全法》 第六十六条 | 对违法在境外存储网络数据,或者向境外提供网络数据的行为处罚规定。 |
《数据安全法》 第四十六条 | 针对向境外提供重要数据行为的处罚规定。 |
《个人信息保护法》 第六十六条 | 对违反规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的行为处罚规定。 |
汪宏杰(笔名:高云)
广东启源律师事务所高级顾问
“高云合同六法”创始人
汪宏杰于1993年成为执业律师,至今从事法 律专业工作30年,长期从事不良资产 、 IPO、并 购重组、网络安全和数据合规等方面法律事务, 曾为多家国内外知名企业例如广州点动信息科技 股份有限公司提供过网络服务和数据安全方面的 尽职调查、风险评估、制度和体系建设等专项法 律服务,系国内最早一批涉足数据法律实务并且获得丰富实务操作经验的法律专业人才之一。
曾 理
高云律师团队-实习律师、
《民法典时代合同实务指南》作者成员
从业至今一直专注于知识产权、不正当竞争、网络数据安全、企业数据合规等新型法律业务,服务客户覆盖了金融、健康医疗、呼叫中心、人工智能、电商等多个行业,系具备“互联网+法律”思维的新锐法律人。
声明:本文为节选,选自“高云合同”,已获转载授权,转载请联系原出处。本文仅代表作者的观点,不代表本公众号观点,仅供学习参考之用。
合同写改是一门系统化、标准化和流程化的合同体系技能。加入「高云合同写审改突破营」,高云老师两天课程助你重建合同写审改系统!7月上海站、8月北京站火热开营!快报名学习合同写审改技能吧!
推荐阅读