查看原文
其他

【从零读懂】数据出境合规100问 | Part 3中篇:《数据出境安全评估办法》高频问题与适用解读

王捷 资深出海法律顾问 出海互联网法律观察
2024-08-25

必读收藏

数据出境合规100问

《数据出境安全评估办法》与

《个人信息出境标准合同规定(征求意见稿)》

剖析与解读

导   言


    随着《个人信息出境标准合同规定(征求意见稿)》(以下简称《规定》)、《数据出境安全评估办法》(以下简称《办法》)的相继公布,由《个人信息保护法》第三十八条确定的数据出境选用路径的实践脉络已经越发清晰,可以判断,数据出境合规是企业数据出海必须面对的课题。我们一直专注于网络法实务,特别是数据合规实务工作,在日常为各大企业提供合规服务的过程中,亦遇到各类新型的值得探讨的问题。为了方便实务,让数据出境需求者能够尽快的熟悉,理解我国关于数据出境的各项法律要求与规定,我们计划以《规定》及《办法》作为基础,对我国数据出境有关的法律问题进行一个全方位的解读,一方面对数据出境相关的法律法规进行分析,另一方面也就日常工作中遇到的高频出境问题进行总结。我们热切地期待与各位同行朋友深入探讨各种新型问题,有任何数据合规实务需求与问题探讨,请随时联系王捷律师团队,联系方式见文末。

本系列文章将分为以下四部分

第一部分:初阶--数据出境关键概念剖析

第二部分:进阶--《个人信息出境标准合同规定》高频问题与适用解读(上)

进阶--《个人信息出境标准合同规定》高频问题与适用解读(下)

第三部分:进阶--《数据出境安全评估办法》高频问题与适用解读(上)

第四部分:高阶--数据出海实践关键问题与海外SCC要点对比

在认识清楚数据出境相关的基本概念后,后续的内容将开始对数据出境的两部重要法规进行分析,本篇是第三部分进阶篇,主要就《数据出境安全评估办法)》的高频问题与适用进行解读。


文 /  王捷律师团队



第三部分中篇:

《数据出境安全评估办法》高频问题

与适用解读

本部分中篇将回答以下问题:

Q64.企业在进行数据出境安全评估时将需要经历哪些具体流程?

Q65.企业应该如何进行自评估报告,完成自评估的过程中需要重点关注哪些内容?

Q66.延伸—自评估报告和安全评估报告有什么区别?

Q67.《标准合同》的个人信息保护影响评估与《办法》规定的自评估有什么区别?

Q68.企业是否需要分开做个人信息保护影响评估以及自评估?

Q69.企业进行自评估以及个人信息保护影响评估的材料是否有可以共用的部分?

Q70.《办法》中提及的数据出境的法律文件具体有哪些要求?

Q71.延伸—《办法》中的法律文件和《标准合同》有什么区别?

Q72.延伸—在企业起草法律文件中的安全保障义务条款时,是否可以参考《标准合同》的内容?


《办法》的发布促进了我国维护数据安全及保护数据利益的制度设计到实践操作的良性衔接,本次《办法》共包括二十条,对安全评估的目的,适用范围,评估程序,评估内容,评估效果等各进行了全面规定。


《办法》实施后,符合要求的企业最好在规定的期限内尽快配合完成评估,尽早熟悉、准备安全评估的相关事项及流程,以避免因违反《办法》规定而导致企业的数据出境活动受到影响。本专题的第三部分,将汇总《办法》的高频问题以及适用难点,结合团队多年的数据出境业务经验,为大家带来详细解读。

Q64.企业在进行数据出境安全评估时将需要经历哪些具体流程?

Q65.企业应该如何进行自评估报告,完成自评估的过程中需要重点关注哪些内容?

我们在本专题的第一部分对自评估报告的概念进行了说明,简单来说,自评估报告中需要对数据出境业务、数据出境过程中可能涉及的风险、境外接收方的安全保护能力、个人信息权益维护、签订的法律文件等进行评估


结合法条内容,我们理解,风险自评估的报告可以包括如下内容:

Q66.延伸—自评估报告和安全评估报告有什么区别?

首先,我们先从两个评估流程的法律规定进行内容上的对比:

其次,除常规法条对比外,从实务角度进行理解,讨论该问题的核心目的并不是为了从学理上理解二者的差别,而是知道安全评估办法的重点内容,以便于企业在完成自评估的时候尽可能地配合安全评估办法的着眼点,确保企业数据成功出境,就如同日常中给客户讲解项目报告,关键点在于如何阐述到客户的心槛里才是提高成功率的关键。


从对比可以看到,在法条描述的内容里,自评估与安全评估有许多内容保持了一致性,由此可以推断,对于两个评估环节保持一致的部分,企业按照评估要求完成材料准备即可


此外,安全评估与自评估的差异性在于,从内容上看,相比于企业,国家在考察境外法律、政策方面的评估更具有优势,因此安全评估比自评估多了“关于境外接收方所在国/地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;遵守中国法律、行政法规、部门规章情况这两条;从考察视角上看,自评估相对而言侧重评估个人信息主体的权益在境外是否能得到同等的保障出境安全评估除了评估个人信息主体权益外,还更多地考量国家安全、公共利益


基于以上差别,可以推断出,企业在进行自评估的时候,在条件允许的情况下,可以事先对境外接收方所在国家的法律政策有所考察,并对国家、社会、个人风险进行一个初步的判断。王捷律师团队曾于2021年出具的《中国与海外多国/地区数据保护及企业合规要点对比报告》,里面有就部分主流出海国家与地区的数据保护法律要点进行分析与比对,以帮助企业客户更全面地了解境外接收方所在国家的法律政策。


概述而言,企业进行自评估的主要目标是为了让数据出境,开展业务,尽管自评估与安全评估在规定上有所差别,但是企业在条件以及成本允许的情况下,进行自评估时可以兼顾安全评估的标准,提高获得批准的可能性

Q67.《标准合同》的个人信息保护影响评估与《办法》规定的自评估有什么区别?

二者的对比如下:


基于《标准合同》传输的个人信息的数量以及风险程度相对较低(不涉及或较少涉及重要数据、敏感数据),因此,企业进行个人信息保护影响评估更多关注对个人信息权益带来的风险,而自评估还需更多考量数据出境给国家安全、公共利益带来的风险


企业使用签订标准合同的方式进行传输时,按规定需要备案。若《规定》生效,网信部门将面临大量的备案工作,不太可能对备案的内容进行实质性审查,因此个人信息保护影响评估将“评估境外接收方所在国家的法律、政策对履行合同的影响”这一内容规定由企业承担,从上一问的对比也可以知道,在安全评估中这一内容主要由国家网信部门以及其他有关部门开展,企业的自评估并不涉及这一点。单从这一项对比来看,个人信息保护影响评估所要评估的内容(广度)是多于自评估的但是,自评估由于可能涉及重要数据、敏感个人信息以及传输数量较大,其所需的评估程度(深度)是大于个人信息保护影响评估的


此外,对比自评估的第5项“是否订立了法律文件来符合数据安全保障义务”,由于个人信息保护影响评估是企业签署《标准合同》的配套评估活动,且《标准合同》是网信部门制定的,其中已经涵盖安保义务的约定,故在个人信息保护影响评估中无需另外评估标准合同。对于需要进行安全评估的企业,我们建议可以在签订《标准合同》的基础上,再根据具体业务情况签订其他法律文件

Q68. 企业是否需要分开做个人信息保护影响评估以及自评估?

个人信息保护影响评估主要适用数据类型为个人信息的情形自评估则可能涉及到更多数据类型,由于个人信息保护影响评估以及自评估涉及的评估广度以及深度上的差异,对于不同类型的数据,企业都需要完成数据出境的,有可能存在分别进行个人信息保护影响评估以及自评估的情况

Q69.企业进行自评估以及个人信息保护影响评估的材料是否有可以共用的部分?

承接上一问,由于个人信息保护影响评估以及自评估涉及的评估广度以及深度上的差异,企业可能需要分别进行个人信息保护影响评估以及自评估。但是,这并不意味着二者没有可以共用的部分。


相反,许多企业在进行两项评估的过程中实际上有许多调查的事项材料是重合的,比如涉及到个人信息相关的目的、类型、使用范围、境外接收者保障信息安全的技术和管理制度、境外的责任承担义务等,这也提醒企业,在进行各项评估时,相关的评估材料可以进行及时备份和保存,以提高企业经办数据出境流程的效率


在对个人信息主体的保护方面,自评估涵盖了个人信息保护影响评估内容,可以合并进行评估。而对于涉及接收方所在国/地区的政策评估,则需要在个人信息保护影响评估中额外进行。

Q70. 《办法》中提及的数据出境的法律文件具体有哪些要求?

《办法》中表述数据处理者与境外接收者之间签订的文本使用的是“法律文件”而并非“合同”,这说明,企业双方也可能采取在原有合同的基础上签订补充协议或者增加附件的方式完成义务内容的约定,同时与《标准合同》不同,《办法》规定发布后并没有提供一个官方的样本,而主要强调法律文件中的数据安全保护责任义务内容。主要包括以下要点:

Q71.延伸—《办法》中的法律文件和《标准合同》有什么区别?

本质上,《办法》的法律文件以及《规定》提供的标准合同,都能体现国家对于数据出境的监管,只是由于约束的数据内容在涉及的范围、类型、重要性及影响力上存在差异,因此两个文本背后体现出来的,采用的监管策略可能会存在差异,关于差异性,二者的比较可以从多个角度进行分析:

Q72.延伸—在企业起草法律文件中的安全保障义务条款时,是否可以参考《标准合同》的内容?

目前来看,《标准合同》的条款还是具有较高参考价值的,尤其在《办法》实施的初期,境内各企业对法律文件的条款内容可能尚缺乏充足的经验帮助判断,《标准合同》中关于个人信息处理者及境外接收者的权利义务、对个人信息的制度及技术保护要求、对出现侵害个人信息事件风险时的处置措施等内容都值得借鉴。由于进行安全评估的个人信息重要性更高,影响力更大,双方的安全保障义务条款可能会比《标准合同》更为严格。

本系列文章作者:

王捷 肖锦豪 夏律 黄思妍 刘玫君


【声明】

本文内容系作者对法律及实务的理解,仅代表作者个人观点,不构成法律意见,作者以及本公众号均不对内容的分析正确性以及内容获得者由此采取的任何行为承担法律责任。

本文内容系作者原创,引用、转载均请联系作者并注明出处,禁止抄袭,谢谢!

欢迎联系主编投稿。

主编介绍

王捷 

执业律师,垦丁W&W国际法律团队创始人,联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学研究会理事,荷兰RuG国际经济法与商法硕士,专注于网络法领域的研究和实务,特别是互联网产品合规、出海合规以及全球数据保护与个人信息保护合规,已为多家知名互联网公司及大中型外资企业提供专业法律服务,覆盖智能终端制造、IOT、人工智能、云计算与服务、社交网络平台、移动互联网、电子商务及平台、短视频视听直播、网络游戏、以及个人信息保护、数据安全等行业领域。

王捷律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作,拥有10年的科技型公司实务经验与中外律所从业背景,深耕海内外多条业务线。专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。她能更准确理解客户核心需求,快速响应并提供基础到战略的有效支持,并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。

王捷律师关于《中国与海外多国/地区数据保护及企业合规要点对比》的论文,在全球最高分的六篇论文中,荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖,该文章同时被评为年度隐私政策制定者 “必读” 文章。与此同时,她还是出海互联网法律观察公众号主理人,输出了多篇专业互联网与数据合规文章,部分刊登于国际知名专业数据库。

联系方式:

全球数据合规实务群

为您提供独家出海资讯、最新信息动态

与同行们一起交流时事热点、分享经典案例

尽享互联网出海法律干货

快添加主理人微信(jie-72)加入我们吧!

(入群请详细备注姓名、单位、研究领域)

【入群条件:请提出一个关于数据出境的实务问题】



近期更新:

【从零读懂】数据出境合规100问 | Part 3上篇:《数据出境安全评估办法》高频问题与适用解读

【从零读懂】数据出境合规100问 | Part 2下篇:《个人信息出境标准合同规定(征求意见稿)》高频问题与适用解读

【从零读懂】数据出境合规100问 | Part 2上篇:《个人信息出境标准合同规定(征求意见稿)》高频问题与适用解读

【从零读懂】数据出境合规100问 | Part 1:数据出境关键概念剖析

夏至重磅 | 《个人信息保护与数据合规法律汇编V2.0》更新至2022年6月(附下载)

重磅发布 | 元宇宙与NFT合规问答手册

重磅发布 | 元宇宙产业及元规则体系合规蓝皮书

重磅发布 | NFT业务模式与关键法律问题研究

活动回顾 | 垦丁广州开放日暨元宇宙合规分享会

数据抓取 | hiQ与领英案重审判决,抓取公开数据并不违法

元宇宙时代下的隐私风险——AR虚拟试穿遭到数据隐私诉讼

新大西洋数据隐私框架协议及声明将对欧美数据跨境传输带来什么新变化?

欧盟重磅法案 | 为什么《数据治理法》对数据共享很重要?

全球数据合规资讯周报 | 欧盟议会发布实施《数字市场法案》

英国计划要求科技公司提供身份验证工具以应对匿名恶意用户

EDPB公布了作为数据传输工具的行为准则的指南定稿

欧盟重磅法律草案下载 | 为什么欧盟需要《数据法》?

Meta年报指出Facebook和Instagram因受到欧盟的数据传输规则影响,或妨碍其在欧洲继续提供服务

快讯 | 欧盟议会通过数字服务法案DSA-旨在明确平台服务提供商责任

垦丁律所发布《中国个人信息保护法与海外多国/地区数据合规保护 企业合规要点比较报告》

冬至重磅 |《个人信息保护与数据合规法律汇编》发布(附下载)

重磅蓝皮书 | 《中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告》发布

致敬个人信息保护法正式生效| 全方位解读个人信息保护十大合规要点及十国/地区大比对

越南发布新跨境广告法令下的跨境广告服务商的合规要求

大数据杀熟-互联网法律人的周末私享会

佛罗里达州众议院通过了《佛罗里达隐私保护法》

重磅原创 | 个人信息保护法(草案)与多国数据保护法要点对比

个人信息保护:

十国/地区数据保护法十大合规要点对比 | #10 数据保护监管机构与违反数据保护法的处罚规定

十国/地区数据保护法十大合规要点对比 | #9个人信息处理者的主要义务

十国/地区数据保护法十大合规要点对比 | #8 数据保护官(DPO/个人信息保护负责人)任命要求

十国/地区数据保护法十大合规要点对比 | #7 发生安全事件时数据泄露通知的要求

十国/地区数据保护法十大合规要点对比 | #6 数据影响评估(DPIA/PIA)要求

十国/地区数据保护法十大合规要点对比 | #5 数据主体在个人信息处理活动中的权利

十国/地区数据保护法十大合规要点对比 | #4 数据跨境传输规则与要求

十国/地区数据保护法十大合规要点对比 | #3 数据本地化存储要求

十国/地区数据保护法十大合规要点对比 | #2 个人信息处理规则与特别注意事项

十国/地区数据保护法十大合规要点对比 | #1 法律适用范围与域外适用效力

精品解读:

美国封杀Tiktok事件法律依据、起诉可行性简要分析及出海应对方程式

印度封杀中国APP,谈谈出海印度企业的风险应对策略

针对印度政府禁止59款中国APP最完全版解读

【如何做一块安全的饼干】之cookies的用户告知与法律基础

民法典专题系列 | 对比:《民法典》隐私权&个人信息与GDPR视角下的隐私权&个人数据权利

从印度“删除中国APPs”被Google Play下架谈谈平台合规

游戏出海:

实务|Adjust手游出海指南-东南亚篇

干货|Google移动游戏东南亚出海策略

【游戏出海】国产手游厂商如何应对韩国游戏分级?

游戏出海如何进行合规?听听垦丁律所海外业务负责人王捷怎么说

游戏出海三人游—日本篇

游戏出海三人游-韩国篇(下)

游戏出海三人游-韩国篇(上)

网络法沙龙 | 垦丁网络法广州站第十一期:游戏作品IP化过程中的风控管理与游戏直播背景下著作权法律关系的再思考

跨境电商:

「大咖观点」卓志科技合规管理中心副总监黄颖|跨境电商零售进口实务分享

你真的读懂社交电商吗?——社交电商生态架构的合规设计(含海外社交电商专题)

【值得收藏】中国跨境电商的商业模式与生态链条剖析

「大咖观点」电子商务法立法专家姚志伟|跨境电子商务零售进口中的“中文标签”问题

重磅」《跨境电子商务零售进口法规案例汇编》发布

「大咖观点」 “全球购骑士特权”法总叶意 | 海外支付法律问题分析

继续滑动看下一个
出海互联网法律观察
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存