数据出境100问系列 | Part1:数据出境关键概念剖析(二)
团队介绍:
W&W国际法律团队,国内外一站式法律合规顾问
W&W 国际法律团队已为超过50+头部与知名互联网公司、500强企业、大中型外资企业、独角兽企业提供专业的法律合规服务和落地解决方案。为多个产品及业务线落地互联网综合合规、国内外数据合规及出海合规法律项目。特殊行业覆盖前沿科技领域,如AIGC、区块链、GPT、云计算等新兴领域、智能网联汽车与车机系统、智能制造业与物联网。涉及业务地区为国内、欧洲、北美、亚太、中东等地区。
(如有项目需求或了解代表案例,欢迎联系。)
联系方式:
邮箱:jie.wang@kindinglaw.com
TEL:+86 13650790754
文/ 王捷律师团队
导言
随着《数据出境安全评估办法》《个人信息保护认证实施规则》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》的公布,由《个人信息保护法》第三十八条确定的数据出境路径的实践脉络已经越发清晰,可以判断,数据出境合规是企业开展国际业务必须面对的课题。
我们一直专注于网络法实务,特别是数据合规实务工作,在日常为各大企业提供合规服务的过程中,亦遇到各类新型的值得探讨的问题。为了方便实务,让数据出境需求者能够尽快的熟悉、理解我国关于数据出境的各项法律要求与规定,我们计划以前述规定为基础,对我国数据出境有关的法律问题进行一个全方位的解读,一方面对数据出境相关的法律法规进行分析,另一方面也就日常工作中遇到的高频出境问题进行总结。
报告全文获取方式:跨境无忧,合规先行|《数据出境100问》PRO版重磅发布:您的全球合规导航手册
我们热切地期待与各位同行朋友深入探讨各种新型问题,有任何数据合规实务需求与问题探讨,请随时联系王捷律师团队,联系方式见文末。
更新说明
本文章的V1.0版本更新于2022年7月,彼时《个人信息出境标准合同办法》仍在征求意见稿阶段,《数据出境安全评估办法》亦刚刚发布。
在本次2024年4月的更新中,本专题补充了个人信息保护认证、粤港澳大湾区标准合同、境外个人信息跨境传输部分,根据《促进和规范数据跨境流动规定》、《数据出境安全评估申报指南(第二版)、《个人信息出境标准合同备案指南(第二版)》的最新规定进行了更新,对原有部分,包括数据出境关键概念剖析、数据出境安全评估、个人信息出境标准合同等部分,均进行了更新或更正。
系列预告
”
本系列文章将分为以下七部分,将在本公众号持续更新。
第一部分:数据出境关键概念剖析
第二部分:数据出境安全评估高频问题与适用解读
第三部分:标准合同高频问题与适用解读
第四部分:粤港澳大湾区(内地、香港)个人信息跨境流动标准合同
第五部分:个人信息保护认证高频问题与适用解读
第六部分:数据出海实践关键问题与海外SCCS要点对比
第七部分:境外个人信息跨境传输
本篇是第一部分内容,主要就部分数据出境的关键概念进行梳理和解读。
第一部分:数据出境关键概念剖析
很多看似非常难解答和处理的问题,并非问题本身,更多是基础概念没有真正理解到位。在日常为各大企业提供数据合规法律服务的过程中,我们经常遇到各项要素交织在一起的复杂情况,解决问题的关键之一,是对基础概念进行准确理解,并识别出待解决问题的真正核心。下面主要就部分数据出境的关键概念进行梳理和解读。
Q11
如何理解“境外机构、组织、个人”?
实务中跨国集团、外资企业等存在很多看似疑难或模糊的数据出境场景,要想理清各类数据流转场景下是否涉及“向境外提供”数据,或数据被境外“访问或调用”的情况,需要进一步对“对境外机构、组织、个人”进行理解。
根据现行法律法规的定义,“境外机构、组织”包括境外机构、组织在中华人民共和国境内设立的分支(代表)机构和分支组织;“境外个人”包括居住在中华人民共和国境内不具有中华人民共和国国籍的人。
即境外的机构、组织是指没有在我国境内注册的主体,境外的个人是指持有外国国籍的自然人以及不受我国(内地/大陆)司法管辖的香港、澳门、台湾地区的自然人。
Q12
境内主体向另一个位于境内的外资企业的办事处传输数据,是否属于“数据出境”?
在实务中,有很多看似不是数据出境,但实质上属于数据出境的“迷惑性”情况。判断这些问题的关键,主要看该业务场景是否落入“数据出境”的范围。
如前所述,出境的“境”是指跨越了司法管辖区域的边界,如果是向在我国境内,但不属于我国司法管辖的另一主体,或没有在我国境内注册的另一主体提供了数据,且该数据涉及个人信息和重要数据的,则仍然属于“数据出境”。
Q13
跨国集团内部的数据传输行为,是否属于“数据出境”?
同样是如何理解“境”的问题,即便是跨境集团内部的数据传输行为,由于数据是通过境内的网络运营者从境内转移至境外的,如果该等数据也是属于其在境内运营中收集和产生的个人信息和重要数据的,则仍然属于“数据出境”。
因此,在实务中,当涉及跨国集团常发的集团统一采购、人事管理、OA系统、财务管理、文档管理、供应商管理、远程运维等情况时,将可能经常发生企业内部数据流动,并向境外关联主体提供数据的情况,从而可能会落入“数据出境”的范畴,需要特别注意。
Q14
如何识别哪些情况不构成数据出境?
简而言之,排除了所有属于“数据出境”的情况,则属于不构成数据出境的情况。
我们认为,没有进行任何加工和处理的“过境中转数据”,即该等数据只是经由我国境内中转,但没有经过任何的变动或加工处理,不属于“数据出境”。
但对于“并非在我国境内收集和产生的数据,但处理过程中没有引入境内个人信息或重要数据”的情形,我们认为根据《数据跨境流动规定》第四条的规定,该情形仍然属于数据出境,但“免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”。但如在处理非我国境内收集和产生的数据过程中引入了境内个人信息或重要数据,我们理解需要根据引入数据及具体数据出境情况等,确定具体应适用的数据出境路径。
Q15
什么是“数据出境安全评估”?
数据出境安全评估是符合要求的企业需要向境外提供重要数据和个人信息时,由企业申报,由国家网信部门进行安全性审查的过程。
安全评估最初在2017年我国《网络安全法》第三十七条出现,此后,《数据安全法》《个人信息保护法》《安全评估办法》等相继在重要数据及个人信息出境中提出了安全评估的要求。
《安全评估办法》是对数据出境安全评估进行了内容的细化。根据《安全评估办法》,数据处理者在申报数据出境安全评估前,应当先开展数据出境风险自评估。在后续部分,我们将会对安全评估的相关问题进行深化解读。
Q16
什么是“个人信息出境标准合同”?
《个人信息出境标准合同》是国家网信部门制定的一项标准合同,是《个人信息出境标准合同办法》的配套文件。《个人信息出境标准合同》为个人信息处理者和境外接收方设定了一系列权利和义务,通过合同义务的方式约束双方的个人信息保护义务。
《个人信息出境标准合同》虽然是合同性质,但并不是说双方完成了签署就完事,它仍然会涉及到我国法律及原则的适用,以及我国的监管机构也对标准合同条款的实施了对应的监管要求,例如要求进行事前的个人信息影响保护评估、采取保护措施、要求进行备案等。
Q17
什么是“个人信息保护认证”?
国家网信办联合国家市场监督管理总局发布的《关于实施个人信息保护认证的公告》落实了个人信息保护认证制度。个人信息保护认证是《个人信息保护法》规定的个人信息出境合规路径之一。具体而言,个人信息保护认证是由第三方机构通过评估对企业个人信息保护的能力给予信任背书。个人信息保护认证有两种类型,分别为不含跨境处理活动的个人信息保护认证和包含跨境处理活动的个人信息保护认证。
Q18
《数据跨境流动规定》出台后,适用不同数据出境路径的条件是什么?
根据《数据跨境流动规定》第十三条的规定,《数据跨境流动规定》与《安全评估办法》及《标准合同办法》规定不一致的,适用《数据跨境流动规定》。而《数据跨境流动规定》的第三至八条对于不同数据跨境传输路径的适用条件进行了大幅调整,且增加了豁免情形。故本专题在阐述后续部分各数据跨境传输路径的相关问题之前,对各路径的豁免情形和适用条件予以阐述。
第一,是“免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”的情形,即所谓的豁免情形。根据《数据跨境流动规定》第三至六条,包括:
01
数据处理者跨境传输的数据不包括个人信息或重要数据;
02
数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的;
03
数据处理者向境外提供个人信息,符合下列情形之一,且向境外提供的个人信息不包括重要数据的:
1)为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的;
2)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;
3)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;
4)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。
04
自由贸易试验区内数据处理者向境外提供自由贸易试验区制定的负面清单外的数据。
第二,是适用各数据跨境传输路径的条件:
01
符合下列条件之一,需申报数据出境安全评估:
1)关键信息基础设施运营者向境外提供个人信息或者重要数据;
2)关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。
02
同时符合下列条件的,需订立个人信息出境标准合同或者通过个人信息保护认证:
1)非关键信息基础设施运营者;
2)自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的。
第三,另外,值得关注的问题包括:
01
关键信息基础设施运营者的特定数据出境场景落入《数据跨境流动规定》第三至六条的情形时,无需申报数据出境安全评估,亦无需订立个人信息出境标准合同或通过个人信息保护认证。
02
即使落入“免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”的情形,但数据处理者向境外提供个人信息的,仍需按照法律、行政法规的规定履行告知、取得个人单独同意(若适用)、进行个人信息保护影响评估等义务;数据处理者向境外提供数据(包括个人信息)的,仍需遵守法律、法规的规定,履行数据安全保护义务,采取技术措施和其他必要措施,保障数据出境安全,如发生或者可能发生数据安全事件的,应当采取补救措施,及时向省级以上网信部门和其他有关主管部门报告。
03
当年1月1日起累计向境外提供不满10万人个人信息(但不包括敏感个人信息),无需申报数据出境安全评估,亦无需订立个人信息出境标准合同或通过个人信息保护认证,但仍需要履行上述(2)的义务。
Q19
如何判断企业是否属于“关键信息基础设施运营者(CIIO)”?
自《网络安全法》公布以来,“关键信息基础设施运营者”的概念就持续在各种规定中被使用,后续各项法律规定不断完善后,该概念也逐渐清晰起来。
《关键信息基础设施安全保护条例》第二条为CIIO给出了明确的定义,关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
关键信息基础设施的确定,通常包括三个步骤,
01
确定关键业务
02
确定支撑关键业务的信息系统或工业控制系统
03
根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施
同时,条例第九条规定,保护工作部门会结合本行业、本领域实际,制定关键信息基础设施认定规则,并报国务院公安部门备案。制定认定规则考虑的因素包括:
01
网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;
02
网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;
03
对其他行业和领域的关联性影响。
目前,企业是否为“关键信息基础设施运营者”是由保护工作部门根据其制定的相应规则组织认定的,认定结果工作部门会通知给运营者,并通报国务院公安部门。可见,如果企业并没有收到主管部门的认定通知的话,可以认为企业暂时不属于CIIO。
Q20
如何计算“1万、10万、100万人个人信息”、如何理解“自当年1月1日起累计”?
(1)计算标准为个人信息主体数量,即人数,而不是条数。若企业涉及将一个个人的个人信息以多条的形式向境外提供,如企业同时将某个自然人的个人信息以“手机号+性别+所在城市”、“手机号+年龄+性别”的方式向境外提供,应计算为向境外提供了一个自然人的个人信息,对此企业在计算时需要以特定的方式进行去重后确定出境个人信息所对应的人数。
需要注意的是,根据《数据跨境流动规定》答记者问,符合《数据跨境流动规定》第三条、第四条、第五条第一款第一项至第三项、第六条规定情形的,不计入累计数量。
另外,请注意,数量应按照个人信息处理者的全部出境场景的个人信息所对应的个人信息主体数量计算,并非以单一业务线或单一产品来进行计算。
(2)10万人及1万人指的是自当年1月1日起出境的个人信息所对应的个人信息主体数量(人数)的累计计算。假设个人信息处理者于2024年4月2日评估是否可适用标准合同作为个人信息跨境传输路径,则计算范围为该个人信息处理者自2024年1月1日至2024年12月31日之间出境个人信息所对应的个人信息主体数量,因此个人信息处理者需要预估2024年整年出境个人信息所对应的个人信息主体数量。
为避免出现出境个人信息所对应的个人信息主体数量(人数)超过100万或1万敏感个人信息的阈值导致需申报安全评估,且考虑到完成整个安全评估的周期较长,我们建议企业根据过往两年的已出境个人信息所对应的个人信息主体数量、未来一年内的业务增长量预判等因素预估本年度的出境个人信息所对应的人数,如可能落入申报安全评估的范围,提前安排安全评估的相关工作。
声明
报告内容系作者对法律及项目实务的理解及高度总结,同时包含部分实践中向监管咨询后得到的答复内容。报告内容仅代表作者个人观点,不构成法律意见。鉴于数据合规法律法规的多变,以及各个国家或地区的立法可能会有变化或存在法院自由裁量权的情况,具体内容需要依赖于对现有规则的理解和把握,且相关预判与建议应当根据具体业务模式以及当地法律法规的变化而不断调整修正。
报告内容系作者原创,引用、转载均请联系作者并注明出处,禁止抄袭,谢谢!欢迎联系主编投稿。
主编介绍
王 捷 律师
垦丁律师事务所合伙人、广州创始合伙人、主任律师
W&W国际法律团队创始人
荣登律商联讯(LexisNexis)2023「40位40岁以下的法律精英」榜单
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了13年+科技型公司实务经验,具备中外律所从业背景;为各类涉互联网企业提供各类综合合规支持,包括数据合规、个人信息保护、产品模式合规等,尤其擅长为企业出海产品提供各类有效的合规解决方案与落地支持。目前已为超过50+头部与知名互联网公司、500强企业、大中型外资企业、独角兽企业提供服务和产品落地解决方案;并发表了超过200多篇的实务文章与专题报告。
专攻领域:
个人信息保护与全球数据合规、企业出海合规、互联网产品及业务模式综合合规、网络安全、广告合规、知识产权攻防布局、前沿科技领域实务合规等。专精于移动互联网、智能制造业与物联网、智能网联汽车与车机系统、电子商务及平台、直播与短视频、社交网络平台、AIGC、区块链、云计算、web3.0、NFT等新兴前沿行业。
涉足国家及地区:
中国(含港澳台地区)、印度、印尼、东南亚等多国、日、韩、欧盟、美国、中东多国、南美洲、非洲。
职业资格:
持有CIPP/E(国际信息隐私专家认证/欧盟)、区块链应用操作员资格证书、数据安全师、数据合规官等资格证书,是联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学常务理事,荷兰RuG国际经济法与商法硕士。
联系方式:jie.wang@kindinglaw.com
+86 13650790754
推荐阅读:
垦丁荣誉|王捷律师荣登律商联讯2023年 “40位40岁以下的法律精英”榜单
访谈实录(中):没有什么事是做分享解决不了的,如果有,那就继续坚持
新年贺礼| 《全球数据合规2023图鉴》重磅发布 ,要做年终总结吗,我们帮你梳理好了
开辟万象,OPEN你的AI|垦丁W&W国际法律团队发布《AIGC产业发展与法律合规实务手册》(附下载)
冬至礼物 | 法律法规汇编大礼包V5.0 《个人信息保护数据合规法律汇编》
W&W国际法律团队 | 欧盟-美国隐私框架「DPF」解读全系列
W&W国际法律团队 | 印度2023数字个人数据保护法案最新要点解读