数据出境FAQs(一):境外个人信息处理者(个保法第三条第二款)是否需申报安全评估?
欢迎点击上方 TMT法律论坛 关注我们
专栏
Law
★
导读
★
随着《数据出境安全评估办法》生效及其指南的发布,触发申报门槛的企业大都在积极地推进着自评估和申报工作。鉴于申报工作是一项崭新的法律要求,企业和监管部门都在探索和积累经验,实操中难免会存在诸多不清晰的问题。鉴于此,我们将通过本FAQs系列栏目,基于法律法规理解、实践案例及多渠道的监管咨询,对焦点问题进行解读和分享。
本期为数据出境FAQs第一期“境外个人信息处理者(个保法第三条第二款)是否需申报安全评估?”
需要指出,本FAQs所有内容仅是一家之言,仅供参考,企业的具体行动应当以法律规定、监管要求为准。
问
《个人信息保护法》第三条第二款适用的主体,即境外数据处理者,以向境内自然人提供产品或者服务为目的,或分析、评估境内自然人的行为,直接收集境内自然人的个人信息,如果达到申报门槛,是否需要进行申报?
答
√
适用个保法第三条第二款的主体在达到出境安全评估的数量门槛时,需要申报数据出境安全评估,并根据其在境内按照个保法第五十三条指定的代表处所在地确定申报机关。
解读
法律背景
针对境外数据处理者直接收集境内自然人个人信息(如境外电商网站面向境内用户直接收集个人信息)的场景,之前有业内观点认为不适用个保法第三章所规定的个人信息跨境提供规则。该理解的逻辑在于:
按照个保法第三十八条规定,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,适用第三章所规定的个人信息跨境提供规则。而个保法第三条第二款的场景中,数据处理者位于境外,且缺少境内“传输方”,也就没有发生个人信息处理者向境外(另一方)“提供”个人信息的行为;
另外,个保法第三章之基本价值是保障跨境个人信息能够得到同等保护。考虑到个保法第三条第二款的场景下,境外的处理者应当直接适用个保法,同等保护原则能够得到保障。
但是,在全国信息安全标准化技术委员会6月24日发布的《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》中,此场景被纳入到安全认证机制范围,引发一定争议。
解读
数据出境安全评估的制度目标除了保护个人信息权益外,更重要的是维护国家安全和社会公共利益。而标准合同条款和安全认证机制,主要为了是实现个人信息的同等保护原则。对于保法第三条第二款的数据处理场景,如果数据数量大或敏感程度高,同样会引发国家安全和社会公共利益之考虑。如果数据出境安全评估排除第三条第二款的场景,就会形成制度的监管空白。
另外,数据出境安全评估采用的是事前评估和持续监督相结合的方式,即使考虑到境外的处理者直接适用个保法,也无法替代这一事先评估的监管机制。
监管咨询
经咨询监管部门,回复意见为:境外数据处理者直接收集境内自然人的个人信息构成数据出境,达到申报条件的,要进行数据出境安全评估申报;同时,鉴于境外个人信息处理者需要根据个保法第五十三条在境内设立专门机构或者指定代表,应根据该专门机构或者指定代表所在地确定申报机关。
值得注意的是,部分地方监管部门还要求发起申报的代表处具备独立法人资格。
相关法条
《个人信息保护法》第三条第二款:
在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:
(一)以向境内自然人提供产品或者服务为目的;
(二)分析、评估境内自然人的行为;
(三)法律、行政法规规定的其他情形。
《个人信息保护法》第五十三条:
本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。
重要提示:
本文仅作为信息性参考,不构成法律意见,不能作为任何行动的依赖。本文中的回复意见可能是不全面的,考虑到监管的不断实践,不排除后续的进一步变化。任何的行动,请以律师的正式意见和监管的意见为准。
作者往期文章推荐
中伦解读
域外关注
本期编辑:陈瑊 陈煜烺 张媛媛