数据出境FAQs（五）：如何在自评估报告中描述境外数据保护法律环境？

欢迎点击上方 TMT法律论坛 关注我们

专栏

Law

★

导读

★

随着《数据出境安全评估办法》生效及其指南的发布，触发申报门槛的企业大都在积极地推进着自评估和申报工作。鉴于申报工作是一项崭新的法律要求，企业和监管部门都在探索和积累经验，实操中难免会存在诸多不清晰的问题，我们将通过本FAQs系列栏目，基于法律法规理解、实践案例及多渠道的监管咨询，对焦点问题进行解读和分享。

本期为数据出境FAQs第五期“如何在自评估报告中描述境外接收方所在国家/地区的数据安全保护政策法规和网络安全环境情况？”

需要指出，本FAQs所有内容乃是一家之言，仅供参考，企业的具体行动应当以法律规定、监管要求为准。

往期回顾：

• “境外个人信息处理者（个保法第三条第二款）是否需申报安全评估？”

• 如何识别“重要数据”？

• 如何签署数据跨境传输协议？

• 如何处理申报安全评估与数据本地化的关系？

如何在自评估报告中描述境外接收方所在国家/地区的数据安全保护政策法规和网络安全环境情况？

根据《数据出境安全评估办法》（以下简称“《办法》”）第8条规定，境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境（以下称“境外法律环境”）对出境数据安全的影响是安全评估的重点事项之一。同时，《数据出境安全评估申报指南 （第一版）》（以下简称“《申报指南》”）中亦在自评估报告模板中要求对境外法律环境进行说明。如何在自评估报告中描述该事项，成为企业申报安全评估所面临的共同问题。

_____________    

FAQs

问：要从哪些维度描述境外境外法律环境？

答：

综合业界实践和监管咨询的信息，并参考域外经验，可以考虑从如下维度描述境外接收方所在国家或地区的法律环境：

1）介绍当地现行的数据保护和网络安全法律法规，以及普遍采用的标准，描述当地立法与我国立法的差异；

2）该地区加入区域或全球数据保护和网络安全组织或做出相关具有约束力的国际承诺的情况；

3）当地落实数据保护和网络安全的机制，如当地关于数据安全、网络安全、个人信息保护的监督执法机构和相关司法机构及此等机构关于数据保护和网络安全的实现方式；

4）当地行政、监管或司法程序等可以要求调取个人信息的情况，如调取的权力、应遵循的法律程序与限制措施；

5）当地与其他国家、地区缔结的与数据流通、共享相关的双边或多边协定的情况，包括在执法、监管等方面数据流通、共享的双边或多边协定；

6）个人信息主体在当地寻求司法救济的途径及可行性；

7）除上述已提及要素外的当地的网络安全环境状况等。

问：如何确定应当评估的国家或地区及其范围？ 

答：

所需评估的国家或地区范围应根据境外接收方的所在地确定，如当数据传输至数据接收方（位于A国）控制下的放置于B国的服务器时，一般所需评估的地区为A国。同时，经咨询地方网信部门，本事项内的“境外接收方”一般仅指向第一手境外接收方，数据再传输活动涉及的第三方境外接收方所在国家或地区的相关情况一般不需要评估。

问：涉及多个境外第一手接收方时，如何处理？

答：

经咨询地方网信部门，涉及多个境外第一手数据接收方时，需全量描述各接收方所在国家或地区的法律环境。同时，可在自评估报告中结合业务场景，根据数据出境规模、涉及国家或地区的风险程度等因素，分别评估各接收方所具备的数据安全保障能力。

法律解读

早在《数据安全法》与《个人信息保护法》出台前，全国信安标委即发布《信息安全技术 数据出境安全评估指南》（征求意见稿），就重要数据与个人信息出境时，如何评估数据接收方所在国家或区域的法律环境提供指导。《个人信息保护法》颁布后，通过第五十五条明确数据出境场景需进行个人信息保护影响评估；今年相继发布的《个人信息出境标准合同规定》（征求意见稿）与《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》（v2.0-征求意见稿 202211）从个人信息保护影响评估层面细化了境外接收方所在国家或地区的法律环境评估的要求。虽然前述规定和规范均未发布正式稿，但可为数据出境安全评估机制下评估境外接收方所在国家或地区法律环境提供借鉴。

在欧洲，Schrems II案后，欧盟数据保护委员会（EDPB）发布《Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data  version 2.0》（《关于补充数据传输工具的 01/2020号建议 第2版》）与《Recommendations 02/2020 on the European Essential Guarantees for surveillance measures》（《针对监控措施的关于欧盟重要保障的02/2020号建议》），明确要求在依据标准合同作为数据跨境传输保障机制时应进行数据跨境传输评估（Transfer Impact Assessment，TIA），尤其强调要评估第三国的数据保护法律或实践，以保证数据接收方可以达到与传输方所在国家/地区的同等保护水平。英国信息专员办公室（ICO）则发布有《International Transfer Risk Assessment and Tool（Draft）（跨境转移风险评估工具草案）》，规定了与之类似的数据跨境传输风险评估机制（Transfer Risk Assessment, TRA），同样涉及对第三国法律环境的评估。前述规范所追求的同等保护原则，与我国数据出境的申报安全评估机制具有相同的价值取向，故此等规范所提出的关于第三国法律环境的评估因素，可作为企业在自评估报告中描述境外接收方所在国家或地区法律环境的参考。

跨法域对比

我们梳理了上述规范所提出的境外接收方所在国家或地区的法律环境的评估要点，如下表所示（可放大图片查看）。

从整体上看，我国相关规范明确的评估点主要包括：

1）当地现行的数据保护法律法规，包括普遍适用的标准（及与我国立法的差异）；

2）该地区加入区域或全球数据保护组织或做出相关具有约束力的国际承诺的情况；

3）当地落实数据保护的机制，如数据安全、个人信息保护的监督执法机构和相关司法机构；

4）当地行政、监管或司法程序等要求调取个人信息的情况，如调取的权力与法律程序；

5）当地与其他国家、地区缔结的与数据流通、共享相关的双边或多边协定的情况，包括在执法、监管等方面数据流通、共享的双边或多边协定；

6）当地的网络安全环境。

TIA与TRA则更着眼于强调当地立法与司法对调取个人信息的规制情况及对个人信息主体权益的保护情况，所明确的评估要素主要包括：

1）当地整体的法治环境，如是否施行法治、是否尊重人权；

2）当地的司法环境，如是否承认和执行外国判决或仲裁裁决，是否有充分保护海外个人信息主体权益的诉讼机制，司法程序是否廉正独立；

3）当地的立法环境，如是否具备成熟的数据保护和/或隐私保护法律体系，是否存在第三方数据访问管控制度（包括管控第三方数据访问、保障个人信息主体权利、要求第三方采取适当安全保障措施等内容），是否对生物识别数据进行管理等；

4）当地的执法环境，如是否存在数据保护机构，是否对公共当局的数据访问活动进行审计等。

综合上述要素，我们理解，企业在描述境外接收方法律环境时，可参考如下维度：

1）当地现行的数据保护和网络安全法律法规，包括普遍使用的标准，描述当地立法与我国立法的差异；

2）该地区加入区域或全球数据保护和网络安全组织或做出相关具有约束力的国际承诺的情况；

3）当地落实数据保护和网络安全的机制，如网络安全、数据安全、个人信息保护的监督执法机构和相关司法机构及此等机构关于数据保护和网络安全的实现方式；

4）当地行政、监管或司法程序等要求调取个人信息的情况，如调取的权力、法律程序与管控措施；

5）当地与其他国家、地区缔结的与数据流通、共享相关的双边或多边协定的情况，包括在执法、监管等方面数据流通、共享的双边或多边协定；

6）个人信息主体在当地寻求司法救济的可行性，如是否有充分保护海外个人信息主体权益的诉讼机制，司法程序是否廉正独立；

7）除上述已提及要素外的当地的网络安全环境等。

考虑到域外法律环境评估具有一定专业性，在具体评估实践中，企业可通过寻求境外接收方法务部或合规部等相关部门的协助，或通过聘请境外律师、国际公认的审计机构或者跨国的服务机构以实现全面、专业的评估。EDPB建议中列明的评估第三国数据保护水平的部分信息来源，如欧盟法院和欧洲人权法院的判例法、欧盟委员会的充分性认定、政府间组织和区域机构（例如欧洲委员会和联合国机构）的决议和报告、相关的国家判例法、学术机构和民间社会组织（例如非政府组织和贸易协会）的报告等，可供企业评估时参考。此外，企业应注意对相关报告进行留存，以备监管核查。

相关规范

《个人信息保护法》

《个人信息出境标准合同规定（征求意见稿）》

《数据出境安全评估申报指南（第一版）》

《网络安全标准实践指南 —个人信息跨境处理活动安全认证规范》（v2.0-征求意见稿 202211）

《信息安全技术 数据出境安全评估指南》（征求意见稿）

EDPB Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data version 2.0

EDPB Recommendations 02/2020 on the European Essential Guarantees for surveillance measures

ICO International Transfer Risk Assessment and Tool（Draft）

重要提示：

本文仅作为信息性参考，不构成法律意见，不能作为任何行动的依赖。本文中的回复意见可能是不全面的，考虑到监管的不断实践，不排除后续的进一步变化。任何的行动，请以律师的正式意见和监管的意见为准。

作者往期文章推荐

中伦解读

• China’s 3 Data Cross-border Transfer Mechanisms In a Nutshell

• 欲知平直，则必准绳——《数据出境安全评估办法》十四个焦点问题的理解

• 一图读懂《数据出境安全评估办法》

• 网信办发布第一版指南，数据出境安全评估申报流程全梳理

• 首提重要数据识别标准！江苏发布数据出境安全评估申报工作指引

• 中国版标准合同条款揭开面纱，能否成为个人信息出境的通途（一）？

• 中国版标准合同条款揭开面纱，能否成为个人信息出境的通途（二）？

• 关于《个人信息跨境处理活动安全认证规范》十三个焦点问题的理

• 权知轻重，度知长短：如何开展《个人信息保护法》项下的合规审计？

• 数据安全，国之重器——《数据安全法》第三十六条的适用与合规应对

• 测绘合规四问四答：新《通知》下车企如何合规开展测绘活动

• 附导读 | 国标《信息安全技术 网络数据分类分级要求》征求意见

• 附全文及要点 |《医疗卫生机构网络安全管理办法》印发并实施

• 附导读及全文 | 三部门联合发布《互联网弹窗信息推送服务管理规定》

• 数据安全管理（DSM）认证该怎么做？

• 金融数据监管全景分析 | 2022年以来，一行两会都在罚什么？

• 附要点解读及立法趋势 | 修订版《移动互联网应用程序信息服务管理规定》发布

• 从“首例数据合规不起诉案”看企业数据合规风险防控

• 汽车OTA升级备案落地，OTA进入监管时代

• 《2022年钱伯斯全球法律实务指南-中国数据保护与隐私》发布

• “3·15”晚会曝光的四起信息安全案例及数据合规分析

• 《中国金融》刊发：网络安全立法对中概股的影响
  

• 算法推荐新规生效：五大视角厘清算法治理新格局

• 《中伦网络安全与数据保护法律评论2022》在线获取

• 《网络安全审查办法》尘埃落定，境外上市影响几何（上）

• 《网络安全审查办法》尘埃落定，境外上市影响几何（下）

• 网络安全与数据保护2021年度法律观察

• 关于《网络数据安全管理条例（征求意见稿）》的三十四个核心问题（上）

• 关于《网络数据安全管理条例（征求意见稿）》的三十四个核心问题（下）

• 《网络数据安全管理条例（征求意见稿）》发布，赴港上市网络安全审查政策变了吗？

• 《个人信息保护法》正式生效，我们聊聊合规落地中的“五六七”

• 一图读懂《数据出境安全评估办法（征求意见稿）》

• 出版信息｜有关《数据安全法》解读的文章在国际刊物发表

• 网络空间治理升级——从数据治理迈向算法治理 

• 关于《汽车数据安全管理若干规定（试行）》的十个重要问题的理解

• 全景解构《个人信息保护法》，助力企业进入中国个人信息保护新纪元

• 中伦《人工智能知识产权保护和数据合规》文集正式发布

• 明晰人脸识别案件司法裁判规则，推动AI行业规范发展——最高院人脸识别司法解释解读

• 欧盟个人数据传输的两项新工具（SCCs）：历史演变、法律影响和应对策略

• China’s Data Security Law: Analysis and Compliance Guidance

• 九万里风鹏正举 |《数据安全法》已来 企业当如何乘风 —七大合规义务和六项应对策略

• 行业聚焦 | 工信部新规《智能网联汽车生产企业及产品准入管理指南（试行）》解读

• 中伦合伙人受邀撰写《Legal 500 比较法国别指南-中国数据保护与网络安全》（英文）

• 简评《网络直播营销管理办法（试行）》

• 中伦合伙人受邀撰写《2021年钱伯斯全球法律实务指南-中国数据保护与隐私》

• 健康医疗企业IPO数据合规重点问题与应对（上）

• 健康医疗企业IPO数据合规重点问题与应对（下）

• 解读《网络交易监督管理办法》

• 陈际红：数据和算法监管-平台反垄断的核心挑战

域外关注

• 他山之石：企业如何处理个人数据访问权行权请求？

• 系列解读之二：他山之石-如何处理个人数据访问权行权请求？

• 附全文 | 欧盟理事会通过《数字市场法》，强化大型互联网平台监管

• 附信息图 | 新加坡PDPC发布区块链应用和云平台的个人数据保护指引

• 附全文及摘要 | 美国两党两院首次提议联邦统一隐私立法草案

• 附全文及概要 | EDPB公开首个关于跨境认证的指南文本

• 如何识别数据控制者、处理者与共同控制者？法国CNIL发布指南

• 新加坡PDPC发布新工具，实践数据匿名化五步法

• 附问答全文 | 奥地利发布关于Cookie和数据保护的13个Q&A

• 附问答全文 | 欧盟委员会解答标准合同条款（SCCs）相关问题

• 附工具包｜英国ICO发布AI数据保护合规风险评估和管理工具

• 德国DSK发布指南：就电商遵循GDPR给出指引

• AI治理合规：法国发布面向人工智能技术的GDPR合规指南

• 新加坡发布《基础匿名化指南》，提出数据匿名化五步指引

• 美欧就跨大西洋数据隐私框架达成原则性协议（含监管历史演进梳理）

• 欧盟拟推《网络安全条例》和《信息安全条例》

• 欧洲互动广告局发布《后第三方cookie时代指南》：为cookie消亡做好准备

• SEC新规：上市公司信息安全事件应在4天内披露

• 欧盟公布《数据法》提案：旨在消除数据访问障碍、释放数据价值

• 日本个人信息保护委员会发布合规要点

• 欧洲数据监管机构：使用Google Analytics向美国传输数据违反GDPR

• 域外动态｜EDPB将发布访问权指南并就cookie同意设置作出统一解释

• 域外观察｜EDPB新发指南澄清域外适用与数据跨境传输条款间的相互作用

本期编辑：陈瑊 陈煜烺 林婉琪