数据出境FAQs(六):如何理解数据出境风险自评估与个人信息保护影响评估(PIA)的关系?
欢迎点击上方 TMT法律论坛 关注我们
专栏
Law
★
导读
★
随着《数据出境安全评估办法》生效及其指南的发布,触发申报门槛的企业大都在积极地推进着自评估和申报工作。鉴于申报工作是一项崭新的法律要求,企业和监管部门都在探索和积累经验,实操中难免会存在诸多不清晰的问题,我们将通过本FAQs系列栏目,基于法律法规理解、实践案例及多渠道的监管咨询,对焦点问题进行解读和分享。
本期为数据出境FAQs第六期“如何理解数据出境风险自评估与个人信息保护影响评估(PIA)的关系?”
需要指出,本FAQs所有内容乃是一家之言,仅供参考,企业的具体行动应当以法律规定、监管要求为准。
往期回顾:
如何理解数据出境风险自评估与个人信息保护影响评估(PIA)的关系?
根据《数据出境安全评估办法》(以下简称“《办法》”)第5条,数据处理者在向网信办申报数据出境安全评估前,应当开展数据出境风险自评估(以下简称“自评估”)。同时《个人信息保护法》(以下简称“《个保法》”)第55条规定,个人信息处理者在向境外提供个人信息前需进行个人信息保护影响评估(以下简称“PIA”)。据此,如果企业开展个人信息跨境活动同时触发了《办法》所规定的申报安全评估的情形,根据《个保法》及《办法》之规定,其将同时需要遵循自评估及PIA的法定义务。如何理解自评估与PIA之间的关系,成为企业在个人信息出境场景下所面临的共同问题。
_____________
FAQs
问:企业如果同时触发数据出境风险自评估与个人信息保护影响评估的法定义务,是否可以仅开展自评估?
答:
经咨询地方网信部门,由于监管部门暂未发布PIA报告标准模板,如果企业自评估的工作范围能够全面覆盖PIA要点(即《个保法》第56条所列内容),则在同时触发二者时仅做自评估是可以接受的。该自评估报告一定程度上能够作为企业履行《个保法》第55条、第56条关于PIA义务的合规证明文件,但应对该自评估报告和处理情况记录至少保存三年以备监管核查。
问:针对以个人信息出境标准合同作为合规路径的企业,是否可以参照《申报指南》中的自评估报告模板准备向监管提交的PIA报告?
答:
如企业选择个人信息出境标准合同作为个人信息出境的合规路径,根据《个人信息出境标准合同规定(征求意见稿)》(以下简称“《标准合同规定》”)第7条,PIA报告是必须向监管提供的材料之一。不过,《标准合同规定》尚处于征求意见稿阶段,目前全国各地还未实质性开展标准合同备案工作,亦尚未发布与《标准合同规定》第7条相配套的PIA报告模板。经咨询地方网信部门,未来相关监管部门可能会发布个人信息出境标准合同合规路径下的PIA报告模板。
问:如果跨国企业曾做过DPIA(Data Protection Impact Assessment),是否可以替代数据出境风险自评估?
答:
如果跨国企业此前开展过其他数据安全评估工作(如DPIA),相关材料可以作为自评估工作的支撑,例如公司已具备的组织和技术措施、数据安全能力等,均可以作为自评估报告的重要组成部分。但由于我国对于数据跨境监管存在特定的关注重点和评估维度,且自评估系《办法》所明确规定的法定义务,故企业已经开展的DPIA等其他数据安全评估工作不可直接替代自评估。
法律解读
根据《办法》第5条,数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估。因此,开展自评估是《办法》第4条所规定的触发申报网信办安全评估的企业所必须履行的前置性义务。
PIA则是《个保法》第55条第(四)项针对个人信息处理者向境外提供个人信息所必须履行的法定义务,并要求个人信息处理者对处理情况进行记录,未规定例外情形。同时,根据《标准合同规定》第7条,如企业以个人信息出境标准合同作为个人信息出境的合规路径,则PIA报告同样是必须向监管提供的材料之一。关于PIA的评估流程和具体要点,GB/T 39335-2020《信息安全技术 个人信息安全影响评估指南》(以下简称《个人信息安全影响评估指南》)进行了详细规定,可供企业参考。
对比《办法》及《个人信息安全影响评估指南》,可以发现,PIA主要集中在对个人信息主体权益影响的评估,分为个人权益影响分析以及安全保护措施有效性分析。自评估则重点关注数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,并将境外接收方所采取的措施、安全能力、相关承诺,以及跨境处理活动的技术风险,跨境行权渠道等均纳入评估要点,并更为注重跨境数据活动对国家安全、公共利益带来的风险,如评估境外接收方所在国家或地区的数据保护与网络安全法律环境、同等保护原则是否得到落实、各方遵守中国法律的情况等。
在个人信息出境场景下,二者虽侧重点不同,但目标和方法论基本一致,都是通过对个人信息出境活动进行梳理,发现和识别风险,判断所采取的组织措施和技术措施是否充分,是否足以保障个人信息主体权益等。同时,对比《申报指南》所提供的自评估报告模板与《个人信息安全影响评估指南》所提供的评估工具,可发现二者在关于个人信息主体权益影响的评估层面存在重合。据此,企业如能在自评估报告中完全覆盖PIA的评估要点,结合地方网信部门的咨询口径,我们倾向于认为,以自评估报告作为自身已开展PIA的合规证明,并据此留档备查是可行的。但是,如果需要向监管部门提交PIA报告进行备案(例如选择个人信息出境标准合同作为合规路径),则建议等待未来监管部门发布相应PIA报告模板后再相应准备,企业已开展的自评估报告中相关材料仍可作为PIA报告的重要内容。
附:数据出境风险自评估与个人信息保护影响评估评估事项区别比较
相关规范
《数据出境安全评估办法》
第四条 数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
(一)数据处理者向境外提供重要数据;
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。
第五条 数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,重点评估以下事项:
(一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
(二)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
(四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
(五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务;
(六)其他可能影响数据出境安全的事项。
《个人信息保护法》
第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人权益有重大影响的个人信息处理活动。
第五十六条 个人信息保护影响评估应当包括下列内容:
(一)个人信息的处理目的、处理方式等是否合法、正当、必要;
(二)对个人权益的影响及安全风险;
(三)所采取的保护措施是否合法、有效并与风险程度相适应。
个人信息保护影响评估报告和处理情况记录应当至少保存三年。
《个人信息出境标准合同规定(征求意见稿)》
第七条 个人信息处理者应当在标准合同生效之日起10个工作日内,向所在地省级网信部门备案。备案应当提交以下材料:
(一)标准合同;
(二)个人信息保护影响评估报告。
个人信息处理者对所备案材料的真实性负责。标准合同生效后个人信息处理者即可开展个人信息出境活动。
重要提示:
本文仅作为信息性参考,不构成法律意见,不能作为任何行动的依赖。本文中的回复意见可能是不全面的,考虑到监管的不断实践,不排除后续的进一步变化。任何的行动,请以律师的正式意见和监管的意见为准。
作者往期文章推荐
中伦解读
域外关注
本期编辑:陈瑊 陈煜烺 张媛媛