数据出境FAQs(七):如何理解境外接收方再转移?
欢迎点击上方 TMT法律论坛 关注我们
专栏
Law
★
导读
★
随着《数据出境安全评估办法》生效及其指南的发布,触发申报门槛的企业大都在积极地推进着自评估和申报工作。鉴于申报工作是一项崭新的法律要求,企业和监管部门都在探索和积累经验,实操中难免会存在诸多不清晰的问题,我们将通过本FAQs系列栏目,基于法律法规理解、实践案例及多渠道的监管咨询,对焦点问题进行解读和分享。
本期为数据出境FAQs第七期“如何理解境外接收方再转移?”
需要指出,本FAQs所有内容乃是一家之言,仅供参考,企业的具体行动应当以法律规定、监管要求为准。
往期回顾:
如何理解境外接收方再转移?
根据《数据出境安全评估办法》第五条及第八条,数据出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险是数据出境安全评估重点评估事项之一。据此,网信办在《数据出境安全评估办法》第九条中要求数据处理者在与境外接收方订立的法律文件中应明确约定对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;同时,网信办发布的《数据出境安全评估申报指南 (第一版)》也将“数据出境后向境外其他接收方提供的情况”(亦即“再转移的情况”)列为了《数据出境风险自评估报告》的必要评估项。如何理解境外接收方对于跨境数据的再转移,成为不少企业在开展数据出境风险自评估工作中所面临的共同问题。
_____________
FAQs
问:如何区分境外接收方与再转移接收方?
答:
宜分场景确定。
1)一般情况下,境内数据处理者应当和跨境数据的第一手接收方签署跨境数据处理协议,第一手接收方为境外接收方,后续通过第一手接收方获取数据的其他接收方为再转移接收方;
2)当境内数据处理者平行地将数据传输给境外的多个接收方,各个境外接收方有独立的处理目的,则各个境外接收方均是境外接收方;
3)在特殊数据处理关系下,例如:第一手接收方为第二手接收方的受托处理者,接受第二手接收方的委托处理跨境数据,第二手接收方与境内数据处理者签署有跨境数据处理协议,并承担数据安全保护责任,则宜将第二手接收方认定为数据接收方。
经咨询某地方网信部门,也给出了类似的意见。
问:如何通过协议约束数据境外再转移情况?是否需要向网信办提交境外接收方与再转移接收方(拟)签署的协议?
答:
1)数据处理者可参考《个人信息出境标准合同 (征求意见稿) 》第三条第(七)、(八)项准备相关条款,在与境外接收方签署的数据出境协议中,对境外接收方的再转移活动进行限制,并在协议附件中说明数据再转移情况;
2)境外接收方与再转移接收方可参照前述数据出境协议内容拟定再传输协议,以确保再转移接收方对出境数据的保护水平不低于中华人民共和国相关法律法规规定的保护标准。根据网信部门口径,该协议不强制但鼓励尽量提供,且需要提供中文版本。
问:《数据出境风险自评估报告》中应如何描述“数据出境后向境外其他接收方提供的情况”?
答:
根据某地方网信部门答复,目前境外接收方与再转移接收方(拟)签署的协议非必须提交,但在报告“数据出境后向境外其他接收方提供的情况”中应详细写明数据传输链路及数据处理情况,并在与境外接收方签署的数据出境协议中,由境外接收方承诺将对再转移情况进行约束,确保再转移达到中国法律法规规定的保护标准。
法律解读
在不考虑特殊数据处理关系的前提下,以接收数据的时间先后顺序来认定境外接收方与再转移接收方是目前多数地方网信部门的意见。
《数据出境安全评估办法》第九条要求,数据处理者在与境外接收方订立的法律文件中应明确约定对于境外接收方将出境数据再转移给其他组织、个人的约束性要求。然而,如仅根据上述标准判断境外接收方与再转移接收方,在部分特殊数据处理关系中可能无法实现此等约束性要求。例如,针对委托处理关系,当受托处理者为时间顺序上的第一手接收方,数据处理者为时间顺序上的第二手接收方时,如将受托处理者认定为境外接收方,其将无法约束作为数据处理者的第二手接收方(即“时间先后”标准下的再转移接收方),进而无法实现《数据出境安全评估办法》第九条对于约束再转移接收方以保障数据再转移安全的目的。故此时考虑到二者之间的数据处理关系,将时间顺序上的第二手接收方认定为数据出境安全评估下的境外接收方,更为合理。
因此,也有部分地方网信部门认为在以接收时间先后作为判断标准之外,还应当以“境外接收方是否能够约束再转移接收方”对判断结果进行修正:
1)针对时间上同时接收数据的多个第一手接收方,当第一手接收方之间存在主次之分和约束关系时,可以将其他受约束接收方拟制为再转移接收方。例如,当数据跨境传输至境外总部的同时,所有集团境外公司都可以访问存储数据的系统并进行处理时,可将总部认定为接收方,其他集团公司认定为再转移接收方;
2)针对多个接收方接收数据存在时间上先后顺序的情况,当第一手接收方无法约束第二手接收方时,应将该第二手接收方认定为境外接收方,例如前述委托处理关系下,即宜将作为数据处理者的第二手接收方认定为境外接收方。又如当第一手接收方与第二手接收方为共同处理关系,且彼此间无地位主次之分(如非总公司与子公司关系),权利义务平等时,则双方均为境外接收方。
针对数据处理者与境外接收方:
考虑到《个人信息出境标准合同(征求意见稿)》整体上反映了监管机构对数据跨境传输协议的要求,能够达到同等保护原则要求,且部分地方监管机构也推荐数据处理者采用该合同文本,因此,数据处理者可参考该合同文本设计与境外接收方订立的法律文件中对境外接收方将出境数据再转移给其他组织、个人的约束性要求条款。具体而言:
1)如境外接收方为数据处理者,则以境外再转移个人信息为例,需同时满足如下要求:
再转移具备必要性:即确有业务需要提供个人信息;
再转移具备合法性:即涉及跨境再传输个人信息的,已告知个人信息主体相关法定事项,并取得其单独同意或具备其他合法性基础;在难以告知或者难以取得个人信息主体单独同意时,及时告知个人信息处理者,并请求个人信息处理者协助其告知个人信息主体或者取得个人信息主体单独同意;
数据接收方与第三方达成书面协议,以保障第三方对个人信息的保护水平不低于中华人民共和国相关法律法规规定的个人信息保护标准,并承担因再提供而可能导致对个人信息主体造成损害的连带责任;
向个人信息处理者提供该协议副本。
2)如境外接收方为受托处理者,转委托第三方处理数据,则以境外再转移个人信息为例,需同时满足如下要求:
事先征得个人信息处理者同意;
确保转委托的第三方不超出数据出境协议中约定的处理目的、处理方式等处理 数据,并对该第三方的数据处理活动进行监督。
同时,再转移情况也需在协议附件内被明确描述。
针对境外接收方与再转移接收方:
就境外接收方为数据处理者的情况下,与第三方(即再转移接收方)达成的书面协议,我们理解亦可参照《个人信息出境标准合同(征求意见稿)》拟定。一方面,根据前述分析,该数据再转移书面协议需达到同等保护原则要求,参照数据出境安全评估路径下数据处理者与境外接收方签署的法律文件(即通常建议为《个人信息出境标准合同(征求意见稿)》)拟定协议可满足此要求;另一方面,参考域外经验,通过数据处理者与境外接收方签署的法律文件相类似的条款约束再转移接收方亦是常见做法。如根据欧盟发布的SCCs,当数据接收方拟向欧洲经济区外的第三方再传输其根据SCCs接收的个人数据时,可以通过该第三方根据对接条款(docking clauses)加入数据接收方与数据传输方之间既有的数据传输合同,或者由数据接收方与该第三方另行签署一份与SCCs保护水平相当的保障措施的数据传输合同,以确保该等个人数据继续受到同等水平的安全保障。
根据网信部门的咨询口径,就境外接收方与再转移接收方之间达成的协议,并非必须提交网信部门审查,但在自评估报告中“数据出境后向境外其他接收方提供的情况”中应说明清晰数据传输链路及处理活动情况,并在与境外接收方签署的数据出境协议中,由境外接收方承诺将对再转移情况进行约束,确保再转移达到中国法律法规规定的保护标准。
相关规范
《数据出境安全评估办法》
第五条 数据处理者在申报数据出境安全评估前,《个人信息出境标准合同(征求意见稿)》第三条 境外接收方的义务应当开展数据出境风险自评估,重点评估以下事项:
(四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
第八条 数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项:
(三)出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险;
第九条 数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,至少包括以下内容:
(三)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;
《个人信息出境标准合同(征求意见稿)》第三条 境外接收方的义务
境外接收方在此陈述、保证、承诺如下:
(七)不将个人信息提供给位于中华人民共和国境外的第三方,除非同时符合以下要求:
1.确有业务需要提供个人信息;
2.已告知个人信息主体该第三方身份、联系方式、处理目的、处理方式、个人信息种类以及行使个人信息主体权利的方式和程序等事项,并已取得个人单独同意,相关法律法规规定无需取得个人单独同意的除外;涉及敏感个人信息的,向个人信息主体告知传输敏感个人信息的必要性及对个人的影响;涉及不满十四周岁未成年人个人信息
的,取得未成年人的父母或者其他监护人的同意;法律、行政法规规定应当取得书面同意的,取得书面同意,相关法律法规规定无需取得书面同意的除外。在难以告知或者难以取得个人信息主体单独同意时,及时告知个人信息处理者,并请求个人信息处理者协助其告知个人信息主体或者取得个人信息主体单独同意;
3.与第三方达成书面协议,以保障第三方对个人信息的保护水平不低于中华人民共和国相关法律法规规定的个人信息保护标准,并承担因再提供而可能导致对个人信息主体造成损害的连带责任;
4.向个人信息处理者提供该协议副本。
(八)受个人信息处理者委托处理个人信息,转委托第三方处理时,事先征得个人信息处理者同意;确保转委托的第三方不超出本合同附录一“个人信息出境说明”中约定的处理目的、处理方式等处理个人信息,并对该第三方的个人信息处理活动进行监督。
重要提示:
本文仅作为信息性参考,不构成法律意见,不能作为任何行动的依赖。本文中的回复意见可能是不全面的,考虑到监管的不断实践,不排除后续的进一步变化。任何的行动,请以律师的正式意见和监管的意见为准。
作者往期文章推荐
中伦解读
域外关注
本期编辑:陈瑊 陈煜烺 林婉琪