今日《数据出境安全评估办法》正式施行(附最新版申报指南)|iLaw
▲ 点击关注,后台回复“申报指南”领取《数据出境安全评估申报指南(第一版)》
编者按 /
2022年9月1日,《数据出境安全评估办法》(以下简称《评估办法》)正式施行,为数据处理者在开展数据安全评估工作提供了确定可操作的法律依据,也象征着我国数据出境安全评估制度的进一步落地,具有里程碑式的意义。《评估办法》中规定6个月的整改期限也正式起算,相关跨境企业一方面要要对业务进行适当调整,避免不必要数据的出境活动,另一方面也要尽快完成安全评估与合规整改工作,确保数据跨境流动符合各项规定的具体要求。
在7月份,我们邀请了汉坤律师事务所合伙人段志超律师来到iLaw合规直播间,为我们带来《数据出境安全评估办法》落地解析及企业合规应对的专题分享,并根据当晚直播内容整理成以下文字,方便大家更好的理解新规的具体落地细则及企业的应对要点。
本篇文章,我们将从以下要点展开:
1、数据出境需要知晓的三个关键点
2、数据出境必要掌握的两大原则
3、数据出境的企业应对之道
数据出境需要知晓的三个关键点
(一)什么是数据出境以及数据出境的场景有哪些
数据是无形的存在,它可以以不同的方式存在,记录在纸上,存储在网络中,刻录在光盘里的都是数据。而数据跨境在高度数字化经济的大背景下又非常普遍,不同的数据有着不同的出境方式,适用不同的法律。
首先,从监管目的出发,数据出境的形式多种多样,从不同的角度对数据出境的理解会有所不同,但判断数据出境与否的实质是数据的传输,数据的转移会不会实际上造成访问权或控制权的转移。
我国的《数据安全评估办法》以及相关的法律法规已经列举说明了许许多多的境外访问、境内存储数据后与境外的机构组织、个人共享的行为是能够构成数据出境的,这是两个比较常见的数据出境场景。
从合规路径的角度认知「个人信息出境」与「跨境收集数据」的区别,有一些需要注意的地方,它将直接影响到后续的安全评估。
从法律适用的角度,特别是从《个人信息保护法》的域外效力角度,不管是个人向境内主体提供数据,后境内主体向境外主体提供的场景,还是个人直接向境外主体提供数据的场景,只要收集的是中国境内的相关数据主体的信息,《个人信息保护法》第3条第2款「域外适用效力」都对其适用。
境内的数据处理者和境外的数据接收方是数据出境中的两个不同主体,而安全评估的重点往往是境内的数据处理者。而在跨境收集的场景里缺少境内的数据处理者。
至于近期所广泛讨论的境外主体在中国的相关代表或者相关机构是否可以作为出境场景中境内数据处理主体类似的地位和作用这一问题,至少现在监管机构并没有明晰的实践回应。
(二)数据收集的网络空间限制
现在对于境外直接收集的态度,并没有将其认定为违法行为,只是对于境外直接收集境内数据主体个人信息的行为进行一定的规制。实际上,严格按照设置的合规路径进行数据收集,是完全有办法合法合规的,只是监管需要进一步对实施层面的细则进行丰富和指引。
境外直接收集的场景其实受制于中国相关数据法的管制和管辖,相关的行为如不符合中国法律法规,对相关数据主体的权益造成了影响,甚至可能对国家安全或者其他权益造成影响,需要承担相关责任。
(三)境内运营的含义、形式
一直未生效的《信息安全技术数据出境安全评估指南》,在17年时发布了征求意见稿,从对国家利益与境内公民利益的数据保护进行考量,对境内运营做了两个注解。
第一个注解——不在国内、境内注册的网络运营者,但是在中华人民共和国境内开展业务或者提供产品和服务的,属于境内运营。因此境外直接收集境内数据主体的信息一定属于境内运营的范围。
第二个注解——网络运营者在中国境内,但仅限向境外的机构组织或者个人开展业务,提供商品服务,而不涉及境内公民的个人信息和重要数据的,不视为境内运营。即,如果境内的网络运营者或者受托方为境外机构处理数据,而这些数据又不涉及境内的公民个人信息和重要数据,就可以不受数据出境相关规定的约束。
但这套17年的规则今天是否还适用,第二个注解所说明的例外情形是否意味着不用再进行安全评估,不用再考虑合规路径,是存在很大的疑问的。但可以肯定的是,不管是从监管层面还是从实际适用的网络运营者层面,大家都需要明晰尺度,调整做法,要动态地看待这些要求、变化,结合当时当地的监管要求,做出相关的应对动作。
(四)典型的数据出境场景
典型的数据出境场景包括比如国际贸易,国际物流,国际合作,国际科研等,可能涉及到的数据类型有员工的科研数据,客户数据,合作业务数据等。
跨国公司是非常关注数据跨境、出境的主体。因为跨国公司在很多地方都有自己的办公室,其共性就是有一个统一的管理体系,非常依赖IT设施的底层支撑实现跨公司场景下的管理、业务运营、研发。
人力资源系统让境外的管理层或者相关同事能够访问中国境内员工的信息,业务管理系统涉及到客户数据管理的场景,也会涉及到母子公司之间或者母子公司各部门之间的业务信息,在这些场景里,数据出境是非常高频次的。
在跨国公司内部不同主体之间,由于国际贸易,国际合作,国际物流的影响,不可避免地会在同一链条上进行信息流动、传递、共享,这也是非常常见的数据跨境场景。
一个经常会在实践中碰到的问题,跨国公司员工出国进行业务交流时携带存储着大量数据的笔记本电脑,是否属于数据出境,是否需要进行数据安全评估,这取决于是否实际产生了数据处境的相关后果和影响。如果带着电脑出去就是为了和客户分享里面的数据,讨论商业机会,就有必要进行自评估。
需要进行评估的场景需要具体问题具体分析,触发评估的条件有4:
1、向境外提供重要数据
2、关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息
3、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息(即以2年为计算数据主体数量的单位)
4、其他情形
(五)重要数据
与个人信息同等重要,需要重点关注的还有重要数据。但对重要数据的识别一直是业内棘手的问题,之前陆陆续续有很多相关的法律法规、标准性文件,还有一些行业性规定中有体现对重要数据的定义。但还是有它不确定之处,它只在一些行业有相对比较明确的定义,比如《汽车数据安全管理若干规定(试行)》就将重要数据定义为一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。
但对于其他还没有明确具体重要数据目录也没有特别好的依据作为指南的行业,可以通过内部的自评估,然后结合重要数据的识别指南、其他已有的文件、其他行业里不断更新的更具体的识别目录和列表进行确定。但至少要先进行自评估,至于是否需要进行安全评估,可以有待本行业重要数据的进一步明晰,也可以观察监管方面的动作,再最后决定。
(六)数据评估材料准备的注意事项
数据评估的过程是自评估与安全评估结合的过程。
如果自评估完后认为不需要安全评估,则可继续往前推进。如果自评估完后认为有重要数据等,则需要进行安全评估,将申报材料提交至省级的网信部门进行完备性查验。
跨境的安全评估是一个相关的过程,不可缺失的永远是第一步自评估,它是基础,但却是大家会忽视的环节。自评估的结果能够支撑之后监管部门对于“为什么不进行安全评估”的质问。如果自评估能够满足监管的需求,能够覆盖他们关注的点,大概率能节省网信部门对于材料的审查时间,节省企业的人力、物力、时间成本。
数据出境必要掌握的两大原则
(一)对“事前事后持续评估原则”的执行
步骤一:梳理事实情况
企业需要充分认知有哪些数据存在出境行为、出境了哪些数据、个人信息的主体类别、出境的目的、有没有敏感个人信息、境外接收方是谁、传输地点、传输方式是什么?把这些事情理清楚是非常重要,也是非常基础的一步。
充分了解内部现在的大概状况,在自评估的基础上,了解有哪一些数据是可能需要提交网信办进行安全评估。
步骤二:场景认定
区分到底是数据跨境处理活动还是数据出境。
数据出境包括:
1、将数据传输至境外
2、数据可被境外主体远程访问、查看(公开信息、网页访问除外)
3、数据传输至不属于中国司法管辖或未在境内注册的主体
要对数据出境场景进行综合地考察和认定。不同的场景在合规路径上会有不同的需要。
步骤三:合规性评估
从合规性评估的角度,不管是个人信息还是重要数据,都要从合法性、正当性、必要性这三个方面去考察数据。是否符合法定的条件,是否属于禁止性规定等。
步骤四:安全性评估
安全性的评估更多是从技术的角度或者系统实现能力去看一看整个数据出境能不能具有相应的安全水平和能力,也要看数据传会不会对个人权益或者国家安全、公共利益造成影响,这都是自评估要覆盖的内容。
从前期的准备工作到后期拿到出境许可,需要长期监测数据传跨境的行为是否还能够满足之前评估的条件。比如量有没有发生实质性的变化?接收方的立法或者执法有没有新的动向产生以至于影响到网信办在之前安全评估里面做出的结论。
只有这样,才能确保企业的数据出镜行为能够满足现在法律法规给出的相关要求,是动态的,跟时间、跟传输性质的变化、跟接收方所处地区和国家的立法、执法变化都是高度相关联的。需要企业在这方面持续地关注,采取相应的措施。
(二)自评估与安全评估的区别
自评估与安全评估处于不同的阶段,进行的主体也不同。
自评估可以自己进行,也可以找有经验的第三方机构——他们在这方面更容易把握相关尺度,不需要由网信办展开的。
自评估之后就能得出是否要通过网信办开展安全评估的结论,如果在自评估环节审查到了重要数据,就需要递交到地方网信办开启安全评估。
自评估其实是安全评估的前置程序,一定要做了自评估之后才能到安全评估,它们是衔接在一起的。在初期,自评估质量的好坏会对能不能顺利在比较紧的时间窗口里通过出境的安全评估是非常重要的,所以建议大家可以比较重视初期自评估的相关工作。
(三)网信办的安全评估对自评估的依赖
网信办在进行安全评估的过程中,对于自评估报告里解释得很清楚的部分则会很容易的通过,但是对于一些解释不清楚的部门,可能会开展一个比较详细的评估手段。
在绝大部分的情形下,网信办会比较依赖自评估提供的信息,因此这部分质量的好坏是非常重要的。但千万不要提交虚假自评估信息,因为这个网信办可以到现场进系统测试,去确认提供的信息是不是跟实际的情况相符。
一旦发现自评估或者申报书里的信息和事实出入比较大,对于企业事后继续通过安全评估,承担行政责任都有很大的影响。企业要非常慎重,尊重于客观事实,客观真实地向监管机构提供相关信息。
数据出境的企业应对之道
企业如何构建数据出境安全评估工作
第一,明晰监管框架。企业可以从整个战略层面去做一些考量,借鉴本地化替代方案,依赖本地的SaaS provider,IDC provider,用这些方式降低不必要情形下数据出境场景。
第二,尽快进行自评估。无论是否需要进入网信办的安全评估阶段,自评估都需要首先进行,它是企业在数据合规、数据跨境活动合规方面一个非常重要的环节。
把自评估当做一个数据合规工作的中心,尽早推进数据评估的进展。
写在最后
随着《评估办法》的正式实施,我国数据出境的相关监管要求和框架已逐步明朗和清晰。本文旨在对《评估办法》进行详细的解析,以期为企业数据出境活动开展厘清法律边界。
我们整理了一份数据出境资料礼包(附加:新鲜出炉的《数据出境安全评估申报指南》),扫码即可领取,希望能对你有帮助👇👇
扫
码
领
取
👓 你一定还想看
2. 个人信息保护十大典型案例|iLaw
3. 全球最高罚单!四张表看懂滴滴处罚依据( 附法规标准原文定位)|iLaw
4. 数据出境流程操作指南|iLaw
Copyright © 2022 iLAW.All rights reserved.
本内容及配图设计为iLAW原创版权所有。任何个人或公司未经授权严禁转载使用,如需转载请微信联络@ilawhegui3