泰和泰研析 | 个人信息跨境传输方案
导语
随着我国数据治理规范的不断加强,对于有数据跨境需求的企业而言,在面对各类繁复的规则与冗长的法律条文时常有困惑,哪些信息是真正意义上的个人信息?哪些信息的跨境流动属于被监管的范畴?企业跨境数据传输应如何选择合规方案?哪些因素是在业务过程中抉择和权衡时作为重点考量?等等。
本文以个人信息和跨境行为的法律内涵作为起点,对最新公布的《个人信息出境标准合同办法》进行要点解读和梳理,形成对三种数据跨境传输方案的梳理和适用要点分析,希望对有了解跨境传输需求的数据企业及机构有所帮助,为企业此类业务规范发展提供更好的安全保障。
一、关于三种跨境传输方案
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
二、个人信息的法律内涵
个人信息,顾名思义,应是与个人相关的信息,但在法律层面个人信息的界定则更为细致严谨,尤其是涉及到区分个人信息和个人敏感信息的相关概念时。《个人信息保护法》中对“个人信息”的定义是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。以上概念强调了信息对特定自然人的识别程度,包含了能够反映出特定自然人相关特征和活动情况的各种信息。
参照《信息安全技术与个人信息安全规范》的国家标准,通常判定某项信息是否属于个人信息时,应主要参考两种因素;
第一是识别,即从信息到个人,根据信息本身的特殊性来判断是否能够识别出特定自然人,个人信息应有助于识别出特定个人。
第二是关联,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、通话记录、浏览记录等)即为个人信息。
三、个人信息出境行为判断
根据上述概念的内涵,有以下三种情形不属于个人信息出境安全评估的范围:
(1)对于产生和收集于境外的个人信息,只是在我国中转出境,并不涉及在境内运营、未经过任何变动和加工处理的;
(2)非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的;
(3)在境内的网络运营者仅向境外机构、组织或个人开展业务、提供商品或服务,且不涉及境内公民个人信息和重要数据的,不视为境内运营。
有所为有所不为,以下三类情形属于数据不能出境的情形:
(1)个人信息出境未经个人信息主体同意,或可能侵害个人利益;
(2)数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益;
(3)其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。
四、《个人信息出境标准合同办法》
办法提供的个人信息出境标准合同模版共计18页,包含九条主要条款,通过模版化的合同明确各方权利义务,核心内容包括:
概要 | 内容 |
个人信息出境说明 | 包括个人信息的处理目的、处理方式、出境个人信息的规模、出境个人信息种类、出境敏感个人信息种类、传输方式、储存期限、保存地点等 |
个人信息处理者 | 基本信息,包括地址联系方式联系人和职务等; 个人信息处理者的义务,包括完成个人信息保护影响评估和确保境外接收方采取的合同中列举的具体技术和管理措施等,以履行合同义务 |
境外接收方 | 基本信息,包括地址、联系方式、联系人和职务等; 境外接收方的义务,包括保障个人信息处理的方式、对个人信息发生篡改、破坏、泄露、丢失、非法利用等情形下具体开展的工作内容等; 境外接收方应指定一个联系人,授权答复有关个人信息处理的询问或投诉,并及时处理; 境外接收方所在国家或地区个人信息政策和法规对合同履行的影响 |
个人信息主体 | 个人信息主体享有的权利,要求行使相关权利的主张方式,主张被拒绝后的主要救济途径等 |
其他 | 合同的解除、违约责任、救济方式、争议解决等。 |
● 合同主体:个人信息处理者与境外接收方
● 处理原则:坚持自主缔约与备案管理相结合、保护权益与防范风险相结合,保障个人信息跨境安全、自由流动。
● 适合本合同的必备条件(同时具备) :
a. 基于《办法》要求个人信息处理者应当开展个人信息保护影响评估
五、个人信息跨境传输三种方案比较分析
数据出境安全评估 | 个人信息保护认证 | 标准合同 | |
对应规范 | 《数据出境安全评估办法》 | 《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》 | 《个人信息出境标准合同办法》 |
时间 | 发布日期:2022.07.07 生效日期:2022.09.01 | 发布日期:2022.12.16 生效日期:2022.12.16 | 发布日期:2023.02.22 生效日期:2023.06.01 |
发文机关 | 国家互联网信息办公室 | 全国信息安全标准化技术委员会秘书处 | 国家互联网信息办公室 |
报批要求 | 向网信办进行申报 | 个人信息处理者自愿申请个人信息保护认证,并经认证机构批准 | 向网信办进行备案 |
办理时限 | 一般自出具书面受理通知书之日起45个工作日 | 未明确办理时限 | 备案不需要办理时限 |
重要期限 | 通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算; 有效期届满需要继续开展数据出境的,需要在到期前60个工作日前重新申报评估 | 未明确有效期; 客观记录开展的个人信息跨境处理活动,保存记录至少3年; 个人信息保护影响评估报告至少保存3年 | 有效期一般为合同有效期; 对开展的个人信息处理活动进行客观记录,保存记录至少3年; 个人信息保护影响评估报告至少保存3年 |
适用条件 | (一)数据处理者向境外提供重要数据; (二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息; (三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息; (四)国家网信部门规定的其他需要申报数据出境安全评估的情形。 | (一)不属于必须开展数据出境安全评估的类型 (二)申请认证的个人信息处理者应取得合法的法人资格,正常经营且具有良好的信誉、商誉。 (三)跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动可由境内一方申请认证,并承担法律责任。 (四)《中华人民共和国个人信息保护法》第三条第二款规定的境外个人信息处理者,可由其在境内设置的专门机构或指定代表申请认证,并承担法律责任。 | 个人信息处理者通过订立标准合同的方式向境外提供个人信息的,应当同时符合下列情形: (一)非关键信息基础设施运营者; (二)处理个人信息不满100万人的; (三)自上年1月1日起累计向境外提供个人信息不满10万人的; (四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。 法律、行政法规或者国家网信部门另有规定的,从其规定。 |
自主评估 | 数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评。 | 个人信息处理者应对拟向境外接收方提供个人信息的活动开展个人信息保护影响评估,并形成个人信息保护影响评估报告,评估报告至少保存3 年。 | 个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估。 |
自主评估内容 (为方便阅读,三者横向比较区别明显的内容此处加粗提示) | (一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性; (二)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险; (三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全; (四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等; (五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分 约定了数据安全保护责任义务; (六)其他可能影响数据出境安全的事项。 | (一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性; (二)跨境处理个人信息的规模、范围、类型、敏感程度、频率,个人信息跨境处理可能对个人信息权益带来的风险; (三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障跨境处理个人信息的安全; (四)个人信息跨境处理存在的泄露、损毁、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等; (五)境外接收方所在国家或者地区的个人信息保护政策法规对履行个人信息保护义务和保障个人信息权益的影响; (六)其他可能影响个人信息跨境处理安全的事项。
| 评估一:个人信息保护影响评估 (一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性; (二)出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险; (三)境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全; (四)个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等; (五)境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响; (六)其他可能影响个人信息出境安全的事项。 评估二:基于合同要求对境外接收方进行相关评估: (一)出境的具体情况,包括境外接收方此前类似的个人信息跨境传输和处理相关经验、境外接收方是否曾发生个人信息安全相关事件及是否进行了及时有效地处置、境外接收方是否曾收到其所在国家或者地区公共机关要求其提供个人信息的请求及境外接收方应对的情况等; (二)境外接收方所在国家或者地区的个人信息保护政策和法规; (三)境外接收方安全管理制度和技术手段保障能力。 |
材料要求 | 申报数据出境安全评估,应当提交以下材料: (一)申报书; (二)数据出境风险自评估报告; (三)数据处理者与境外接收方拟订立的法律文件;【此处可与标准合同衔接】 (四)安全评估工作需要的其他材料。 | (一)应签订具有法律约束力和可执行的文件,确保个人信息主体权益得到充分的保障;【此处可与标准合同衔接】 (二)开展个人信息保护影响评估,形成个人信息保护影响评估报告; | 个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。备案应 当提交以下材料: (一)标准合同; (二)个人信息保护影响评估报告。 |
实施流程 | 1、自评估、拟定合同或其他有法律效力的文件 2、申报安全评估 3、自收到材料之日起7个工作日内网信办决定是否受理 4、自出具书面受理通知之日起45个工作日内由网信部门组织国务院有关部门、省级网信部门、专门机构开展安全评估(情况复杂的可适当延长) 5、对评估结果有异议的,收到结果后15日内可申请一次复评 | 1、开展个人信息保护影响评估 2、签订具有法律约束力和执行力的文件 3、由相关专业机构完成认证(具体流程细则待明确) | 1、开展个人信息保护影响评估+基于合同的评估义务 2、签署标准合同 3、向省级网信部门备案 |
六、三种跨境传输方案如何选择适用?
1.首先考虑是否必须进行安全评估?
在三种方案中,毋庸置疑数据出境安全评估的标准作为考量的首要因素,只要符合以下任意一种情形,都不能选择认证或者标准合同的方式,只能进行安全评估:
安全评估不仅包括个人信息出境还包括了重要数据出境。那么何为重要数据?企业如何区分数据的重要程度?《网络数据安全管理条例(征求意见稿)》中提到“重要数据”是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。这一定义从其受损可能产生的影响出发来辨别数据的重要程度,而在《数据安全管理办法(征求意见稿)》中将“重要数据”定义为是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。这一定义对重要数据的常见种类进行了列举,并且特别说明了常见除外情形。
因此,在处理企业数据出境需求时,首先要对数据进行初步识别,判断其是否属于重要数据,这是所有信息跨境传输合规工作的起点,尤其是医疗、汽车等相对敏感的行业与领域。建议在此阶段可由专业外部数据合规律师团队介入,对数据重要程度进行梳理判断,可选择明确不构成重要数据的内容优先安排出境活动,而对相对敏感和可能构成重要数据的内容暂缓出境。由于我国目前尚未出台明确的重要数据名录,相关内容仍需持续观察并结合具体情形作出研判。
何为关键信息基础设施?根据我国《关键信息基础设施安全保护条例》的规定,关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。该定义也与《网络安全法》第三十一条所列举的关键行业基本一致。在判断是否有可能被纳入关键信息基础设施运营者问题上,可以参考《关键信息基础设施安全保护条例》第九条中对于相关具体认定规则的参考因素:(1)重要程度因素,即网络设施、信息系统对本行业、本领域关键核心业务的重要程度;(2)危害程度因素,即网络设施、信息系统一旦破坏、丧失功能或者数据泄漏可能带来的危害程度;(3)关联程度因素,即对其他行业和领域的关联性影响。因此,可根据具体行业及业务特点,从上述三个维度出发进行初步判断是否属于关键信息基础设施运营者。
在计算个人信息数量时,应当注意时间节点,该种计算方式采用跨年清零的方式每年重新计算。
2023年1月全国首个获批数据出境安全评估案例落地北京,由首都医科大学附属北京友谊医院与荷兰阿姆斯特丹大学医学中心合作研究项目成为全国首个数据合规安全评估出境案例,该项目的成功也为医疗健康领域数据跨境传输安全评估提供了最新的实践指引。
2.其次考虑是否属于保护认证的适用类型
3.标准合同
结语
随着《数据安全法》《个人信息保护法》《网络安全法》相关配套之法律法规的不断完善,我国的数据安全和个人信息的法律体系逐渐清晰,合规要求逐渐细化,跨境传输路径也逐渐明确。在这样的背景下,企业需要及时全面完成数据合规评估与整改工作,落实数据合规风险防范举措,持续关注相关法律法规及政策规则的不断落地,并根据最新要求做好个人信息跨境传输的合规梳理与全面应对。
王振华 合伙人
业务领域:区块链,数据合规,公司商务
张竹一 律师
业务领域:网络安全与数据合规,争议解决,国际贸易