数据出境路径几何?——数据处理者关注要点解答
数据出境路径几何?——数据处理者关注要点解答
国家互联网信息办公室(“网信办”)于2021年10月29日发布了《数据出境安全评估办法(征求意见稿)》(“《安全评估草案》”),后于2021年11月14日发布了《网络数据安全管理条例(征求意见稿)》(“《网络数据安全管理草案》”)。两部新规草案分别对数据出境安全评估及数据出境安全管理事项进行了细化。这两个新规草案的发布也表明数据出境规则即将落地。有数据出境需求的企业应参照已有的法律法规及新发布的新规草案,自我评估自身数据出境行为是否需要调整。
一
数据出境可能面临那些限制?
1、现行立法v.新规草案
根据现行立法及新发布的《安全评估草案》及《网络数据安全管理草案》,数据出境可能面临以下限制:
数据类型 |
现行立法 |
新规草案 |
重要数据 |
CIIO[1]在境内运营中收集和产生的重要数据需向境外提供的,应通过安全评估。[2] |
出境数据中包含重要数据的,均需要进行安全评估。[3] |
非CIIO在境内运营中收集和产生的重要数据需向境外提供的,相关出境安全管理办法,由国家网信部门会同国务院有关部门制定。[4] 个别行业监管部门可能有更严格的规定,如医疗健康行业、汽车和自动驾驶行业。 |
||
个人信息 |
CIIO在境内运营中收集和产生的个人信息需向境外提供的,应通过安全评估。[5] |
处理个人信息达到一百万人的个人信息处理者向境外提供个人信息需进行安全评估。[8]
累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息,需进行安全评估。[9] |
个人信息达到国家网信部门规定数量的个人信息处理者向境外提供个人信息需进行安全评估。[7]个别行业监管部门可能有更严格的规定,如医疗健康行业、汽车和自动驾驶行业。 |
||
除符合条件需进行安全评估的个人信息处理者外,其他个人信息处理者向境外提供个人信息,应具备下列条件之一:[10] 1、进行个人信息保护认证; 2、按照国家网信部门制定的标准合同与境外接收方订立合同;或 3、法律、行政法规或者国家网信部门规定的其他条件。 |
||
网络数据 (指任何以电子方式对信息的记录[11]) |
无专门针对网络数据的规定,适用其他关于数据及个人信息出境的规定。 |
网络数据处理者需向境外提供数据的,应当具备下列条件之一: 1、通过数据出境安全评估; 2、数据处理者和数据接收方均通过个人信息保护认证; 3、按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同;或 4、法律、行政法规或者国家网信部门规定的其他条件。 |
2、新规草案在数据出境限制方面有哪些修改亮点?
(1)无论是否是CIIO,重要数据出境均需进行安全评估。
《安全评估草案》及《网络数据安全管理草案》发布以前,现行立法仅明确了CIIO在境内运营中收集和产生的重要数据出境前,需要进行安全评估。而两个新规草案则均明确,“出境数据中包含重要数据”的,无论是否是CIIO,均需进行安全评估,从而进一步扩大了安全评估的范围。
(2)明确需进行安全评估的个人信息处理者处理个人信息的数量标准。
《安全评估草案》及《网络数据安全管理草案》发布以前,《个人信息保护法》仅规定,个人信息达到国家网信部门规定数量的个人信息处理者向境外提供其在境内收集和产生的个人信息时,应进行安全评估,但未明确具体“规定数量”。《安全评估草案》则进一步明确了“处理个人信息达到一百万人的个人信息处理者”向境外提供数据,需进行安全评估的。《网络数据安全管理草案》也有类似规定,其采取的表述为“处理一百万人以上个人信息的数据处理者向境外提供个人信息”的需进行安全评估。根据《民法典》规定,民法所称“以上”包括本数[12]。因此,两个草案虽分别采用了“达到”和“以上”的不同表述,但在法律上的效果等同。
某些行业可能存在特殊规定,例如《汽车数据安全管理若干规定(试行)》规定,“涉及个人信息主体超过10万人的个人信息”即被视为重要数据[13],需要向境外提供的,应通过安全评估。相较于“一百万”的门槛,汽车行业在数据出境方面设置了更为严格的限制条件。
(3)新增对外提供个人信息数量限制。
除处理个人信息的人数限制外,《安全评估草案》还规定对外提供个人信息的数量,且区分了一般个人信息和敏感个人信息。《安全评估草案》规定,“累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息”的,需进行安全评估。
值得注意的是,无论是处理个人信息的数量限制,还是对外提供个人信息的数量限制,其门槛对于大中型数据处理者来讲都不高,较容易达到。由此可见,网信部门对于个人信息处理的监管相对较为严格。
(4)明确个人信息出境限制的例外情形。
《网络数据安全管理草案》规定,以下两种情形下,跨境传输网络数据无需通过安全评估、个人信息保护认证或根据标准合同与境外数据接收方订立合同:
1)网络数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的;及
2)为了保护个人生命健康和财产安全而必须向境外提供个人信息。
其中,为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的场景,如境内个人与境外企业订立劳动合同而向境外用人单位提供雇佣所必需的个人信息,或境内个人跨境网购,向境外卖家提供必要个人信息等场景。
(5)新增数据接收方个人信保护认证要求。
《个人信息保护法》仅规定个人信息出境的路径之一是个人信息处理者“按照国家网信部门的规定经专业机构进行个人信息保护认证”,而《网络数据安全管理草案》则规定,除数据处理者外,数据接收方也需通过国家网信部门认定的专业机构进行的个人信息保护认证。这一规定,从政府层面加强了对境外接收方的监管。
二
数据处理者向境外提供数据应履行哪些义务?
除本文第一部分提到的出境限制外,数据处理者及个人信息处理者还应履行以下义务:
1、个人信息处理者:告知并取得同意。
根据《个人信息保护法》[14]及《网络数据安全管理草案》[15]相关规定,个人信息处理者向境外提供个人信息的,“应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。”
《网络数据安全管理草案》进一步规定“收集个人信息时已单独就个人信息出境取得个人同意,且按照取得同意的事项出境的,无需再次取得个人单独同意。”该条款表明,该等同意并非必需在出境时取得,而是在相关个人信息收集时取得即可。
2、个人信息处理者:个人信息保护影响评估。
个人信息处理者向境外提供个人信息的,应当事前进行个人信息保护影响评估,并对处理情况进行记录。[16]
3、不得未经批准向境外司法或执法机关提供相关数据。
现行立法[17]及新规草案[18]均强调,非经主管机关批准,境内的组织、个人不得向外国司法或者执法机关提供境内存储的数据及个人信息。
4、编制安全出境安全报告,报告数据出境情况。
《网络数据安全管理草案》第四十条规定,向境外提供个人信息和重要数据的网络数据处理者,应当在每年1月31日前编制数据出境安全报告,向设区的市级网信部门报告上一年度数据出境情况。
5、《网络数据安全管理草案》规定的其他义务。
除上述数据处理者应履行的义务外,《网络数据安全管理草案》以专门一条[19],从个人信息保护影响评估、安全评估、监督数据接收方、处理用户投诉、留存相关日志和审批记录、配合政府部门核验、对非法出境的补救及出境在转移等方面明确了网络数据处理者向境外提供数据应当履行的义务。
三
应如何进行数据出境安全评估?
《安全评估草案》从评估对象、评估流程、评估内容及监督等方面对数据出境安全评估进行了细化和落实。第一部分已就评估对象进行了总结,此处不再赘述,仅就其他方面进行总结分析。
1、数据出境安全评估流程。
根据《安全评估草案》,数据出境安全评估分为风险自评估及向网信部门申报评估。其中,风险自评估为必经步骤,而申报评估则仅适用于特定情形(详见本文第一部分)。根据《安全评估草案》,申报评估主要需要进行以下流程:
点击可查看大图
通过安全评估并非一劳永逸的。安全评估的有效期为两年,有效期届满,需要继续原数据出境活动的,数据处理者应当在有效期届满六十个工作日前重新申报评估。并且,在有效期内出现法定情形的,数据处理者也应当重新申报评估[20]。
此外,数据出境安全评估坚持事前评估和持续监督相结合。因此,网信办可主动依职权进行监督,发现已通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当撤销评估结果并书面通知数据处理者,数据处理者应当终止数据出境活动。需要继续开展数据出境活动的,数据处理者应当按照要求进行整改,并在整改完成后重新申报评估。[21]
2、数据出境安全评估重点。
(1)风险自评估
根据《安全评估草案》第五条,风险自评估应重点评估以下事项:
-
(一)数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
-
(二)出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
-
(三)数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险;
-
(四)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
-
(五)数据出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;
-
(六)与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。
(2)申报评估
国家网信部门受理申报后,应组织行业主管部门、国务院有关部门、省级网信部门、专门机构等进行安全评估。涉及重要数据出境的,国家网信部门征求相关行业主管部门意见。涉及重要数据出境的,国家网信部门征求相关行业主管部门意见。[22]
根据《安全评估草案》第八条,数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项:
-
(一)数据出境的目的、范围、方式等的合法性、正当性、必要性;
-
(二)境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规规定和强制性国家标准的要求;
-
(三)出境数据的数量、范围、种类、敏感程度,出境中和出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险;
-
(四)数据安全和个人信息权益是否能够得到充分有效保障;
-
(五)数据处理者与境外接收方订立的合同中是否充分约定了数据安全保护责任义务;
-
(六)遵守中国法律、行政法规、部门规章情况;
-
(七)国家网信部门认为需要评估的其他事项。
其中,《安全评估草案》进一步明确了数据处理者与境外接收方订立的合同应当包括的内容作为参考。
四
企业应如何应对数据出境监管?
自《数据安全法》及《个人信息保护法》生效以来,政府部门加快了各种配套规定的制定,以期使得数据保护各项制度有效落地。其中,数据出境无疑是数据监管的一大重点,也在数据立法中分量颇重。因此,在数据立法日益完善的过程中,建议企业从以下方面着手,保障自身数据出境活动合法、合规:
1、关注立法动态,并及时梳理相关立法。相关立法虽层出不穷,但有其内在逻辑,将不同层级、不同效力、不同关注点的相关立法相互联系起来理解,使其相辅相成,才能做到全方位地落实数据出境监管制度。
2、特殊行业需关注行业立法。特殊行业的企业,如可能产生医疗数据跨境、汽车数据、金融数据的企业还应关注其行业立法的特殊规定。
3、梳理企业内部数据出境活动,并对照现行立法以及新规草案自我评估是否合法、合规,并对新规内容做好准备及应对。必要时,可聘请专业人士提供合规建议。
4、加强与网信部门的沟通。就数据跨境中存在的问题及疑惑,与相关部门进行沟通。
5、及时与境外数据接收方进行沟通,以便境外接收方尽早进行准备,保证数据出境活动能有序平稳地进行。
[注]
The End