欲知平直,则必准绳——《数据出境安全评估办法》十四个焦点问题的理解
欲知平直,则必准绳——《数据出境安全评估办法》十四个焦点问题的理解
序言
自《网络安全法》于2017年生效以来,其所确立的数据出境安全评估制度就广受关注。历经多个版本和多轮征求意见之后,国家互联网信息办公室于2022年7月7日颁布《数据出境安全评估办法》(下称《办法》),并将于9月1日正式实施。本《办法》体现了监管机构兼顾维护数据流动安全和促进数字经济发展的价值取向,为企业跨境数据合规义务的落地实施提供了更为确定的指引。我们选取企业视角中所关注的十四个焦点问题进行讨论。
1
如何开展数据出境安全评估?
依照《办法》的规定,数据出境安全评估的流程如下:
点击可查看大图
2
什么是“数据出境”?第二条的“向境外提供”包括什么场景?
《办法》适用于数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估的情形。国家网信办就《办法》答记者问中进一步明确,《办法》所称数据出境活动主要包括:一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。
总结而言,判断是否构成《办法》所规制的数据出境,需满足以下要素:
1)数据类型:境内运营中收集和产生的重要数据或个人信息;
2)出境的方式:向境外提供,包括物理跨越和远程访问;
3)境外的含义:中华人民共和国大陆地区的以外的其他国家/地区,包括港澳台地区[1];以及
4)开展数据出境活动的双方:涉及数据传输方和数据接收方[2]。
还有一个业界普遍关注的问题,即《个人信息保护法》(下称《个保法》)第三条第二款所规定的在境外直接处理境内自然人个人信息的活动是否适用《办法》,即,如果境外的数据处理者所收集境内自然人个人信息的数量达到《办法》第四条规定的门槛,是否也要申请安全评估?之前业内普遍观点认为,《个保法》第三条第二款规定的处理活动,会导致《个保法》对境外的个人信息处理者直接适用,但第三章规定的个人信息跨境提供的规则不适用。该观点的逻辑是,该处理活动中,仅存在适用《个保法》的个人信息处理者单方,并无境外接收方,也就没有发生个人信息处理者向境外(另一方)提供个人信息的行为。GDPR在此问题上亦是这样的逻辑。但是,在全国信息安全标准化技术委员会6月24日发布的《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》中,将此场景纳入到安全认证机制的范围,就此引发了比较大的争议。
从《办法》的文字逻辑看,比如,第二条规定的“数据处理者向境外提供”,第九条规定的“数据处理者应当在与境外接收方订立的法律文件…”,如果没有进一步的官方明确,我们倾向于认为《办法》的适用不包括《个保法》第三条第二款规定的处理活动。但是,如果未来监管机构将境外个人信息处理者在境内设立的专门机构或者指定代表拟制为境内的数据处理者,进而适用《办法》进行安全评估,亦非不可能。
图:主要的数据出境情形判断示例
3
如何理解风险自评估程序?与《个保法》第五十五条的PIA是什么关系?
根据《办法》第五条,数据处理者在向境外提供数据前应当开展数据出境风险自评估,因此,风险自评估程序是开展数据跨境活动和申报安全评估的必备前置程序。风险自评估可以由数据处理者自己进行,也可以引入第三方专业机构协助进行,《办法》第五条规定了自评估的重点评估事项。
根据《个保法》第五十五条规定,个人信息处理者在向境外提供个人信息前需进行个人信息保护影响评估(“PIA”)。那么,《个保法》第五十五条规定的PIA与《办法》规定的自评估和申报评估三者间是什么关系呢? 应该说,三个评估的目标和方法论是基本一致的,即通过对数据处理活动的梳理,发现潜在风险点,判断所采取的管理措施和技术措施是否充分。但是,三个评估程序所重点关注的风险因素又有明显的区别:
PIA主要关注数据处理活动对个人权益造成的影响,比如,数据处理活动是否会对个人信息主体依照《个保法》所享有的各项权益带来损害或者有所减损,但不会涉及重要数据;自评估属于自行发现风险的程序,除了PIA所关注的风险因素之外,还要重点关注跨境因素带来的风险,比如出境数据的状况、境外接收方的承诺、所采取的措施、安全能力等,以及跨境处理活动的技术风险,跨境行权渠道等;而对于申报评估程序,除了个人合法权益的保护外,该程序更加关注跨境数据活动对国家安全、公共利益带来的风险,比如要考察境外接收方所在国家或地区的政策法律环境、同等保护原则是否得到落实、各方遵守中国法律的情况等。申报评估程序一方面是对数据处理者所提交的自评估报告进行核查,另一方面,站在国家更宏大的角度,审视数据出境活动对国家安全和公共利益的影响。
4
触发“数据出境安全评估”的情形有哪些?
根据《办法》第四条,结合《网络安全法》《数据安全法》及《个人信息保护法》等法律法规中的规定,以下情形会触发数据出境安全评估:
(1)出境的数据包含重要数据,而不论数据处理者是否构成关键信息基础设施运营者(“CIIO”);
(2)数据处理者构成特殊主体:数据处理者是CIIO,向境外提供个人信息;
(3)数据处理者所处理的数据量超过门槛:①处理个人信息达到100万人以上;或②自上年1月1日起累计向境外提供超过10万人个人信息或1万人敏感个人信息。
5
“数据出境安全评估”与“数据本地存储”是什么关系?
综合各个层次立法的规定,对在境内运营中收集和产生的数据,需要进行“本地存储”的,大体包括以下的情形:
1) CIIO在境内运营中收集和产生的个人信息和重要数据(《网络安全法》第三十七条,《数据安全法》第三十一条);
2) CIIO和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内(《个人信息保护法》第四十条);
3) 国家机关处理的个人信息(《个人信息保护法》第三十六条);
4) 汽车数据构成重要数据的,应当依法在境内存储(《汽车数据安全管理若干规定(试行)》第十一条);
5)其它对特定行业数据的本地存储要求,比如金融、医疗健康、测绘等数据。
点击可查看大图
从以上的分析可以看出,如果法律规定了数据本地存储的义务,一旦要实施跨境传输,必然会触发安全评估的要求。反过来,对于《办法》规定的需要申报安全评估的情形,是否一定会触发数据本地存储的义务?尤其是①处理个人信息达到100万人以上;或②自上年1月1日起累计向境外提供超过10万人个人信息或1万人敏感个人信息的情形。虽然法律暂未明确,但我们倾向于认为本地存储和跨境安全评估是保障数据安全的一体两面。同时,结合《个保法》第四十条的规定,“处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内”,而《办法》所规定的100万、10万和1万的门槛,构成《个保法》第四十条所指的“国家网信部门规定数量”,因此《办法》规定的需要申报安全评估的情形将触发数据本地存储的义务。
6
如何计算个人信息的量?
如问题4所述,在两种数据出境安全评估的触发场景下涉及计算个人信息的量:
(1)处理个人信息达到100万人以上
a)计算标准:100万个人信息主体,即人数为100万;
b)计算主体:构成数据传输方的个人信息处理者。我们理解此处是指单个的个人信息处理者,如果某集团公司内涉及多个实体,如果没有数据混同或融合的情况,我们认为应按照不同实体分别计算;
c)计算范围:个人信息处理者范围内所有个人信息处理场景所涉及主体的总量,既包括外部客户、用户等,也包括内部员工。
(2)自上年1月1日起累计向境外提供超过10万人个人信息或1万人个人敏感信息
计算时需注意以下几点:a)计算标准:10万个或1万个个人信息主体,即涉及传输的个人信息主体的数量累计为10万人(若传输的是个人敏感信息,涉及传输的个人信息主体的数据量累计为1万人);
b)计算主体:构成数据传输方的个人信息处理者。若同一个个人信息处理者涉及向不同的数据接收方提供个人信息,所涉及的个人信息主体的数量应当累计计算;
c)累计标准:《办法》承接了《个人信息出境标准合同规定(征求意见稿)》的累计起算点,初次明晰了起算点为自上年1月1日起,与此对应的可能存在的清零和重新计算的制度设计,一定程度打消了企业关于“只要我有跨境业务,迟早会落入本地化和安全评估范围”的疑虑。
7
关键信息基础设施运营者是如何识别的?
要判断是否落入《办法》的适用范围,就要判断企业是否构成CIIO。
依据2021年颁布的《关键信息基础设施安全保护条例》(以下简称《关基条例》)第二条,关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。依据《关基条例》第十条,由保护工作部门根据其制定的认定规则负责组织认定本行业、本领域的关键信息基础设施,并将认定结果通知运营者。基于此,企业一旦被认定为关键信息基础设施的运营者将会收到相关主管部门的通知。可以理解,企业如未收到主管部门的认定关键信息基础设施的运营者的通知,企业可以暂时认为自己不是CIIO。
8
重要数据是如何识别的?
依据《办法》第十九条,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。据此可以判断,重要数据的识别主要聚焦于数据的性质和对国家安全和公共利益影响。重要数据采用的是定性与定量相结合判断的方法。若单条信息对国家安全可能造成影响的,单条信息亦可能构成重要数据,如国家战略物资的储备量[3]。但若单条或少量信息不会影响国家安全或社会公共利益,但覆盖较大范围或较长时间的,或是涉及某些重要区域或时期的信息集合亦可能构成重要数据[4]。
从实务角度出发,虽然《数据安全法》规定由各地区、各部门负责确定本地区、本部门以及相关行业、领域的重要数据目录,但目前仅汽车领域出台了《汽车数据安全管理若干规定(试行)》对此做出尝试,其他领域的重要数据识别指南仍有待进一步细化。
从企业自评估实践角度出发,企业存在判断难度。我们建议企业采取定性与定量相结合的方式,密切关注立法实践,适时征求相应主管部门的意见。
9
申报评估中的“拟订立的法律文件”与标准合同条款是什么关系?
按照《办法》第六条要求,申报出境安全评估,要提交数据处理者与境外接受方“拟订立的法律文件”。其与《个保法》第三十八条所规定的跨境传输机制之一——标准合同条款在数据出境语境下,对于保护个人信息主体权益的价值取向和内容设置或有重合,但是法律效果不同。标准合同是与安全评估并列的跨境传输机制,企业在无需安全评估的前提下可以选择签署标准合同条款。此外,与标准合同条款最大的区别在于还应包含对于重要数据保护的内容(如涉及重要数据出境)。
结合《办法》第九条对“拟订立的法律文件”内容的要求,我们理解:
(1)若向境外提供的数据仅包括个人信息,数据处理者与境外接收方所订立的法律文件可以参考标准合同的内容或直接将标准合同作为“拟订立的法律文件”;
(2)若向境外提供的数据还包括重要数据,标准合同中对于传输双方的权利义务的约定同样具有参考意义。
10
哪些机构会参与数据出境安全评估?
《办法》第七条规定,省级网信部门接受来自数据处理者的申报材料,申报材料齐全的,报送给国家网信部门。第十条规定,国家网信部门将在受理申报后,组织国务院有关部门、省级网信部门、专门机构进行评估。从实务角度来看,出境安全评估可能与现存相关审批制度相竞合。如在出口管制领域,企业涉及美国实体清单移除程序时需向商务部申报批准。
11
哪些情形会触发重新申报评估?
根据《办法》第十四条,触发重新申报评估的情形包括:
(1)评估有效期(2年)届满;
(2)评估有效期内,①出境活动事实变化:包括出境活动本身的目的、方式、范围、类型以及接收方的使用、存储等发生变化;或②境外环境变化:主要指数据接收方所在国家/地区数据安全保护政策法规或网络安全环境发生变化导致可能影响数据安全;③或出境双方变化:包括出境双方的变更、实际控制权变化以及双方的合同变更导致可能影响数据安全。
12
评估申报需要提交具体的数据清单吗?如何保护企业的保密信息?
在申报安全评估前,企业应已完成内部的安全自评估,对拟出境数据的类型、影响程度(含对个人信息主体的影响、对企业的影响、对社会公共利益及国家安全的影响)作出了初步的判断,形成了数据清单。但是结合实务经验,该等清单的具体程度可能会根据数据敏感性和出境活动的敏感性有所区别,若企业仅提供笼统的数据清单进行申报,国家网信部门可能会要求企业进一步补充信息以进行具体评估。
针对企业的保密信息保护,一方面,企业可在自评估时,在不影响业务实际开展的前提下对相关拟出境数据进行处理(如采取掩码、遮盖措施等),将已处理后的数据递交评估、向国家网信部门说明采取的预处理方式。另一方面,《办法》第十五条明确规定,参与安全评估工作的相关机构和人员对在履行职责中知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据将依法予以保密,不得泄漏或非法向他人提供。
13
《办法》生效前已经传输出境的数据该如何处理?
《办法》规定了6个月的过渡期,要求在《办法》实施前已经开展的数据出境活动,不符合《办法》规定的,应当在《办法》施行之日起6个月内完成整改。基于此,我们理解:
(1)对于已经完成传输、且数据接收方已经删除或匿名化处理数据的数据出境活动,《办法》不溯及既往。
(2)对于已经完成传输、但数据接收方仍继续在存储或处理数据的数据出境活动:由于数据处理活动是一个连续的行为,数据接收方的后续处理行为仍可能对国家安全、社会安全及个人权益等产生影响,我们倾向于认为《办法》适用于此种情形。
(3)对于正在进行中的数据出境活动:在过渡期内,企业因业务需要需进行数据跨境传输的,仍可继续进行,但应同时完成对现有数据出境行为的风险自评估,若触发数据出境安全评估申报的,应当在过渡期内完成安全评估。
14
监管机构如何进行执法?
根据《办法》第十六条、第十七条,国家网信部门可以采取主动检查与接受举报监督的方式,核实企业出境活动与申报评估的情况是否一致、是否符合数据出境安全管理要求。一旦发现不符合数据出境安全管理要求的,国家网信部门可以书面通知企业停止数据出境活动。企业违反《办法》规定进行数据出境活动的,将面临《网络安全法》《数据安全法》《个保法》等法律法规规定的处罚。
[注]