数据出境安全评估的策略与方法
数据出境安全评估的策略与方法
自2022年9月1日起,《数据出境安全评估办法》(以下简称“《评估办法》”)正式施行。在《评估办法》生效前一日,国家互联网信息办公室(以下简称“国家网信办”)发布了《数据出境安全评估申报指南(第一版)》(以下简称“《申报指南》”),就数据出境安全评估(以下简称“出境安全评估”)的申报方式、流程和申报材料提供了详细的操作指引。此后,江苏、北京等地网信部门陆续出台地方申报指南或提供咨询电话,积极落实数据出境安全评估工作。
企业的数据出境活动在什么情况下会触发出境安全评估?在预判可能或必然触发出境安全评估后,企业应如何开展准备工作才能顺利通过评估?本文将基于相关法律法规、《申报指南》的相关要求,结合实务经验,就企业开展数据出境安全评估工作可能遇到的一些关键问题进行分析解答,为企业顺利通过出境安全评估提供参考。[1]
1. 如何理解和判定“数据出境”?
根据《评估办法》,只有在数据出境的情况下才谈得上出境安全评估。因此,首先需要判定是否存在数据出境情形。判定是否构成《评估办法》项下的“数据出境”,需要从“数据出境主体”、“数据出境行为”和“数据出境标的”三个方面进行分析。
(1) 数据出境主体是“数据处理者”而非“数据主体”或“受委托处理者”
《评估办法》第二条规定:“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法。法律、行政法规另有规定的,依照其规定。”从语义上看,《评估办法》项下的数据出境主体仅限于数据处理者。尽管《评估办法》没有给出数据处理者的定义,但是参考《个人信息保护法》中关于“个人信息处理者”以及《网络数据安全管理条例(征求意见稿)》中关于“数据处理者”的定义,“数据处理者”应指在数据处理活动中自主决定处理目的和处理方式的个人和组织。
在个人信息主体向境外提供个人信息的场景下,自主决定处理目的和处理方式的应是境外数据接收方而非境内个人信息主体。因此,个人信息主体向境外提供个人信息应不属于《评估办法》项下的数据出境。例如,境内消费者登录境外网站预定酒店并向境外网站提供个人信息,此种情况下,尽管境外数据处理者跨境收集了境内消费者的个人信息,但由于该等数据是个人信息主体提供而非数据处理者提供,因此,此种数据出境活动不适用《评估办法》。尽管如此,境外数据处理者因跨境收集中国境内个人信息,仍需遵守《个人信息保护法》的规定。
此外,数据出境主体排除了不能自主决定处理目的和处理方式的受委托处理者。例如,某境内企业使用境外供应商提供的客户关系管理(CRM)系统处理客户数据,该CRM系统部署在境外服务器上。在此情况下,决定客户数据处理目的和方式的是该企业,而CRM系统供应商只是受企业委托进行跨境数据处理活动。如该等跨境数据处理活动达到出境安全评估申报标准,则应由该企业而不是其CRM系统供应商向网信部门申报。
(2) 数据出境行为包括向境外提供或从境外访问境内数据,企业应按最小必要原则精细化管理出境数据
《申报指南》第一条列举了数据出境行为,包括:(a) 数据处理者将在境内运营中收集和产生的数据传输、存储至境外(“向境外提供”);(b) 数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出(“从境外访问”);(c) 国家网信办规定的其他数据出境行为。
前两种出境情形下,如何判断数据出境规模直接涉及是否触发出境安全评估的问题。例如,某外资企业在中国境内有2万名员工,其中只有占员工总数不到十分之一的高管会被公司将其个人信息提供给境外母公司,其他员工只有在内部调查等特殊情况下才会涉及将其个人信息提供给境外母公司。此种情况下,数据出境规模应仅限于被提供给境外母公司的有关员工的个人信息,而不是可被提供给境外的全体员工的个人信息。企业也应当按照最小必要原则,仅提供相关员工的个人信息以降低数据出境规模。
同样,对于从境外访问境内数据,在计算数据出境规模时,我们理解,应以境外实际查询、调取、下载、导出的数据量计算,而非以境外可访问的数据量计算。原因在于,一方面,如将可从境外访问的数据量纳入数据出境统计口径,则该等数据出境可能不符合《个人信息保护法》项下的最小必要原则。另一方面,数据处理者开展数据出境活动,采用向境外提供还是从境外访问只是方式不同,统计口径理应一致。尽管如此,《申报指南》使用了“境外的机构、组织或者个人可以查询、调取、下载、导出”的表述。为避免疑义,企业应更精细化管理出境数据,仅在最小必要范围内授予境外访问权限。上述示例中,从管理数据出境规模角度,企业应仅向境外母公司开放将实际发生从境外访问情形的部分员工数据,而不是开放全体员工数据从而降低数据出境规模。
(3) 重要数据和个人信息
根据《评估办法》第二条的规定,只有出境数据为重要数据或个人信息才适用出境安全评估。这意味着企业的业务信息、统计数据(“一般数据”)的出境,如不含有重要数据或个人信息,通常将不属于《评估办法》项下的“数据出境”。需要注意的是,尽管一般数据不受制于《评估办法》,但一般数据的处理活动仍受制于《网络安全法》和《数据安全法》。因此,企业对于一般数据的出境活动,可参考个人信息和重要数据出境的合规要求开展数据出境安全自评估,为满足一般性数据合规义务打下基础。
2. 企业如何判断是否构成关键信息基础设施(“CII”)运营者或出境数据是否构成“重要数据”?
根据《评估办法》,如出境数据包含重要数据,或CII运营者出境个人信息,则不论出境数据量多少,均触发出境安全评估。因此,CII和重要数据的认定对企业来说具有重要意义。但是,由于CII和重要数据的认定规则和清单/目录尚未发布,因此关于这两项的认定对企业而言存在较大的不确定性。在相关规则出台前,企业如何判断自己是否运营CII、是否处理重要数据?若无法判断,企业是否应申报出境安全评估?
(1) 关键信息基础设施的认定
根据《关键信息基础设施安全保护条例》, CII的认定规则及清单由各重要行业和领域的主管部门、监管部门制定。目前,尚未有部门公布该等认定规则或清单。2016年6月中央网络安全和信息化领导小组办公室网络安全协调局发布的《国家网络安全检查操作指南》中提供了CII识别与认定的“三步法”,即(a) 确定关键业务,(b) 确定支撑关键业务的信息系统或工业控制系统, (c) 根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。
因此,在公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的企业应重点关注CII的认定问题。对处于该等领域的企业,可参考上述《国家网络安全检查操作指南》所规定的CII识别与认定 “三步法”,划定本企业所在行业的关键业务及相关的信息系统或工业控制系统,并进一步评估该等系统遭到破坏、丧失功能或者数据泄露可能带来的后果。值得注意的是,在《申报指南》中,地方网信部门没有提到要企业自行判断自身是否构成CII运营者,也没有提到网信部门是否会判断企业是否构成CII运营者。因此,在未被识别为CII运营者的情况下,企业需要斟酌是否主动申报数据出境安全评估。
(2) 重要数据的认定
《评估办法》将“重要数据”定义为“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。”根据《数据安全法》第二十一条的规定,各地区、各部门确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。目前,除2021年8月16日国家网信办、发展和改革委员会、工业和信息化部、公安部、交通运输部五部门联合发布的《汽车数据安全管理若干规定(试行)》中对汽车数据中的重要数据[2]进行了明确列举外,尚未有部门发布重要数据目录。因此,对于汽车行业外的其他企业而言,在缺乏重要数据目录的情况下,是否涉及重要数据,往往需要企业根据现有的重要数据识别规则自行判定。
2022年4月,全国信息安全标准化技术委员会发布《信息安全技术 重要数据识别规则(征求意见稿)》(以下简称“《重要数据识别规则》”),从国家安全体系涵盖的政治安全、国土安全、军事安全等问题领域,描述了重要数据的识别因素,如“直接影响国家主权,政权安全、政治制度、意识形态安全”、“直接影响领土安全和国家统一,或反映国家自然资源基础情况”、“可被其他国家或组织利用发起对我国的军事打击,或反映我国战略储备、应急动员、作战等能力”等。然而,由于《重要数据识别规则》未列举重要数据的类型,因此对重要数据的认定需要结合企业所在行业、数据内容、数据量、泄露或篡改、损害的后果等因素,进行个案分析。需要注意的是,虽然单纯的个人信息一般不属于重要数据,但如个人信息数量达到一定规模、一定精度,例如个人信息的内容足以反映一定范围内的人口与健康情况,那么该等个人信息就可能构成重要数据。
我们注意到,已经有地方网信部门在根据《申报指南》发布的本地方申报数据出境安全评估的工作指引中对“重要数据”的范围进行了规定。例如,江苏省网信办于2022年9月1日发布《江苏省数据出境安全评估申报工作指引(第一版)》中规定,数据处理者需根据相关行业标准界定出境数据是否为重要数据,如无行业标准,可参考以下标准。[3]
由此可见,虽然重要数据目录没有出台,但在出境安全评估语境下,网信部门将会对重要数据加以判断或要求企业对是否处理重要数据加以判断。因此,企业对重要数据的斟酌与对CII的斟酌应采用不同策略,遵循实质重于形式的原则,自主判断并主动申报,而不应以有关重要数据目录未出台为由不予判断或不予申报出境安全评估。
3. 如何满足数据出境的合法性要求?
“合法性”是数据出境安全评估的评估重点之一。与“正当性”、“必要性”缺乏明确“是”与“否”的标准不同,“合法性”的判断往往有明确的法律法规依据。实务中,数据出境的合法性通常需考虑:
(1) 数据出境标的是否合法?
企业首先应当判断出境数据是否涉及不得出境的数据或需经主管部门单独审批或备案的数据。例如,根据《人类遗传资源管理条例》,将人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构提供或者开放使用,应当向国务院科学技术行政部门备案并提交信息备份;可能影响我国公众健康、国家安全和社会公共利益的,应当通过国务院科学技术行政部门组织的安全审查。
(2) 数据出境方式是否合法?
除了出境标的的合法性,企业还应关注数据出境方式的合法性。例如,2021年11月14日国家网信办发布的《网络数据安全管理条例(征求意见稿)》第41条规定,境内用户访问境内网络的,其流量不得被路由至境外。实践中,对于一些大型跨国公司或具有海外业务的大型中资企业来说,由于全球业务布局而需要采用全球IT架构,在中国香港、新加坡、爱尔兰、美国等全球多地部署数据中心或灾备中心。这种IT架构可能导致境内用户访问境内网络的流量被路由到境外再返回境内。将境内用户流量路由至境外可能带来额外的数据泄露、流量劫持等安全风险,如果缺乏必要性,则可能不满足数据出境的合法性要求。比如,境内企业在境外建立灾备中心是否具有必要性需要具体情况具体分析,企业至少应能够说明此种IT架构和数据流动的业务合理性、技术合理性。
又例如,企业通过VPN跨境专线进行数据出境,则根据《工业和信息化部关于清理规范互联网网络接入服务市场的通知》《国际通信出入口局管理办法》等相关规定,企业须向持有相关电信资质的服务商租用跨境专线,且该专线仅供企业内部办公专用。比如,企业通过VPN访问部署在境外服务器上的CRM系统或其他办公系统,将境内客户或员工个人信息存储到境外服务器,企业应使用合法租赁的VPN实现连接。
4. 如何有效获得个人信息主体的单独同意?
对于个人信息出境,还需注意是否有效取得个人的单独同意,以及如何证明已取得个人单独同意的问题。实践中既存在通过APP、小程序、网页等线上形式收集个人信息的场景,也存在通过签署合同、填写表格等线下形式收集个人信息的场景。关于单独同意的实现方式,对于线上收集场景,往往可以通过线上交互式界面的设计,由个人信息主体通过勾选、点击“同意”等方式获得单独同意;但对于线下收集场景,则可能需要通过签署书面声明、签字确认的方式获得个人信息主体的单独同意。由于同意的前提是告知数据处理规则,因此告知内容的文案、告知界面的展示、单独同意的设置、告知的时机和频率等问题也需在设计同意机制时予以考虑。总而言之,采用何种同意机制既需考虑同意的有效性,也需顾及具体业务场景中的可操作性和便利性,往往是综合考量、各方因素权衡下的选择。
此外,对于员工个人信息出境的场景,《个人信息保护法》提供了“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”这一项取得个人同意的例外。因此,企业可通过将员工个人信息处理活动纳入劳动规章制度的方式替代员工的单独同意。然而,根据《劳动合同法》的相关规定,合法有效的规章制度往往需要满足征求意见、平等协商、公示等法定流程。因此,在适用“劳动规章制度”这一取得个人同意的例外收集员工个人信息时,需兼顾《个人信息保护法》及《劳动合同法》的相关要求。
关于同意的证明材料,企业可参照2020年1月全国信息安全标准化技术委员会发布的《信息安全技术 个人信息告知同意指南(征求意见稿)》,提供其直接收集的或受其委托进行数据处理的第三方收集的材料。可以选择的证据内容包括:(1)企业告知数据处理规则的记录和获取同意的记录,记录的方式包括企业内部的电子或纸质文档或邮件等直接证明材料;或(2)与个人信息处理活动存在逻辑关系的记录,比如用户从登录、注册、使用、退出公司官网、APP或内网的先后顺序及相关日志与数据库标记等间接证明材料。
5. 如何理解“遵守中国法律、行政法规、部门规章情况”并达到合规要求?
(1) “遵守中国法律、行政法规、部门规章情况”是评估重点之一
“遵守中国法律、行政法规、部门规章情况”这一评估事项的表述较为概括,但正是因为概括性的表述,使得其所涵盖的范围可以非常宽泛,实践中对于该事项范围的划定将直接影响企业合规义务的范围。例如,“遵守中国法律、行政法规、部门规章情况”可能不仅局限于与数据出境相关的规范,还可解释为与网络安全、数据安全、电信监管等相关的各项法律法规、部门规章。从而企业不仅要就数据出境本身的合规情况进行分析判断,还需判断是否符合网络安全、数据安全、电信监管等相关规范体系下的其他合规要求。
根据《申报指南》中就《数据出境安全评估申报表》(以下简称“《申报表》”)第14项“数据处理者遵守中国法律、行政法规、部门规章情况”的说明,企业在填写这一项时需简述近2年在业务经营活动中受到行政处罚和有关主管监管部门调查及整改情况,重点说明数据和网络安全方面相关情况。可见,“遵守中国法律、行政法规、部门规章情况”重点在于数据和网络安全方面的法律法规及规章的遵守情况。《申报表》中对该事项的填写要求较低,仅需要简述监管部门对企业的执法情况。
(2) “遵守中国法律、行政法规、部门规章情况”不限于企业受到行政处罚和被执法或被调查的情况
在《申报指南》提供的《数据出境风险自评估报告》(以下简称“《自评估报告》”)模板中,企业需详细说明:(a)数据安全管理能力,包括管理组织体系和制度建设情况,全流程管理、分类分级、应急处置、风险评估、个人信息权益保护等制度及落实情况;(b)数据安全技术能力,包括数据收集、存储、使用、加工、传输、提供、公开、删除等全流程所采取的安全技术措施等;(c)数据安全保障措施有效性证明,例如开展的数据安全风险评估、数据安全能力认证、数据安全检查测评、数据安全合规审计、网络安全等级保护测评等情况;(d)遵守数据和网络安全相关法律法规的情况。
企业是否依照《网络安全法》履行相关网络安全保护义务,如开展网络安全等级保护、设置网络安全负责人、制定网络安全内部管理制度和操作规程、制定网络安全事件应急预案等;是否依照《数据安全法》履行相关数据安全保护义务,如建立健全全流程数据安全管理制度、开展数据安全教育培训、采取相应的技术措施和其他必要措施保障数据安全等情况实际上仍需要在《自评估报告》中进行阐明。如果企业做过网络安全等级保护或个人信息保护合规审计或ISO认证工作,将非常有助于说明其数据安全管理和保障能力。
(3) “遵守中国法律、行政法规、部门规章情况”还应包括遵守中国电信法律法规、规章情况
企业还应注意电信监管的合规性问题。例如,很多企业的外部个人信息来源于其官网、APP、公众号或小程序,而这些平台有的可能没有做过ICP备案,有的没有取得ICP证或其他相应增值电信业务许可证。那么,通过该等非法网站或平台获取的个人信息或数据则存在先天的合法性问题。或者有的企业虽然做过ICP备案或取得了有关增值电信业务许可证,但没有把数据存储在申请该等备案或许可而报告给电信监管部门的本地服务器上。此种情况下的数据出境或出境数据也存在先天的合法性问题。对于这些问题,需要花费较长时间和较大投入方能解决,企业应尽早发现、尽早整改,以达到申报要求。
6. 如何提供境外数据安全保护政策法规资料?
数据出境安全评估的评估重点还包括“境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响”。《申报指南》提供的《自评估报告》模板中,也要求企业详细说明境外接收方所在国家或地区数据安全保护政策法规和网络安全环境情况。为达到该项要求,实践中需要引入境外律师参与,即由境外接收方所在地的当地律师出具法律意见。如出境数据存储的境外服务器与境外接收方位于不同法域,则可能还需境外服务器所在地律师出具意见。为增强客观性,该等法律意见应为境外外部律师而非公司法务出具的意见。
7. 是否需要对数据进行本地存储?
《评估办法》未就数据出境前是否需进行本地存储进行规定。根据《网络安全法》第37条的规定,CII运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。同时,根据《个人信息保护法》第40条和《评估办法》第4条,处理100万人以上个人信息的数据处理者应当将在境内收集和产生的个人信息存储在境内。对于其他达到出境安全评估门槛的数据处理者,例如出境重要数据的数据处理者,以及自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者,现有规则未明确设置数据本地存储的义务。
但实际上,数据本地化存储与数据出境密切相关。因为一旦企业未能通过出境安全评估,数据境外存储的实践将面临挑战。例如,企业使用服务器位于境外的业务系统并将相关数据存储于境外服务器中,如企业未能通过评估,又未能及时搭建或租赁境内服务器用于本地化存储,则企业可能面临业务中断的严重后果。因此,为了避免因无法通过出境安全评估影响企业的业务运转,企业可能需要在综合考虑出境合规成本、IT架构调整成本及业务调整成本的基础上,进行全面筹划。如企业通过经ICP备案或电信许可的线上平台收集个人信息,则意味着企业已经有了本地服务器,而在该平台上收集的数据应首先存储在本地。
总结
通过以上对企业开展数据出境安全评估工作中几个关键问题的分析,可以看出,数据出境安全评估工作是一个系统工程,应提前规划、尽早安排。主要的时间和成本应该投入在梳理数据处理活动、梳理IT架构及整改方面。只有达到合规状态,企业才能够通过有关个人信息保护影响评估、自评估和出境安全评估。
[注]