数据出境安全评估十问十答
数据出境安全评估十问十答
作为《个人信息保护法》最重要的配套规定,《数据出境安全评估办法》(《办法》)于2022年9月1日起正式实施。《办法》第20条给已经开展数据出境活动的各企业6个月的宽限期,即有关企业应当在今年3月1日之前(“最终期限”)完成整改,而尚未触发安全评估申报义务的企业也可以选择申报。考虑到最终期限即将临近,我们结合有些企业在评估中的困惑,以及我们的一些实操经验,选取了值得企业关注的十个问题并进行解答,希望对关注数据出境安全评估的企业有所帮助。
Q1:企业如何判断自身是否需要申报数据出境安全评估?
答:企业应当主要参考《办法》第四条,并结合自身的业务情况进行判断。具体而言,存在以下任何一种情形的企业,都有义务在限定的时间内完成数据出境安全评估申报工作:企业处理100万人以上个人信息并向境外提供个人信息的、企业是关键信息基础设施运营者(“CIIO”)并向境外提供个人信息的、企业两年向境外提供10万人次个人信息的、企业两年向境外提供1万人次的敏感个人信息的、或者企业向境外提供重要数据的。当然,每一种情形的判断方法和实际开展自评估工作的方法不尽相同。例如针对CIIO的判断,实践当中多以是否受到主管部门的通知并结合自行评估来确认。而掌握100万人的处理者,即便仅存在少量的数据出境行为(如员工数据出境),按照《办法》的规定,也应当申报安全评估。而针对重要数据,除少部分行业外(汽车、测绘),大多行业没有专门的法规或用以判断是否构成重要数据的指南。企业开展自评估过程中,在判断跨境传输的数据是否构成重要数据时,往往需要结合重要数据的定义,从数据泄露后的损害结果出发自行评估。
就个人信息而言,根据我们咨询国家互联网信息办公室(“网信办”)所得到的答复,企业在判断两年内的个人信息或敏感个人信息跨境量级时,需要结合以往各业务场景进行过去两年跨境总人数的估算,以此判断是否触发安全评估申报义务。具体而言,假设企业2021、2022年个人信息跨境量级分别为5万人次,待到2023年初,企业解读法规,认为自上一年度(2022年)1月1日起到2023年,企业自身跨境传输的个人信息量级并未达到10万人次,因此选择不申报安全评估。但根据监管要求,前述认定方式属于“规避”法定申报义务的误读,并不合规。在判断是否触发数据出境安全评估申报的条件时(两年10万人次个人信息、两年1万人次敏感个人信息),企业应当根据以往业务开展的实际情况,估算完整两年的跨境个人信息跨境量级。例如在2023年评估是否需要进行数据出境安全评估申报时,正确的方法是根据2021年到2022年完整两年的个人信息人次或敏感个人信息人次的跨境量级估算自身是否触发数据出境安全评估申报义务。
Q2:企业在申报数据出境安全评估时,如何使用《数据出境安全评估申报指南(第一版)》及其附件?
答:作为《办法》的“实施细则”,《数据出境安全评估申报指南(第一版)》(“《指南》”)及其附件,就是企业开展数据安全评估工作的“黄金准则”。谁的信息需要填写?谁的身份证复印件需要提交?哪些文件需要提交原件?什么内容需要包含在自评估报告里?《指南》及其附件都给出了解答。从启动数据出境安全评估项目伊始,我们就建议企业根据《指南》,严格制定工作任务计划与项目清单,以完成《指南》各项材料的准备与内容的填写为目标,有序开展自评估工作。
Q3:如何理解《办法》对于“法律文件”的要求与《个人信息出境标准合同规定(征求意见稿)》附件《个人信息出境标准合同》之间的关系?
答:我们理解,针对个人信息的出境,境内数据处理者与境外数据接收方以签署网信办发布的《个人信息出境标准合同》形式,来满足《办法》对“法律文件”的要求,具有可操作性。原因在于无论是《办法》还是《个人信息出境标准合同》,颁布机构皆为网信办。从监管主体角度进行考察,具备连贯性。同时,仔细核对《办法》第九条的内容以及《个人信息出境标准合同》的条款,不难发现《个人信息出境标准合同》所约定的条款,满足《办法》第九条当中的大部分要求。当然,《办法》第九条第(一)项、第(四)项的部分内容并未体现在《个人信息出境标准合同》的模板条款中,需要数据处理者与境外接收方在签署《个人信息出境标准合同》的过程中,以附件的形式增加相关条款,并进行补充约定。
Q4:如何理解境外“接收方”与再转移“接收方”之间的关系?
答:根据《办法》第九条以及《指南》当中的要求,数据处理者在与境外接收方订立的法律文件中,应当明确境外接收方将出境数据再转移给其他组织、个人的约束性要求。同时,在制作《数据出境风险自评估报告》(《报告》)的过程中,数据处理者还需要在专门章节描述数据出境后向境外其他接收方提供的情况。因此,境内数据处理者与境外接收方在订立法律文件时,需要专门约定境外接收方将接收到的数据再转移给第三方时,所应承担的对第三方的约束性义务。并在申报安全评估时,对再转移第三方的信息于《报告》中进行披露。
结合《个人信息出境标准合同》第三条第(七)款的内容,以及上一问中阐释的对《个人信息出境标准合同》与“法律文件”的关系的理解,境外接收方在进行数据跨境的再转移之前,应当保证(1)原则上不进行数据再转移,除非确有需要;(2)充分履行告知义务,包括告知个人信息主体再转移接收方的身份、联系方式、处理目的、处理方式、个人信息种类以及行使个人信息主体权利的方式和程序等;(3)除非法律另有规定,取得个人信息主体的单独同意;(4)接收方与再转移接收方达成书面协议并向个人信息主体提供协议副本。
另外,根据我们咨询网信办所得到的答复,再转移接收方无需按照《报告》对接收方的要求,描述并提供所在国家或者地区数据安全保护政策法规和网络安全环境的分析。当然,网信办在答复中并未禁止企业对再转移接收方所在国家或地区的数据安全保护政策法规和网络安全环境进行分析。我们认为,如果再转移接收方所在的国家或地区本身能够对所接收的境外数据提供强有力的保障(比如加入特定国际公约,承诺对成员国数据提供同等保护等),则建议企业增加相关描述。
Q5:如何理解《个人信息保护影响评估报告》(“PIA报告”)与《数据出境安全自评估报告》之间的关系?
答:按照《个人信息保护法》第五十五条的要求,个人信息跨境活动属于需要进行个人信息保护影响评估的个人信息处理活动。考虑到时间与效率的问题,根据《自评估报告》出具一份“个人信息跨境限定”的PIA报告具有一定的可操作性。但是我们并不推介企业采取这种方式履行个人信息保护影响评估义务。《报告》所要求的是对数据跨境活动进行评估,而《个人信息保护法》第五十五条还要求对个人信息跨境以外的敏感个人信息处理活动、自动化决策、委托处理、对外提供以及公开个人信息等进行个人信息保护影响评估。如果境内数据处理者根据《报告》内容出具PIA报告,而在跨境活动中还涉及对敏感个人信息的处理,则事实上所出具的PIA报告并不能全面覆盖《个人信息保护法》五十五条提出的合规要求。
Q6:如何理解数据出境的“合法性”?
答:《指南》明确要求数据处理者在制作《报告》的时候,需要说明数据出境以及境外接收处理数据的“合法性”。就个人信息而言,狭义的“合法性”主要是指上述处理行为取得了《个人信息保护法》第十三条下的合法性基础。而广义的“合法性”指的是包括处理个人信息合法性基础之外,个人信息处理者是否遵守了《网络安全法》《个人信息保护法》《数据安全法》等法律法规所要求的相关合规义务,包括但不限于:(1)是否就跨境传输及处理行为向个人信息主体进行了充分的告知;(2)是否按照法规要求完成了个人信息保护影响评估;(3)是否取得了网络安全等级保护备案;(4)是否按照《办法》的要求签订了具有约束力的法律文件。
根据我们的经验,在评估数据出境以及境外接收方处理数据的“合法性”时,数据处理行为的评估可以以“数据出境”以及“境外接收方处理数据”这两种场景为基准,有针对性的展开分析。但从合规的完整性来看,建议企业应考虑上述法律规定的所有关于“合法性”的要求,并开展相关评估工作。
Q7:如何理解数据出境的“正当性”?
答:《指南》明确要求数据处理者在制作《报告》的时候,需要说明数据出境以及境外接收方处理数据的“正当性”。就个人信息而言,结合《个人信息保护法》《信息安全技术个人信息安全影响评估指南》以及网信办的答复,我们理解个人信息出境的“正当性”主要着眼于目的正当性以及手段正当性。目的正当是指个人信息处理者旨在实现的目的应当是增进个人利益或者社会公共利益等正当目的,而非损害他人权益、破坏公共秩序等不正当目的;手段正当是指处理者处理个人信息所采用的方式方法应当符合社会公众的一般期待以及公序良俗的要求。企业在描述其自身的数据出境行为时,可以结合行业特征,以及相关商业活动是否符合一般商业道德,再从以上介绍的几个方面进行详述。
Q8:如何理解数据出境的“必要性”?
答:《指南》明确要求数据处理者在制作《报告》时说明数据出境以及境外接收处理数据的“必要性”。就个人信息而言,根据《个人信息保护法》,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:······(三)依照本法第四十条的规定通过国家网信部门组织的安全评估······。排除不允许出境的特殊数据类型(如人口健康信息),我们认为必要性是建立在为实现合法、正当的个人信息处理目的前提下,符合“最小必要”原则的数据出境活动。例如跨国企业以为了实现支付、核对员工薪酬为目的而跨境传输员工个人信息时,符合“最小必要”原则而跨境传输的个人信息字段应该包括员工的姓名、职级、考勤以及银行卡号等个人信息,但员工病史、性别等与发薪、核薪目的无关的个人信息字段则难以论证其具备跨境传输的必要性。当然,基于其他目的,例如集团购买商业保险或开展特定节日(妇女节)的福利慰问时,员工病史或性别等个人信息字段也可能具备跨境的必要性。同时,为使监管部门在进行数据出境安全评估时更清晰的看到具体处理活动与必要性的映射关系,企业还可以分系统,并从各类系统具体处理个人信息的目的出发,详述必要性。
Q9:若企业为境外接收方提供了可访问中国境内数据的通道,但事实上境外接收方从未访问境内数据,此种情形是否属于数据出境行为?
答:属于。根据《数据出境安全评估申报指南(第一版)》对“数据出境”概念的阐述,只要境内数据处理者为境外机构开设了查询、调取、下载、导出数据的端口即视为数据出境。根据我们咨询网信办所得到的答复,可访问境内数据而实际未访问的境外主体,仍然会被认定为《办法》意义下的“境外接收方”,且只有境内数据处理者完全关闭为境外机构开设的访问渠道,同时停止其他一切积极跨境传输行为时,才能被认定为不进行数据跨境。
Q10:若企业属于应申报数据出境安全评估的情况,却未进行评估申报,会有什么后果?
答:我们认为,未履行出境安全评估义务的,行政机关有权依据《个人信息保护法》《网络安全法》《数据安全法》中的相关规定对企业进行处罚。
具体而言,根据上述法规应开展数据出境安全评估而未开展数据出境安全评估的企业:
1. 根据《个人信息保护法》,将由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
2. 根据《网络安全法》,关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
3. 根据《数据安全法》,违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
值得企业关注的是,如果说2022年是数据出境相关法规的“落地元年”,那么在2023年则将开启 “执法元年”。随着《网信部门行政执法程序规定》等法规的出台,网信办作为执法主体所依据的行政执法程序将更加明确。同时我们认为,作为数据出境的主要监管部门,网信办将在2023年加强对数据违法违规活动的行政执法力度,对未及时完成整改或申报的企业,按照上述法律规定进行处罚。
《办法》作为数据立法“三驾马车”实施后第一部落地的重磅法规,其重要性不言而喻。受到《办法》规制的有关企业,应当审慎的评估自身情况,积极的履行申报义务,避免受到处罚。根据我们的经验,跨国企业在进行数据出境自评估时,是一个较好的审视自身数据合规差距和问题的机会,能够借此与总部“宣贯”并拉齐中国法律保护的合规水位线。在有经验的专业人士协助下,能够以此契机建立符合法律规定和监管要求的数据合规体系和规范流程,此为“鱼与熊掌兼得”。