一、 前言
随着全球数字化程度的不断加深,越来越多的企业涉足数字产业,数据的跨境流动已成为经济活动中不可或缺的部分,世界各国也越来越重视本国的数据安全,数据跨境法律监管制度作为维护数据安全的重要一环也变得愈加重要,我国也在其中之列。2022年7月7日,国家网信办正式发布《数据出境安全评估办法》(国家互联网信息办公室令第11号,“《安全评估办法》”),该安全评估办法于2022年9月1日起正式施行。2023年2月24日,国家网信办正式发布《个人信息出境标准合同办法》及《个人信息出境标准合同》,该《标准合同办法》于2023年6月1日正式施行,这就标志着《个人信息保护法》第38条所规定的个人信息出境三大路径已基本明晰。2023年9月28日,国家互联网信息办公室又就《规范和促进数据跨境流动规定(征求意见稿)》公开征求意见,数据跨境流动的各类规范越来越有所完善。
二、 数据出境活动
1. 数据出境活动类型
数据跨境流动的活动类型多种多样,数据出境出境活动主要包括两类,第一类是数据处理者将在境内运营中收集和产生的数据通过各种方式传输、存储至境外。如境内企业使用境外供应商以及境内企业将数据上传境外的云存储空间供自己使用等情况。即便是境内企业将数据传输至境外供自己使用的,由于该部分数据已存储至境外,存在着境外云服务商或境外政府调取的风险,该种数据出境行为仍然需要受到监管。第二类则是数据处理者将其境内数据库对外开放,使得境外的机构、组织、个人能够对数据进行查询、调取、下载、导出的操作。如外资企业的信息技术团队部署在境外,外资企业能够通过互联网访问并处理境内服务器上存储的数据以提供服务。
2. 非数据出境行为
一些数据跨境流动并不属于数据出境。如将非境内收集和产生的数据传输至境外,且该部分数据并未经过任何变动或加工,则这并不属于数据出境行为,而是数据过境。另外,如将在境内存储的不是在中国境内运营中收集和产生的个人信息和重要数据传输至境外,虽然此种情况存在部分加工行为,但由于未涉及到中国个人信息和重要数据,不属于数据出境。
2023年9月28日,国家网信办发布的《规范和促进数据跨境流动规定(征求意见稿)》进一步列举了不需要“申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”的具体条件:
(一)国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的。
(二)未被相关部门、地区告知或者公开发布为重要数据的。
(三)不是在境内收集产生的个人信息向境外提供。
(四)为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的;
(五)按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的;
(六)紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的。
综上,部分数据跨境行为由于对国家、社会或者个人的利益影响较大故需受到国家监管,而这部分受到监管的数据出境活动将须依法依规出境,以便国家对此进行监管,否则将会遭受严厉的行政处罚。
三、 个人信息出境三大路径
对于境内企业进行个人信息出境活动的合规方式,《中华人民共和国个人信息保护法》第三十八条明给出了数据出境安全评估、个人信息保护认证以及与境外接收方订立标准合同三大路径。
(一) 数据出境安全评估:
指对于关键信息基础设施运营者和处理个人信息达到规定数量的个人信息处理者向境外提供在中国境内收集和产生的个人信息,应当通过所在地省级网信部门申报并通过国家网信办组织的安全评估。
数据出境安全评估主要是基于保障国家安全和公共利益考虑的数据跨境安全监管机制,适用于出境数据规模大、数据类型特殊或数据处理者身份特殊的场景。
数据出境安全评估的适用条件:(1) 出境数据中含有重要数据;(2) 数据据处理者为关键信息基础设施运营者(简称“CIIO”);(3) 数据处理者为处理100万人以上个人信息的数据处理者;(4) 自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者。
(二) 个人信息保护认证:
指希望通过获得认证来开展跨境处理活动的个人信息处理者,需要在符合GB/T 35273《信息安全技术 个人信息安全规范》的基础上,满足TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。
个人信息保护认证机制更适用于股权关联企业或业务关联企业,也即集团公司或关联公司之间存在长期频繁、多方之间的数据传输场景,中国网络安全审查技术与认证中心是目前明确的官方认证机构。
(三) 个人信息出境标准合同备案:
指满足特定条件的境内企业可以通过与境外接收方共同签订标准合同并向所在地的省级网信部门备案的方式向境外提供个人信息。
个人信息出境标准合同是基础性个人信息出境的机制,适用范围最广,通过标准合同签署生效加备案即可。标准合同是跟大多数企业最相关、最基础和最常用的跨境机制。
个人信息出境标准合同备案的适用条件:非关键信息基础设施运营者、处理个人信息不满100万人、自上年1月1日起累计向境外提供个人信息不满10万人、自上年1月1日起累计向境外提供敏感个人信息不满1万人。
另外,根据国家网信办于2023年9月28日发布的《规范和促进数据跨境流动规定(征求意见稿)规定,预计一年内向境外提供不满1万人个人信息的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。如该数据跨境流动规定通过,无疑有利于减轻企业的数据出境合规压力。
四、 个人信息出境标准合同备案落地方案解析
(一) 出境数据及出境场景的设别
数据出境企业在对自身企业数据情况做评估时应就个人信息安全管理能力与个人信息安全技术能力做整体评估,而不是仅就数据出境保护能力进行评估。故数据出境企业应对其整体业务数据做梳理及评估,以便准确设别出境数据类型及出境场景,进行评估是否需要“申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”或评估匹配适用哪种出境路径。
(二) 个人信息保护影响评估
该环节并非标准合同备案的独有的要求,依据《中华人民共和国个人信息保护法》第五十五条,个人信息处理者向境外提供个人信息都应当事前进行个人信息保护影响评估。
如前所述,企业在开展个人信息保护影响评估时需要全面梳理企业业务场景及全盘数据,为更清晰地梳理各个流程涉及的数据类型,可通过业务交易流程图的方式将业务的各个条线展示出来。在梳理了各个业务可能涉及的数据类型后,通过数据流转图的方式展示企业各类数据的合规及流转现状,比如某业务流程中公司收集的数据是否依法进行了匿名化处理、是否履行了告知同意义务或进行了分类分级处理等等,进而通过分析数据合规现状对《个人信息出境标准合同》第2条第8项明确的评估内容进行评估,并给出能够落实的整改措施,为后期评估报告的出具提供有力依据。
个人信息保护影响评估报告的内容应当包括个人信息的处理目的与合法性基础、对个人权益的影响及安全风险大小;安全保护措施是否合法有效这三部分内容。评估报告的结构、内容、颗粒度可以参考国家网信办发布的《个人信息保护影响评估报告(模板)》。
(三) 签署标准合同
标准合同并非完全不能调整,但合同正文是不得变更的,合同附件二虽能够进行调整但调整后的内容不得与合同正文相冲突。因此,个人信息处理者及境外接收方可以对出境活动的具体细节、联系方式、境外接收方采取的保护措施、争议解决等事项进行磋商并调整标准合同。
值得注意的是,可以在进行个人信息保护影响评估的时候就着手与境外接收方对标准合同文本进行讨论,以便境外接收方能够提前熟悉标准合同内容并就标准合同内容的签署争取境外接收方的认同。
(四) 提交备案
在数据出境企业与境外接收方签署标准合同且在标准合同生效之日起的10日内,个人信息处理者应向其所在的省级网信部门提供标准合同及个人信息保护影响评估报告进行备案。企业须确保提交的材料的准确性、真实性与一致性。值得注意的是,应确保备案主体与标准合同签订的主体一致,且不同地区的关联主体原则上应独立向属地网信部门办理标准合同备案。
五、 合规建议
(一)建立数据分类分级制度
企业应建立数据分类分级制度,便于提升数据资产梳理效率,提升数据资产管理的合规程度。具体来讲,评估定级需要根据数据的影响程度进行分析,从高到低对数据进行定级。影响程度是指数据如遭遇泄露、篡改等破坏行为时可能会产生的负面影响程度。
通过影响对象“国家合法权益、社会公共利益、个人合法权益”、影响广度“超大范围、较大范围、较小范围”两个因素可以确定影响程度。例如,影响程度认定为特别严重危害的数据可设定为三级数据,而影响程度为一般危害的数据可设定为一级数据。以金融行业为例,C3级别的信息为银行账号及交易密码、C2级别是登录名、短信验证码、密码提示答案及交易流水、C1级别是账户的开立时间及开立机构。
(二)建立数据出境和个人信息保护方面的管理机制
《标准合同备案指南》规定,个人信息出境企业需证明其已建立符合中国法律要求的个人信息保护合规体系,该体系包括个人信息安全管理能力、个人信息安全技术能力、个人信息保护措施有效性等方面。因此,未系统性开展合规整改的企业应当全面建立符合中国法律要求的个人信息保护合规体系,才可以符合对PIA报告的填写及后续监管。企业应从制度层面、安全技术措施层面、管理流程层面着手建立彬完善个人信息保护合规体系。
具体来讲,企业应建立数据安全生命周期管理(比如数据资产管理、数据采集安全管理等),设立数据安全负责人或管理机构,同时企业内部应制定数据安全管理制度以及优化跨境传输过程中所涉各类协议文本(隐私政策、用户协议、数据共享协议、数据委托处理协议等),并定期进行数据安全评估,另外还需定期加强对企业人员的合规培训,加强企业人员合规意识。
综上,企业应以积极的心态拥抱合规,尽快开展相关准备工作,将不确定因素带来的不利影响最小化。