条条大路通罗马?——数据出境新规解析及实务建议
作者:赵化律师 访问次数:346 时间:2022/07/08
2022年6月24日,信安标委正式发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》(TC260-PG-20222A,下称“《认证规范》”);6月30日,国家网信办发布《个人信息出境标准合同规定(征求意见稿)》(下称“《标准合同规定》”);7月7日,《数据出境安全评估办法》(下称“《评估办法》”)正式颁布。这三部法律文件(合称为“三部新规”)的出台,标志着我国关于数据出境的主要路径和监管机制基本确定。特别是《数据出境安全评估办法》,作为具有强制执行力的部门规章,该办法明确要求企业在办法实施后6个月内完成整改,使得“选择何种出境方式”“怎样满足监管要求”成为企业亟待解决的问题。
天达共和数据合规团队曾在《快问快答——关于<数据出境安全评估办法(征求意见稿)>,企业关心哪些问题?》一文中,以问答形式就2021年10月29日国家网信办发布的《数据出境安全评估办法(征求意见稿)》(下称“《征求意见稿》”)进行过分析。本文将围绕上述三部新规,采取同样的问答形式,对企业普遍关注和最常提出的有关数据出境的以下问题展开讨论,并基于实务经验提供相应建议,以期帮助企业尽快理解数据出境监管新规,助力企业实现数据合法合规出境:
Q1:什么是数据“出境”?
Q2:根据三部新规,数据出境有哪些路径?
Q3:三种数据出境路径可以任选吗?
Q4:委托境外机构或个人处理数据的,也需要符合数据出境的规定吗?
Q5:关于安全评估路径,与《征求意见稿》相比,正式发布的《评估办法》有哪些变化?
Q6:数据出境风险自评估怎么做?
Q6-1:是否只有需要申报数据出境安全评估的企业才需要做自评估?
Q6-2:风险自评估都包括哪些内容?
Q6-3:怎么实施风险自评估?
Q6-4:风险自评估报告怎么写?
Q6-5:风险自评估过程中需要采取技术手段吗?
Q7-1:需要提交哪些申报材料?
Q7-2:向谁提交申请?
Q8:采用安全评估路径的,需要和境外数据接收方签订标准合同吗?合同应包括哪些内容?
Q9:保护认证是强制性的吗?
Q10:谁有资格申请保护认证?
Q11:申请保护认证需要具备哪些条件?
Q12:现在可以开始申请保护认证了吗?
Q13:任何企业都可以使用标准合同吗?
Q14:如果已经和境外接收方签订过其他合同怎么办?
Q15:采用标准合同路径也需要做自评估吗?
Q16:标准合同必须备案吗?
Q17:合同备案后才可以向境外传输个人信息吗?
Q18:数据出境情况发生变化怎么办?
1. 受篇幅所限,鉴于与《征求意见稿》相比,正式发布的《评估办法》实质性变化不多,我们在《快问快答——关于<数据出境安全评估办法(征求意见稿)>,企业关心哪些问题?》一文中提供的大部分解读和建议仍然有效,建议两篇文章同时阅读,效果更佳。
2. 《个人信息出境标准合同规定(征求意见稿)》尚在征求意见阶段,不排除未来内容发生调整,建议企业关注立法动态。本文有关《标准合同规定》的分析内容仅供参考,具体监管要求请以最终正式出台的规定为准。
三部新规均未就什么情况属于数据“出境”做出明确界定。但是,根据国家网信办有关负责人就《评估办法》相关问题对记者的回答[1] ,《评估办法》所称数据出境活动主要包括两种情形:一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外;二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。我们认为,上述情形应同样适用于《认证规范》和《标准合同规定》下的数据“出境”活动。
我国《网络安全法》《数据安全法》《个人信息保护法》提出了三种数据合法出境路径:①经过网信部门的安全评估(下称“安全评估”),②经专业机构进行个人信息保护认证(下称“保护认证”),③按照网信部门制定的标准合同与境外接收方订立合同(下称“标准合同”)[2]。三部新规并未超出上位法给出的路径范围,分别就三种出境路径提供了具体的落地措施。
安全评估、保护认证和标准合同是三条并行的数据出境路径,择其一适用即可;但每一种出境路径都有其特定的适用范围,数据处理者需要根据自身情况确定适用的路径,不能随意选择。
总体而言,满足《评估办法》所规定的申报条件(详见Q5)的,必须适用安全评估制度;未达申报条件的,可以采取签订标准合同的方式;只有特定主体才可仅就其个人信息的出境采取保护认证方式。
具体而言,可以从主体、数据类型和数据量级三要素入手,根据每一要素的具体条件判断适用的路径(下表中,就每一种出境路径,“○”表示具备任一条件即可适用,即任选项;“√”表示必须同时具备该条件方可适用,即必选项)[3]:
从上表可以看出,标准合同的适用标准最高,只有具备全部条件的,才可以采用签订标准合同的方式。从目前国内商业环境来看,多数企业可能无法通过签订标准合同的方式解决数据合规出境问题,并仍需要进行安全评估。保护认证则可能更多被用于跨国企业集团内部的个人信息出境场景,如因人力资源管理需求而向境外传输员工的个人信息。
委托境外机构或个人处理数据的,也需要符合数据出境的规定吗?
需要。从《网络安全法》《数据安全法》《个人信息保护法》到三部新规,均未将境内数据处理者和境外接收方的数据处理关系作为适用某种数据出境路径的条件。国家网信办此次发布的《标准合同规定》中所附的个人信息出境标准合同(下称“标准合同模板”)还专门对境外接收方接受境内企业委托处理个人信息的情形下双方的权利、义务做出规定。因此,无论境内的数据提供方和境外接收方构成何种数据处理关系,只要客观存在数据出境活动的,都应当选择适当的数据出境路径并满足出境监管要求。
关于安全评估路径,与《征求意见稿》相比,正式发布的《评估办法》有哪些变化?
主要有5点实质性重大变化:
第一,进一步明确了申报出境评估的条件(“申报条件”),其中,针对累计向境外提供个人信息的情形,将出境个人信息的数量统计的起算点明确界定为上年1月1日,即自上年1月1日起至评估之时累计向境外提供超过10万人以上个人信息或者1万人以上敏感个人信息的,需要向国家网信部门申报数据出境安全评估[4]。
第二,对评估流程和周期进行了适当调整。
一方面,增设了两个环节:材料完备性查验和复评。①材料完备性查验由省级网信部门处理,即省级网信部门应自收到申报材料之日起5个工作日内完成完备性查验,申报材料齐全的,将申报材料报送国家网信办;申报材料不齐全的,应当退回数据处理者并一次性告知需要补充的材料[5]。② 数据处理者收到评估结果的书面通知后,如对评估结果有异议的,可以在收到评估结果15个工作日内向国家网信办申请复评,复评结果为最终结论[6]。但《评估办法》没有明确给出复评期限。如果出现需要复评的情况,对数据处理者而言,则在时间上存在不确定性。
另一方面,正常情况下,国家网信办的评估周期应为自向数据处理者发出书面受理通知书之日起45个工作日,对于情况复杂或者需要补充、更正材料的情况,可以适当延长,但是没有保留《征求意见稿》原来的“一般不超过六十个工作日”的规定,而是规定为“告知数据处理者预计延长的时间”,从而对于特殊情况给出了灵活处理的空间。[7]
第三,对“重要数据”做出明确定义,即“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”。[8]
第四,确定了《评估办法》自2022年9月1日起施行。[9]
第五,明确给予数据处理者6个月的整改期限[10]。安全评估是一项事前评估制度,数据处理者应当在数据出境活动发生前申报并通过数据出境安全评估[11]。对于《评估办法》施行前已经开展的数据出境活动,不符合《评估办法》规定的,《评估办法》第二十条明确规定,应当自其施行之日起6个月内完成整改。如果未能在上述期限内完成整改的,将可能面临行政处罚等监管风险。基于《评估办法》规定的评估周期,我们建议适用安全评估路径的企业尽可能在2022年年底前完成风险自评估,以便为后续的安全评估申报、评估等程序(包括可能发生的补齐材料、复评及其他意外情况)预留出足够的时间。
Q6-1:是否只有需要申报数据出境安全评估的企业才需要做自评估?
这里需要厘清“风险自评估”和“自评估”的概念。
《评估办法》第三条规定:“数据出境安全评估坚持……风险自评估与安全评估相结合”;第五条同时规定:“数据处理者在向境外提供数据前,应事先开展数据出境风险自评估”。《评估办法》所规定的“风险自评估”是安全评估路径下报主管部门评估的必要前置程序,无论最终是否需要向主管部门申报安全评估,都必须进行风险自评估。
“自评估”的概念和范围则更为宽泛,可以涵盖所有由数据处理者自行实施的评估工作,是相对于主管部门评估而言的。因此,安全评估机制下的风险自评估、保护认证和标准合同机制下的个人信息保护影响评估(“PIA”,详见下文Q11、Q15)都属于自评估范畴。无论企业选择哪一种数据出境路径,都必须开展事前的自评估。鉴于商业实践中数据处理活动的复杂性,例如,基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据[12],或者对出境数据量级的评定产生差异,在某些场景下,自评估的类型还可能会随着评估工作的推进进行调整。
《评估办法》第五条给出了风险自评估的重点事项范围,我们总结主要包括以下几方面:
数据处理活动(包括数据出境本身及境外接收方的处理活动)的合法性、正当性、必要性;
出境数据本身的情况以及出境的潜在风险;
境外接收方的数据安全保障能力;
数据出境中和出境后的情况及风险;
与境外接收方订立的数据出境相关合同或其他具有法律效力的文件的完善性和约束力;
其他可能影响数据出境安全的事项,如境内数据处理者的数据安全保障能力。
在评估以上事项时,为确保自评估效果达到《评估办法》的要求,我们在此做出以下三点提示和建议:
(1)关于数据出境的合法性问题,在涉及个人信息出境的情况下,企业应当满足“告知+合法基础”的要求,即按照《个人信息保护法》的要求向个人履行告知义务,并就出境这一处理活动具备个人单独同意或其他合法基础。因在多个业务场景中被反复问到,我们有必要再次强调,个人的同意(“单独同意”可以理解为“同意”的加强版)并不是处理个人信息的唯一合法基础[13]。如果虽未经个人单独同意,但是处理个人信息具备法律规定的其他合法基础的,如为履行合同所必需、应对突发公共卫生事件等,企业同样可以满足数据出境的合法性要求。
(2)数据出境监管是一项整体性、动态性和持续性的工作,从数据出境安全评估适用的情形来看,处理个人信息达到100万人的个人信息处理者向境外提供个人信息,或自上年1月1起累计向境外提供达到10万人个人信息或者1万人敏感个人信息的,都需要申报数据出境安全评估[14]。因此,在对特定数据出境项目进行评估时,既要聚焦特定的数据出境活动,还需要考虑数据处理者的整体业务、数据资产、数据流转和处理情况、其自身以及境外接收方的数据安全保障能力等因素,从而做到全面、客观、及时、准确地对数据出境活动进行评估。
(3)关于数据出境风险的判定,应当包括对每一项评估内容的单项评估和对出境活动的整体评估,即在就上述每一项评估内容进行分析的基础上,考虑各项评估内容之间的关联性和相互影响,从而对数据出境活动的风险和安全性做出整体评估。评估时可从两个维度进行考量:风险发生的可能性,以及风险一旦发生可能对国家安全、公共利益、个人或者组织合法权益造成危害的严重程度,最终判定数据出境风险大小。
企业开展数据出境风险自评估工作时,应首先成立数据出境风险自评估工作组,并由具有数据出境需求的业务部门制定数据出境计划。工作组围绕上述评估事项对数据出境计划进行审查,通过资料核查、人员访谈等方式展开调查,并在必要的情况下采取技术手段对数据处理者的数据安全保障能力进行测试。工作组应根据调查结果展开差距分析,确认企业的数据出境行为是否符合《评估办法》规定的申报条件,是否存在风险点和风险隐患,对于识别到的风险,工作组还应提出整改方案,并最终形成数据出境风险自评估报告。如果根据评估结论,数据出境确实存在风险的,数据处理者应根据自评估报告修改出境计划并采取整改措施,消除或降低数据出境安全风险后,重新进行评估。流程图如下:
基于报告的完整性要求,同时考虑到风险自评估报告将作为申请数据出境安全评估的申报材料之一,风险自评估报告应当至少包括风险自评估项目的背景概述、调查结果、风险论述和评估结论四部分。此外,风险自评估报告应当体现评估方法、流程和相关数据记录等情况。
首先,风险自评估报告应当对数据出境的背景、方案、评估工作的大致情况进行说明,如数据处理者的基本情况(股权结构、是否有境外投资方、内部组织架构、整体业务、涉数据业务和数据处理整体情况等)、与数据出境有关的业务基本情况(与数据出境有关的业务内容、运营模式、网络系统情况、数据资产和数据处理情况等)、自评估工作组织实施情况、数据出境计划审查情况等。
其次,风险自评估报告中应根据调查结果对评估内容展开分析和论述,重点说明发现的风险点和风险隐患,并根据对数据出境安全风险的具体评估结果得出相应的结论,如能否出境、数据出境风险大小、是否存在重大风险、是否需要改进、是否需要报国家网信部门进行数据出境安全评估等。
最后,根据项目具体情况和自评估过程中发现的问题,风险自评估报告还可以包括可采取的改进方案,包括但不限于:精简出境数据内容、使用技术措施降低数据敏感程度、提升数据提供方安全保障能力、限定数据接收方的处理活动、完善数据出境相关合同等。
我们需要特别提示企业注意,根据《评估办法》第十四条,数据出境评估结果有效期为2年。鉴于此,数据出境风险自评估完成后,企业的数据出境风险自评估报告宜至少留存2年,以满足留存评估记录或进一步申请进行安全评估的要求。
在抽样调查、数据查验过程中,针对数据流向、数量、种类、频率、敏感程度、安全保障能力等内容,可根据需要结合风险自评估场景采用特定检测工具,例如流量分析设备、应用识别工具、数据识别工具、漏洞扫描工具等。
根据《评估办法》第六条,企业申请数据出境安全评估,应提交申报书、数据出境风险自评估报告、数据处理者与境外接收方拟订立的合同或者其他具有法律效力的文件,以及国家网信部门开展安全评估工作需要的其他材料。
根据《评估办法》第四条,只有国家网信办有权对企业开展数据出境安全评估。企业在满足《评估办法》规定的申报数据出境安全评估的条件下,应当通过所在地省级网信部门向国家网信办申报数据出境安全评估,国家网信办自收到申报材料之日起7个工作日内,确定是否受理评估并以书面通知形式反馈受理结果[15]。
采用安全评估路径的,需要和境外数据接收方签订标准合同吗?合同应包括哪些内容?
(1)《评估办法》第六条提到,数据出境申报材料中应当包含“数据处理者与境外接收方拟订立的法律文件”。根据《评估办法》第五条,“法律文件”是指合同或其他具有法律效力的文件。因此,企业与境外接收方开展数据出境业务时,应当订立合同;如果不订立合同的,则应当签署其他形式的对双方具有法律效力的文件。
如上文介绍的,安全评估和标准合同是两条并行的数据出境路径,并不交叉适用,且标准合同仅适用于个人信息出境情形,而安全评估路径下还可能涉及重要数据的出境。因此,如果采取安全评估方式的,无需使用标准合同模板。当然,考虑到标准合同模板的借鉴价值,企业可以参考标准合同模板制定与个人信息出境有关的合同条款。
(2)关于合同或类似法律文件的内容,根据《评估办法》第九条,至少应包括以下方面:
数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;
对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;
境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施;
违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;
出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。
除以上内容外,为确保满足数据出境监管要求、提升数据出境安全保护水平,我们建议还应当约定以下条款:数据接收方应当采取的安全保障措施;数据接收方配合数据提供方或监管部门对数据出境活动进行调查;在未获得数据提供方授权的前提下,数据接收方不得对数据进行公开披露及再转移;数据接收方应配合数据提供方响应个人信息主体的请求,如:访问、更正、删除等。企业还可以参考标准合同模板约定其他内容。
此外,如上文所述,安全评估是一项事前评估机制,因此,对于数据处理者和境外接收方拟签订的合同或其他法律文件,建议明确约定生效条件,即此类文件须在通过数据出境安全评估后生效,以避免违约风险。
不是的。根据《认证规范》,个人信息跨境处理活动认证属于国家推荐的自愿性认证,符合条件的个人信息处理者和境外接收方可依据自愿原则办理[16]。
如果是跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动,可以由境内一方申请认证,并承担法律责任;如果是受《个人信息保护法》规制的境外个人信息处理者,可以由其在境内设置的专门机构或指定代表申请认证,并承担法律责任[17]。
上述“受《个人信息保护法》规制的境外个人信息处理者”即《个人信息保护法》第三条第二款所规定的在中国境外处理中国境内自然人个人信息的个人信息处理者[18]。
按照《认证规范》,除需要满足主体和数据类型条件外(详见Q3),申请保护认证还应具备以下条件[19]:
(1)遵守《个人信息保护法》关于个人信息处理和保护的基本原则
适用保护认证的个人信息处理者本身应受《个人信息保护法》规制,因此,应当遵守《个人信息保护法》所要求的合法、正当、必要和诚信原则、公开、透明原则、信息质量原则、同等保护原则和责任明确原则。其中,关于责任主体,可以由申请保护认证的认证主体担任。
(2)签订具有法律约束力的“协议”
开展个人信息跨境处理活动的个人信息处理者和境外接收方之间应当签订具有法律约束力和执行力的文件。和安全评估所要求的合同一样,保护认证机制下,数据提供方和接收方并不必须签订合同或协议,而可以订立其他形式的法律文件,只要这类文件对双方具有法律约束力和执行力即可。
但是,在境外个人信息处理者申请认证的情形下,不存在境内数据处理者,又如何签署“协议”呢?对此,《认证规范》未作说明。我们认为,从“协议”的内容和效果来看,或许由境外个人信息处理者或其在中国境内设置的专门机构或代表出具单方承诺函可以作为替代方案。
此外,在内容上,《认证规范》第4.1条列举了此类法律文件应当包括的基本内容,其中,关于境外接收方承诺接受认证机构监督一项值得关注。目前认证机构的资格、名单等尚未确定,未来认证机构如何实施监督亦不明确,建议可以采取保护认证机制的企业对此保持关注。
(3)指定个人信息保护负责人并设立个人信息保护机构
需要提示的是,数据提供方和接收方都需要满足该项条件,且个人信息保护负责人应具备个人信息保护专业知识和相关管理工作经历,并由其决策层成员担任。
(4)双方应遵守统一的个人信息跨境处理规则
此类规则类似于GDPR下的约束性企业规则(Binding Corporate Rules),统一适用于集团内所有成员。考虑到保护认证的主要适用情形之一是企业集团内的数据跨境流动,对于多数可采取保护认证方式的企业特别是跨国公司而言,需要及时更新本集团的个人信息处理规则,以满足中国法律和监管要求。
(5)境内一方应当开展事前的个人信息保护影响评估
《认证规范》和《标准合同规定》[20]都要求个人信息处理者在数据出境前开展事前的个人信息保护影响评估,这是对《个人信息保护法》第五十五条[21]的呼应。从PIA的内容来看,《认证规范》仅给出了至少应当评估的必要项。在实践中,建议可参考《评估办法》和《标准合同规定》关于自评估的内容落实[22]。在PIA的实施方法上,可以参考信安标委于2020年发布的《信息安全技术 个人信息安全影响评估指南》(GBT39335-2020),但鉴于该指南发布于《个人信息保护法》实施之前,建议企业可关注该指南的更新情况。
根据天达共和数据合规团队了解到的情况,目前对于个人信息跨境处理活动认证机构的资质和认定、对认证活动的监管等细节问题,主管部门仍在研究中,尚未形成定论。因此,目前还无法开始申请保护认证。
鉴于认证机制尚未正式启动,而《评估办法》已经生效并给出了6个月的整改期,建议相关企业先着手开展自评估工作,确认自身是否满足安全评估、保护认证或标准合同的适用条件,并根据评估结果采取适当措施。例如,如果经自评估确认无需申报安全评估,但又无法申请保护认证的,可以考虑两手准备:一方面,参考《标准合同规定》提供的标准合同签订个人信息出境协议;同时,参照《认证规范》为申请认证进行准备,如更新统一的个人信息跨境处理规则、完善内部个人信息保护管理架构等。
这里所说的“标准合同”如果是指数据出境的路径,即通过和境外接收方签订标准合同的方式满足数据出境条件,则并不是所有的数据处理者都可以采用这种方式,具体请见上文Q3。
如果是指网信部门制定的标准合同模板,那么根据《标准合同规定》,只有符合标准合同路径适用条件的数据处理者应当使用该模板[23],对于其他企业而言,并不强制要求,企业可以根据自身情况选择使用标准合同模板或参考其内容制定自己的数据出境合同。
根据《标准合同规定》第二条第二款,“个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同,不得与标准合同相冲突”。标准合同模板第九条第(一)款也明确规定:“如果本合同在达成或签订时与合同双方已存在的任何其他协议发生冲突,本合同的条款优先适用。”因此,如果企业已经和境外接收方签订过其他有关个人信息出境的合同或协议,或其他合同或协议中有与此相关的内容,则此类合同、协议或条款与标准合同不一致的,应以标准合同为准。
合同条款是合同当事人就特定事项达成的合意。上述规定可能会导致企业与境外接收方某些商业安排的实质调整。因此,建议相关企业着手梳理已签署的涉及个人信息出境的合同内容,如果确有与标准合同模板冲突的,宜尽早与合同相对方展开协商,以避免或降低对业务的不利影响。
是的。根据《标准合同规定》第五条,个人信息处理者向境外提供个人信息前,应当事前开展个人信息保护影响评估。关于该项自评估的相关问题,请见上文Q6-1和Q11部分。
是的。根据《标准合同规定》第七条、第十二条,“个人信息处理者应当在标准合同生效之日起10个工作日内,向所在地省级网信部门备案”;“未履行备案程序或者提交虚假材料进行备案的”,“由省级以上网信部门依照《个人信息保护法》的规定,责令限期改正;拒不改正或者损害个人信息权益的,责令停止个人信息出境活动,依法予以处罚;构成犯罪的,依法追究刑事责任。”
不是的。按照《标准合同规定》第七条,“个人信息处理者应当在标准合同生效之日起10个工作日内,向所在地省级网信部门备案。”因此,尽管标准合同需要进行备案,但并不等于事前审批,不影响合同生效。合同生效后,企业即可按照合同约定开展个人信息出境活动。
数据出境是一个动态的过程。签订标准合同后,如果在标准合同有效期内,出境的个人信息在处理目的、范围、敏感程度、数量、方式、保存等方面发生变更,或境外接收方所在国家或者地区的个人信息保护政策法规发生变化或出现可能影响个人信息权益的其他情形的,个人信息处理者应当重新签订标准合同并备案。
如果在出境的数据类型上增加了重要数据,或出境的个人信息量级达到了安全评估的标准,则企业有必要变更数据出境路径,进行风险自评估并向国家网信部门申报安全评估。
