2022年9月1日,国家互联网信息办公室出台的《数据出境安全评估办法》(以下简称 办法)正式施行,办法最后规定,对办法施行前已经开展的数据出境活动,不符合办法规定的,应当自办法施行之日起6个月内完成整改。
据此,对数据跨境的整改应当在2023年3月1日前完成。在此情况下,关于数据出境的自评估、安全评估等问题成为企业关注重点,为此,将相关问题整理形成本文,以供交流。
1. 数据出境涉及规定有哪些?
数据出境最为热议的是安全评估,其直接规定为《数据出境安全评估办法》以及相匹配的《数据出境安全评估申报指南(第一版)》(以下简称 申报指南》。
但安全评估只是数据出境的路径之一,数据出境还涉及关键信息基础设施运营者、重要数据、个人信息等问题。因此,还应联动其他相关规定全面了解:
2. 数据出境场景包括哪些?
结合申报指南关于数据出境的界定,我们将数据出境分为主动出境和被动出境。
(1)主动出境,即指境内主体将境内收集、产生的数据传输给境外、或储存在境外,例如:
场景1:境内主体将境内收集储存的客户数据通过邮件、系统等形式提交给境外母公司或子公司,以实现客户信息共享;或境内主体因收到境外司法机构的协助要求,将境内数据通过邮寄、加密介质等形式向其提供;
场景2:境内主体的服务器架设在境外,或其系通过服务商系统储存数据,而该服务商系统服务器亦在境外,则该境内主体在境内收集产生的数据势必储存在境外,亦属于数据出境。
(2)被动出境,是指境内主体在境内收集、产生的数据,该数据虽储存在境内,但境外主体可以查询、调取、下载、导出。例如:境内母公司与境外子公司均使用统一办公系统,系统服务器在境内、数据储存在境内,但境外子公司因获得系统权限故能够查询、调取、下载、导出数据(四种行为之一即可),则属于数据出境。
3. 数据出境合规路径有哪些?
目前已经形成的数据出境合规路径包括三种:
(1)安全评估(达到条件时的法定义务);
(2)保护认证(仅针对个人信息,非强制自愿原则);
(3)标准合同(法定要求)。
3.1 企业如何确定判断是否须进行安全评估?
根据数据出境路径图可以看到,企业评估自身数据出境合规路径,应当首先判断自身是否符合图中出境安全评估应当适用的三种情形:
从是否构成特定主体判断,自身是否为关键信息基础设施运营者,或处理100万人以上个人信息的数据处理者;
从是否涉及重要数据判断,出境数据中是否涉及重要数据。
关于重要数据的识别,《数据安全法》第二十一条规定:“各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。”
如《汽车数据安全管理若干规定(试行)》在第三条就对汽车重要数据进行了规定,因此企业应核实自身行业是否出台相关数据规定,以数据规定判断是否涉及重要数据。
但若自身行业尚未出台的,亦不代表可以免除重要数据识别工作,还是应当按照“一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据”这一原则性标准进行识别。
从个人信息累计出境量判断,自上年度1月1日起累计出境10万人个人信息或1万人个人敏感信息的,则后续须继续提供信息出境的,须进行安全评估。
若属于上述情形之一的,则必须进行安全评估,不存在其他合规路径选择。
3.2 排除安全评估义务后,则选择适用保护认证或标准合同。
首先说明,本条所指的保护认证和标准合同均仅适用于个人信息数据出境,对于非个人信息、非重要数据的一般数据出境,在出境路径图中虽亦指明需要签订数据出境合同,但并非本条所指的标准合同。
保护认证和签订标准合同成为个人信息数据出境合规方式之一,来源于《个人信息保护法》第三十八条规定:“个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。”
从当下操作性可行性上看,标准合同路径已经较为明确,但保护认证受限于认证机构尚未明确,因此还需进一步等待。故在当下建议先按照标准合同路径进行合规管理。
从两种路径区别来看,认证流程和内容相对复杂,标准合同签订后至省网信部备案即可,流程较为简单。
但认证目前尚未有效期规定,在企业现有出境规则体系已经认证情况下也不存在重新认证问题,而标准合同涉及发生变化时须重新备案问题。
因此,对员工信息出境这类数据出境可以考虑采用保护认证路径;其他则选择标准合同路径。
另外,根据《个人信息保护法》第五十五条规定,向境外提供个人信息,个人信息处理者应当事前进行个人信息保护影响评估,因此无论选择安全认证还是标准合同,保护影响评估必须事前进行。
4. 安全评估路径有哪些重要问题?
(1)安全评估的具体流程
详见数据出境安全评估流程图。须特别提示的是,数据出境风险自评估是安全评估的法定前置程序,以及若涉及个人信息的,还须进行个保影响评估,相关流程在前述合规路径图中已经展示,本流程图系从申报安全评估开始展示。
(2)合理安排工作,确保整改期内完成评估
如前所述,办法要求自施行之日起6个月内完成整改。
据此,对数据跨境的整改应当在2023年3月1日前完成,进一步理解,则意味着在此前应当获得安全评估通过的审查意见,否则应当终止数据出境。
安全评估流程图中已经展示,在顺利的情况下,安全评估周期至少也需要57个工作日(5+7+45)。有三种情况可能导致前述周期的延长,包括:
① 因材料不合格,进而材料补充、更正所需时间;
② 国家网信办认为情况复杂需要延长;
③ 若初步评估未通过,需在15个工作日内申请复评,复评期限未规定。
因此,积极安排相关工作,合理压缩前置程序(路径识别、自评估、个保影响评估)等工作,为安全评估预留充分时间,避免影响数据出境活动。
(3)安全评估并非一劳永逸,跟踪进行重新评估
根据安全评估流程图可以看到,触发重新评估的条件包括:
① 有效期2年届满,在届满60日前申请;
② 触发特定情形,简而言之就是出现或新增影响出境数据安全的规定情形或其他情形。
若有效期届满或触发特定情形而未重新申请评估的,将被认定为违法出境。
5. 标准合同路径有哪些重要问题?
(1)标准合同正文不可修改,补充部分不可违背。
标准合同来源于《个人信息出境标准合同规定(征求意见稿)》,合同明确“本合同正文系根据《个人信息出境标准合同规定》的要求拟定,双方如有其他约定可在附录二中详述,附录构成本合同的组成部分。”,据此可以看出,对合同正文部分不可修改。
另外,该合同以标准合同身份出现,按要求进行备案,实际具有行政管理的内涵,若允许通过补充协议对正文部分进行修改,则失去其标准合同意义。
(2)备案前是否能够进行数据出境。
鉴于备案并非审核审批,仅为程序性要求。故我们倾向于认为备案前可以进行数据出境,但须按照要求时限(征求意见稿规定为合同生效之日起10个工作日内)进行备案。最终以当地省级网信部门沟通意见为准。
6. 进行个人信息跨境保护认证有哪些要点?
7. 违法规定进行数据出境将面临什么后果?
关键信息基础设施的运营者违反规定进行数据出境活动,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
重要数据违规出境,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;
情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
个人信息违规出境,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
最后,如办法第三条所述“ 数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。”,关于数据出境合规的落脚点不是限制出境、而是保障数据有序自由流动。
这不仅是国家的宏观数据战略,更是与个体息息相关的权益保障落地、可操作、可执行措施。总而言之,若数据不被保护,则人无自由。
