×

打开微信,扫一扫二维码
订阅我们的微信公众号

×

扫码分享

EN
首页>汉盛研究>汉盛法评 | 数据出境安全评估的治理逻辑与核心要点

汉盛法评 | 数据出境安全评估的治理逻辑与核心要点

2023-04-06   金震华

2022年7月,国家互联网信息办公室公布《数据出境安全评估办法》(下称“《评估办法》”),并于2022年9月1日起正式实施。随后,各地网信办陆续开放数据出境安全评估申报通道,相继发布相应的工作指引。至今《评估办法》已施行超过半年,仍然有不少企业对判断其业务是否涉及数据出境、如何进行数据出境自评估及安全评估等实务问题存在疑惑。本文就数据出境安全评估制度的治理逻辑、核心要点等维度,从合规实务角度进行分析,以供读者参考。数据出境前期准备工作的相关流程已在前一期中详述,见《汉盛法评 | 数据出境的合规方法与路径》。

 一、数据出境安全评估制度的治理逻辑

(一)针对“高风险”场景

我国在数据出境监管上采用了分级治理逻辑,针对不同风险级别的数据出境行为,采取差异化的规制措施。鉴于此,数据出境安全评估主要针对高风险场景,其中高风险体现于三个特殊:处理者特殊(CIIO、达量数据处理者或国家机关);数据类型特殊(重要数据);数据规模特殊(个人信息与敏感个人信息分别达量)。当符合以上任意一个特定情形,则应当适用数据出境安全评估。

(二)更强的行政监管属性

数据出境安全评估以数据出境可能对国家安全和社会公共利益造成损害为前提,故其评估内容和评估事项应当显著严于一般数据或少量个人信息出境的监管要求,[1] 规制措施亦体现出更强的行政监管属性,这种差别亦是上述分层治理逻辑的重要体现。从监督主体来看,与保护认证相比,数据出境安全评估与标准合同备案均依赖网信部门不同程度的监督。从具体流程来看,与标准合同的备案机制相较,数据出境安全评估采用的是实质性审查,即需通过网信部门的法定许可方能出境。

二、数据出境安全评估工作的核心要点

要点一:关于“高风险”场景的判定

在判断是否适用数据出境安全评估时,通常按照以下三步走:

一是判断身份的特殊性,即数据出境企业是否为CIIO[2]或达量个人信息处理者[3]或者国家机关[4],若符合上述的主体要求,则只能通过数据出境安全评估。结合《关键信息基础设施安全保护条例》确定的CIIO识别制度,认定结果将由行业和领域的主管部门、监督管理部门向CIIO发出通知。但谨慎起见,建议企业结合自身经营情况和相关数据处理情况,初步判断自身CIIO身份。

二是判断数据类型的特殊性,即出境的数据是否为重要数据,若为重要数据的,仅能适用数据出境安全评估。识别“重要数据”应先遵循本地区、本部门以及相关行业、领域重要数据具体目录,在缺乏具体目录的情况下可参考通用识别规则和行业主管机构的回复。

三是判断数据规模的特殊性,即个人信息和敏感个人信息是否达到法定数量。若自上年1月1日起累计向境外提供10万人个人信息或1万人个人信息,则只能适用数据出境安全评估。需要指出的是,所述的“100万”“10万”和“1万”,是指实际累计向境外传输个人信息对应的是主体的人数,而非指信息条数。此外,在估算数据规模时,需注意对象与时间两个维度。就主体而言,不仅需要考虑C端用户,还需要考虑供应商等B端的商务联系人。就时间而言,不仅写明自上年1月1日起累计向境外提供的数据量,还需梳理未来两年预计新增出境的数据。

要点二:关于数据出境安全评估的流程

根据《评估办法》,评估流程大体可分为评估准备、评估申报、安全评估三个环节。具体而言,评估准备包含申报情形判断、自评估、准备评估材料;评估申报包含提交申报材料、查验申报材料以及反馈受理情况;安全评估包括补充、更正材料,接收评估结果。为便于理解,现总结如下:

1.png

要点三:关于数据出境安全评估申报材料的要求

《数据出境安全评估申报指南(第一版)》(下称“《指南》”)作为《评估办法》的实施细则,是企业开展数据安全评估工作的重要遵循,其附件针对申报材料范围与要求、申报书(模板)、自评估报告(模板)等作出了系统安排。从指南的内容来看,数据出境安全评估申报材料的要求丰富且细致,全面梳理需要耗费大量时间成本,企业应当依据申报要求列明实践清单与时间节点,紧扣申报表与自评估报告这一目标,有条不紊地开展数据出境安全自评估工作。

申报书与自评估报告填写过程中仍可能出现《指南》无法涵盖的疑难问题。企业可委托律所等专业机构或自行与监管机构沟通了解监管口径,并就相关合规风险进行全面、专业地研判,以提升数据出境安全自评估工作的效率与质量。由于数据出境安全评估的咨询采取属地原则,现总结各地网信部门联系方式,如下:

2.png

目前已有多地网信部门就数据出境安全评估申报工作作出实务问答。相较于《指南》,网信部门实务问答作出了进一步细化要求,可总结为“一可以、两不要、三应当”。

“一可以”是指企业可委托第三方机构参与评估流程,但需说明基本情况以及参与评估情况,并在相关页面加盖第三方机构公章。

“两不要”包括(1)不得自行增删修改模板(包括自评估模板框架);(2)不要采用形式奇特、过于精美繁复的装帧;

“三应当”包括(1)签字应确保手写笔迹;(2)内容应保证真实完整、应填尽填,(3)经办人必须为数据处理者正式员工。

详情请点击下方:

1. 上海市数据出境安全评估申报工作实务问答(一)

2. 上海市数据出境安全评估申报工作实务问答(二)

3. 浙江省数据出境安全评估申报工作问答(一)

4. 浙江省数据出境安全评估申报工作问答(二)

要点四:关于数据出境的合法性、正当性、必要性

合法、正当、必要是《个人信息保护法》的基本原则,亦是监管机构对自评估报告进行实质性审查必须考量的内容。数据出境的合法性、正当性、必要性判断不仅基于业务需求的理解,更仰赖数据风险程度、安全措施有效性的综合研判。要言之,“合法性”、“正当性”、“必要性”的解析既涉及业务需求又关乎技术措施,但最终需在法律框架内进行规范性理解。

1.合法性论证

“合法性”的理解有狭义与广义之分。狭义的“合法性”仅指符合《个人信息保护法》第十三条中的合法性基础。而广义的“合法性”指的是除合法性基础之外,个人信息处理者是否遵守《网络安全法》《个人信息保护法》《数据安全法》等法律法规中对数据出境相关的合规义务。根据《指南》,“合法性”的论证需要从数据出境以及境外接收方两个主体出发结合具体场景展开。出于谨慎考虑,建议企业采用广义的“合法性”进而开展评估工作。

2.正当性论证

正当性可从目的正当性与手段正当性两个维度进行解读。根据《个人信息保护法》第六条,目的正当性存在两项子要求,即明确、合理。目的明确是个人信息处理的基本前提,若目的过于宽泛、抽象,则无法限制个人信息处理的范围。目的的合理要求个人信息处理应符合公共利益和私人利益。《个人信息保护法》第十三条第二款规定了“订立、履行合同”等法定许可的的目的,在此之外的目的合理性需结合具体场景进行实质性判断。手段正当性是指个人信息处理的方式以及保障措施是否符合社会公众的一般期待,具体可以参考国家标准或行业最佳实践。从合规实践角度,建议企业在论证正当性时综合考量法律要求、行业特性以及最佳实践。

3.必要性论证

必要性是一个场景化概念,不可仅理解为业务需求的紧迫性,抑或侵扰的最小化。具言之,过度夸大单个市场主体的业务需求,将会损害个人数据权益与社会效益。相反,过分夸大侵扰的最小,又会阻滞数据自由流动和合理利用。鉴于此,必要性以个人信息处理与目的存在关联为前提,应包含紧迫性、有效性、最小侵扰、相称性四项子要素。[5]具言之,紧迫性是指不进行数据出境将会造成负面影响。例如,不向境外传输基因数据将会影响中国公民在重大疾病实验中的代表性,对中国公民福祉造成负面影响。有效性是指数据出境能够有效地促进正当目的的实现,且(或)带来个体或社会效益。最小侵扰是指在同等有效的信息处理行为中选择对劳动者权益侵扰与风险最小的行为。相称性是指检验各利益攸关方的利益是否达到平衡。

问题五:数据出境的前置性合规准备工作

1. 履行单独同意义务

根据《个人信息保护法》第17条、第39条,个人信息处理者向境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使法定权利的方式和程序等事项,并取得个人的单独同意。需要注意的是,《个人信息保护》第十三条与第十八条分别规定了同意与告知义务的豁免情形,需单独判定。从合规实务角度,我们建议企业自行或委托专业机构判断是否需要履行告知、单独同意义务,并合理设计、利用APP、官网、小程序等客户端的互动页面,以符合单独同意的方式触达用户。

2.个人信息保护影响评估(PIA)

根据《个人信息保护法》和《评估办法》,个人信息保护影响评估与数据出境安全自评估均是触发安全评估后的法定义务。虽然个人信息保护影响评估与数据出境安全评估在理念上相似,但在启动条件均存在明显差异。数据出境安全评估仅针对数据出境场景,关涉国家安全和公共利益,而个人信息保护影响评估侧重个人信息权益保护,除了适用于个人信息出境的情形,还涵盖处理敏感个人信息等个人信息处理活动。不过,就数据出境而言两者的评估内容与评估流程具有一致性,企业可在开展前期准备工作时一并准备,同时履行两项法定义务。

问题六:逾期未申报可能存在的法律风险

依据《评估办法》未履行出境安全评估义务的,行政机关有权依据《个人信息保护法》《网络安全法》《数据安全法》中的相关规定对企业进行处罚。目前尚未申报或者未通过审批的企业应当及时启用备选方案。备选方案包括但不限于调整业务模式、及时停止数据出境活动、采用本地化部署方案,以规避相应的行政、刑事合规风险。此外,从合规实务角度来看,数据处理者宜在与境外接收方签订法律文件前申报数据出境安全评估。若在签订法律文件后申报评估,建议在法律文件中注明此文件须在通过数据出境安全评估后生效,以避免可能因未通过评估而造成损失。

3.png

三、数据出境安全评估的全景图

企业进行数据出境安全评估工作,可以大致分为四个阶段。具体而言,第一阶段为前期准备工作、第二阶段为制定整改计划、第三阶段为前置合规工作的开展、第四阶段为落实评估工作。具体各个阶段的工作划分,可见下图:

4.jpg

注:

[1]赵精武:《论数据出境评估、合同与认证规则的体系化》,《行政法学研究》2023年第1期。

[2]如果企业是CIIO,不论其跨境传输的数据量多少,均需要按照《安全评估办法》进行数据出境安全评估。如前所述,本文暂不对CIIO的认定及合规要求多加评述。

[3] 如果企业非CIIO且出境数据不包含重要数据,则需要判断企业处理及出境的个人信息所涉及的个人信息主体数量是否达到《安全评估办法》规定的标准。

[4] 根据《个人信息保护法》第36条,国家机关处理个人信息应当境内存储;确需向境外提供的,应当进行安全评估。

[5]张继红、郑书康:《论劳动者个人信息处理的合法性基础》,《上海大学学报》2022年第1期。


相关研究