×

打开微信,扫一扫二维码
订阅我们的微信公众号

×

扫码分享

EN
首页>汉盛研究>汉盛法评 | 数据出境之合规解读

汉盛法评 | 数据出境之合规解读

2023-05-31   洪瑜、胡胜训、骆楚湫

2022年下半年,我国《数据出境安全评估办法》(以下简称“评估办法”)、《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》(以下简称“认证规范”)陆续生效,2023年6月1日,《个人信息出境标准合同办法》(以下简称“合同办法”)即将施行,确立了个人信息跨境传输三大机制的正式落地,也意味着我国在保护个人信息、维护国家安全和社会公共利益方面的监管日趋严格。

因认证规范确定的信息出境需借助专业机构进行,且我国目前已获得认证资格的专业机构非常有限[1],本文仅从评估办法、合同办法中有关数据出境的途径选择、内容甄别、材料提供以及具体流程方面进行合规解读,以供参考。

一、需选择适合的数据出境方式

对于数据出境的方式,我国在评估办法、合同办法中均存有规定,不仅对不同情形下发生的数据出境的适用主体作了规定,而且确定了不同主体在进行数据出境时所对应的处理方式,二者对比如下:

图片

数据处理者是指在数据处理活动中自主决定处理目的和处理方式的个人和组织[1]。个人信息处理者则包含了在个人信息处理活动中自主决定处理目的、处理方式的组织和个人[2]。单从定义上看,个人信息处理者仅限于个人信息的处理活动,较之数据处理者的数据处理活动,更具针对性。

评估办法与合同办法,对各自适用的情形作了详述,为数据的出境活动提供了两种途径:1)评估办法指出四种需要进行申报的情形,要求数据处理者在符合四种情形之一时,就应当通过所在地省级网信部门向国家网信部门进行申报;2)合同办法则规定个人信息处理者在同时满足所列四种条件的情形下,可以通过订立标准合同的方式向境外提供个人信息。

合同办法填补了评估办法中规定的对于个人信息出境申报标准以下范围内,数据出境监管的空白,同时,明确了个人信息处理者不得采用数量拆分等手段向境外提供个人信息。

二、“重要数据”、“个人信息”、“个人敏感信息”的内涵

确定具体的数据出境方式,除了对其数量级别进行确认,还需要对其出境数据所承载的具体内容进行进一步甄别。评估办法与合同办法中规定的重要数据、个人数据、个人敏感数据具体内涵见如下分析:

(一)重要数据

评估办法第十九条指出“本办法所称重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。”

《中华人民共和国数据安全法》第二十一条指出“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。”

虽然前述二者都提到了重要数据,但却不具有广泛操作性,无法通过这两条准确地辨识出重要数据。为了进一步规范对重要数据的管理,《数据安全法》确定了数据分类分级制度,明确各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录。但截至今年3月,仅有汽车行业、电信和互联网行业[3]制定了重要数据具体目录,大多行业的重要数据目录仍处于“真空”状态。只能参考《关于国家标准<信息安全技术数据出境安全评估指南>征求意见稿征求意见的通知》的“附录A (规范性附录)重要数据识别指南”《重要数据识别指南》(征求意见稿)《工业和信息化领域数据安全管理办法(试行)》等帮助辨识。实践中,因重要数据的定义和范围不够明晰,导致了近40%的企业在数据出境合规评估中“感到困难”[4]。后续还待持续关注有关部门对重要数据目录、识别指南等的进一步完善。

(二)个人信息以及个人敏感信息

个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。《中华人民共和国个人信息保护法》第二条规定了“ 自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。”该条明确个人信息特指自然人的信息,而非法人或其他组织。

个人敏感信息是个人信息的一种,是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含)儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息。

《个人信息安全规范》(GB/T 35273—2020)对个人信息与个人敏感信息的具体范围作了举例,帮助辨识,具体见下表[5]

图片

三、数据出境的起始时间

评估办法对数据申报的时间是应当自数据出境业务开始时就需申报还是需要达到一定标准量才需申报或其他时间节点,并不明确。

笔者通过咨询某地网信办得到的答复是首先仍由企业进行自评估,通过了解自身状况,确认是否达到或可能达到申报标准,若是达到,则需要申报,若是达不到,则不强制申报,但若是未进行申报,实际却达到申报标准的,产生的法律后果需自行承担。

虽然评估办法对数据申报的起始时间未作明确规定,但其中指出“数据出境安全评估坚持事前评估和持续监督相结合”、“国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当书面通知数据处理者终止数据出境活动。”显然,对于数据出境,国家网信部门会进行持续监督,一旦发现不再符合管理要求的,会要求数据处理者终止数据出境活动。因此,为避免企业在正常运作过程中出现被终止数据活动的情形,应时刻关注出境数据量,提前做好申报准备,为申报过程预留充足的时间。

随着合同办法的生效,对符合要求的个人信息处理者在处理个人信息出境时,可以通过订立标准合同的方式实现个人信息的出境,在标准合同生效后,个人信息处理者即可以实现个人信息的合规出境。为便于监管,合同办法也明确了,标准合同生效之日起10个工作日内应向所在地省级网信部门备案。虽然备案并非标准合同的生效条件,但标准合同对备案的要求也很明确,如“违反办法规定的,会依据《中华人民共和国个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任”。

四、数据出境所需提交的材料

通过以上各环节的分析,数据出境者在选择了符合自身具体情形的数据出境途径后,需提交申报或备案的材料。

(一)对于需要进行数据申报的数据处理者应当提交的材料有:

1.统一社会信用代码证件影印件;

2.法定代表人身份证件影印件;

3.经办人身份证件影印件;

4.经办人授权委托书;

5.数据出境安全评估申报书;

6.与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件影印件;

7.数据出境风险自评估报告;

8.其他相关证明材料;

数据处理者对所提交材料的真实性负责,提交虚假材料的,按照评估不通过处理,并依法追究相应法律责任。

(二)对于通过订立标准合同的方式进行个人信息出境的个人信息处理者需提交备案的材料有:

1.标准合同;

2.个人信息保护影响评估报告;

个人信息处理者应当对所备案材料的真实性负责。

五、数据出境的具体流程

我国对评估办法适用范围内的数据出境申报,采用审批制,通过制订配套的《数据出境安全评估申报指南(第一版)》,具化了数据出境安全评估申报方式及流程,同时提供了配套材料的文本模板。流程详见下图:

图片

(数据出境申报流程图)

合同办法则采用备案制。对于按要求通过订立标准合同的方式开展的个人信息出境活动,应当坚持自主缔约与备案管理相结合。同时,合同办法提供了相应《个人信息出境标准合同》模板,规范了企业在订立标准合同时的具体条款。并且合同办法允许实际订立的合同可以保有一定的个性,如“国家网信部门可以根据实际情况对附件进行调整”,“个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突”。流程详见下图:

图片

(订立标准合同备案流程图)

随着全球化、网络化,数字化的不断发展,数据跨境流动日渐频繁,数据安全已经成为各国政府保障其国家安全、经济安全的重要环节,监管部门对数据出境的合规性愈发重视,企业应为数据的合规出境做好万全准备。

参考文献

[1] 国家互联网信息办公室关于《网络数据安全管理条例(征求意见稿)》公开征求意见的通知

[2] 《网络安全标准实践指南》

[3] 大冰.电信和互联网行业首批重要数据和核心数据认定完成:数据目录如何确定?.数据法学

[4] 孟洁等.21世纪经济报道 数据跨境新规生效后首份现状调查报告发布 准确辨别“重要数据”成企业合规难点,数据跨境新规生效后首份现状调查报告发布 准确辨别“重要数据”成企业合规难点 (baidu.com)

[5] 表格内容出自《个人信息安全规范》(GB/T 35273—2020)



相关研究