数据出境安全评估规则新风向|MHP君悦评论
2021-11-088882
打开微信,扫一扫二维码
订阅我们的微信公众号
打开手机,扫一扫二维码
即可通过手机访问网站并分享给朋友
数据出境一直以来都是信息安全和数据合规的重要议题。国家网信办已于2017年与2019年分别出台了两版数据出境规则,但由于数据安全法律体系建设等多方面原因,前两版《办法》均止于公开征求意见阶段。此次,国家网信办在结合现行数据安全法律体系和实践操作的基础上,于《个人信息保护法》生效之前的最后一个工作日(即2019年10月29日)发布了《数据出境安全评估办法(征求意见稿)》(“2021版《办法》”),对数据出境安全评估规则重新进行了明确和梳理。
一、数据出境的监管思路
随着《个人信息保护法》的正式生效实施,其与《网络安全法》和《数据安全法》正式组成了数据安全法律体系中的主干,分别对不同的数据类型、数据处理的阶段采取不同的监管措施,旨在对数据进行全生命周期的保护。其中,数据出境活动作为数据处理的重要一环,既可能涉及个人信息权益,又可能涉及国家数据主权问题,因而成为了国家网信办重点监管的领域之一。
1、上位法的规定
上位法并没有对数据出境管理进行系统性的梳理。现有的法律法规之间也是相互交错和影响的,具体归纳如下:
2、2021版《办法》出台的背景
为配合《网络安全法》的配套实施,国家网信办曾于2017年发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》(“2017版《办法》”),并于2019年发布了《个人信息出境安全评估办法(征求意见稿)》(“2019版《办法》”)。由于当时仅有《网络安全法》生效实施,诸多监管规则(尤其是个人信息保护方面的规则)都处于空白,因此两版《办法》无论是监管思路还是具体的监管规则,都存在极大的差异。最终两版《办法》均止步于征求意见稿阶段。
反观2021版《办法》,虽然其处于征求意见稿阶段,但数据安全法律制度已基本完成革新,三大基本法均已生效实施,为2021版《办法》的出台提供了法律基础。此外,在各国越来越重视数据主权的国际背景下,并考虑到中国数据安全立法体系已经完成了框架建设,笔者相信2021版《办法》的征求意见稿已经能够反映国家网信办对于数据出境的监管思路和趋势。
二、2021版《办法》的适用范围
在解读2021版《办法》的具体规则之前,首先需要明确两个问题:(1)哪些数据处理活动属于数据出境?以及(2)哪些数据出境活动将适用安全评估规则?
1、数据出境的含义
2021版《办法》采用了概括性的定义方式,规定了向境外提供在中国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息需要进行安全评估,但是并没有对“向境外提供”作出明确的认定和定义。
在现有的数据安全法律体系中,上位法并没有对“数据出境”和“向境外提供”进行明确的定义和认定,但是实务和学术界通常会参考《网络安全法》和《信息安全技术 数据出境安全评估指南(征求意见稿)》的相关释义。综合现有的资料,笔者整理了以下几种数据出境的典型情况:
数据处理者直接将其境内运营中收集和产生的个人信息和重要数据提供给境外的机构、组织或个人;
数据存储在中国境内,但境外的机构、组织或个人有权访问查看(即远程访问,但公开信息、网页访问除外);
跨国集团内部数据由中国境内传输至境外,数据类型涉及其在中国境内运营中收集和产生的个人信息和重要数据;
数据处理者向境内但不属于中国司法管辖或未在境内注册的主体提供数据。
2、纳入安全评估的数据和数据出境活动
2021版《办法》将重要数据和符合特定情形的个人信息纳入了安全评估范围:
● 重要数据:
《数据安全法》明确将根据数据在经济社会发展中的重要程度,以及对国家安全、公共利益或者个人、组织合法权益的影响,对数据实行分类分级保护。同时,各主管部门将制定各自领域的重要数据目录。虽然上位法尚未对重要数据进行定义,实务界普遍会参考《数据安全法》中的描述,以把握重要数据的内涵。
● 个人信息:
个人信息包括以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。
五种应当申请数据安全评估的数据出境活动:
(1)关键信息基础设施的运营者收集和产生的个人信息和重要数据;
(2)出境数据中包含重要数据;
(3)处理个人信息达到100万人的个人信息处理者向境外提供个人信息;
(4)累计向境外提供超过10万人以上个人信息或者1万人以上敏感个人信息;
(5)其他国家网信办规定的其他需要申报数据出境安全评估的情形。
与前两版《办法》相比,虽然国家网信办在2021版《办法》中已经适当提高提交安全评估的门槛,旨在保障数据自由流通。但是在企业面临的某些数据出境的场景中,例如:跨国企业内部人力资源管理系统、国际学校和教育集团的信息集中管理、进口设备和软件的运营维护、跨境支付等,企业比较容易落入应该履行安全评估义务的范畴中,增加企业的数据合规和处理成本。
三、阶梯式评估模式:“自评估”+“安全评估”
2021版《办法》规定两种评估程序,即数据出境自评估(“自评估”)和数据出境安全评估(“安全评估”)。
1、与数据出境相关的评估机制
评估是数据跨境传输中重要的数据保护和管理制度之一,上位法以及2021版《办法》都针对不同的数据/信息设立了评估机制。总结如下:
从上述总结中不难看出,上位法和2021版《办法》对于安全评估的适用范围是统一的。除此之外,上位法各自规定了“风险评估”、“检测评估”、“个人信息保护影响评估”(“影响评估”)和自评估。无论是从每个机制的命名,还是法条对其的概括性描述,四者似乎是不同的机制。举例而言,自评估和影响评估从描述看十分相似,但是两者的审核要点、适用范围以及评估报告的存储期限均存在差异,且2021版《办法》也没有明确两者的关系,因此可能存在以下两种解读方式:
如果自评估与影响评估实为同一种机制,仅名称不同,则自评估将扩大适用于所有数据(没有明确定义),影响评估仅适用于个人信息,两者的审核要点既有重合也有差异。个人信息处理者在评估时应当依照哪一种标准将成为实务操作一大难题。
如果认为自评估与影响评估是两种机制,则个人信息处理者对个人信息的评估将按照影响评估的标准,而数据处理者对于非个人信息的各类数据风险的评估将按照自评估的标准。如果一次性出境的数据同时包含个人信息和非个人信息,则实践中可能发生数据处理者在一次数据出境的活动中实施两次评估的可能。
当笔者将2021版《办法》放到数据安全法律体系来解读和分析时,2021版《办法》的措辞、细则、实践操作的可能性以及与上位法衔接等问题还需要慢慢推敲、澄清和完善。笔者也将在下文中列举和解析2021版《办法》中语义不明和规则待完善之处。
2、自评估
根据2021版《办法》的规定,自评估适用于数据处理者向境外提供数据的情形(如前所述,个人信息是否属于自评估的范畴还有待国家网信办进一步澄清)。
值得注意的是,2021版《办法》中仅在第5条单独针对“数据”制定了自评估机制。根据2021版《办法》的精神和语义理解,该条款当中对于自评估机制的适用范围也存在两种解读:(1)自评估机制下的评估应严格按照字面意思,适用于所有数据(无论是否为重要数据);(2)在上位法中,国家网信办明确对重要数据和个人信息进行严格监管,对于其他信息/数据的处理并没有特殊规定,顺着该等监管思路,则第5条所述的数据也应该缩限为重要数据,与2021版《办法》的其他规则的适用范围相统一。
在实务中,大多数法律从业人员均采取第一种解读方式,笔者亦是。此即意味着,数据处理者在任何数据出境之前均需要履行自评估义务,不论处理者的身份和处理数据的类型。有鉴于目前还处于征求意见阶段,希望在《办法》正式颁布时,国家网信办对自评估的适用情形进行进一步补充和明确。
3、自评估与安全评估的评估要点
2021版《办法》的第5条和第9条分别规定了自评估和安全评估的评估要点。两者的评估要点虽然有部分重合,但是各自有不同的侧重。自评估侧重于数据处理者对自身处理目的、境外接收方的能力、数据转移环节采取的技术和管理措施等微观问题进行审核和评估;而安全评估将在审查双方的数据安全保护责任的基础上,从宏观角度审查数据出境活动对于国家安全、公共利益、个人和组织的合法权益带来的风险,并结合信息接收国有关数据安全的立法政策和法规、保障数据安全所采取的措施等因素进行综合评估。自评估和安全审查评估的要求分别如下:
(1)数据处理者实施自评估时应注意的评估要点:
数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险;
境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
数据出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;
与境外接收方订立的数据出境合同是否充分约定了数据安全保护责任义务。
(2)国家网信办开展安全评估时的审查要点:
数据出境的目的、范围、方式等的合法性、正当性、必要性;
境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规规定和强制性国家标准的要求;
出境数据的数量、范围、种类、敏感程度,出境中和出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险;
数据安全和个人信息权益是否能够得到充分有效保障;
数据处理者与境外接收方订立的合同中是否充分约定了数据安全保护责任义务;
遵守中国法律、行政法规、部门规章情况;
其他国家网信办认为需要评估的其他事项。
4、数据出境相关的合同
虽然2021版《办法》没有直接规定数据处理者和接收方必须签署数据出境合同(“数据出境合同”),但是从申请安全评估的资料清单和自评估要点等多角度印证了数据出境合同是数据出境的很重要的条件之一。从2021年版《办法》所要求的申报材料中,除了数据出境合同,还可以为其他具有法律效力的文件,此类文件是否包括《个人信息保护法》第38条规定的专业机构认证文件还有待确认。
2021版《办法》进一步列举了数据出境合同的必备内容,其与2019版《办法》规定的合同必备内容比较如下:
2019版《办法》规定的合同必备内容更多地借鉴了GDPR标准合同,明确了第三方受益人条款以及数据处理者和境外接收方责任和义务。相较而言,2021版《办法》规定的合同必备内容更注重数据主体的维权渠道和有效的争议解决条款,但未提及第三方受益人条款。
值得注意的是,《个人信息保护法》第38条规定,个人信息处理者可以选择与境外接收方签署由国家网信办提供的标准合同(“标准合同”)。由于国家网信办尚未公布标准合同的内容,2021版《办法》中也未对两者之间的关系予以说明或补充,因此目前对两者之间的关联关系存在两种不同的观点:
(1)数据出境合同涵盖了标准合同和双方之间就数据出境事宜定制的个性化合同。在这种情况下,签署标准合同时,个人信息处理者还需要对标准合同的内容是否符合2021版《办法》的要求进行审核。
(2)数据出境合同与标准合同之间没有关联关系。在这种情况下,签署标准合同时,个人信息处理者无需按照2021版《办法》的要求进行修改或完善。数据出境合同的必备内容适用于数据处理者和境外接收方关于数据出境安排的个性化合同。此类理解似乎更符合国家网信办发布标准合同的意图和目的。
尽管标准合同和数据出境合同之间的关系并没有一个定论,但是笔者猜测标准合同中很可能包含了2021版《办法》项下的合同必备内容,因而从实践层面避免了对于数据出境合同和标准合同之关系进行认定。
5、自评估和安全评估流程图示
根据2021年《办法》规定,数据出境前的评估流程如下:
尽管2021版《办法》已规定了安全审查主要阶段的期限,但是未明确在省级网信部门向国家网信办报送申请资料的时间。该等不确定性将对数据处理者预估安全评估整体时长和制定商业计划产生不利影响。
6、评估的有效期和重新评估的情形
2021版《办法》规定了安全评估的有效期为2年,但是并没有规定自评估的有效期。
在安全评估有效期间内,如果被评估的事项发生改变的,则数据处理者需要重新申报安全评估,包括:
向境外提供数据的目的、方式、范围、类型发生变化;
境外接收方处理数据的用途、方式发生变化;
延长个人信息和重要数据境外保存期限;
境外接收方所在国家或者地区法律环境发生变化;
数据处理者或者境外接收方实际控制权发生变化;
数据处理者与境外接收方合同变更等可能影响出境数据安全;
出现影响出境数据安全的其他情形。
对于符合重新申报安全评估情形,但是未能申报的数据处理者而言,国家网信办有权随时撤销评估结果,数据处理者应当终止数据出境活动。若需要继续开展数据出境活动的,数据处理者应当按照要求进行整改,并在整改完成后重新申报评估。
四、对于企业合规的建议
虽然2021版《办法》尚未生效,最终的规则细节也有可能进一步调整,但正如笔者在第一部分所述,2021版《办法》已经明确了国家网信办对数据出境的监管思路。笔者认为,在正式《办法》出台之前,企业可以从以下几方面着手,提前做好数据出境的准备:
1. 对企业自身的数据出境情况进行自查,划分重要数据、个人信息、敏感个人信息及其他信息,并对每一类信息出境处理的目的、范围和方式重新进行评估,以确保数据处理的合法性、正当性和必要性。
2. 根据法律法规的要求并参照2021版《办法》的规则,完善企业内部的数据合规体系,包括但不限于制定相应的数据出境风险评估制度、建立数据泄露、损毁应急预案、统计出境数据的数量等。
3. 确定企业内部员工对于数据跨境传输的操作权限,对可能接触到相关数据的员工进行培训,包括但不限于普及数据出境的场景、确有需要向境外传输数据时如何申请内部合规审批等。
4. 数据处理者应对潜在的境外数据接收方进行背景调查,评估其是否具备管理和技术措施防范数据在境外泄露、毁损等风险。
5. 企业可以提前参考2021版《办法》中有关数据出境合同的必备内容,完善数据跨境传输的协议和条款。
五、结语
2021版《办法》根据三大上位法对数据出境安全评估重新进行了梳理,明确了自评估和安全评估的适用范围、评估要点、流程、重新评估的情形等。2021版《办法》同时也向数据处理者传达了国家网信办对于数据处理的监管思路,在保护个人信息权益,维护国家安全和社会公共利益的基础上促进数据跨境安全自由流通。如前所述,2021版《办法》在实践操作层面和与上位法衔接层面还具有补充、澄清和完善的空间,笔者也将持续关注《办法》的正式发布和实施情况以及数据安全法律体系的立法动态,以分享最新的法律规定、解读和实务操作经验。
