2022年7月21日,中央网络安全和信息化委员会办公室(下称“网信办”)宣布依据《网络安全法》《数据安全法》《个人信息保护法》以及《行政处罚法》等法律法规对某公司作出网络安全审查相关行政处罚,对公司处以高额罚款,占其前一年营收的4.6%。本次对某公司的行政处罚无疑是我国《网络安全法》实施以来开出的“创纪录”罚单,远超一年前亚马逊因违反欧盟GDPR受到的 7.43 亿欧元的处罚,成为全球数据保护领域历史级最高额罚单。结合本次处罚事件,可以预见在强监管下,数据跨境传输将成为跨国企业和出海企业的数据合规重点。
在处罚结果公示前不久,我国的数据出境规则相继制定或落地,为企业规范自身数据跨境传输活动送来了“及时雨”。2022年7月7日,网信办发布《数据出境安全评估办法》(下称“《评估办法》”),定于2022年9月1日起正式施行;同时,网信办于2022年6月30日发布了《个人信息出境标准合同规定(征求意见稿)》(下称“《标准合同规定》”)及其附件《标准合同》,《评估办法》与《标准合同规定》互为补集,形成了重要数据与个人信息出境的高低路径。此外,国家信息安全标准化技术委员会(简称“信安标委”)于2022年6月24日发布了《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》(下称“《认证规范》”),为个人信息跨境处理活动安全认证的流程提供了初步依据与参考。
至此,《个人信息保护法》第三十八条所述的个人信息跨境传输合规的三条主要路径规则已大致完备,即(一)通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;和(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务。
本文旨在通过介绍上述三项数据出境规则的亮点要求,落脚于其所对应的三条数据跨境传输合规路径,并对照企业各业务领域与应用场景进行分析,以期为企业选择数据跨境传输路径提供参考和借鉴[1]。
《评估办法》正式稿的出台,标志着历经三次征求意见后,数据出境安全评估的要求终于得以明确。同时,《评估办法》将个人信息与重要数据的出境规则合并规定,也标志着2017年以来一度分立的个人信息和重要数据出境规则[2]再次回归统一监管。
根据《评估办法》第四条,下述特定数据出境主体或活动,应当采用向企业所在地省级网信部门申报安全评估(不得选择其他路径)作为向境外提供数据的合规路径:
-
向境外提供重要数据:根据《数据安全法》的规定,各地区、各部门应当确定本地区、本部门以及相关行业、领域的重要数据具体目录。但截至发稿时,相关部门尚未发布该等具体目录,我们建议企业可先行参考尚在征求意见之中的国家标准《重要数据识别指南》中提出的重要数据识别因素,识别企业自身是否具有重要数据。
-
关键信息基础设施运营者:目前,关键信息基础设施运营者系由相关行业主管部门、监督管理部门进行认定和通知。但企业可以依据《国家网络安全检查操作指南》,初步判断自己是否可能属于关键信息基础设施运营者,做到未雨绸缪。为此,可参考本团队于今年二月撰写的《能源化工领域数据合规不得不关注的事儿-上篇》中所述判断步骤。
-
处理100万人以上个人信息的数据处理者:本条与《网络安全审查办法》中关于掌握超过100万用户个人信息的网络平台运营者国外上市,必须申报网络安全审查的规定相呼应。因此,处理个人信息达到该门槛的网络平台运营者赴国外上市可能需同时申报数据出境安全评估与网络安全审查,而两者可能在审查要素方面存在重合。
-
自去年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息:该条采用累计计算标准,意味着数据处理者若在最长2年(去年1月1日到今年12月31日)的期限内“多次少量”地进行个人信息出境,也可能需要申报安全评估。
-
国家网信部门规定的其他需要申报数据出境安全评估的情形:该条作为兜底条款,为未来可能产生的其他适用安全评估办法的情形留下了立法空间,如《网络数据安全管理条例(征求意见稿)》所规定核心数据的出境。
《评估办法》将数据出境风险自评估明确为申报安全评估的前置流程。就评估事项,数据出境风险自评估与数据出境申报安全评估的具体事项大致相同,惟后者多了“境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求;遵守中国法律、行政法规、部门规章情况”等国家安全与数据安全考量因素。
数据出境安全评估的流程较复杂,评估用时可能较长。理论上,无需材料补正与审查时限延长情况下的最长用时为5+7+45=57个工作日,若评估结果为不得出境,另有15个工作日的复评申请期。由于数据出境安全评估的有效期仅为两年,企业需定期在有效期届满60个工作日前,或有效期内出境情况变化时重新申报评估,还意味着企业需定时完成数据出境自评估。
《评估办法》虽未直接规定处罚,但其罚则直接指向《网络安全法》《数据安全法》《个人信息保护法》等法律法规。综合上述法律,非法数据出境的责任主体最高可被处以五千万元以下或者上一年度营业额百分之五以下罚款,并可能被责令暂停相关业务或者停业整顿、吊销相关业务许可或者吊销营业执照;直接负责的主管人员和其他直接责任人员可被处十万元以上一百万元以下罚款,并可能被禁止在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人[3]。《评估办法》一并规定,违反《评估办法》构成犯罪的,还应依法追究刑事责任。
《个人信息保护法》第三十八条所规定的个人信息出境路径的第二条为个人信息跨境处理活动安全认证。截至目前,网信办仍未就该条路径颁布具体的实施细则,但考虑到信安标委为多部信息安全技术领域国家标准的制定方,《认证规范》作为一部标准相关技术文件,对企业仍具有一定的参考价值。
根据《认证规范》,个人信息跨境处理活动安全认证的适用情形相对较狭窄,仅包括跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动,以及《个人信息保护法》第三条第二款所规定的境外处理境内自然人个人信息的活动。
《认证规范》除明确了个人信息保护认证的部分实体与程序要求之外,还规定个人信息处理者应当符合GB/T 35273《信息安全技术 个人信息安全规范》的要求。但是,受制于其体例与效力层级,个人信息保护认证的具体有权认证机构、程序与要求,仍待网信办后续进一步发布相关法规予以明晰。
签订标准合同这一路径与数据出境安全评估互为补集,前者的条件上限与后者的条件下限能够完整对应。具体而言,可以将签订标准合同作为合规数据出境路径的个人信息处理者需同时满足以下条件:
-
非关键信息基础设施运营者
-
处理个人信息不满100万人
-
自去年1月1日起累计向境外提供未达到10万人个人信息
-
自去年1月1日起累计向境外提供未达到1万人敏感个人信息
如前文所述,《评估办法》要求企业在进行数据跨境传输前进行数据出境风险自评估,与之类似,《标准合同规定》也要求企业在进行个人信息跨境传输前进行个人信息保护影响评估,二者虽然不具有相互替代性,但评估事项的内容大体一致,均在《个人信息保护法》第五十六条规定基础上细化了与数据出境相关的评估要点。
《标准合同规定》所附的《标准合同》的要点颇多,例如:
-
必备条款:缔约双方应确保《标准合同》包含《标准合同规定》第六条所列的必备条款,以及确保所签订的个人信息出境相关合同不与《标准合同》相冲突。
-
当地个人信息保护政策法规的影响:《标准合同》采取了较为宽松的表述,要求个人信息处理者和境外接收方均保证,已经经过合理努力仍未获悉当地的相关政策法规会阻止境外接收方履行本合同规定的义务。
-
争议解决方式:履行《标准合同》期间若发生争议的,合同双方可以选择中国法院进行诉讼,也可以选择《纽约公约》成员国的仲裁机构解决纠纷,且未对仲裁地作进一步规定。《标准合同》所提供的境外仲裁选项,将增强境外接收方签订《标准合同》的意愿。
就《标准合同》的备案管理,个人信息处理者应向所在地省级网信部门提交标准合同文本与个人信息保护影响评估报告。值得注意的是,《标准合同规定》并未规定对备案材料进行实质性审查,也未将完成备案作为数据出境的前置步骤。标准合同生效后,个人信息处理者即可开展个人信息出境活动,而备案的时间节点则为标准合同生效之日起10个工作日内。
当然,《标准合同规定》第八条还就缔约双方应当重新签订合同并再次履行备案义务的情形进行了列举,这些情形与安全评估路径下应当重新申报评估的情形有一定重合。
如上文介绍,三条数据跨境传输路径的适用范围均有明确的界限,其不同之处也较为明显。
数据出境安全评估路径的适用范围为三者中最广。我国互联网用户基数较大,意味着中型互联网企业和其他领域头部企业即可达到“100万人以上个人信息”这一门槛,且重要数据跨境与关键信息基础设施运营者所进行的跨境传输活动仅能申报数据出境安全评估。标准合同的适用范围又广于安全认证,后者的适用情形较为狭窄、确定。
安全评估的流程为三者中最复杂,其办结时限也最长。由于标准合同路径下的个人信息出境仅以标准合同生效为前置条件,其时限相对最短,为处理个人信息未达到安全评估门槛的企业的最佳选择。至于安全认证,由于《安全认证规范》多为原则性内容,也非强制性规范,相关认证的流程、时限、具体要求等仍有待更高效力层级的法规文件予以补充规定。
安全评估与标准合同都具备“一事一议”性,相关法规均规定了有效期内需重新签订标准合同或申报安全评估的情形。相较而言,安全认证适于跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动。由于安全认证具备长效性,在有效期(待相关法规进一步规定)内,若认证事项没有发生实质性变化,业已取得的安全认证可作为人事、邮件信息交换等连续、高频率跨境处理活动的合法性基础,企业无需重复申请认证。
三条路径均对数据处理者与境外接收方之间订立的法律文件有明确要求,其中签订标准合同与安全评估两条路径都要求签订协议/合同,惟安全评估路径对文件形式的要求不限于协议,可以为其他具有法律效力的文件。但是,安全评估将对该等文件是否约定数据安全保护责任进行实质审查,故该路径下法律文件的自由度实际上有限。
协议内容上,标准合同对于境外接收方接受中国法管辖的规定相较于安全认证路径较为宽松,后者要求境外接收方承诺接受认证机构监督,并接受中国个人信息保护相关法律、行政法规管辖,而标准合同仅限定合同受中国法管辖,对争议解决方式的规定也有一定自由度。
《评估办法》规定了整改宽限期。在其适用范围内的企业须在2023年2月28日之前完成整改,时间较为紧迫。由于整个安全评估流程可达两个月以上,为避免企业在整改宽限期届满时,因评估结果未出而面临无法开展数据出境活动的尴尬局面,我们建议相关企业在2022年12月1日前尽快完成包括自评估在内的自我整改工作,并准备好申报文件,以留出充分的时间向主管机关申报评估。
为在上述时限到来前做到“严阵以待”,具体而言,我们建议企业参考如下流程尽快完成对数据出境路径的审视与选择:
-
数据梳理、分类分级:包括计算所处理个人信息的主体数量、拟出境个人信息数量是否达到上述“门槛”,以及梳理出可能的重要数据。我们建议企业暂缓可能构成重要数据的数据出境,并等待相关数据目录的正式发布;
-
可依据“最小必要”原则剔除并非必须出境的数据,以降低出境数据规模。为此,可对非必要出境数据考虑落实数据本地化措施;
-
由于上述事项与个人信息保护影响评估和数据出境自评估的内容有一定重合度,可一并进行个人信息保护影响评估或数据出境自评估;
-
根据初步选定的数据出境路径,依据相关数据出境规则的要求完成申报材料、标准合同等文件的准备。
[1] 下述数据类型不包含于本文的讨论范围内:
(一)禁止出境的数据类型,如属于国家秘密的数据;
(二)暂时不包含于数据出境监管体系下的数据,如非关键信息基础设施运营者所处理的、不属于重要数据与个人信息的、也无其他禁止或限制出境情形的企业业务数据。我们理解,我国现有立法并未限制或禁止该等数据的出境。但由于尚在征求意见阶段的《网络数据安全管理条例》有可能将所有数据都纳入数据出境监管体系下,我们建议企业保持关注。
[2] 例如,《个人信息出境安全评估办法(征求意见稿)》改变了2017年《个人信息和重要数据出境安全评估办法(征求意见稿)》将个人信息与重要数据的出境作出统一规定的模式,以及《数据安全法》第三十一条和《个人信息保护法》第三章对重要数据和个人信息的出境分别作出的规定。
[3] 《个人信息保护法》第六十六条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
特别声明:
以上内容属于作者个人观点,不代表其所在机构立场,亦不应当被视为出具任何形式的法律意见或建议。
往期推荐
京公网安备 11010502044998号