在《<个人信息出境标准合同办法>的十问十答》这篇文章中,我们主要针对签订标准合同这一条数据跨境传输路径做了介绍,本篇将继续通过问答方式带领大家了解数据跨境传输的另外两种路径:安全评估和个人信息保护认证。
根据《数据出境安全评估办法》,若拟进行的数据跨境传输存在下列任一情形,企业必须开展安全评估,且不得选择其他另外两种途径:
(1)向境外提供重要数据;
(2)关键信息基础设施运营者向境外传输数据;
(3)处理100万人以上个人信息的数据处理者向境外传输数据;
(4)在从上年1月1日到今年12月31日的期限内累计向境外提供10万人个人信息或者1万人敏感个人信息。
安全评估可大致分为三个步骤。第一步是企业开展自评估;第二步是向企业所在地省级网信部门申报安全评估,并由省级网信部门完成材料完备性查验;第三步由省级网信部门将申报材料报送国家网信部门审核,由后者进行正式的安全评估。虽然自评估和正式安全评估的评估内容大致相同,在正式申报安全评估时,申报企业还需要额外提交信息,例如数据接收方的数据保护水平等等。
总体来说,安全评估全流程细节繁多、较为复杂,我们强烈建议企业向专业律师寻求帮助来完成。
安全评估的流程较复杂,通常需要较长时间。理论上,即使无需材料补正与审查时限延长,整个评估流程可长达57个工作日。若评估结果为不得出境,另有15个工作日的复评申请期。
直至2023年1月,全国首个及第二个成功通过安全评估的案例才正式出炉。可见,实践中的安全评估流程时长已远远超过上述理论用时,且评估难度也显著高于预期。
由于安全评估的有效期仅为两年,企业需定期在有效期届满60个工作日前重新申报评估。有效期内,出境情况发生变化时,也需要重新申报评估。
非法数据出境将面临较为严重的法律后果。对于企业来说,最高可被处以人民币五千万元或者上一年度营业额百分之五的罚款,同时还可能被责令暂停业务、停业整顿或被吊销业务许可证或营业执照。
对于企业人员来说,直接责任人最高可被处以人民币一百万元的罚款,同时还可能被禁止在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。除此以外,企业及其人员构成犯罪的,还可能被追究刑事责任。
鉴于数据出境安全评估的宽限期已于上月底届满,且国家网信办也于2023年3月23日发布《网信部门行政执法程序规定》,明确了网信部门行政执法的范围、办案流程和时限等具体要求,我们可以预见已达“门槛”却尚未开展安全评估的数据出境行为,无疑将成为下一阶段各级网信部门执法的重点关注对象,各相关企业必须审慎对待并及时整改。
国家网信办在2022年底公布了《个人信息保护认证实施规则》[1]。该规则要求企业在进行个人数据的跨境传输时必须符合GB/T 35273-2020《信息安全技术 个人信息安全规范》以及TC260-PG-20222A《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》(“《安全认证规范》”)的最新版本的要求。目前,该等《安全认证规范》的最新版本为2.0,于2022年12月16日发布。
《个人信息保护认证实施规则》和《安全认证规范》均未限定可申请认证的主体范围,所有个人信息处理者均可以通过申请此认证后开展个人信息的跨境传输。同时,根据《安全认证规范》,跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动可由境内一方申请认证;而根据《个人信息保护法》第三条第二款规定,在境外处理境内自然人个人信息的个人信息处理者,可由其在境内设置的专门机构或指定代表申请认证。
由于申请认证的主体必须具备法人资格,我们理解外国企业的常驻代表机构由于不具备法人资格而无法申请个人信息保护认证。
个人信息保护认证流程包括认证申请、技术验证、现场审核、认证决定、获证后监督5个主要环节。
个人信息处理者向认证机构提交认证申请资料,认证机构对申请资料进行评审后作出受理决定并确定认证方案,采用技术检测、现场核查、人员访谈等方式进行技术验证和现场审核,认证机构根据申请资料、技术验证报告和现场审核报告等进行综合评价,作出认证决定。认证决定通过后,认证机构向认证申请方颁发认证证书,并授权获证个人信息处理者使用规定的认证标志。获证后监督是为确保个人信息处理者在获得证书后持续满足认证标准的要求,维持认证证书有效性。
个人信息保护认证的有效期为三年,申请人应在该三年有效期届满前六个月内提出认证续期申请。认证的有效期内,如果获得认证的个人信息处理者名称、注册地址,或认证要求的合规情况、认证范围等发生变化,申请人应当提出变更初始认证申请的要求。认证机构将考虑是否有需要重新进行技术验证和/或现场审核,以及是否可以批准变更。
可以,但我们建议采取安全评估或保护认证路径的企业以《标准合同》为基础,增补相关条款以反映《数据出境安全评估办法》或《安全认证规范》对法律文件的特殊要求。为此,数据处理者与境外接收方在签署法律文件过程中,既可在《标准合同》附件中增加相关条款,也可在其正文中作出修改或补充约定。
三条数据跨境传输路径的适用范围均有明确的界限,其不同之处也较为明显。
就适用范围而言,数据出境安全评估路径的适用范围为三者中最广。我国互联网用户基数较大,意味着中型互联网企业和其他领域头部企业即可达到“100万人以上个人信息”这一门槛。此外,重要数据跨境传输与关键信息基础设施运营者所进行的跨境传输活动仅能申报数据出境安全评估。
就办理流程和时限而言,安全评估的流程为三者中最复杂,有省级和国家级两级审批机关把关,其办结时限也最长。由于标准合同路径下的个人信息出境仅以标准合同生效为前置条件,其完成时限相对最短,为处理个人信息未达到安全评估门槛的企业的理想选择。保护认证的时限一般为70个工作日左右。
各企业需要结合自身处理的数据类型和体量,以及业务模式等实际情况,获取专业律师的法律建议后,选择最适合自己的数据出境方式。
通过最近两篇文章整理的相关问题和解答,相信大家对数据跨境传输方式有了一个基本了解。我们建议各企业根据自己的实际需求和安排,妥善处理数据跨境传输的合规问题,严格遵守法规要求,必要时寻求专业人士帮助,以避免面临不必要的法律风险和承担相关法律责任。
[1]详见:中共中央网络安全和信息化委员会办公室 中华人民共和国国家互联网信息办公室网站
http://www.cac.gov.cn/2022-11/18/c_1670399936983876.htm
特别声明:
大成律师事务所严格遵守对客户的信息保护义务,本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考,不代表大成律师事务所任何立场,亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源。未经授权,不得转载或使用该等文章中的任何内容。
京公网安备 11010502044998号