九层之台,起于累土:我国数据跨境传输监管体系雏形初现
专栏
活动
快讯
产品
解读
★文章为LexisNexis独家内容,未经允许严禁转载
2021年10月29日,国家互联网信息办公室(“网信办”)发布《数据出境安全评估办法(征求意见稿)》(“征求意见稿”)并公开征求意见。征求意见稿承袭了《网络安全法》(“网安法”)、《数据安全法》)(“数安法”)和《个人信息保护法》(“个保法”)中明确的数据出境监管要求,并首度明确了数据出境安全评估的流程,以及“处理个人信息达到国家网信部门规定数量的个人信息处理者”的具体标准,值得相关企业密切关注。
九层之台,起于累土。在“网安法-数安法-个保法”的体系下,数据出境安全评估相关规定是十分重要的配套法规。征求意见稿虽然并非最终生效文本,但以此为基础,我国数据跨境传输监管体系已初现雏形。本文将梳理当前法律法规关于重要数据和个人信息跨境传输的相关规定,总结征求意见稿中明确的安全评估要点、相关出境评估标准及其他数据跨境监管要求,并对相关企业提出合规建议。
一、数据跨境传输监管体系:以重要数据和个人信息为核心
当前,网安法、数安法和个保法“三驾马车”已确立的数据跨境传输规则以监管“重要数据+个人信息”的出境为核心,只监管数据流出而不监管数据流入。相关法规强调对个人信息和重要数据出境安全的保护,充分体现了我国通过加强数据跨境监管,维护国家安全的监管思路。
值得注意的是,网信办此前于2017年发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》,又于2019年发布了《个人信息出境安全评估办法(征求意见稿)》,对数据出境的监管要求从“重要数据+个人信息”的统合立法演变为分开立法,再到此次征求意见稿中将二者再次统合监管。但无论如何,网信部门对于这两类数据的安全保护和强监管要求是贯穿始终的。
(一)重要数据的跨境传输要求
从网安法、数安法、相关行业和领域的法规,再到此次征求意见稿的规定,对于重要数据的跨境传输要求层层加码、趋于严格:需要向主管部门申报出境安全评估的对象从关键信息基础设施运营者(Critical Information Infrastructure Operator, “CIIO”)收集和产生的重要数据,逐步扩展到所有重要数据。
网安法第37条明确规定,CIIO在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储;因业务需要确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
数安法第31条除沿袭网安法的上述规定外,进一步明确,对于非CIIO的其他数据处理者,其重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。目前就已有的汽车行业及工信领域相关规定均要求,该行业、领域的重要数据均需要境内存储,跨境传输时需经过国家网信部门安全评估。[1]
此次征求意见稿进一步规定,出境数据中包含重要数据的,就需要向国家网信部门申报数据出境安全评估。根据该条规定可以推断,此后无论重要数据的处理者是否为CIIO,重要数据出境需通过国家网信部门安全评估将成为一项强制性要求。
(二)个人信息的跨境传输要求
11月1日起,个保法正式生效。基于个保法的相关规定,我国对于个人信息的跨境传输要求具体如下:
个人信息跨境传输相关要求 | |
境内存储义务 | CIIO和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内; |
外部安全评估、认证或合同义务 | 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一: • CIIO及处理个人信息达到国家网信部门规定数量的个人信息处理者,须通过国家网信部门组织的安全评估; • 按照国家网信部门的规定经专业机构进行个人信息保护认证; • 按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务; • 法律、行政法规或者国家网信部门规定的其他条件。 |
向数据主体履行的义务 | • 告知个人境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类; • 告知个人向境外接收方行使个保法规定权利的方式和程序等事项; • 取得个人的单独同意。 |
确保境外接收方安全义务 | 采取必要措施,保障境外接收方处理个人信息的活动达到个保法规定的个人信息保护标准。 |
影响评估义务 | 事前进行个人信息保护影响评估(影响评估报告和处理情况记录应当至少保存3年)。 |
二、征求意见稿要点速读
如前所述,在网安法、数安法和个保法关于数据出境的安全评估总体要求的基础上,征求意见稿首度明确了安全评估的流程,并全面梳理了可能触发网信部门安全评估的几种情形。
(一)安全评估基本流程:启动条件与评估事项
征求意见稿明确了企业风险自评估和网信部门安全评估两种评估流程。
(1)风险自评估:征求意见稿明确,企业的风险自评估为数据处理者向境外提供数据前的必经流程。
(2)网信部门安全评估的触发标准:主管机构的安全评估并非必经流程,如前所述,征求意见稿梳理了需要申报网信部门安全评估的数据出境情形,并首度明确了个保法中规定的“处理个人信息达到国家网信部门规定数量的个人信息处理者”的标准,具体如下:
CIIO收集和产生的个人信息和重要数据;
出境数据中包含重要数据;
处理个人信息达到100万人的个人信息处理者向境外提供个人信息;
累计向境外提供超过10万人以上个人信息或者1万人以上敏感个人信息;
国家网信部门规定的其他需要申报数据出境安全评估的情形。
风险自评估与安全评估的具体评估事项如下表所示:
风险自评估(必经程序) | 网信部门安全评估(非必经程序) | |
评估事项 | • 数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性; • 出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险; • 数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险; • 境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全; • 数据出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等; • 与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。 | • 数据出境的目的、范围、方式等的合法性、正当性、必要性; • 境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规规定和强制性国家标准的要求; • 出境数据的数量、范围、种类、敏感程度,出境中和出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险; • 数据安全和个人信息权益是否能够得到充分有效保障; • 数据处理者与境外接收方订立的合同中是否充分约定了数据安全保护责任义务; • 遵守中国法律、行政法规、部门规章情况; • 国家网信部门认为需要评估的其他事项 |
通过列表对比不难发现,二者的评估内容存在大量重合。根据征求意见稿规定,申报数据出境安全评估所需要提交的材料包括数据出境风险自评估报告。因此,企业通过有效的自行评估,不仅可以降低数据出境的相关合规风险,在向主管部门申报安全评估时,也有助于提高官方安全评估的效率。
(二)网信部门安全评估的期限及有效期
(1)评估期限
就网信部门的安全评估而言,征求意见稿设定评估期限可达到7+60个工作日,且不排除特殊情况下可能会超出以上时限,具体流程如下:(1)网信部门自收到申报材料之日起7个工作日内确定是否受理评估;(2)自出具书面受理通知书之日起45个工作日内完成数据出境安全评估;情况复杂或者需要补充材料的,可以适当延长,但一般不超过60个工作日。
出境安全评估的具体流程如图所示:
(2)评估结果有效期
数据出境评估结果有效期二年,但出现以下情形时,数据处理者应当重新申报评估:
向境外提供数据的目的、方式、范围、类型和境外接收方处理数据的用途、方式发生变化,或者延长个人信息和重要数据境外保存期限的;
境外接收方所在国家或者地区法律环境发生变化,数据处理者或者境外接收方实际控制权发生变化,数据处理者与境外接收方合同变更等可能影响出境数据安全的;
出现影响出境数据安全的其他情形。
此外,有效期届满后需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。
(三)数据处理者应与境外接收方约定数据安全保护责任义务
此外,征求意见稿明确,数据处理者应境外接收方订立相关合同或具有法律效力的文件,约定双方的数据安全保护权责。该合同或文件也是申报出境安全评估需要提交的材料之一,应包括但不限于以下内容:
数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施;
限制境外接收方将出境数据再转移给其他组织、个人的约束条款;
境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区法律环境发生变化导致难以保障数据安全时,应当采取的安全措施;
违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款。
发生数据泄露等风险时,妥善开展应急处置,并保障个人维护个人信息权益的通畅渠道。
三、企业应加强数据跨境合规工作
如上文所述,征求意见稿以“网安法-数安法-个保法”的上位法体系为背景,进一步细化了数据出境安全评估的相关规定。需要说明的是,虽然数据出境安全评估与网络安全审查都是网信办主导的安全评估/审查流程,但二者是两个相互独立、适用于不同情形的合规要求,适用范围、审查流程和监管重点都不相同。[2]
数据出境安全评估的适用范围较为广泛和全面(适用于广泛的数据出境场景),其监管的核心在于,特定情形下需由网信部门审查和批准企业的数据出境活动,以避免数据违规出境可能带来的个人信息保护风险和国家安全风险;网络安全审查则聚焦于CIIO等重点企业的供应链数据安全、企业海外上市涉及的数据安全问题等,监管重点在于评估企业采购活动、数据处理活动以及国外上市可能带来的国家安全风险。但是,二者都是以维护国家数据安全为核心目的的重要合规流程,都充分体现了当前我国对于数据安全监管的谨慎态度,以及作为核心反复强调的维护国家安全的立法宗旨。
后续关于数据出境安全评估的正式规定出台后,相关监管要求也将给数据处理者带来更多挑战。在此背景之下,我们建议具有数据出境需求的企业应着手准备数据出境前的准备工作,包括:
对自身的数据出境需求和场景进行摸底自查,明确合规要求;
对于全球化经营的公司而言,需建立个人信息和重要数据的本地化存储体系,从网络系统层面规避数据违规出境的风险;
按照要求积极开展数据出境风险自评估、在与境外接收方订立的合同和法律文件中充分约定数据安全保护责任义务等;
对于可能涉及向网信部门申报官方数据安全评估的企业,应着手完善企业内部的数据出境合规体系,在安全评估的正式规定出台后,依法依规申报开展数据处境安全评估,确保数据跨境活动的合规与安全。
注 释
[1] 参见《汽车数据安全管理若干规定(试行)》第十一条:“重要数据应当依法在境内存储,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估。未列入重要数据的涉及个人信息数据的出境安全管理,适用法律、行政法规的有关规定。”《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》第二十四条:“工业和电信数据处理者在中华人民共和国境内收集和产生的重要数据,应当依照法律、行政法规要求在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估,在确保安全的前提下进行数据出境,并加强对数据出境后的跟踪掌握。”
[2] 关于网络安全审查的相关要求,参见网信办于2020年发布的《网络安全审查办法》及2021年发布的《网络安全审查办法(修订草案征求意见稿)》。
作者介绍
李 瑞
中伦律师事务所
合伙人
邮箱:
lirui@zhonglun.com
业务领域:跨境投资并购, 反垄断和竞争法, 网络安全和数据保护
特色行业类别:文化娱乐产业
李瑞律师在协助多个行业客户处理的中国公司法和竞争法事务方面有超过10年的经验,这些经历使得李律师具备了高度专业的法律素养以及为不同文化背景的客户服务的能力。李律师服务的对象涵盖大型国有企业、跨国公司、私募投资基金等各种不同类型的客户,涉及半导体、机车及部件制造、化工、煤气矿产、林业以及零售、金融等行业。
贾 申
中伦律师事务所
顾问
邮箱:
jiashen@zhonglun.com
业务领域:跨反垄断和竞争法, 贸易合规和救济, 诉讼仲裁
贾申律师在加入中伦之前,曾负责企业合规体系建设,包括合规方案、合规管理制度、合规行为准则等;长期负责海外合规风险管理和海外投资项目,包括反垄断、商业秘密、贸易调查应对、出口管制&经济制裁、欧盟GDPR等数据合规、美国CFIUS审查、海外直接投资(FDI)等,制订合规规范、指引和审查流程,进行多元化合规培训和宣贯。
李梦涵
中伦律师事务所
律师
邮箱:
limenghan1@zhonglun.com
合规与政府监管部
北京办公室
+86 10 5087 2994
关于律商联讯
律商联讯是一家内容和技术解决方案提供商,帮助法律、企业、税务、学术和非营利性组织的工作人员作出知情决策,实现更好的业务成果。服务中国二十余年,律商联讯已经引进多个产品落地中国,包括各类在线数据库,以及享有盛誉的进口原版图书,内容覆盖全球,数据超过60亿。同时,律商联讯与中国具有实务经验的专家团队合作,依靠自主创新技术及大数据分析,相继开发了律商网和律商实践指引系列产品。我们提供的不再只是查询法律的检索工具,而是贴近法律人士的实务工作流程,帮助其处理实务问题、撰写法律文书和法律检索的360度解决方案。
—LexisNexis—
关注律商网法律热点话题
抢先知晓行业法律热点
识别二维码申请试用