2022年7月,滴滴被罚80.26亿元案件引起了各行各业对数据治理体系的关注。滴滴事件彰显了国家对网络安全、数据安全和个人信息保护的极大重视,对在中国境内信息的收集、使用、传输等处理活动产生了巨大的警示效应。企业不论是搜集消费者、客户、供应商的信息,亦或是搜集本单位雇佣的员工个人信息,在信息的处理及数据出境活动中,都将面临《网络安全法》、《个人信息保护法》和《数据安全法》及配套措施等的多重监管压力。
滴滴事件发生于我国数据安全和个人信息保护领域立法迅速发展的一年。在这一年里,数据安全与出境等领域开始构建系统性监管体系: 《数据安全法》于2020年7月发布草案, 于2021年6月10日正式发布; 《个人信息保护法》于2020年10月发布草案, 于2021年8月正式发布; 大量配套法规同期出台;2016年11月正式发布的《网络安全法》也将于近期引来首次修订。
目前我国数据安全相关法律法规如下图:
对于有数据出境需求的企业而言,数据出境合规工作亟待开展,而评估自身的经营活动是否涉及数据出境的场景,是准确评估自身合规义务的第一步和关键步骤。2022年9月1日,国家互联网信息办公室发布的《数据出境安全评估办法》、《数据出境安全评估申报指南(第一版)》(“《申报指南》”)正式生效,《申报指南》明确规定,以下情形属于数据出境情形:
数据主动出境,指境内的数据处理者通过主动开展传输、存储、上载、递送等动作,将其在境内运营中收集和产生的数据通过软件或硬件介质提供至境外。常见例子如A、跨国公司的境内子公司定期或不定期地向境外母公司通过电子邮件等方式报送日常业务经营状况;B、设立在中国境内的子公司,将数据通过ftp的形式,传输给其境外客户使用;C、跨国企业直接使用AWS等境外云服务器或服务器部署在境外的人事、办公信息系统,将境内企业搜集的数据存储在境外服务器上,即构成数据出境。
数据被动出境,指数据处理者收集和产生的数据存储在境内,其也并未采取任何主动将数据提供给境外的行为,但境外的机构、组织或者个人可以查询、调取、下载、导出该等境内数据。常见例子如A、跨国公司的境内子公司,将其在境内收集的数据存储在其境内服务器上,但对其境外母公司或境外母公司的其他关联公司可自由访问该境内服务器上的数据;B、跨国公司的境内子公司将其境内搜集、整理后的数据上传到境内的服务器上,但开放访问权限,使其境外的客户可自由访问这些数据。
(1)在境外直接搜集境内自然人个人信息
《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》( “《认证规范》”)将《个人信息保法》规定的在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动纳入《认证规范》的适用范围。
因此业界有一种想法认为境外主体作为个人信息处理者直接收集境内自然人个人信息需适用《个人信息保法》关于个人信息跨境提供的相关规则,即需要进行数据出境安全评估,但目前就该场景网信办及相关部门并未给出明确指示。从《数据出境安全评估办法》的文本来看,其明确的适用范围为数据处理者向境外提供在境内运营中收集和产生的重要数据和个人信息,对于境外个人信息处理者在境外直接收集的境内自然人个人信息,一般不属于“在境内运营中收集和产生的”个人信息,因此可暂时将在境外处理境内自然人个人信息的行为排除在安全评估的适用范围之外。
(2)境外收集和产生的数据传输到中国境内进行加工后,再传输到境外
根据《信息安全技术数据出境安全评估指南(征求意见稿)》:非在境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动或加工处理的,不属于数据出境;非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的,不属于数据出境。
因此A、未在中国境内对境外数据进行任何加工处理,仅经由中国出境,不属于中国法意义上的“数据出境”;B、在中国境内对境外数据进行加工处理,但加工后并不涉及中国境内产生的任何数据,属于中国法意义上的“数据出境”;C、在中国境内对数据进行加工处理,涉及境内产生的个人信息或其他数据,且将加工后的数据传输至境外,属于中国法意义上的“数据出境”。1
根据《个人信息保护法》第三章第38条,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
1. 依照本法第四十条的规定通过国家网信部门组织的安全评估;
2. 按照国家网信部门的规定经专业机构进行个人信息保护认证;
3. 按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
4. 法律、行政法规或者国家网信部门规定的其他条件。
从上述规定可以,如涉及向境外提供个人信息的,企业应根据自身的数据情况,选择一条满足合规的数据出境处理方式。
《数据出境安全评估办法》第四条明确了数据处理者向境外提供数据时符合以下情形的,应当申报数据出境安全评估:
1、数据处理者向境外提供重要数据;
2、关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
3、自2021年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
4、国家网信部门规定的其他需要申报数据出境安全评估的情形。
以上4个情形,只要企业涉及其中的一种,就应当按照法律的规定进行安全评估。从适用主体看,除兜底条款外,包括了关键信息基础设施运营者(CIIO)和一般网络运营者/数据处理者;从向境外提供的数据类型看,包括向境外提供个人信息和重要数据两类。
安全评估流程如下图:
省级审查:企业完成自评估工作后,应向所在地省级网信办申报数据出境安全评估,具体材料包括:
1.统一社会信用代码证件影印件;
2.法定代表人身份证件影印件;
3.经办人身份证件影印件;
4.经办人授权委托书;
5.数据出境安全评估申报书;
6.与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件影印件;
7.数据出境风险自评估报告;
8.其他相关证明材料。
省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验。
国家级审查:国家网信办自收到省级网信办上报申报材料之日起7 个工作日内,确定是否受理并书面通知数据处理者,应当自向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估。数据处理者如被告知补充或者更正申报材料,应当及时按照要求补充或者更正材料。无正当理由不补充或者更正申报材料的,安全评估将会终止。情况复杂的,数据处理者将被告知评估预计延长的时间。评估完成后,数据处理者将收到评估结果通知书。自评估的时间通常为三个月,安全评估自申报之日至收到最终评估结果通知书,一般需要5+7+45+N个工作日。
针对跨国公司、同一经济、事业实体下属子公司、关联公司间的个人信息跨境处理活动,企业可以选择个人信息保护认证。
对于境内有实体的跨国公司或关联公司而言,开展个人信息保护认证是一种可选的路径,并非强制,境内企业还可以选择签署《标准合同》。《标准合同》相比保护认证的成本更低,可以作为主协议的一部分签署即可,但是否可以概述性地多方签署以实现覆盖跨国公司不同主体之间日常数据传输的场景还有待进一步明确;如果多个主体之间的数据传输无法通过同一份协议签署,且因管理或业务需要而参与数据相互传输的关联企业较多,为避免多次签署协议的繁琐,对于该等偏内部传输需求的情况,保护认证也有其便捷性。2
根据《个人信息跨境处理活动安全认证规范》(以下简称“认证规范”),安全认证的适用情形与申请主体如下表3:
| 适用情形 | 申请主体 |
| 跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动 | 境内一方 |
| 《个人信息保法》第三条第二款规定的境外个人信息处理者 | 其在境内设置的专门机构或指定代表申请认证 |
另外,《认证规范》对于申请认证的个人信息跨境处理活动的处理者和境外接收方的基本要求为:有法律约束力的协议、对组织管理的要求(个人信息保护负责人、个人信息保护机构)、个人信息跨境处理规则、个人信息安全影响评估、个人信息主体权益保障等方面的要求。
2022年6月30日,国家互联网信息办公室发布了《标准合同规定(征求意见稿)》。《标准合同规定》提供了个人信息出境合规路径的另一种方案。《标准合同》在个人信息出境方面适用范围广泛,且相较于安全评估和保护认证,《标准合同》也是较为简便、成本较低的路径。值得注意的是,《标准合同》不仅只是合同条款的签订和执行,还涉及到个人信息保护影响评估,备案等一系列流程,且要求境内处理者与境外接收方承诺接受监管部门的问询、向监管机构提供审计结果与数据处理记录等,因此企业不应仅将其作为附加的合同条款看待。
企业选择签订《标准合同》应注意以下事项:
根据《标准合同规定》第2条,个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同,不得与标准合同相冲突。
根据《标准合同规定》第3条和第7条,依据标准合同开展个人信息出境活动,应坚持自主缔约与备案管理相结合,在标准合同生效之日起10个工作日内,向所在地省级网信部门备案,但备案并不是标准合同的生效要件。不备案可能会导致网信部门责令改正、责令停止个人信息出境活动等处罚。
根据《标准合同规定》第5条,同《认证规范》一样,个人信息处理者向境外提供个人信息前,应当事前开展个人信息保护影响评估。
同《数据出境安全评估办法》关于已经通过评估的数据出境活动发生变化或不符合要求的,应重新申报评估的规定类似,根据《标准合同规定》第8条,在标准合同有效期内个人信息处理活动发生变化的,个人信息处理者应当重新签订标准合同并备案。
综上,企业不应仅将其作为附加的合同条款看待,在与境外接收方签订标准合同时,应留意标准合同条款与其他合作协议之间的兼容,尤其是各方权利义务是否冲突、法律适用、监管应对责任等。2
为满足数据安全合规的要求,我们建议企业第一步应对数据相关活动进行梳理,包括但不限于梳理重要信息与敏感个人信息、摸查数据处理者基本情况及安全保障能力、数据出境的业务流程、信息系统与数据库系统的使用情况、个人信息主体同意落实情况、相关法律文件的签署情况、境外接收方的情况等。
2022年1月13日,国家信息安全标准化委员会于公布了最新的《信息安全技术重要数据识别指南(征求意见稿)》(“《重要数据指南》”)。《重要数据指南》划分了重要数据的定义范围,重要数据是指“以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家、公共利益的数据”。主要包含7大类1、与经济运行相关2、与人口与健康相关3、与自然资源与环境相关4、与科学技术相关5、与安全保护相关6、与应用服务相关7、与政务活动相关。《数据安全法》也明确了各地区、各部门有权制定本地区、本部门的重要数据目录。对于在特定领域的企业来说,如涉及重要数据的,应同步参考本领域内行业主管发布的重要数据识别清单。例如,《汽车数据安全管理若干规定(试行)》明确了在汽车领域下的重要数据清单;《信息安全技术健康医疗数据安全指南》对医疗健康领域的数据安全要求进行了规定。
根据《GBT35273-2020 信息安全技术个人信息安全规范》,个人敏感信息是指,一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。包括但不限于特定身份(身份证号)、金融账户(银行卡号)、生物识别(指纹、虹膜、面部识别特征等)、宗教信仰、医疗健康(身高、体重、生育信息、病症等)、行踪轨迹、不满十四周岁未成年人的个人信息。
企业应在摸查过程中检查、整理并归档其与员工、客户、供应商等签订的个人信息处理同意书及相关的业务合同,并对相关合同中涉及的个人信息的描述、补充条款、承诺函等书面文件进行审核,明确企业被授权处理的个人信息的符合我国《个人信息保护法》的相关规定。
此外,如企业已与境外信息接收方签署过境外的《标准合同》或根据境外的法律规定对员工的个人信息搜集、使用、存储有所要求的,应核查已签署的《标准合同》及签署的相关法律文件,确认相关内容是否存在与我国的法律法规相冲突的条款,并予以修订及补充。
根据国家互联网信息办公室发布的《数据出境安全评估办法》,数据处理者向境外提供数据,符合法律规定的情形的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估,并在申报数据出境安全评估前,应当开展数据出境风险自评估。企业开展数据出境风险自评估应重点关注以下要点:
1、数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
2、出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
3、境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
4、数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
5、与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务;
6、其他可能影响数据出境安全的事项。
此外,根据《个人信息保护法》第55条的规定,如有涉及处理敏感个人信息、利用个人信息进行自动化决策、向境外提供个人信息等情形的,企业应进行个人信息保护影响评估,并对处理情况进行记录。个人信息保护影响评估应当包括下列内容:
1、个人信息的处理目的、处理方式等是否合法、正当、必要;
2、对个人权益的影响及安全风险;
3、所采取的保护措施是否合法、有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。
企业在完成风险自评估后如发现风险问题的,应进行整改并建立符合监管要求和满足自身需求的数据安全合规体系,主要包含人员责任的落实、法律制度的健全、技术保护等要素。
根据《数据安全法》第二十七条,处理重要数据的企业应明确数据安全负责人和管理机构,落实数据安全保护责任。数据安全责任人履行下列职责:
组织制定数据保护计划并督促落实;
组织开展数据安全风险评估,督促整改安全隐患;
按要求向有关部门和网信部门报告数据安全保护和事件处置情况;
受理并处理用户投诉和举报。
企业应以数据为中心,从制度、规范、流程等角度制定数据安全全生命周期的数据安全制度,包括《数据安全管理制度》、《数据分类分级管理制度》、《数据安全事件管理制度》、《网络安全事件应急处置和报告制度》、《数据安全及备份恢复管理制度》等。
在对重要及个人敏感数据整理的基础上,对于数据库内的重要数据进行分级,并根据法律法规的要求并借助技术的手段,使用不同类型的加密技术对不同程度的重要数据进行保护。
制度的实施,最终要落实到责任人。因此,我们建议企业及时制定数据安全培训计划,并每年组织开展全员数据安全教育培训,对于负责处理重要数据安全相关的技术和管理人员,建议每年教育培训时间不得少于二十小时。
如发生重要数据泄露、毁损、丢失等数据安全事件时,企业应当在发生安全事件后及时区的市级网信部门和有关主管部门报告事件基本信息,包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等。同时,在事件处置完毕后应立即向有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。
企业可采用加密、去标识化、水印追溯等方式实现对数据的保护。同时,也可使用数据分类分级系统对数据进行深度扫描和挖掘,对数据资产分级分类管理,罗列重要数据清单,识别敏感信息,针对前期已发现的问题隐患,按照法律法规、政策和标准要求,制定数据安全整改方案,有针对性地开展整改,及时消除风险隐患,补强管理和技术短板,提升企业安全防护能力。
企业在完成管理层整改和技术整改后,可以引入安全防护系统构建自己的数据安全管理平台,以确保企业数据长期的安全性及的合规性。同时,企业也应密切关注我国和境外对于数据管理要求的更新内容及法律规定,确保企业的数据合规工作满足最新的境内外法律要求。
注释及参考文献:
1、《企业数据出境合规系列解读(一):盘点常见数据出境风险场景》
https://www.163.com/dy/article/HGH5O4050519BMQ6.html
2、《路未央花已遍芳:数据跨境流动的合规之道——兼评数据跨境新规对数据跨境业务的影响》
https://www.sohu.com/a/572129243_121123752
3、《认证路径初现端倪——<个人信息跨境处理活动安全认证规范>简评》
https://law.wkinfo.com.cn/professional-articles/detail/NjAwMDAxODM2NjE%3D?q=PIA&module=&from=editorial
