作者:汉坤律师事务所 段志超丨蔡克蒙丨王雨婷丨徐紫寰丨金今

2022年7月7日,国家互联网信息办公室(“网信办”)正式发布《数据出境安全评估办法》(“《评估办法》”),细化和落实《网络安全法》第37条、《数据安全法》第31条、《个人信息保护法》第36、38、40条等法律中有关数据出境的规定。《评估办法》大体延续了2021年10月29日网信办发布的《数据出境安全评估办法(征求意见稿)》(“《征求意见稿》”)对数据出境从严监管的态度,采纳了《征求意见稿》提出的制度框架,但在细节处有所放松。本文旨在简析《评估办法》的要点,并提示需重点注意的事项与潜在挑战。

一、何为“向境外提供”个人信息和重要数据

根据《评估办法》第2条的规定,《评估办法》适用的数据出境活动系指数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的情形。此外,根据《个人信息保护法》第4条对个人信息的定义,向境外提供去标识化的个人信息将同样落入《评估办法》的适用范围中。

对于“向境外提供”的理解,根据网信办有关负责人在《评估办法》答记者问(“《评估办法》答记者问”)[1]中的介绍,《评估办法》适用的数据出境活动主要包括两大类:一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外;二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。

此外,一个备受关注的问题是,《评估办法》是否适用于《个人信息保护法》第3条第2款规定的情形,即境外主体直接从境内个人信息主体收集个人信息是否需要申报安全评估。对此《评估办法》并未明确做出规定,有待于监管后续在实践中予以明晰。从体系解释的角度看,我们倾向于认为对于个人信息而言,《评估办法》中的“向境外提供”仅指《个人信息保护法》第三章规范的境内个人信息处理者向境外提供数据的情形,换言之,境外主体直接从境内个人信息主体收集个人信息可能并不需要履行《评估办法》规定的安全评估义务。鉴于《评估办法》的适用范围仍存在一定不确定性,建议相关企业密切关注监管动态,并考虑根据全国信息安全标准化技术委员会秘书处于2022年6月24日正式发布的《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》,就前述直接从境内主体收集个人信息的场景完成个人信息保护认证。

二、需要申报数据出境安全评估的情况

《评估办法》第4条进一步明确了需要申报出境安全评估的四种情形:

  • 数据处理者向境外提供重要数据;

  • 关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;

  • 自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;

  • 国家网信部门规定的其他需要申报数据出境安全评估的情形。

上述需要申报评估的情形有以下值得关注的要点:

(1)所有重要数据出境均需安全评估[2]

根据《数据安全法》第31条对网信办制定重要数据出境规则的授权,《评估办法》第4条将所有“数据处理者向境外提供重要数据”的情形均纳入需要申报出境安全评估的范畴,扩展了《网络安全法》第37条关于重要数据出境安全评估的适用范围。

(2)向境外提供个人信息的数量计算最长以两年为周期

《评估办法》整体沿用了《征求意见稿》关于“处理数量”和“提供数量”的计算标准,但“向境外提供超过10万人以上个人信息或者1万人以上敏感个人信息”自上年1月1日起累计,即统计周期最长被限于2年内,不再永久累计。这一调整将减轻个人信息出境规模较小的企业的合规成本。

三、本地化存储和出境安全评估的关系

一个颇具争议的问题是,达到《评估办法》处理或提供个人信息数量标准的企业是否需要履行《个人信息保护法》第40条规定的境内存储义务。我们认为,虽然《评估办法》并未单独提及数据存储的本地化要求,但《个人信息保护法》第40条明确规定“关键信息基础设施运营者”或“处理个人信息达到国家网信部门规定数量的个人信息处理者”在数据出境方面需履行两项义务,即“境内存储”在境内收集和产生的个人信息,以及在确需对外提供的情况下通过“出境安全评估”,因此理论上讲“境内存储”实质上应为达到数量门槛的企业在跨境传输之前必须履行的义务。此外,境内存储亦有助于主管部门更高效地对数据安全开展监管。考虑到《评估办法》设置的数量门槛较低,实践中在安全评估时主管部门是否会严格将“境内存储”作为通过安全评估的前提仍有待进一步观察,但考虑到数据出境安全评估冗长的流程和结果的不确定性,数据本地化(即境内存储并尽量避免数据出境)可能将成为许多企业被迫做出的抉择。

四、出境安全评估以自评估为先导

对于数据出境风险自评估的要求,《评估办法》第5条规定“数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估”。评估事项包括数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;出境数据的规模、范围、种类、敏感程度以及出境行为的风险;境外接收方的保护能力;数据出境中和出境后的安全风险以及个人信息权益保障;拟订立的数据出境相关合同或者其他具有法律效力的文件中对双方数据安全保护责任义务的约定情况等。对于个人信息出境,类似的事前内部评估同样见于《个人信息保护法》第55条和《个人信息出境标准合同规定(征求意见稿)》,其均要求数据处理者于个人信息出境活动前开展个人信息保护影响评估。实践中,我们认为企业可以整合内部评估流程,先行开展个人信息保护影响评估,并以此为基础按照《评估办法》的要求进而完成数据出境风险自评估。总体而言,无论企业是否属于关键基础设施运营者或达到个人信息数量门槛,企业开展事前内部评估都是个人信息和重要数据出境前必须履行的合规义务。

五、申报前应拟定数据出境相关合同或者其他具有法律效力的文件

数据处理者申报安全评估需提交数据处理者与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件。《评估办法》第9条指出,法律文件中应包括数据出境行为的目的、方式和数据范围;接收方的处理行为;数据在境外保存的状况;对再转移的约束性要求;接收方实质控制权和经营范围发生实质性变化,或其所在国家地区的数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形时采取的数据安全措施;违反数据安全保护义务时的补救措施、违约责任及争议解决方式;发生安全事件时的应急处置要求和个人行权渠道保障等。

《个人信息出境标准合同规定(征求意见稿)》及个人信息出境标准合同模板可作为数据出境相关合同的模板(对个人信息出境而言)或重要参考(对重要数据出境而言)。除合同外,其他法律文件可能包括境外接收方的单方承诺函或境内外所在各方集团数据安全管理制度或政策等。但根据《评估办法》答记者问,数据处理者宜在正式通过安全评估后,再与境外接收方正式签订法律文件,或在文件中约定该等法律文件以安全评估通过为生效条件。

六、严密的评估流程

《评估办法》在第7条和第11-14条中对评估的流程进行了细致的规定,具体如下图所示。

关于申报流程有以下值得注意的要点。

(一) 省级网信办形式审查

与《征求意见稿》相比,《评估办法》第7条补充规定了“省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验”。这一阶段为形式审查,申报材料齐全的将被报送至国家网信办,但如省级网信部门认为材料不齐全,则可能要求数据处理者补充直至材料齐全。

(二) 删除审查延期上限

此外值得关注的是,《评估办法》第12条删除了原《征求意见稿》第11条中对延长评估的60个工作日上限规定。根据《评估办法》第12条,国家网信部门认为评估中情况复杂或者需要补充、更正材料的,可以适当延长并告知数据处理者预计延长的时间。前述“延长的时间”并无明确上限,因此除正常评估需要的45个工作日外,安全评估可能进一步延长至超过60个工作日。实践中,企业的数据处理活动通常具有时效性和连续性,较长的审查期限可能对企业运营相关的各类客户数据、员工数据跨境传输带来较大的不确定性。

(三) 安全评估的三种结果

国家网信办对申报的评估可能有三种结果。一是申报不予受理。对于不属于安全评估范围的,国家网信办应在收到省级网信办上报的申报材料后7个工作日内通知数据处理者申报不予受理,这意味着数据处理者可以通过法律规定的其他合法途径开展数据出境活动。二是通过安全评估。数据处理者可以在收到通过评估的书面通知后,严格按照申报事项开展数据出境活动。三是未通过安全评估。未通过数据出境安全评估的,数据处理者不得开展所申报的数据出境活动。这意味着数据处理者可能要改变数据出境方案重新申报(如减少数据出境范围或频率、增强数据出境后的安全保护措施)或采取数据本地化措施避免数据出境。

(四) 增加异议、复评环节

《评估办法》第13条在《征求意见稿》的基础上额外增加了异议、复评环节,数据处理者对评估结果有异议的,可以在收到评估结果15个工作日内向国家网信部门申请复评,复评结果为最终结论。这一新增规定将为初次评估结果为不通过的企业提供额外的救济途径。

七、评估重点

《评估办法》规定的网信部门开展数据出境安全评估的评估重点与《征求意见稿》基本保持一致。这些评估重点中值得关注以下要点:

  • 如何理解数据出境的必要性:相较于跨境传输,可供企业选择的本地化替代性方案往往意味着显著提高的经营成本和极大的不便(如导致境内外无法协同处理某项工作、境内外分别使用不同的IT供应商将导致无法互联互通等),但能否以此作为数据出境的必要性在实践中可能争议较大。

  • 如何评估境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响:后续网信部门是否会像类似境外数据保护机构一样对特定国家或地区的数据保护水平做出充分性认定;抑或将委托第三方监测机构或学术机构做出评估报告;特别是在全球地缘冲突和贸易冲突加剧的情况下,一些特定国家或地区对向中国传输数据的限制或采取的其他限制措施是否会影响此项评估的结论,这些话题均有待在实践中观察与检验。

八、持续的评估监管

数据出境安全评估并非完成一次评估即可一劳永逸,《评估办法》旨在建立持续的评估和监管机制。数据处理者在数据出境评估结果的2年有效期内可正常开展数据出境活动。但在有效期内发生了需重新申报评估的情形,或评估结果有效期届满的,则应重新申报评估。

具体而言,数据处理者通过网信办数据出境安全评估后,在2年内无需就同一接收者后续的多次或连续的传输类似数据申请重新评估。然而,在下列情形中(《评估办法》第14、17条),数据处理者需要申请重新评估:

  • 向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的;

  • 境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的;

  • 出现影响出境数据安全的其他情形;

  • 国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的。

九、宽限期

《评估办法》将于2022年9月1日起施行。与《征求意见稿》相比《评估办法》第20条新增了宽限期的规定,要求《评估办法》实施前已经开展但不符合规定的数据出境活动,应在6个月内(即2023年3月1日前)完成整改。这意味着,2022年9月1日前已经开展的、达到安全评估标准的数据出境活动虽然暂时不受影响,但应尽快补办安全评估,以确保相关出境活动后续持续开展的合规性。

十、我们的观点

《评估办法》对从中国向境外传输重要数据和一定规模的个人信息提出了前所未有的严格限制。将个人信息和重要数据出境的安全评估合二为一在一份规定中加以规范,体现了国家对大量个人信息出境带来的国家安全风险的谨慎态度与担忧。总的来说,《评估办法》的出台不仅会给在华跨国企业带来IT架构调整、内部组织架构调整及随之而来的巨大前期投入成本,还将产生数据出境梳理、数据跨境传输协议管理、出境数据后续境外使用持续监管等大量持续的日常合规投入。为应对《评估办法》带来的合规挑战,我们对相关企业的建议是:

  • 考虑数据本地化存储:鉴于《评估办法》对安全评估设置了较低的数量门槛,对于业务依赖于境外数据处理或集中存储的公司而言,为了避免冗长的评估程序和与此相伴的不确定性,从长远角度考虑,数据本地化可能是一个不可避免的昂贵选择。

  • 完善内部制度、准备文件模板:《评估办法》并未对安全评估设置审限上限,这将为企业数据出境带来不确定性和高昂的潜在时间成本。对于未来拟开展数据出境的企业而言,预先制定内部数据出境行为识别制度、自评估制度、准备跨境相关法律文件将是顺利推动数据出境活动的关键一环。

  • 尽快开展梳理、评估工作,在宽限期内完成整改:《评估办法》规定的生效后的宽限期为6个月。在此期限届满前,所有达到安全评估申报要求的企业均应尽快着手梳理相关数据出境活动,准备安全评估申报,以避免在期限届满时未完成评估无法开展数据出境活动的窘境。

注释

[1] 2022年7月7日,《数据出境安全评估办法》答记者问,具体内容请见:http://www.cac.gov.cn/2022-07/07/c_1658811536800962.htm(最后访问时间:2022年7月8日)。

[2] 《评估办法》第19条将重要数据定义为“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”。《评估办法》并未明确列举重要数据的具体类型,因此重要数据的识别仍需要结合其他法律法规、标准予以明确。以《数据安全法》为基础,各地区、各部门负责制定本地区、本部门以及相关行业、领域的重要数据具体目录。2020年信安委即立项开始制定相关国家标准,直至2021年1月7日《信息安全技术 重要数据识别指南(征求意见稿)》已经过多轮审议和修改,其将为各地区、各部门制定重要数据具体目录提供原则性指导。在行业规定中,目前汽车行业的《汽车数据安全管理若干规定(试行)》将(在汽车设计、生产、销售、使用、运维过程中涉及的)重要数据定义为“一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据”,并列举了该等重要数据的具体类型。

声明:本文来自汉坤律师事务所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。