今年以来,我国个人信息保护领域立法活跃非凡。数据,在数字经济中有着石油一般的战略地位。在中美贸易战的特殊时期出台的《个人信息出境评估办法(征求意见稿)》(以下简称“《评估办法》”)显得不同寻常。我们在本文中梳理了我国数据出境的立法发展脉络,分析《评估办法》的突出变化,并和欧盟《通用数据保护条例》(以下简称“GDPR”)对数据出境的规定做出对比,展望监管趋势。
一、数据出境相关立法发展脉络及监管趋势
2017年开始实施的《网络安全法》确立了数据出境的安全评估机制。其后,相关法律法规、国家标准相继对数据的跨境传输做出规定。我们对这些规定从其适用主体、适用内容、适用措施和监管机构几个方面做出如下梳理:
《网络安全法》(2017) | 《个人信息和重要数据出境安全评估办法(征求意见稿)》(2017) | 《信息安全技术 数据出境安全评估指南(征求意见稿)》(2017) | 《网络安全审查办法(征求意见稿)》(2019) | 《数据安全管理办法(征求意见稿)》(2019) | 《个人信息安全出境评估办法(征求意见稿)》(2019) | |
适用主体 | 关键信息基础设施运营者(“CIIO”) | 网络运营者 | 网络运营者 | CIIO | 网络运营者 | 网络运营者 |
适用内容 | ü 个人信息 ü 重要数据 | ü 个人信息 ü 重要数据 | ü 个人信息 ü 重要数据 | ü 个人信息 ü 重要数据 | ü 重要数据 û 个人信息 | ü 个人信息 û 重要数据 |
适用措施 | 安全评估 | • 自评估 • 报监管部门组织评估 • 年度评估并报备 • 定期检查 | • 自评估 • 主管部门评估 | 向主管部门申报网络安全审查 | • 自评估并报监管部门批准同意 • 向境外提供个人信息按有关规定执行 | • 主管部门评估(每2年重新评估) • 年度备案 • 定期检查 |
监管机构 | 未提及 | 国家网信部门统筹协调,行业主管或监管部门开展评估。 | 国家网信部门、行业主管或监管部门。 | 网络安全审查办公室 | 行业主管监管部门或省级网信部门 | 省级网信部门 |
总体而言,这些规定在数据出境安全评估机制[1]的框架下,对于数据跨境传输的监管呈现出以下特点和趋势:
1. 评估机制的适用主体扩大到所有网络运营者
从适用主体的角度来看,2017年的《网络安全法》将评估制度的适用主体限定为CIIO。随后,从《个人信息和重要数据出境安全评估办法(征求意见稿)》开始,评估机制的适用主体范围从CIIO扩大到所有网络运营者。虽然《网络安全审查办法(征求意见稿)》的适用范围仅限CIIO,但这份文件仅针对CIIO与网络安全相关的交易,其目的即是对CIIO做出规制,所以并不在对这个问题的考虑范围内。本次新公布的《评估办法》仍然将评估制度的适用主体规定为网络运营者。由此可以看出,在数据出境安全评估制度的适用对象方面,监管机构的基本思路十分清晰,即囊括所有的网络运营主体,而非仅针对CIIO。
2. 针对评估对象分别监管
从适用内容(即评估对象)的角度来看,从2017年的《网络安全法》开始,各项法律法规均将个人信息和重要数据并列纳入评估/审查范围。但自2019年发布的《数据安全管理办法(征求意见稿)》开始,评估对象出现重大变化,即将重要数据和个人信息分开处理。《数据安全管理办法(征求意见稿)》第二十八条规定,重要数据出境应“报经行业主管监管部门同意,行业主管监管部门不明确的,应经省级网信部门批准”,同时规定“向境外提供个人信息按有关规定执行”,指向了酝酿中的个人信息的出境规则,即本次的《评估办法》。该征求意见稿第三十八条还规定,“重要数据一般不包括企业生产经营和内部管理信息、个人信息等”,进一步表明主管部门对重要数据和个人信息出境分别监管的思路。
3. 监管措施趋严
从适用措施的角度来看,《网络安全法》仅一笔带过,要求CIIO在个人信息和重要数据确需出境时,进行安全评估[2]。在《个人信息和重要数据出境安全评估办法(征求意见稿)》和《信息安全技术 数据出境安全评估指南(征求意见稿)》中评估的具体方式得到了细化,即“自评估+监管部门评估+年度评估并报备”(前者的规定,详见下文)。《网络安全审查办法(征求意见稿)》要求CIIO在采购网络安全产品和服务时,涉及大量个人信息和重要数据跨境传输的,向主管部门申报网络安全审查[3]。在2019年的《数据安全管理办法(征求意见稿)》中,对重要数据的规制,虽保留网络运营者自行评估的环节,但需“报经行业主管监督部门同意”[4],实质上已经变成了审批制要求。再到本次出台的《评估办法》,对于个人信息,适用措施已经完全变成了“主管部门评估+年度备案+定期检查”制(详见下文)。从上述趋势看,监管机构对于数据出境的适用措施逐步趋严,网络运营者自行评估风险并进行把控的灵活度降低。
二、《个人信息和重要数据出境安全评估办法(征求意见稿)》和《评估办法》对比
本次出台的《评估办法》填补了《数据安全管理办法(征求意见稿)》对个人信息出境规定的空白。我们拟通过对比2017年发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称“《旧评估办法》”)和2019版本的《评估办法》,了解监管部门在数据出境监管方面的思路变化,并评述其中的重点条款和给网络运营者带来的影响。
对比项 | 《旧评估办法》 | 《评估办法》 | 评述 |
立法目的 | 第一条 为保障个人信息和重要数据安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法利益,根据《中华人民共和国国家安全法》《中华人民共和国网络安全法》等法律法规,制定本办法。 | 第一条 为保障数据跨境流动中的个人信息安全,根据《中华人民共和国网络安全法》等相关法律法规,制定本办法。
| 从规制“重要数据和个人信息”,到仅规制“个人信息”,体现监管机构对个人信息和重要数据分别监管的思路。 |
本地存储 | 第二条 网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照本办法进行安全评估。 | 无 | 《评估办法》删除了对本地化存储的表述,是否意味着默认网络运营者应对个人信息进行本地存储?抑或参考《评估办法》第二十条和《信息安全技术 数据出境安全评估指南(征求意见稿)》[5]对“数据出境”的定义,只要个人信息在中国境内收集并涉及出境(包括经由中国出境),无论个人信息是否存储于境内,均需适用《评估办法》,亦即不将数据本地存储作为确认是否适用《评估办法》的标准?无论属于上述哪一种情形,都将增加企业的合规难度和成本。 |
适用措施 | 第六条 行业主管或监管部门负责本行业数据出境安全评估工作,定期组织开展本行业数据出境安全检查。
第七条 网络运营者应在数据出境前,自行组织对数据出境进行安全评估,并对评估结果负责。
第九条 出境数据存在以下情况之一的,网络运营者应报请行业主管或监管部门组织安全评估: (一)含有或累计含有50万人以上的个人信息; (二)数据量超过1000GB; (三)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等; (四)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息; (五)关键信息基础设施运营者向境外提供个人信息和重要数据; (六)其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。 行业主管或监管部门不明确的,由国家网信部门组织评估。 | 第三条 个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。
第五条 省级网信部门在收到个人信息出境安全评估申报材料并核查其完备性后,应当组织专家或技术力量进行安全评估。安全评估应当在15个工作日内完成,情况复杂的可以适当延长。
第七条 省级网信部门在将个人信息出境安全评估结论通报网络运营者的同时,将个人信息出境安全评估情况报国家网信部门。 网络运营者对省级网信部门的个人信息出境安全评估结论存在异议的,可以向国家网信部门提出申诉。
第十条 省级网信部门应当定期组织检查运营者的个人信息出境记录等个人信息出境情况,重点检查合同规定义务的履行情况、是否存在违反国家规定或损害个人信息主体合法权益的行为等。 | 从“自评估+特定情况下监管部门评估+定期检查”,变为“一律由监管部门评估+定期检查”。 |
评估启动要素 | 第十二条 ……当数据接收方出现变更,数据出境目的、范围、数量、类型等发生较大变化,数据接收方或出境数据发生重大安全事件时,应及时重新进行安全评估。 | 第三条 向不同的接收者提供个人信息应当分别申报安全评估,向同一接收者多次或连续提供个人信息无需多次评估。 每2年或者个人信息出境目的、类型和境外保存时间发生变化时应当重新评估。 | 首次明确应根据不同的接收者分别申报安全评估。明确其他要素(包括数据出境目的、范围、数量、类型)发生任何变化时,都应重新评估,而非仅在发生较大变化和重大安全事件时重新评估。 |
评估周期 | 第十二条 网络运营者应根据业务发展和网络运营情况,每年对数据出境至少进行一次安全评估,及时将评估情况报行业主管或监管部门。 | 第三条 每2年或者个人信息出境目的、类型和境外保存时间发生变化时应当重新评估。 | 在数据出境无变化的情况下,评估周期延长为两年一次。 |
评估内容 | 第八条 数据出境安全评估应重点评估以下内容:(一)数据出境的必要性; (二)涉及个人信息情况,包括个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等; (三)涉及重要数据情况,包括重要数据的数量、范围、类型及其敏感程度等; (四)数据接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等; (五)数据出境及再转移后被泄露、毁损、篡改、滥用等风险; (六)数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险; (七)其他需要评估的重要事项。 | (一)是否符合国家有关法律法规和政策规定。 (二)合同条款是否能够充分保障个人信息主体合法权益。 (三)合同能否得到有效执行。 (四)网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件。 (五)网络运营者获得个人信息是否合法、正当。 (六)其他应当评估的内容。 | 不再具体规范评估内容,但抓住了几个有力抓手,如合同条款、网络运营方或接收者的过往历史、信息取得的合法基础等。 |
出境记录保存义务 | 无 | 第八条 网络运营者应当建立个人信息出境记录并且至少保存5年,记录包括: (一)向境外提供个人信息的日期时间。 (二)接收者的身份,包括但不限于接收者的名称、地址、联系方式等。 (三)向境外提供的个人信息的类型及数量、敏感程度。 (四)国家网信部门规定的其他内容。 | 新增了出境记录保存5年的义务,时间较长,且规定细致,增加企业合规成本。 |
备案义务 | 第十二条 网络运营者应根据业务发展和网络运营情况,每年对数据出境至少进行一次安全评估,及时将评估情况报行业主管或监管部门。 | 第九条 网络运营者应当每年12月31日前将本年度个人信息出境情况、合同履行情况等报所在地省级网信部门。 | 明确了报备机关为省级网信部门,不排除行业主管部门从行业监管角度要求同时报备。 |
网络运营者对个人信息主体承担的义务 | 第四条 个人信息出境,应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区,并经其同意。未成年人个人信息出境须经其监护人同意。 | 第十三条 网络运营者与个人信息接收者签订的合同或者其他有法律效力的文件(统称合同),应当明确: (一)个人信息出境的目的、类型、保存时限。 (二)个人信息主体是合同中涉及个人信息主体权益的条款的受益人。 (三)个人信息主体合法权益受到损害时,可以自行或者委托代理人向网络运营者或者接收者或者双方索赔,网络运营者或者接收者应当予以赔偿,除非证明没有责任。 (四)接收者所在国家法律环境发生变化导致合同难以履行时,应当终止合同,或者重新进行安全评估。 (五)合同的终止不能免除合同中涉及个人信息主体合法权益有关条款规定的网络运营者和接收者的责任和义务,除非接收者已经销毁了接收到的个人信息或作了匿名化处理。 (六)双方约定的其他内容。
第十四条 合同应当明确网络运营者承担以下责任和义务: (一)以电子邮件、即时通信、信函、传真等方式告知个人信息主体网络运营者和接收者的基本情况,以及向境外提供个人信息的目的、类型和保存时间。 (二)应个人信息主体的请求,提供本合同的副本。 (三)应请求向接收者转达个人信息主体诉求,包括向接收者索赔;个人信息主体不能从接收者获得赔偿时,先行赔付。 | 除《旧评估办法》规定的告知义务外,网络运营者还需承担与接收者签订合同、向个人信息主体提供数据出境合同副本、对个人信息主体先行赔付等义务。 网络运营者需要更加全面地保护和响应个人信息主体的权利。 |
个人信息接收者的义务 | 无 | 第十五条 合同应当明确接收者承担以下责任和义务: (一)为个人信息主体提供访问其个人信息的途径,个人信息主体要求更正或者删除其个人信息时,应在合理的代价和时限内予以响应、更正或者删除。 (二)按照合同约定的目的使用个人信息,个人信息的境外保存期限不得超出合同约定的时限。 (三)确认签署合同及履行合同义务不会违背接收者所在国家的法律要求,当接收者所在国家和地区法律环境发生变化可能影响合同执行时,应当及时通知网络运营者,并通过网络运营者报告网络运营者所在地省级网信部门。
第十六条 合同应当明确接收者不得将接收到的个人信息传输给第三方,除非满足以下条件: (一)网络运营者已经通过电子邮件、即时通信、信函、传真等方式将个人信息传输给第三方的目的、第三方的身份和国别,以及传输的个人信息类型、第三方保留时限等通知个人信息主体。 (二)接收者承诺在个人信息主体请求停止向第三方传输时,停止传输并要求第三方销毁已经接收到的个人信息。 (三)涉及到个人敏感信息时,已征得个人信息主体同意。 (四)因向第三方传输个人信息对个人信息主体合法权益带来损害时,网络运营者同意先行承担赔付责任。 | 网络运营者不仅自身需要承担相关义务,还需要通过合同给境外的个人信息接收者设定义务,包括响应个人信息主体的权利、按合同目的使用个人信息、按合同约定期限保存个人信息、确认履行合同义务不会违背当地法律、及时通知网络运营者所在国相关法律环境的变化以及除非满足特定条件,否则不得向第三方传输个人信息等。 |
第二十条 境外机构经营活动中,通过互联网等收集境内用户个人信息,应当在境内通过法定代表人或者机构履行本办法中网络运营者的责任和义务。 | 新增了类似于GDPR第27条的境内代表人制度,但没有像GDPR区分情形,而是统一要求所有收集境内个人信息的境外机构,均在境内设立代表,增加了境外机构的合规难度和成本。 |
三、《评估办法》和欧盟对数据跨境流动规制的对比
数据出境给监管带来一系列问题,各国的数据保护立法都对这些问题做出了或多或少的回应,其中欧盟和美国分别代表了两种态度,欧盟更加强调对个人权利的保护,而美国更加重视数据的自由流通。《评估办法》的出台,显著加强了对个人信息跨境流动的限制,标志着我国立法向欧盟方向靠近的一步,同样力图更加全面地保护个人信息。
和欧盟立法相比,我国的《评估办法》在一定程度上借鉴了GDPR相关规定,但二者同时存在差异:
对比项 | GDPR | 《评估办法》 |
个人信息出境机制 | 多种机制,包括1)充分性决定[6];2)采取适当的保障措施(包括标准合同条款和约束性企业规则(“BCR”)等)[7];3)例外情形(包括个人数据主体同意、公共利益等)[8]。 | 单一机制,即安全评估机制(法律法规、国际条约另有规定除外[9])。 |
评估机构 | 1)充分性决定由欧盟委员会评估后作出[10];2)适当保障措施中,BCR由集团所确定的某一国数据保护监管机构(DPA)牵头评估[11]。 | 省级网信部门[12] |
评估周期 | 以BCR为例,BCR被批准后可以被修改,但须及时向所有BCR成员以及通过有管辖权的监管机构向所有监管机构报告其变化。 此外,对于处理者而言,如果修改可能影响处理条件,处理者还应及时向控制者提供信息,以便控制者提出异议或终止合同。 BCR规则或接收者变化的,根据身份的不同,符合以下要求,则无需重新评估BCR: 控制者: (1) 留存最新的BCR成员名单,保留对规则的所有修改记录,并在数据主体或监管机构要求时提供必要信息; (2) 新的BCR成员在受BCR约束并达到合规要求之前,不得向其传输数据。 (3) 任何对BCR或BCR成员的变更应每年通报给监管机构,并简要解释变更的原因。 (4) 修改可能影响BCR提供的保护水平或对BCR有重大影响(例如其约束性)的,则应立即通报给监管机构。[13] 处理者: (1) 留存最新的BCR成员、处理分包商名单,并提供给控制者、数据主体和监管机构; (2) 保留对规则的所有修改记录,并应要求系统性地向数据控制者和监管机构提供必要信息。 (3) 新的BCR成员在受BCR约束并达到合规要求之前,不得向其传输数据。 (4) 任何对BCR或BCR成员的变更应每年通报给监管机构,并简要解释变更的原因。 (5) 修改可能影响BCR提供的保护水平或对BCR有重大影响(例如其约束性)的,则应立即通报给监管机构。[14] | 每两年或者个人信息出境目的、类型和境外保存时间发生变化时也应当重新评估。[15] |
评估内容 | 根据传输机制各不相同。 充分性决定主要考虑传输目的国的法律环境、监管机构、国际承诺等。[16] 适当保障措施中,以约束性企业规则为例,评估内容包括: (1) 该规则是否具有法律约束力; (2) 就处理个人数据明确授予数据主体可强制执行的权利; (3) 集团及其每个成员的架构和联系方式; (4) 拟传输数据的详细信息,包括个人数据的种类、处理的类型及目的、受影响的个人信息主体类型、传输目的国等; (5) 是否适用数据保护的一般原则(如目的限制原则、数据最小化原则等); (6) 数据主体的权益是否得到保障,包括拒绝自动化决策,申诉或起诉权以及获得赔偿权等; (7) 欧盟境内的控制者或处理者是否对欧盟境外的集团成员违反约束性企业规则承担责任; (8) 有关BCR的信息是否有效地告知了数据主体; (9) 数据保护官的职责; (10) 投诉程序; (11) 确保遵守BCR的机制,如数据审计和纠错机制等; (12) 记录并向监管机构报告规则修订的机制; (13) 与监管机构的合作机制; (14) 向监管机构汇报第三国有关法律要求的机制; (15) 有关人员的培训机制。[17] | (1)是否符合国家有关法律法规和政策规定; (2)合同条款是否能够充分保障个人信息主体合法权益; (3)合同能否得到有效执行; (4)网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件; (5)网络运营者获得个人信息是否合法、正当; (6)其他应当评估的内容。[18] |
个人信息境外接收者的义务 | (通过多种机制,包括约束性企业规则和标准合同条款等)个人信息接收者应提供适当保障措施,以确保个人数据主体的权利是可执行的,且个人数据主体拥有有效的法律救济手段。[19] | (通过合同要求)接收者需响应个人信息主体的权利、按合同目的使用个人信息、按合同约定期限保存个人信息、向网络运营者通知接收者所在国法律环境变化,且除非满足特定条件,否则不得向第三方传输个人信息。[20] |
四、立法趋势预测及合规建议
1. 立法趋势预测
在《评估办法》出台前,有外媒曾报道,受中美贸易战影响,《信息安全技术 数据出境安全评估指南(征求意见稿)》在出台近两年时间内未能正式生效,我国对重要数据和个人信息的跨境传输监管可能做出重大调整。当前对重要数据和个人信息分别监管的趋势印证了这一说法。《评估办法》以个人信息这一安全要求相对较弱、流动性要求更强的监管对象为第一步,可能预示着后续对“重要数据”有相对更强的监管要求,比如采用更加严格的评估标准。
2. 合规建议
我们建议网络运营单位如有大量数据出境业务的,应重点关注本领域立法动态,适当调整数据的本地化存储和出境措施并制定相应后备方案,以及时响应立法和监管变化,降低违规风险。
此外,需要注意的是,在个人信息出境安全评估的申报主体方面,旧《评估办法》和《评估办法》均仅笼统地规定由“网络运营者”向主管部门提出申请。我国目前生效法律法规并未区分数据控制者和处理者的角色[21],《评估办法》也没有区分申报安全评估是控制者还是处理者的义务。我们在服务客户的过程中了解到,相关国家标准起草单位倾向认为,控制者和处理者都应当可以以网络运营者的身份向主管部门申请进行个人信息出境安全评估。从法律角度而言,理论上,控制者和处理者属于委托代理关系,控制者委托处理者代为处理数据,控制者作为委托人,应承担申报的法律责任,但可以委托处理者进行申报的具体操作。处理者通常也具备提交安全评估所需的更强的技术能力。当然,也有可能后续由主管部门在评估时根据某些原则确定申报评估的主体。但无论如何,个人信息出境安全评估箭在弦上,我们建议网络运营单位不仅要关注内部安全评估机制的建设,还应及时更新涉及数据处理的合同等法律文件,在法律允许的范围内,明确控制者和处理者就申报安全评估各自应承担的义务,为个人信息的合法、安全出境提前做好准备。
[1] 除《网络安全审查办法(征求意见稿)》(2019)针对CIIO采购网络产品和服务时可能导致大量个人信息和重要数据出境的情形制定了网络安全审查制度外,《网络安全法》和目前我国有关数据出境的征求意见稿均规定数据出境适用评估机制。
[2] 《网络安全法》第三十七条
[3] 《网络安全审查办法(征求意见稿)》第十条
[4] 《数据安全管理办法(征求意见稿)》第二十八条
[5] 《信息安全技术 数据出境评估指南》第3.7条
[6] GDPR第45条
[7] GDPR第46条
[8] GDPR第49条
[9] 《评估办法》第二条、第十九条
[10] GDPR第45条(1)
[11] European Commission,Binding Corporate Rules (BCR),“How is the lead authority chosen?”,https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/binding-corporate-rules-bcr_en
[12] 《评估办法》第三条
[13] GDPR第47条(2)(k)、Article 29 Data Protection Working Party, 5.1, Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules (WP 256)
[14] Article 29 Data Protection Working Party, 5.1, Article Working Document setting up a table with the elements and principles to be found in Processor Binding Corporate Rules (WP 257)
[15] 《评估办法》第三条
[16] GDPR第45条(2)
[17] GDPR第47条(1)、(2)
[18] 《评估办法》第六条
[19] GDPR第46条(1)、(3)
[20] 《评估办法》第十五条、第十六条
[21] 目前仅《信息安全技术 个人信息安全规范》区分了控制者和受委托处理者的角色。
