数据出境,一直以来都是企业最为关注的数据合规问题之一。从2017年《网络安全法》提出数据出境安全评估要求以来,我国关于数据出境的监管思路几经调整,天达共和数据合规团队也曾经在《个人信息安全出境监管趋势浅析》《草蛇灰线:从<个人信息保护法(草案)>看2021年几个数据问题的发展和走向(第一篇)》等文章中进行过探讨。2021年10月29日,国家网信办发布了《数据出境安全评估办法(征求意见稿)》(“《评估办法》”)。从《评估办法》所体现的监管方式和内容来看,我国关于数据出境的整体监管思路已基本成型,数据出境监管制度有望加速落地,成为《网络安全法》《数据安全法》和《个人信息保护法》的重要配套制度,为企业数据合规提供指导。
我们在此将企业普遍关注和最常提出的有关数据出境的问题进行总结,并根据《评估办法》进行解答,希望为企业更好地理解《评估办法》提供参考。
Q1:谁需要做安全评估?
答:根据《评估办法》第二条,需要进行数据出境安全评估的主体是数据处理者。《评估办法》本身及其上位法,包括《网络安全法》《数据安全法》和《个人信息保护法》等,均未就“数据处理者”给出明确定义,但根据《数据安全法》第三条对“数据处理”的规定,只要组织或个人对数据实施了收集、存储、使用、加工、传输、提供、公开等任何处理活动,都将落入“数据处理者”的范围。考虑到在数字化转型的经济背景下,几乎所有企业都不可避免地要与数据“打交道”,因此,广泛来讲,几乎每一家存在数据出境需求的企业都可能成为《评估办法》的规制对象。
Q2:哪些情形下数据出境需要评估?
答:我们刚才讲“几乎每一家存在数据出境需求的企业都可能成为《评估办法》的规制对象”,但并不是所有的数据出境都需要进行安全评估。以下情形下的数据出境才需要进行安全评估:
(1)关键信息基础设施运营者(“CIIO”)收集和产生的个人信息和重要数据。根据《关键信息基础设施安全保护条例》,是否是CIIO应当以主管部门通知的认定结果为准;
(2)出境数据中包含重要数据。注:无论是否是CIIO,只要出境的数据中包含重要数据,都需要进行安全评估。根据《数据安全法》,重要数据将由国家数据安全工作协调机制统筹协调有关部门制定具体目录;参考《信息安全技术 重要数据识别指南(征求意见稿)》,企业未来可能需要根据各地区、各主管部门的具体规定,自行识别本企业内的重要数据;
(3)处理个人信息达到100万人的个人信息处理者向境外提供个人信息。这里的100万人并不限于出境的个人信息所对应的个体数量,只要数据处理者处理的个人信息达到这一量级,向境外提供个人信息就需要进行安全评估,而不考虑出境的个人信息数量或涉及的个人信息主体的数量。参考国家市场监督管理总局于10月29日发布的《互联网平台分类分级指南(征求意见稿)》,超级互联网平台(在国内上年度活跃用户不低于5亿)、大型互联网平台(在国内上年度活跃用户不低于5,000万)都将落入监管范围;
(4)累计向境外提供超过10万人以上个人信息或者1万人以上敏感个人信息。这里的量级针对的是出境的个人信息数量;
(5)国家网信部门规定的其他需要申报数据出境安全评估的情形。其他情形包括哪些,有待网信部门进一步出台详细规定,不排除依个案具体情形要求数据处理者申报的可能性。
Q3:什么是数据出境?
答:《评估办法》并未定义“数据出境”的具体含义。2017年发布的《信息安全技术 数据出境安全评估指南(第二次征求意见稿)》曾尝试对“数据出境”的情形和范围进行界定。目前在实践中,以下几种情形普遍被认为属于“数据出境”:通过线上或线下方式将数据传输至境外或以其他方式使数据“物理”转移到境外的;从境外直接访问位于中国境内的服务器查阅、调取数据的;集团内部的中国企业向境外关联机构提供数据的(例如,跨国企业在中国的分支机构将员工信息直接录入到总部部署在境外服务器上的人力资源管理系统中)。
那么,过境数据是否属于数据出境?从《评估办法》第二条来看,如果数据过境不会使数据处理者在中国境内收集或产生新的数据后再出境,我们理解,应该不属于《评估办法》所规制的数据出境行为。
Q4:数据出境安全评估的流程是什么?
答:根据《评估办法》,总体上,数据出境安全评估包括处理者风险自评估和主管部门安全评估两个环节,其大致流程是:数据处理者在向境外提供数据前先开展风险自评估,并将风险自评估报告作为数据出境安全评估材料之一,通过所在地省级网信部门向国家网信部门进行申报。国家网信部门收到申报材料后,7个工作日内反馈是否受理,自出具书面受理通知书之日起45个工作日内完成数据出境安全评估;情况复杂或者需要补充材料的,可以适当延长,但一般不超过60个工作日。
Q5:数据处理者是否必须与境外接收方订立合同,是否必须采用国家网信部门制定的标准合同?
答:《评估办法》提到,数据出境申报材料中应当包含“数据处理者与境外接收方拟订立的合同或者其他具有法律效力的文件等”。因此,与境外接收方订立合同或类似的对双方具有法律效力的文件是必要的。
“标准合同”的概念系出自于《个人信息保护法》第三十八条,即个人信息出境的合法路径之一,是按照国家网信部门制定的标准合同与境外接收方订立合同。因此,如果出境的数据属于个人信息,且数据处理者采取上述数据出境路径的,则应当采用国家网信部门制定的标准合同。关于重要数据出境的合同或其他文件的形式,《评估办法》及其他相关法律法规并未作出相应要求。
Q6:数据出境安全评估的要素中是否包括个人信息主体的单独同意?
答:数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险。在《评估办法》列示的主要考虑因素中,明确包括“数据出境的目的、范围、方式等的合法性、正当性、必要性”,但并没有特别提及在个人信息出境的场景下,必须取得个人信息主体的单独同意。我们理解,这与《个人信息保护法》的规定是契合的。根据《个人信息保护法》第十三条,个人的同意不再是处理个人信息的唯一合法基础。因此,如果数据处理者基于个人同意以外的其他合法基础向境外提供个人信息的,我们认为,并不必须取得个人的单独同意,但在进行出境安全评估时,需要证明其数据出境行为具备法律规定的其他合法基础。
Q7:负责数据出境安全评估的部门有哪些?
答:国家网信部门负责数据出境的安全评估。国家网信部门受理数据出境安全评估申报的,将组织行业主管部门、国务院有关部门(例如公安部门)、省级网信部门、专门机构等进行安全评估。涉及重要数据出境的,国家网信部门将征求相关行业主管部门意见。
Q8:《评估办法》规定的“安全评估”与《网络安全审查办法(修订草案征求意见稿》(“网络安全审查办法修订意见稿”)中的“安全审查”是否相同?
答:今年7月份发布的网络安全审查办法修订意见稿扩大了现行《网络安全审查办法》的适用范围,将数据处理活动纳入网络安全审查范围,并将“核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险”列入主要考虑因素之中。尽管网络安全审查办法修订意见稿中的网络安全审查与《评估办法》所规定的数据出境安全评估,在数据出境方面存在一定的相似度,但我们理解,网络安全审查与数据出境安全评估并不相同。
首先,从制度的着眼点和目的来看,《国家安全法》确立了国家安全审查制度,网络安全审查办法修订意见稿所规定的安全审查是国家安全审查制度在网络和数据安全领域的体现,其关注点在于CIIO对网络产品和服务的采购活动、数据处理者的数据处理活动以及国外上市可能带来的国家安全风险。而《评估办法》中安全评估制度的目的是保护个人信息权益,维护国家安全和社会公共利益,其评估重点并不仅限于国家安全,还包括数据出境对公共利益、个人或者组织合法权益可能带来的风险。
其次,从审查/评估内容来看,数据出境安全评估专门围绕数据出境风险展开,而数据出境风险仅是网络安全审查的内容之一。
最后,从机制落实方面来看,网络安全审查系由中央网络安全和信息化委员会领导,且存在常设机构——网络安全审查办公室;而数据出境安全评估系由国家网信部门主导并实施,《评估办法》中也并未就此设置常设机构。
尽管如此,从优化行政监管机制的角度而言,未来如果企业同时面临网络安全审查和数据出境安全评估要求,也许主管部门可以考虑将数据出境安全评估结果作为网络安全审查申报材料,从而提高监管效能,降低企业负担。
Q9:通过一次安全评估后是否就可以一劳永逸了?
答:不是的。首先,评估结果的有效期为二年。有效期届满前,数据处理者需要继续开展原数据出境活动的,应当在有效期届满60个工作日前重新申报评估。其次,数据出境安全评估是一项动态的监管机制。一方面,如果在有效期内出现影响出境数据安全的情形,如出境数据的处理目的、类型、用途等发生变化,接收方自身实际控制权或其所处法律环境发生变化等,数据处理者应当重新申报评估。另一方面,如果国家网信部门在评估结果有效期内发现实际的数据出境活动不再符合数据出境安全管理要求的,应当撤销评估结果并书面通知数据处理者终止数据出境活动。如需继续开展数据出境活动的,数据处理者应当按照要求进行整改,并在整改完成后重新申报评估。
Q10:未经安全评估即进行数据出境活动的,会受到处罚吗?
答:根据《评估办法》第十七条,未经安全评估即进行数据出境属于违反《评估办法》的行为,应当视情况依照《网络安全法》《数据安全法》《个人信息保护法》等法律法规的规定处理;构成犯罪的,还将被依法追究刑事责任。
根据《网络安全法》第六十六条,CIIO未通过安全评估即在境外存储网络数据或者向境外提供网络数据的,除面临最高50万元罚款之外,还可能被处以停业整顿、吊销证照等处罚;另外,主管人员可能面临最高10万元的罚款。
根据《数据安全法》第四十六条,数据处理者违法从事数据出境活动的,除面临最高1,000万元罚款外,还可能被处以停业整顿、吊销证照等处罚;另外,主管人员可能面临最高100万元的罚款。
根据《个人信息保护法》第六十六条,个人信息处理者未经安全评估即进行个人信息出境活动的,罚款数额可能高达5,000万元或者上一年度营业额的5%,并面临被吊销证照等风险,主管人员还可能面临最高100万元的罚款以及从业限制等法律责任。
