《数据出境安全评估办法》八个实务问题解读
发布时间:2022-07-12
文 | 黄春林 郭懿中 汇业律师事务所
前后历经五年四易其稿,合合分分合合,网信办于2022年7月7日正式发布了11号令《数据出境安全评估办法》(下称“11号令”), 作为《个人信息保护法》第三十八条第一款第(一)项之落地规则,业界期盼已久的数据出境规则最重要的路径揭开神秘面纱。正如我们之前预测,《数据出境安全评估办法》属于部门规章级别,位列网信办11号令,将于2022年9月1日开始实施。
此前,2022年6月30日,作为《个人信息保护法》第三十八条第一款第(三)项之落地规则,网信办发布了《个人信息出境标准合同规定(征求意见稿)》公开征求意见;信安标委之前发布了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》作为《个人信息保护法》第三十八条第一款第(二)项之落地实践指引。至此,《个人信息保护法》第三十八条第一款规定的几种主要数据出境路径都有了相关的参考文件,中国数据出境规则框架基本成型。
结合立法沿革、监管意见及近期项目经验,汇业律师事务所黄春林律师团队简要解读11号令如下,仅供参考。
一、中国数据出境四大基本路径
二、什么叫“跨境提供”?
法律上虽然没有明确定义,实践中业界达成的共识是,如下三种情形均属于法律意义上的跨境提供:
(1)数据处理者将在境内运营中收集和产生的数据直接存储至境外;
(2)数据处理者将在境内运营中收集和产生的数据先存储在境内,再传输至境外;
(3)虽然数据处理者收集和产生的数据存储在境内,但是境外的机构、组织或者个人可以访问或者调用。
此外,实践中大家比较关注的一个问题,《个人信息保护法》第三章的跨境提供的“提供”含义和第23条的“提供”是不是一个含义?汇业律师事务所黄春林律师团队理解,这两个“提供”的含义(或称“场景范围”)是不一样的,即跨境提供的“提供”实质上是包含了第20条至23条的几种可能发生“客观转移”的情形,尤其包括委托处理和对外提供中可能涉及个人信息出境的情形,举例而言:
三、是否具有溯及力?
11号令将于《数据安全法》实施一周年之际——2022年9月1日正式实施。此外,11号令也回应了我们之前提出的立法建议,慷慨的给与了六个月的整改期,这极大的缓解了企业业务连续性的担忧,增强了法律适用的严肃性。
大家普遍关心的问题,11号令是否具有溯及力?根据《立法法》第九十三条规定,“法律、行政法规、地方性法规、自治条例和单行条例、规章不溯及既往,但为了更好地保护公民、法人和其他组织的权利和利益而作的特别规定除外。”11号令也确实作出了特别规定,“本办法施行前已经开展的数据出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改。”这就意味着,在11号令实施前已经开展的数据出境,可以暂时不用中断,而是应当尽快补办安全评估;但是,在11号令实施后才开展的数据出境,应当先安全评估,然后再开展数据出境活动。
网信办进一步明确,11号令实施之后,企业宜在与境外接收方签订数据出境协议前,申报数据出境安全评估。如果在签订数据出境协议后申报评估,建议在数据出境协议中注明此须在通过数据出境安全评估后生效,以避免可能因未通过评估而造成损失。
四、“本地化”明确了吗?
不同于2017版、2019版征求意见稿,2021版本征求意见稿和11号令全篇没提“应当在境内存储”,是不是说就没有“本地化”的要求了?事实上,这仅仅是个立法技术问题。
回到《个人信息保护法》第40条的条文结构,即大前提是“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者”,满足这个大前提后导致两个法律后果,即应当“存储在境内”和触发“出境安全评估”。
在11号令发布前,至于“国家网信部门规定数量”,可能有多个参考维度,包括2017版、《互联网个人信息安全保护指南》等。11号令发布后,这个数量实质上比较明确了,且与已经生效的《汽车数据安全管理若干规定(试行)》基本一致。
但是,有人认为11号令第4条的“数字标准”仅是《个人信息保护法》第40条后半句“出境安全评估”触发的参照标准,不能套用到前半句应当“存储在境内”。汇业黄春林律师团队认为,这种理解实质上是人为割裂了数据跨境流动安全管理制度的“本地化”和“出境安全评估”的“一体两面”,这两点实际上是同一个立法目的,一个有机的、完整的制度整体,不能割裂开来。我们也很难理解,网信办会再出一个办法叫“数据境内存储办法”来单独规定应当境内存储的“规定数量”。
五、要不要签数据出境协议?
我们理解,不管采取《个人信息保护法》第38条的哪种路径出境,都需要与接收方签订合同(法律依据参考《个人信息保护法》第21、23条,11号令第9条及《网络数据安全管理条例(征求意见稿)》第39条)。只不过,如果按照第38条第3款路径出境的,需要签《个人信息出境标准合同规定(征)》规定的标准合同;而如果采取第38条第1款路径(安全评估)出境需要签订的法律文件,可以不用标准合同,但是内容需要涵盖11号令第9条规定的内容,且可以参考标准合同的部分内容。
相比较于2021版第9条的规定,11号令关于数据出境协议的规定变化主要是,更加关注在下列情况下,接收方采取的安全措施、补救措施等:
(1)所在国家、地区数据安全保护政策法规和网络安全环境发生变化;
(2)发生其他不可抗力情形导致难以保障数据安全;
(3)违反法律文件约定的数据安全保护义务;
(4)出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险;等等。
此外,我们注意到,11号令将合同名称改为法律文件,意味着实践中可以采取单方承诺函的形式。同时,大家比较关注的一个问题,境外主体直接在境内处理个人信息的,数据出境协议谁跟谁签?我们认为,根据《个人信息保护法》第五十三条规定,本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表。因此,数据出境协议应当由“境内设立专门机构或者指定代表”与境外主体之间签署。
六、数据出境安全评估基本流程建议
七、个人信息出境合规八步检测法
八、现在要做什么?
目前,中国数据出境规则基本成型,相关法律理解与适用也比较明确了,政策路径相对清晰。因此,建议企业根据数据规模及性质,选择合适的路径出境,并尽快推进数据跨境及本地化合规工作。汇业黄春林律师团队建议,企业应当着手准备包括但不限于工作:
(1)组建项目团队,提前预定内、外部资源,调研数据出境情况,明确数据出境路径;
(2)制定数据出境风险自评估制度及机制,包括但不限于评估范围、评估组织、评估流程、评估指标、评估标准、评估申报、标准模板及配套表格等;
(3)根据企业业务实际并平衡评估成本、风险等因素,选择合适的出境方主体、接收方主体以及评估模块(例如EC、CRM、HR等),有序、逐步推进数据出境安全评估,不宜求大求全;
(4)加强与境外集团或供应商的谈判与解释沟通,开展必要的系统改造、改进机制(例如系统迁移、本地备份、字段限制与脱敏、访问控制等等),确保后续评估报告的清洁性;
(5)草拟或修订数据出境协议,审核涉及数据出境相关产品或服务的个保规则/条款以及交互界面文案;
(6)开展关键入境地法律政策环境及安全环境调研,确保接收地、接收方没有实质法律障碍;
(7)尽快启动数据出境自评估工作;
(8)持续跟进政策及行业实践变化;等等。