数据出境常态化合规的十个趋势性问题
发布时间:2023-04-10
文 | 黄春林 汇业律师事务所 合伙人
影响广泛的《数据出境安全评估办法》(下称“评估办法”)自2022年9月1日起施行,并给了6个月的整改期。整改deadline期满后,自2023年3月起,数据出境安全评估集中整改/申报暂告一段落,未来转向常态化合规阶段。
根据相关法律政策、监管实践及执法趋势,汇业律师事务所黄春林律师团队简要梳理数据出境常态化合规的十个趋势性问题如下,仅供参考:
1. 如何建立数据出境安全评估的常态化机制
2023年3月起,《评估办法》生效后的六个月集中整改/申报期届满,接下来进入数据出境安全评估及申报工作的常态化阶段。
企业测,尤其是触发主体申报条件(CIIO & 100万+)的跨国企业,未来新业务、新产品、新场景中一旦涉及数据出境,或者原申报场景发生变化影响数据安全的,均应当依法开展数据出境安全评估及申报工作。企业如何保障常态化数据出境安全评估工作的机构、人员及预算等资源,如何完善常态化数据出境安全评估的工作流程和协调机制,进而提高数据出境安全评估的响应效率并减少对日常业务的影响,成为企业数据出境即将解决的紧迫问题。
监管测,随着集中申报叠加常态化申报扩容,加上潜在的机构改革影响,专班模式可能面临更多工作压力,急需建立常态化申报、受理及评估的便利化机制,例如早日上线在线申报系统、进一步结构化自评估报告、进一步细化申报评估标准、前置部分评估工作,等等。
2. 如何应对申报全部或部分不通过的业务连续性挑战?
数据出境申报的结果包括三种:通过、不通过及附条件通过(附整改要求,例如因缺乏出境必要性,限制部分字段不得出境)。企业一旦拿到不予通过或附整改要求通过的结果的,可能会对现有业务连续性造成极大的挑战。
因此,企业侧,应当尽快制定应对预案,避免业务中断可能造成的不利影响;监管测,建议充分考虑网络系统的复杂性、行业基本特征和业务中断对经济、社会的不良影响,附加的整改条件给与一定的缓冲空间。
3. 如何应对重要数据出境合规的新挑战?
前一阶段,企业重点关注的是个人信息出境合规问题。未来,重要数据的识别规则不再“玄学”,国家层面以及部分地区、行业的重要数据识别规则/指南次第发布。其中,企业的100万人以上的个人信息,以及经营管理数据(财务数据、人事数据等)、网络安全保障数据、研发设计数据、生产制造数据等,可能会被划入重要数据范围(例如参见《电信领域重要数据和核心数据识别指南(试行》附录)。一旦重要数据识别规则明确并得到网信办采纳,随之可能会影响数据出境安全评估的触发条件、评估维度及支撑材料等,将会对跨国企业日常业务数据出境造成新挑战。
4. 第二版申报指南及评估指引何时发布?
2022年9月1日,在前期调研试点的基础上,国家网信办应时发布了《数据出境安全评估申报指南(第一版)》(下称“申报指南”),细化了《评估办法》关于自评估及申报程序等内容,极大的提高了法律适用的确定性,降低了企业合规风险。
随着申报及评估工作的深入推进,以及地区、行业、企业、场景、系统、数据的差异化日益明显,如何更好的兼顾《申报指南》的普适性和特殊性,更好的统一申报、审查、受理及评估工作的标准和粒度,有效解决申报及评估工作中遇到的新问题(例如装订形式要求),成为一个现实、紧迫的问题。这就需要监管部门全面总结国家专班及地方办的前期工作经验,及时发布评估要点指引甚至指导案例,加大政策宣导力度,适时更新《申报指南》。
5. 如何加强横向制度之间的衔接?
国家网信办主导的数据出境安全评估制度,仅仅是我国数据安全管理的一个维度。数据出境安全评估及申报工作进入常态化后,如何进一步加强网信与工信、公安、司法、数据局及其他行业主管部门在数据出境安全管理方面的常态化协调,如何进一步强化数据出境安全评估制度与数据安全年报制度、数据安全风险评估制度、企业海外上市备案制度、跨境争议解决证据提交制度、网络安全等级保护制度、关键信息基础设施安全保护制度、人遗资源管理制度、档案及情报管理制度等的制度衔接和程序协调,必将有利于进一步提升行政效率、优化营商环境、降低企业合规成本。
6. 标准合同路径的备案指南何时发布?
近日,国家网信办发布了《个人信息出境标准合同办法》(下称“《标准合同办法》”),将于2023年6月1日起施行,并参照安全评估路径给与了6个月整改期。
根据《标准合同办法》第七条规定,符合条件的企业应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。目前,网信部门还未发布具体的备案指南,备案的受理方式、材料清单、形式要求、程序细则、经办人条件等暂未明确。
此外,企业也急需据此进一步评估不同路径的合规要求及成本差异,尤其是标准合同有关条款和认证管理在境外的接受程度,综合选择标准合同路径还是认证路径。
7. 认证效力是否能够经受个案考验?
2022年年底,市监总局联合网信办发布了《关于实施个人信息保护认证的公告》及《个人信息保护认证实施规则》,作为《个人信息保护法》第38条规定的认证路径的落地细则。根据前述文件规定,数据出境认证的依据包括《信息安全技术 个人信息安全规范》、《个人信息跨境处理活动安全认证规范》等的最新版。
目前,部分机构(例如CCRC)已经开始了数据出境认证工作,发布了认证实施细则及申请书等基础资料。但是,认证结果及证书在多大程度上被司法、执法部门采信/认可,以及认证路径本身的效率性、经济性及合规成本等,都还需要在个案中进一步检验。
8.数据合规实践是否能够经受住监管部门的微观审视?
《个人信息保护法》2021年底实施以来,如何落地《个人信息保护法》的部分合规要求,业界还有不少争议。除了APP和小程序等外部渠道被纳入常态化监管外,企业的很多“暗箱”业务逻辑和内部网络系统的数据合规,事实上还没有经历监管执法部门的全面微观审视。
本轮数据出境安全评估,因评估范围广,涉及颗粒度细,被认为是企业数据合规实践是否符合监管要求的试金石之一,也被认为是后期数据合规建设的风向标之一,因此,相关结果具有重要的参考价值。
9. 数据出境行政执法第一案何时产生?
6个月整改期结束后,那些持观望态度的企业,都在等待靴子落地——是否真的会有未依法申报数据出境安全评估的企业被调查、处罚?但是,这个问题会受执法资源、行业整体申报进度、地区差异、舆情关注、经济环境、地缘政治等多重因素影响。“普遍性违法”并不能成为个案豁免责任的挡箭牌,“选择性执法”在任何法域都是企业合规头上悬着的剑。
2023年3月23日,国家网信办发布了《网信部门行政执法程序规定》将于6月1日正式实施,预示着网络安全、数据安全、个人信息保护等领域行政执法案件将有法可依、有法必依,相关的执法队伍也正在紧锣密鼓的建设中。
此前,数据出境相关的刑事案件已见报端,用户数据出境相关的个人权益民事诉讼据悉也有发生。
10. 如何依法应对监管执法检查?
目前,根据《申报办法》第17条规定,网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当书面通知数据处理者终止数据出境活动。
此外,根据《个人信息保护法》第63条规定,履行个人信息保护职责的部门履行个人信息保护职责,可以采取下列措施:……(三)实施现场检查,对涉嫌违法的个人信息处理活动进行调查;(四)检查与个人信息处理活动有关的设备、物品……
因此,企业应当确保数据出境持续合规,应当尽快建立常态化应对监管执法检查的牵头部门、内部流程及协调机制,避免忙中出乱、忙中出错,提高执法检查应对的合规性、灵敏性。