2022年9月1日起,《数据出境安全评估办法》(以下简称“《评估办法》”)施行,各地网信部门开始接受企业申报数据出境安全评估。
尽管《评估办法》给出了比较详细的标准和指引,国家网信部门也及时发布了《数据出境安全评估申报指南(第一版)》(以下简称“《申报指南》”)予以更详细的指导,但数据出境的实际情况千差万别,国际国内缺乏可循先例,故仍然存在大量疑难问题有待澄清。我们结合实践经验,选取若干高频问题,给出初步回答,以帮助企业客户更好地理解《评估办法》和把握当前的监管尺度。
以下问答仅供参考,具体项目请以主管部门的咨询意见为准。
1.
为判断是否触发数据出境安全评估而统计个人信息数量时,是否包括内部员工的信息?是否包括企业客户、供应商等B端的商务联系人信息?
答:企业内部员工及客户、供应商等B端的商务联系人信息均属于个人信息。虽然《征信业管理条例》第13条第2款规定“企业的董事、监事、高级管理人员与其履行职务相关的信息,不作为个人信息”,国外也有立法例规定员工职务行为以及商务联系信息不适用个人信息保护的一般规则(如新加坡《个人数据保护法》),但目前《个人信息保护法》及《评估办法》并未一般性地将上述信息排除适用,也未设置特别规则,故该等个人信息也适用数据出境的一般规则。
结合目前的监管口径,企业在统计个人信息数量时,不仅需要计入C端用户数量,也应计入内部员工及客户、供应商等B端的商务联系人的数量。
2.
“向境外提供数据”是否包括向境外机构在中国境内设立的分支(代表)机构提供数据?是否包括向居住在中国境内不具有中国国籍的人提供数据?
答:首先,在数据出境问题上,“出境”指的是跨越边境而非国境。在“一国四法域”的框架下,从大陆地区向香港、澳门或台湾地区提供数据构成“向境外提供数据”。
其次,国家网信部门强调实际数据流,即事实上有数据从境内流向境外,而不仅仅是法律上的转移。
因此,向境外机构在中国境内设立的分支(代表)机构提供数据而该数据的后续处理均在境内进行的,不属于“向境外提供数据”;向居住在境内不具有中国国籍的人提供数据,同样不涉及跨境再传输、境外处理的,也不属于“向境外提供数据”。
不过,向中国境内的外国使、领馆,以及位于中国领海的他国船舶、航空器这类虽在中国境内但不受中国司法管辖的特殊对象提供数据是否属于“向境外提供数据”,仍有待网信部门的澄清。
3.
境外的个人信息和重要数据传输入境后,如果仅仅是在境内中转,未经任何变动或加工处理,出境前是否需要安全评估?经过加工处理后再次出境,是否需要安全评估?
答:《信息安全技术 数据出境安全评估指南(征求意见稿)》第3.7条的注释规定,“非在境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动或加工处理的,不属于数据出境。”同时,“非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的,不属于数据出境。”不过,《评估办法》和《申报指南》中未规定这两种例外情形。
我们理解,第一种情况因为既不涉及境内数据源,也不涉及境内的数据处理加工行为,不纳入数据出境监管是合理的。
第二种情况则较为复杂,“不涉及境内运营中收集和产生的个人信息和重要数据”这一限制条件,需要综合考虑加入的数据的来源和性质以及处理加工后的数据性质,当前不宜直接排除适用数据出境监管制度。
4.
为判断是否触发数据出境安全评估而统计个人信息数量时,当次拟出境的个人信息是否需要计入自上年度1月1日以来的累计数量中?
答:当次拟出境个人信息量应记入累计数量。《评估办法》第4条第3项规定的情形为“自上年度1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的个人信息处理者向境外提供个人信息。”
从文义来看,似乎只计已经出境的个人信息,不计将出境的个人信息,但该种解释会导致一个漏洞,就是自上年初以来未有个人信息出境记录的处理者,可以将远超10万人的个人信息或远超1万人的敏感个人信息一次性转移出境,而无需申报安全评估,这显然与数据出境安全评估制度设计的目的相悖。因此,当次拟出境的个人信息应计入累计数量。
5.
数据出境涉及到境内的云服务提供商时,如何确定自评估及申报主体?
答:原则上应由数据处理者开展自评估并进行申报。参考《信息安全技术 数据出境安全评估指南》(征求意见稿)第4.2.2条,“云服务客户主动要求云服务提供商进行数据出境的,由云服务提供商配合云服务客户开展安全自评估,且由云服务客户承担相应责任。如云服务提供商主动要求进行数据出境的,由云服务客户配合云服务提供商开展安全自评估,且由云服务提供商承担相应责任。”
我们理解,上述判断标准的关键在于区分数据处理者与受托人。云租户决定数据出境的目的和方式,是数据处理者,由其承担法定的自评估和申报义务。大多数情况下,云服务商只是受托人,只依据云服务合同承担约定的协助义务;只有在云服务商为自身目的将数据转移出境时,才需承担法定的自评估和申报义务。
未来云服务商可以将安全评估和申报作为一项增值服务,向云租户提供,但这并不改变行政法下自评估和申报义务的分配。
6.
数据出境安全自评估与个人信息保护影响评估的关系如何?
答:根据《个人信息保护法》和《评估办法》,在个人信息出境触发安全评估的情况下,既要开展个人信息保护影响评估,也要进行数据出境安全自评估。
个人信息保护影响评估是一项日常工作,关注的是个人权益风险,而自评估只有在触发安全评估时才需要开展,重点关注的是国家安全和公共利益风险,兼顾组织和个人权益风险。
不过,单就个人信息出境而言,二者的评估内容很大程度上存在重叠。出于成本和效率的考虑,实践中可以一并开展评估,分别输出两份报告。
7.
企业涉及境外的诉讼或仲裁,需要向境外司法机关或仲裁机构提交相关证据材料,是否适用数据出境安全评估?
答:就向国外司法机关提供数据,目前存在两种监管机制。一是国际司法协助机制下司法部对跨境调查取证的审批,虽然国外仲裁机构不属于国外司法机关,但是目前实践中一般比照国外司法机关处理,也适用这一机制。二是数据出境监管制度下网信部门对数据出境的安全评估,只有达到规定门槛的数据出境才会触发这一机制。两种机制的法律依据、触发标准、主管部门、审查流程不同,但审查对象和审查内容存在重叠。
对于二者之间的关系,目前存在不同理解。一种理解是二者并行不悖,需要同时满足;另一种理解是,向境外提供证据材料数据,统一归口司法部审批,无需另行向网信部门申报数据出境安全评估。
我们倾向于第二种理解。《个人信息保护法》第41条规定的情形可解释为第38条出境条件第4项规定的“法律、行政法规或者国家网信部门规定的其他条件”,和第1项数据出境安全评估系并列择一关系,因而在经司法部批准后即可出境,无需另行向网信部门申报数据出境安全评估。同理,《数据安全法》第36条也可以解释为第31条的特别规范。
至于两种审批机制之间统筹与协调,可以通过司法部与网信部门之间的内部会商来解决,如此可以避免重复审查,有助于减轻企业负担。
不过,在主管部门给出明确统一的意见之前,我们建议企业在将证据材料提交司法部审查的同时,咨询网信部门的意见。即便无需向网信部门申报数据出境安全评估,企业也应做好评估工作,作为提交主管机关审查的必备材料。
8.
如何理解数据出境后的“再转移”?境外接收方是否需要和再转移接收方签订“标准合同”?
答:目前暂无“再转移”的明确定义,参考《个人信息出境标准合同规定(征求意见稿)》附件第3条第7项,再转移可理解为境外接收方将个人信息提供给位于中华人民共和国境外的第三方。因此,再转移不仅包括从接收方所在国转出到第三个国家,也包括在接收方所在国内部进一步转移。
《评估办法》第9条规定,数据处理者与境外接收方订立的法律文件中应当包括“对于境外接收方将出境数据再转移给其他组织、个人的约束性要求”。《个人信息出境标准合同规定(征求意见稿)》进一步明确境外接收方应与再转移接收方达成书面协议,但没有要求签署中国版的“标准合同”,仅是笼统地要求保护水平不降低。
参考欧盟的相关实践,我们理解,境外接收方与再转移接收方之间的书面协议仍然需要实质上复刻“标准合同”中包含的承诺保证和义务,仅仅提及“同等保护”是不足够的。
9.
如何识别核心数据?核心数据能否出境?向境外提供核心数据是否需要申报安全评估?
答:根据《数据安全法》第21条第2款,国家核心数据是指关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据。目前核心数据的具体范围尚不明确。
《网络安全法》《数据安全法》和《个人信息保护法》未禁止核心数据的出境。《工业和信息化领域数据安全管理办法(试行)》二次征求意见时,亦将首次征求意见稿中规定的“核心数据不得出境”删除,变更为经安全评估后可以出境。
《评估办法》第4条仅规定“数据处理者向境外提供重要数据”需要申报安全评估,未提及核心数据,但不能因此说核心数据出境无需申报安全评估,原因在于重要数据与核心数据是包含而非并列关系。从定义来看,核心数据显然也符合重要数据的定义,是重要数据的子集。从制度设计来看,对核心数据的保护,是在重要数据保护制度的基础上,实施更加严格的保护。
因此,在国家明确针对核心数据的特殊保护措施之前,核心数据与其他重要数据一并适用重要数据保护制度(如出境安全评估制度);一旦未来国家制定专门针对核心数据的特殊保护制度,则应在现有的重要数据保护措施之上,叠加适用更严格的特殊保护措施。
