专业文章

数据合规:数据出境,企业究竟该怎么做?丨星瀚合规

2021-07-19
分享到

前言:前有特朗普政府以TikTok和Wechat涉嫌将美国用户的个人信息未经许可地传输给中国政府,进而可能损害美国国家安全为由禁止了上述两款产品在美国的使用;后有特斯拉摄像头隐私事件使中国政府限制军方人员和重点国企员工使用特斯拉,并以特斯拉在中国建立数据中心,实现数据存储本地化收尾;再到近期滴滴出行被网络安全审查而下架。随着数据在全球范围内跨境流动的迅速增长与日渐频繁,各国政府正出于国家安全的考虑,加强对数据出境的监管,并收紧各国法律中对数据出境的规定,以保障在个人信息和重要数据安全的前提下,促进网络信息依法有序自由流动。因此,为避免因侥幸心理而影响战略大局并最终导致得不偿失,企业应当在实际操作中严格遵守数据出境的相关法律规范。

我国自2017年6月《网络安全法》实施以来,就数据出境问题也配套公布了多项法律规范的征求意见稿,虽然均尚未生效,但实践中暂时参照这些法规标准执行,因而具有极大的参考价值。

1eab047d5e66b13c53e7aad63c8b4479.jpg

这样做是否属于数据出境?

随着数据出境不断收紧,企业们开始变得惴惴不安。因此首要问题就是要弄清楚,什么是数据出境。

数据出境通常是指将在中华人民共和国境内收集和产生的电子形式的个人信息和重要数据,提供给境外机构、组织、个人。这里的“提供”不仅指网络运营者直接把数据传输至境外的行为,而且包括网络运营者通过开展业务、提供服务、产品等方式使用户通过使用其提供的产品或服务的功能,向境外机构、组织或个人提供数据的行为。

例如,在中国境内注册的健身房,将中国境内收集的会员个人信息传输给其美国母公司的;又比如,该健身房虽未向美国母公司传输会员个人信息,但美国母公司可以通过访问、查看该健身房的内网获取会员个人信息的。

实践中需要注意的是,有不少企业将其服务器设置在香港,在监管日趋严格的情况下,我们建议企业把大陆收集的数据传输至香港服务器的行为当作数据跨境传输来对待。此时,就需要根据《网络安全法》第三十七条、《数据安全法》第三十一条以及《评估办法》等相关法律法规的规定,在确定传输的数据性质后,进一步判断是否需要对该等数据的出境进行安全评估。

我们企业的数据出境需要评估吗?

在厘清了究竟何为数据出境后,我们关心的是,到底哪些企业的哪些数据在出境时要进行安全评估?【关键词:网络运营者、境内运营、个人信息、重要数据】

(一)网络运营者

对于数据出境的监管对象,《网络安全法》作出了是否为“关键信息基础设施运营者”的区分,而《评估办法(征求意见稿)》、《评估指南(一稿》、《评估指南(二稿)》、《个人信息评估办法(征求意见稿)》均将数据出境的监管对象扩大为“网络运营者”,《数据安全法》更是将“其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理”也纳入了监管范围,从某种程度上再一次肯定了我国数据出境监管趋严的基调。

因此,首先需要明确的是,数据能否进行跨境传输的核心不在于网络运营者是否属于关键信息基础设施的运营者,而在于数据本身是否属于“个人信息”或“重要数据”。也就是说,只要企业属于网络的所有者、管理者或网络服务提供者,对于数据出境这件事,就应当格外关注。

(二)境内运营

目前,相关法律法规仅对在境内运营中收集产生的个人信息和重要数据出境予以规制。企业只要满足以下任一条件,即属于“境内运营”:(1)在中华人民共和国境内注册的;(2)未在中华人民共和国境内注册,但在中华人民共和国境内开展业务,或向中华人民共和境内提供产品或服务的(包括但不限于:使用中文;以人民币作为结算货币;向中国境内配送物流等)。

但是,如果企业虽在中国境内注册,但仅向境外机构、组织或个人开展业务、提供商品或服务,且不涉及境内公民个人信息和重要数据的,那么就不视为境内运营。

可见,数据出境受到我国监管的核心是不单是网络运营者的注册地是否在境内,只要数据的生产和收集在我国境内,或数据的生产和收集未在我国境内,但经过了加工和处理,皆为我国监管的数据出境范围。

(三)客体:个人信息&重要数据

目前,针对出境行为而被纳入管理范围的数据只有两类,即个人信息和重要数据。

1、个人信息

个人信息是指以电子或者其他方式记录的能够单独或与其他信息结合识别自然人个人身份或者反映特定自然人活动情况的各种信息。

比如,用户在企业网站或APP上注册时设置的账号密码,提交的手机号码、电子邮箱和住址信息,又比如用户在该网站上的消费流水记录等。具体范围可以参见《个人信息安全规范》(35273-2020)的附录A。

666ec7ecd3cde0f981d7c0ffb5326ed5.jpg

2、重要数据

重要数据是指相关组织、机构和个人在境内收集、产生的不涉及国家秘密(国家秘密数据严禁向境外传输,具体规定参见《中华人民共和国保守国家秘密法》等法律、行政法规的规定),但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)。

例如,公开的地图数据;邮政、快递企业的运单数据(收寄物品的名称、规格、数量、收寄时间、寄件人和收件人名址、联系电话,以及寄递过程中的位置轨迹等);突发公共卫生事件与传染病疫情监测过程中获取的传染病病人及其家属、密切接触者的个人隐私和相关疾病、流行病学信息等。企业对于重要数据的识别可以参见《评估指南(二稿)》附录A,但同时还应及时关注有关部门是否对重要数据目录进行了更新。

综上所述,网络运营者对于其在境内运营收集的个人信息和重要数据进行跨境传输前,需要进行安全评估。

数据出境如何进行评估?

毋庸置疑的是,个人信息和重要数据原则上应当存储在中国境内,只有因业务需要,“确需向境外提供的”,通过安全评估后方可跨境传输。

那么,具体该如何进行数据出境的评估程序和操作,究竟又在什么情况才下属于“确需向境外提供”呢?

(一)重要数据出境评估

01 重要数据出境评估流程

根据《评估办法(征求意见稿)》、《评估指南(二稿)》,重要数据的出境安全评估采取的是“一般自评估+特别情况行业主管部门组织评估+网信办兜底”的模式。

(1)安全自评估

93b510047eaa621779794d32b10005a7.jpg

网络运营者应根据业务发展和网络运营情况,每年对数据出境至少进行一次安全评估,及时将评估情况报行业主管或监管部门。

(2)主管部门评估

 i. 企业上报行业主管部门或网信办

属于下述情况的,企业通过安全自评估后,还需上报行业主管部门评估,行业主管部门不明的上报网信办。

e944888f8dcb1bd764c88f11dc2d1872.jpg

至于企业究竟应该上报哪个行业主管部门,我们简要列明了实务中大家存在较多疑问的领域,其他行业可以具体参照《评估指南(二稿)》的附录A。

9c47164245664a03e2f5022e1ea6df7c.jpg

ii.网信办或行业主管部门主动启动评估

国家网信部门、行业主管部门也可根据数据出境类型、数量、范围、重要程度等,主动组织开展主管部门进行的数据出境安全评估。具体包括:

40129b345d881735fc607ec98fcdcefd.jpg

在数据出境主管部门评估启动之后,国家网信部门、行业主管部门确定主管部门评估范围,制定主管部门评估方案,并成立主管部门评估工作组。网络运营者按要求向主管部门评估工作组提交相关材料,材料包括安全自评估报告以及相关证明资料等。主管部门评估工作组根据主管部门评估方案,通过远程检测、现场检查等方式进行主管部门评估并形成主管部门评估报告。专家委员会对评估报告、安全自评估报告进行审议并给出是否同意数据出境的建议。国家网信部门、行业主管部门根据专家委员会建议做出决定,并书面告知被评估主体。此外,国家网信部门、行业主管部门还会定期对网络运营者开展的数据出境进行安全检查,形成检查结果及整改建议并书面告知被检查主体。

02 重要数据出境评估要点

(1)出境目的

如上文所述,企业只有因业务需要“确需向境外提供”个人信息和重要数据的,经安全评估后,方可进行数据跨境传输。这里的“确需”就是指数据跨境传输的目的需满足合法性、正当性和必要性的要求。

合法性主要指:该等数据不属于法律法规明令禁止的,也不属于国家网信部门、公安部门、安全部门等有关部门认定不能出境的。正当性主要指:个人信息主体已同意的(虽未经个人信息主体同意但是危及公民生命财产安全等紧急情况除外),同时不违反相关主管部门规定的。必要性主要指:履行合同义务所必需的;同一机构、组织内部开展业务所必需的;我国政府部门履行公务所必需的;其他维护网络空间主权和国家安全、经济发展、社会公共利益和保护公民合法利益需要的。

(2)安全风险

其次,评估数据出境计划的安全风险,应综合考虑出境数据的属性(类型、数量、范围、敏感程度和技术处理情况)和数据出境发生安全事件的可能性及影响程度(发送方数据出境的技术和管理能力;数据接收方的安全保护能力、采取的措施;数据接收方所在国家或区域的政治法律环境)。

其中,出境数据的范围应遵循最小化原则,即向境外传输的数据应与出境目的相关的业务功能有直接关联(没有该信息的参与,相应功能无法实现);向境外自动传输数据的频率应是与数据出境目的相关的业务功能所必需的频率;向境外传输数据的数量应是与数据出境目的相关的业务功能所必需的数量。(具体安全评估办法,企业可以参照《评估指南(二稿)》附录B)

(二)个人信息出境评估

考虑到国家网信办2019年公布的《个人信息评估办法(征求意见稿)》系专门针对个人信息出境,且相比2017年公布的征求意见稿而言,2019年的征求意见稿对个人信息出境的安全评估框架、评估流程、评估材料申报要求等做了较大调整,我们理解2019年征求意见稿更能反映监管部门对个人信息跨境传输的最新监管动向。因此,对于个人信息的跨境传输,除了遵循以上重要数据出境的评估要点和流程外,还应格外关注2019年公布的《个人信息评估办法(征求意见稿)》中产生变化的内容。

bfd31303d4947a3acab401463f5949d5.jpg

另外,特别需要注意的是,对于掌握超过100万用户个人信息的运营者赴国外上市的,还必须向网络安全审查办公室申报网络安全审查,具体要求可参见《网络安全审查办法(修订草案征求意见稿)》。该办法虽尚未生效,但近期被网络安全审查的“滴滴出行”、“货车帮”、“BOSS直聘”都在前不久赴美上市,且活跃用户均远超100万,监管态度可见一斑。

小结:虽然我国目前针对数据出境配套公布的多部办法和指南还未正式生效,且经过有关机关和部门的斟酌后,不排除现有内容会有所变更可能,但监管要求与内容大概率是趋严趋紧的。这一点无论是从不断收紧的监管处罚,还是从违法向境外提供数据的处罚上限由《网络安全法》的五十万,提高至《数据安全法》中的一百万,都可以明显看出。有鉴于此,企业对于数据出境更应当谨慎对待,小心处之,从严把控。

作者:虞杨、洪璐