網上投稿
2023年9月28日,國家互聯網信息辦公室(以下簡稱“國家網信辦”)就《規范和促進數據跨境流動規定(征求意見稿)》(以下簡稱《數據跨境規定》)公開征求意見。《數據跨境規定》對于數據出境監管的標準進行了一定的調整,引發社會各界,特別是有數據出境活動的主體的高度關注。
《數據跨境規定》征求意見稿體現出什么樣的監管趨勢?該規定與《數據出境安全評估辦法》《個人信息出境標準合同辦法》等規則的銜接關系,以及《數據跨境規定》落地后如何適用?這些問題都值得關注。
筆者認為,《數據跨境規定》是對于《數據出境安全評估辦法》《個人信息出境標準合同辦法》等規則整改期實踐的總結,并在此基礎上進一步完善了數據出境治理思路。同時,在《數據安全法》《個人信息保護法》的基礎上,對于若干問題進行澄清和突破。具體如下:
一、數據出境治理思路的變化
從征求意見稿的內容來看,主要的變化體現在以下三個方面:
(一)觸發評估或備案的條件從追溯向預判轉化
這一變化主要體現在觸發數據出境安全評估或標準合同備案的情形上,在《數據出境安全評估辦法》中,適用個人信息出境安全評估的情形包括:“自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息”。低于這一數量則適用個人信息出境標準合同備案。
1.《數據出境安全評估辦法》的追溯思路及擬出境數量管理
按照這一規定,觸發數據安全評估的條件是,過去一個完整年度及申請評估年度截止申請評估日的個人信息或敏感個人信息的出境數量達到一定標準。吳衛明律師認為,這一觸發條件,實際上是對數據處理者過去行為的“追溯”。與此同時,在數據出境申報書中,對于未來兩年擬出境的數據量也需要進行表述。未來兩年的實際數據出境量,應不高于申報書中申報的擬出境數據量。
按照《數據出境安全評估辦法》的流程,對于達到評估標準的數據處理者而言,實際上需要申報兩個行為。
一是過去的個人信息出境行為,該行為是觸發評估的前提。二是未來兩年的個人信息出境行為,該行為是出境評估授予出境數量額度的行為。
在實際執行中,會出現一個問題:如果某數據處理者自上年1月1日起累計向境外提供的個人信息數量低于10萬人個人信息或低于1萬人敏感個人信息,按照《數據出境安全評估辦法》,是不需要申報數據出境安全評估的,而只需要按照《個人信息出境標準合同辦法》申報個人信息出境標準合同備案。
假如A企業自上年1月1日起累計向境外提供的個人信息數量低于10萬人個人信息或低于1萬人敏感個人信息,但未來兩年預期的個人信息出境數量較大;而B企業自上年1月1日起累計向境外提供的個人信息數量高于10萬人個人信息或高于1萬人敏感個人信息,但未來兩年預期的個人信息出境數量較小;那么就會形成一個矛盾,即A企業未來實際出境個人信息數量大,卻僅僅通過備案獲得了出境數量的額度;B企業未來實際出境個人信息數量小,卻需要通過安全評估獲得出境數量的額度。
顯然,在上述虛擬的案例中,評估或備案的嚴格程度,與數據出境的數量級別是不匹配的。為了清晰顯示這一區別,可見下表:
2.《數據跨境規定》的預判思路及出境數量管理
《數據跨境規定》則將未來一年內的預計出境信息人數作為觸發數據出境安全評估或觸發個人信息標準合同備案的條件。其具體規定為:預計一年內向境外提供1萬人以上、不滿100萬人個人信息,與境外接收方訂立個人信息出境標準合同并向省級網信部門備案或者通過個人信息保護認證的,可以不申報數據出境安全評估;向境外提供100萬人以上個人信息的,應當申報數據出境安全評估。
這一規定強調的是“預計”,也就是說,看重的是未來一年的擬出境個人信息人數。從而將現行規則既關注過去的實際出境數量,也需要申報未來兩年出境個人信息人數的雙重因素調整為只考慮未來一年預計數量。
征求意見稿的規定方式,有利于出境監管的數量因素與評估/備案體系更好地統籌協調。預計出境數量多(超過100萬人)的情況,直接申請評估;預計出境數量少的(1萬至100萬),直接進行備案。
(二)觸發評估條件從管主體向管數量的轉化
1.《數據出境安全評估辦法》對于特定主體(100萬人)的規定
《數據出境安全評估辦法》中,關于個人信息出境安全評估的情形,包含針對特定主體的情形。該辦法第四條之(二)包含了“關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息”。當然,本條款里面的關鍵信息基礎設施,已經明確不適用《數據跨境規定》,本文不做贅述。
對于處理100萬人以上個人信息的數據處理者向境外提供個人信息的情況,《數據出境安全評估辦法》規定必須申報數據出境安全評估,即使是僅出境一條個人信息。這一條規定,體現了對于處理100萬人以上個人信息的數據處理者數據安全的嚴格保護。但是,如果該主體出境的個人信息數量極少,那么從出境角度看,該種出境行為對于國家安全、社會公共利益、個人信息主體的權益損害也是有限的。如果另外一個主體,雖然處理個人信息數量遠遠低于100萬人,但出境的個人信息數量遠大于前者卻尚未觸發10萬人或1萬人的標準,則又會造成出境行為的實際風險與出境行為需要履行的評估或備案程序不匹配。
2.《數據跨境規定》關注實際數量
因《數據出境安全評估辦法》中關于關鍵信息基礎設施運營者的個人信息和重要數據出境的規定,是國家法律的強制規定。因此,《數據跨境規定》并未涉及對于關鍵信息基礎設施運營者數據出境的標準調整。
處理100萬人以上個人信息的數據處理者個人信息出境的標準,在《數據跨境規定》中并未規定。而是調整為以未來一年預計出境數量為觸發數據出境安全評估或個人信息出境標準合同備案的標準。其中,預計一年內向境外提供100萬人以上個人信息的,應當申報數據出境安全評估;預計一年內向境外提供1萬人以上、不滿100萬人個人信息,僅需進行個人信息出境標準合同備案或者通過個人信息保護認證。
此外,對于非關鍵信息基礎設施運營者未來一年預計出境數量不到1萬人個人信息的,則不直接干預。
對個人信息出境標準,從主體到數量的調整,將使得風險與適用的程序更為匹配。
(三)省級網信部門獲得更多授權
如上,總體而言,適用個人信息出境標準合同備案的情形增加,而適用數據出境安全評估的主體和情形則適當縮減,適用省級網信部門備案的比例提高。此外,對于自由貿易試驗區的負面清單制定和批準,也賦予了省級網信部門在數據出境中的監管職責。
二、若干重要問題的突破
(一)關于重要數據的認定從“自行識別”到“被告知或公示”的轉變
1.原有規則不能排除自行識別的義務
重要數據的認定問題,一直是數據出境安全評估申報中的難題,雖然《數據安全法》規定,各地區、各部門應當按照數據分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄,對列入目錄的數據進行重點保護。但截止當前,除《汽車數據安全管理若干規定(試行)》,列舉了六類重要數據外,其他行業主管部門或地區尚未出臺專門的重要數據目錄。
盡管《工業和信息化領域數據安全管理辦法(試行)》對于重要數據的概念進行了細化,但仍屬于原則性規定。但是,該辦法十二條規定:工業和信息化領域數據處理者應當將本單位重要數據和核心數據目錄向本地區行業監管部門備案。
這就意味著,至少在工業和信息化領域,數據處理者應當識別重要數據,并向本地區行業監管部門備案。
與此對應,如果工業和信息化領域的企業涉及數據出境,則可能需要根據《工業和信息化領域數據安全管理辦法(試行)》的規定識別重要數據,并進行數據出境安全評估申報。
2.《數據跨境規定》明確了被告知或公開發布重要數據的原則
《數據跨境規定》第二條規定,“未被相關部門、地區告知或者公開發布為重要數據的,數據處理者不需要作為重要數據申報數據出境安全評估。”
即,如果查不到本行業公開的重要數據認定標準,也沒有接到監管機構通知的,可以認為不需要適用重要數據的數據出境安全評估申報義務。該規定降低了重要數據認定的不確定性。
總體而言,重要數據的出境規則,使得企業在國家有關部門、地區重要數據目錄沒有發布、或者數據處理者未被告知存在重要數據的情況下,可以不需要因為重要數據出境而申報安全評估。
(二)豁免情形與負面清單并存
《數據跨境規定》同時規定了個人信息出境豁免申報數據出境安全評估、個人信息出境標準合同備案、個人信息保護認證的情形,也規定了自貿區的負面清單制度。豁免情形是《數據跨境規定》直接予以規定的,負面清單則需要自貿區依照相應程序制定并經過批準和備案。
1.個人信息出境豁免的情形
《數據跨境規定》第四條規定,無須適用數據出境安全評估、個人信息出境標準合同備案、個人信息保護認證的情形包括:(一)為訂立、履行個人作為一方當事人的合同所必需,如跨境購物、跨境匯款、機票酒店預訂、簽證辦理等,必須向境外提供個人信息的;(二)按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理,必須向境外提供內部員工個人信息的;(三)緊急情況下為保護自然人的生命健康和財產安全等,必須向境外提供個人信息的。
就第一種情形而言,是很多企業日常經營中為個人提供服務所不可避免的,比如:航空公司的跨境機票預定、機場提供值機服務,都不可避免需要用到個人信息;金融機構的跨境匯兌,接收方銀行獲取匯款人的姓名、賬號等信息也是業務必備的要求。這種出境活動因服務需要而無法終止或暫停,將其列入豁免的情形,具有合理性。
第二種情形下,也是企業跨境經營管理的基礎條件,企業無論是內部人力資源管理、ESG管理,對于員工信息的獲取,都具有一定的合理性。
第三種情形,則由于緊急情況的需要,而使得出境安全評估、個人信息出境標準合同備案、個人信息保護認證不具有實際的可行性。
需要注意的是,由于《網絡安全法》第三十七條規定關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。因此,上述三種豁免情形,筆者理解,并不適用于關鍵信息基礎設施運營者。
2.自由貿易試驗區負面清單問題
《數據跨境規定》第七條規定,自由貿易試驗區可自行制定本自貿區需要適用三大路徑的數據清單(即“負面清單”),負面清單外的數據出境可以無須適用三大路徑。負面清單應當報經省級網絡安全和信息化委員會批準,報國家網信部門備案。
負面清單制度,是網信部門在特定區域內簡化出境監管流程的一種特殊制度安排。
三、數據出境企業如何應對
(一)總量統計與分場景申報的關系
1.不同場景的總量應合并統計
從《數據跨境規定》關于個人信息的數量規定來看,無論是需要申報數據出境安全評估的情形,還是適用個人信息出境標準合同備案的情形,判斷的標準均以出境個人信息人數為準。這里所指的數量,應該是總量。即數據處理者的個人信息數據出境的場景可能有多個,這些場景下的個人信息出境數量應合并計算。
2.申報或備案應分場景分別描述
雖然《數據跨境規定》尚處于征求意見稿,且所適用的申報指引或者備案指引尚未公布,但從整個文件的精神,以及此前數據出境安全評估及個人信息出境標準合同備案的操作實踐來看,評估或備案,應以數據出境的場景為基礎,分場景申報評估或申報備案。
基于以上分析,吳衛明律師認為,與評估或備案相關的基礎工作總體上與《數據出境安全評估辦法》《個人信息出境標準合同辦法》的申報類似。都需要進行信息系統盤點、數據出境場景盤點、數據量盤點,也需要針對不同場景的數據出境進行合法性、正當性、必要性分析。
(二)豁免情況下的個人信息保護影響評估問題
對于《數據跨境規定》第四條規定的三種豁免情形,以及對于未來一年預計出境數量不到1萬人個人信息的,雖然無需無須適用數據出境安全評估、個人信息出境標準合同備案、個人信息保護認證。
但是,由于《個人信息保護法》明確規定了個人信息保護影響評估制度,個人信息出境屬于必須做個人信息保護影響評估的情形。因此,數據處理者即使在上述豁免情形下實施個人信息出境,也應針對個人信息出境場景實施個人信息保護影響評估活動。
(三)豁免情況下的個人信息出境合同簽訂問題
對于上述無須適用數據出境安全評估、個人信息出境標準合同備案、個人信息保護認證的情形,數據處理者是否需要簽訂相應的數據出境法律文件或者個人信息出境標準合同?相關規則沒有明確規定,《數據跨境規定》也未涉及。吳衛明律師認為,即使是在豁免情形下,建議數據處理者仍與境外接收方簽訂相應的個人信息保護協議。
《個人信息保護法》三十九條規定,個人信息處理者向境外提供個人信息,應當向個人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式和程序等事項,并取得個人的單獨同意。
數據處理者為了明確這些事項,客觀上也需要相應的合同予以約定。同時,為了保證這些告知事項能夠被境外接收方遵守,也需要與境外接收方簽訂相應的保障個人信息安全及個人權益的協議。當然,對于個人信息保護協議的內容,如果具備條件,建議按照個人信息出境標準合同的內容簽署。如果不具有簽署標準合同的條件,則建議協議中應涵蓋《個人信息保護法》第三十九條對于告知內容的要求。
綜上,筆者認為,《數據跨境規定》是在《數據出境安全評估辦法》《個人信息出境標準合同辦法》施行基礎上的總結,《數據跨境規定》征求意見稿的頒布,也體現出監管機關對于數據出境治理思路。對于數據處理者而言,吃透規定的精神,并做好數據出境合規工作的預判與規劃,無疑具有重要的現實意義。
滬公網安備 31010402007129號
