尘埃落定! 一文详解《数据跨境传输安全评估》重点规定
联合国发布的《2021数据经济报告》指出, 美国和中国在数字经济中的获益能力最强, 中美两国拥有全球一半的超大规模数据中心, 全球性数字企业因其平台业务在世界范围内拥有强大的金融、市场和技术力量和优势。基于全球供应链、境外远程运维、跨境服务平台运营、境外品牌管理等多种业务场景, 数据跨境流动涉及的合规问题也愈发引人关注。我们此前也专门以图示方式在《一图读懂数据出境规则》中对包括安全评估在内的数据出境规则进行解读。
本次, 结合新规, 我们更新完善了数据出境合规路径流程图, 欢迎在公众号内回复关键字“一图读懂”获取高清流程图。下周一我们将发布重磅双语法评, 敬请关注!
先划重点:
2022年7月7日, 《数据出境安全评估办法》(“《评估办法》”)正式发布, 9月1日起施行, 从征求意见稿到正式发布, 历时仅8个月。《评估办法》重点内容如下:
(1) 必须申报数据出境安全评估的情形, 较征求意见稿未做改变;
(2) 明确个人信息主体“累计”人数的最长期限为两个公历年度;
(3) 进一步细化了自评估、安全评估的内容和程序, 启动重新评估的场景;
(4) 将出境合同扩大到了“法律文件”, 细化数据出境文件具体要求;
(5) 从法规层面定义“重要数据”;
(6) 此前已经开展的数据出境活动, 不符合《评估办法》规定的, 应当在2023年3月1日前(施行后6个月内)完成整改。
《评估办法》为企业实施《网络安全法》(“《网安法》”)、《个人信息保护法》(“《个保法》”)以及《数据安全法》(“《数安法》”)规定的数据出境安全评估提供指引。本文将对最新出台的《评估办法》进行解读, 并为企业落实数据出境安全评估提供合规建议。
主要内容:
评估办法概述及历史沿革
何种情况下需要启动数据安全评估?
特殊行业需注意的行业数据出境评估要求
数据出境的配套评估规定、国标
数据出境安全评估的内容(自评估、安全评估、数据出境文件、PIA)
数据出境安全评估流程
企业合规建议
1
《评估办法》概述
《评估办法》的上位法是《网安法》《数安法》和《个保法》, 是三部法规在数据出境安全评估方面的配套实施规则。
2017年生效的《网安法》首次以法律的形式对数据跨境传输活动进行规制, 即关键信息基础设施运营者(“CIIO”)应当将其收集的个人信息和重要数据存储在境内, 确因业务需要向境外传输的应当依法进行安全评估。此后, 《数安法》和《个保法》分别对重要数据和个人信息的出境安全评估提出要求, 根据三部法规的规定, 《评估办法》对数据出境安全评估的对象和主体进行进一步细化:
2
何种情况下需要启动数据安全评估?
对于CIIO的数据出境行为, 《评估办法》与《网安法》的规定保持一致, 即CIIO跨境传输重要数据和个人信息应当进行安全评估, CIIO处理的个人信息的数量并不是判断是否需要进行安全评估的标准。
对非CIIO而言, 《评估办法》规定四类情况下的数据出境必须进行安全评估:
(1) 涉及重要数据;
(2) 处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;
(3) 自上年1月1日起累计向境外提供超过十万人的个人信息;
(4) 自上年1月1日起累计向境外提供超过一万人的敏感个人信息。
《评估办法》对《个保法》“国家网信部门规定数量”进行明确, 即处理个人信息达到一百万人的个人信息处理者向境外提供个人信息应当进行安全评估。这也说明, 处理个人信息的数量决定了个人信息处理者是否需要进行安全评估。由于掌握大量个人信息的企业本身面临较高的数据安全风险和数据合规要求, 因此从处理个人信息的数量角度对不同的个人信息处理者进行划分, 存在一定的合理性。然而, 如果掌握海量个人信息的企业并不构成CIIO, 并且仅出境极少数量的个人信息, 但按照《评估办法》的规定, 仍旧需要进行数据出境安全评估, 这可能在一定程度上增加了该等企业的合规成本。不过这一场景下, 企业的数据出境活动本身风险较低, 企业可以在自评估报告等文件中向有关机关进行充分说明, 以便尽快通过评估。
在出境数据数量标准方面, 正如我们在《<个人信息出境标准合同规定(征求意见稿)>重点速览》一文中所提到的, 《个人信息出境标准合同规定(征求意见稿)》第四条规定的出境数据数量是以上一年度1月1日作为累计计算的起算时间点, 该规定将此前《评估办法》征求意见稿中规定的数据所涉人数的时间范围进行收窄, 或给企业适用数据出境规则带来难题。然而正式出台的《评估办法》增加了对“累计”的计算方式, 有效解决了上述矛盾。至此, 对于所有非CIIO以及处理个人信息未到100万人的个人信息处理者而言, 累计计算出境数据都适用滚动计算的原则, 以确定最终适用何种数据出境合规路径。例如, 对于跨国企业而言, 如果使用全球部署的系统进行个人信息跨境传输, 只要在连续两个公历年期间内相关个人信息主体数量在规定的门槛之下, 就可以确定不必进行申报评估。
3
特殊行业的数据出境评估要求
除《评估办法》外, 部分行业主管部门出台了本行业的数据出境安全评估相关法律法规, 行业内企业应当在满足《评估办法》基础上, 同时遵循行业内生效法规的规定进行数据出境。
以汽车数据和工信数据为例, 2021年10月1日生效的《汽车数据安全管理若干规定(试行)》要求向境外提供构成重要数据的汽车数据[1]时应当进行风险评估, 同时要求汽车数据处理者向境外提供数据时不得超出出境安全评估时明确的目的、范围、方式和数据种类、规模等。2022年2月, 《工业和信息化领域数据安全管理办法(试行)》第二次征求意见稿要求工业和信息化领域数据处理者确有必要向境外传输重要数据和核心数据时, 应当进行出境安全评估, 由于核心数据的影响程度更大、危害程度更高, 企业进行核心数据出境时应当建立相适应的制度、管理和技术措施。
此外, 部分行业主管部门通常要求本行业的数据不得存储在境外服务器, 如人口健康数据、地图数据、人类遗传资源信息等, 企业应当注意不得将相关数据传输至境外。
4
数据出境的配套评估规定、国标
国家标准《信息安全技术数据出境安全评估指南(征求意见稿)》对数据出境行为提供更为细致的规定, 如数据出境的定义、重要数据的判定等, 给企业进行数据出境评估提供了指引。由于该国标目前仍为征求意见稿, 企业进行评估时总体应依照《评估办法》的规定进行, 对于《评估办法》规定不清晰或未进行规定的, 再参照国标进行。
值得一提的是, 《评估办法》出台前, 2017年《个人信息和重要数据出境安全评估办法(征求意见稿)》和2019年的《个人信息出境安全评估办法(征求意见稿)》分别对数据出境行为进行规制。2017年出台的规定要求所有的网络运营者将其收集的个人信息和重要数据的出境行为进行评估; 2019年规定则仅对网络运营者的个人信息出境行为进行规制。相较而言, 《评估办法》总体依照《网安法》《数安法》和《个保法》的规定, 评估流程较为清晰, 实质上已经能取代了2017年和2019年两部法规的规定。
5
数据出境安全评估的内容
(1) 自评估与安全评估
《评估办法》要求“事前评估和持续监督相结合、风险自评估与安全评估相结合”, 规定了数据出境风险自评估和数据出境安全评估两种类型的评估, 贯穿数据出境前、出境后的整个过程:
从评估的内容来看, 数据出境风险自评估与数据出境安全评估的评估内容存在一定的重合但又各有侧重, 主要包括以下几个方面的内容:
(2) 数据出境文件
无论是完成自评估流程还是申报评估流程, 都包括了评估数据出境相关法律文件(以下称“数据出境文件”)条款是否有效、充分。我们在《<个人信息出境标准合同规定(征求意见稿)>重点速览》中也指出, 无论企业采取何种方式跨境传输数据, 均应当与境外接收方签署数据出境相关协议。
《评估规定》要求企业在出境文件中与接收方充分约定数据安全保护责任义务。具体而言, 企业与接收方签订的数据出境文件至少应当包括以下几点:
(a) 数据出境的目的、方式以及数据类型;
(b) 境外接收方处理数据的类型、目的、方式;
(c) 境外接收方保存数据的方式和期限, 保存期限到期后或处理目的满足时数据处理措施;
(d) 境外数据再转移要求;
(e) 数据接收方发生变化或其所处的数据安全环境发生变化等导致数据安全难以保障时应当采取安全措施;
(f) 违反数据安全保护义务的补救措施、责任以及争议解决方式;
(g) 出境数据面临安全风险时的应急处置要求以及保障个人信息权益的途径和方式。
此外, 根据《个保法》的规定, 企业因业务需要确需向境外传输数据, 需要满足四项基本条件之一, 在无强制安全评估要求的前提下, 签订网信部门制定的标准合同是企业实现合规要求最为便捷的方法。企业目前可参照《个人信息出境标准合同规定(征求意见稿)》的规定, 对当前的数据出境文件进行相应修改和完善。
(3) 个人信息保护影响评估与安全评估
需要注意的是, 《个保法》要求企业在向境外提供个人信息前进行事前的个人信息保护影响评估(“PIA”), PIA应当评估数据处理是否合法正当必要、个人权益面临的影响和风险以及安全技术措施是否合法有效, 该等评估要求同时也被纳入在《评估办法》规定的自评估以及安全评估中。因此, 同样作为事前评估, 企业可以将数据出境的场景进行梳理, 并将PIA与数据出境风险评估相衔接。
6
数据出境安全评估流程
(1) 安全评估申报与审查
根据《评估办法》, 企业申报安全评估的流程如下:
(2) 重新申报安全评估
企业需要重新安全评估的场景可以分为两类:
(a) 期限届满: 数据出境评估结果两年有效期届满;
(b) 处理情况发生变化不再符合数据出境安全管理要求。
《评估办法》征求意见稿对“处理情况发生变化”进行细化规定, 尽管正式稿予以删除并进行概括规定, 数据处理者仍可参照征求意见稿的规定确定何种情况属于“处理情况发生变化”, 进而再判断是否符合数据出境安全要求:
(a) 向境外提供数据的目的、方式、范围、类型发生变化
(b) 境外接收方处理数据的用途、方式、保存期限发生变化
(c) 境外接收方所在国家或者地区法律环境发生变化
(d) 数据处理者或者境外接收方实际控制权发生变化
(e) 数据处理者与境外接收方合同或相关法律文件变更
7
企业合规建议
(1) 对于个人信息和敏感个人信息的出境而言, 企业应当注意《评估办法》提出的“累计”标准, 因《评估办法》规定的计算出境数据的评估门槛本身不高, 所以无论何种类型的企业, 在累计出境的个人信息数量接近《评估办法》规定的阈值时, 立即准备进行数据出境安全评估。
(2) 《评估办法》从性质和数量的角度对必须进行安全评估的数据进行明确。就重要数据的认定而言, 由于目前仅金融、汽车和工信类主管部门对本行业重要数据的界定提供初步的判断标准, 企业仍应当密切关注可能构成重要数据的数据类型和范围, 并在跨境传输重要数据(无论数量多少)时进行安全评估。
(3) 由于自评估和安全评估的内容有较大重合性, 评估过程中, 企业应当注重自评估和安全评估相结合的方案, 厘清评估事项, 这可在一定程度上降低企业的合规成本。
作者:
潘永建 合伙人 +86 136 2172 0830 +86 21 3135 8701 david.pan@llinkslaw.com | |
朱晓阳 顾问 +86 180 1764 2887 +86 21 3135 8683 nigel.zhu@llinkslaw.com | |
邓梓珊 |
沙莎 |
往期分享
长按下图识别二维码关注我们
© 通力律师事务所
本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。
点击“阅读原文”,直达通力官网了解更多资讯!