点击上方蓝字谈思实验室
获取更多汽车网络安全资讯
数据出境合规100问
《数据出境安全评估办法》与《个人信息出境标准合同规定
(征求意见稿)》
剖析与解读
导 言
随着《个人信息出境标准合同规定(征求意见稿)》(以下简称《标准合同》)、《数据出境安全评估办法》(以下简称《办法》)的相继公布,由《个人信息保护法》第三十八条确定的数据出境选用路径的实践脉络已经越发清晰,可以判断,数据出境合规是企业数据出海必须面对的课题。我们一直专注于网络法实务,特别是数据合规实务工作,在日常为各大企业提供合规服务的过程中,亦遇到各类新型的值得探讨的问题。为了方便实务,让数据出境需求者能够尽快的熟悉,理解我国关于数据出境的各项法律要求与规定,我们计划以《标准合同》及《办法》作为基础,对我国数据出境有关的法律问题进行一个全方位的解读,一方面对数据出境相关的法律法规进行分析,另一方面也就日常工作中遇到的高频出境问题进行总结。
本系列文章将分为以下四部分
第一部分:初阶--数据出境关键概念剖析
第二部分:进阶--《个人信息出境标准合同规定》高频问题与适用解读
第三部分:进阶--《数据出境安全评估办法》高频问题与适用解读
第四部分:高阶—数据出海实践关键问题与海外SCC要点对比
本篇是第一部分内容,主要就部分数据出境的关键概念进行梳理和解读。
第一部分:
从零读懂数据出境初阶--数据出境关键概念剖析
很多看似非常难解答和处理的问题,并非问题本身,更多是基础概念没有真正理解到位。
在日常为各大企业提供数据合规法律服务的过程中,我们经常遇到各项要素交织在一起的复杂情况,解决问题的关键之一,是对基础概念进行准确理解,并识别出待解决问题的真正核心。下面主要就部分数据出境的关键概念进行梳理和解读。
Q1.如何判断公司业务行为与场景是否属于数据出境?
目前谈论最热的“数据出境”,其实早在2017年版的《个人信息和重要数据出境安全评估办法(征求意见稿)》已经给出过解析。数据出境,是指“网络运营者将在中国境内运营中收集和产生的个人信息与重要数据,提供给位于境外的机构、组织、个人”。
同时,本次《办法》的出台,更为我们进一步厘清了“数据出境活动”的明确定义,即包括两种情况:
第一种,是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。
第二种,是数据处理者收集和产生的数据存储在境内,但境外的机构、组织或者个人可以访问或者调用。
企业在判断公司业务行为是否属于“数据出境”的时候,需要注意以下内容:
01
判断自己是否是我国个人信息保护法中的“数据处理者”
02
该等数据是否是在“境内运营过程中”收集和产生的
03
企业的行为是否有涉及“向境外提供”,或被境外“访问或调用”的情况
Q2.如何理解数据出境的“境”?
我们常说的“出境”和“跨境”,不仅是指物理上跨越国境的行为,更是指从一个司法管辖区域到另一个司法管辖区域的行为,而其中司法管辖区域是既包括独立主权的国家,也包括具有司法独立主权的地区。
经常有客户咨询,中国大陆企业向香港、澳门、台湾地区传输数据,是否属于出境的行为。当我们对“境”有一个更准确的理解时,该问题便能轻松解决。
01
中国大陆与香港、澳门、台湾地区分别属于不同的司法管辖区域
02
在《中华人民共和国出境入境管理法》第八十九中曾有对“出境”进行定义,根据规定,出境是指中国内地前往其他国家或者地区,由中国内地前往香港特别行政区、澳门特别行政区,由中国大陆前往台湾地区
03
当企业将中国大陆境内收集和产生的重要数据和个人信息向香港、澳门、台湾地区传输时,属于数据出境行为
Q3. 如何准确识别企业行为是否涉及“境内运营”?
“境内运营”是一个经常出现在各个规定、办法、指南中的常见概念,也是我们研究“数据出境”行为的常见概念。根据《2017年信息安全技术 数据出境安全评估指南(征求意见稿)》中的规定,“境内运营(domestic operation)”是指,网络运营者在中华人民共和国境内开展业务,提供产品或服务的活动。
Q4.延伸-外资企业高频问题之一:没有在中国境内注册,但是在境内开展业务,或向境内提供产品或服务的,是否属于境内运营?
01
02
判断是否“在我国境内开展业务,或向我国境内提供产品或服务的实务因素”,则包括但不限于:是否以为我国境内居民提供服务为目的,提供产品和服务的过程中是否使用了中文;是否提供了可以用人民币作为结算货币的选项;是否提供了有向中国境内配送物流的服务等等
Q5. 延伸-出海企业高频问题之二:出海企业运营的App仅向境外提供服务,不涉及收集境内的数据,是否属于境内运营?
判断这个问题的关键,一是看出海企业选择使用哪些主体进行运营,二是看收集的数据是否涉及个人信息与重要数据,三是看是否涉及了收集境内的公民个人信息与重要数据。如果出海企业是选择使用境内主体进行运营,且境内的网络运营者仅向境外机构、组织或个人开展业务、提供商品或服务,但不涉及境内公民个人信息和重要数据的,则不视为境内运营。
Q6. 外资企业高频问题之三:境内主体向另一个位于境内的外资企业的办事处传输数据,是否属于“数据出境”?
在实务中,有很多看似不是数据出境,但实质上属于数据出境的“迷惑性”情况。判断这些问题的关键,主要看该业务场景是否落入“数据出境”的范围。
如前所述,出境的“境”是指跨越了司法管辖区域的边界,如果是向在我国境内,但不属于我国司法管辖的另一主体,或没有在我国境内注册的另一主体提供了数据,且该数据涉及个人信息和重要数据的,则仍然属于“数据出境”。
Q7.外资企业高频问题之四:数据没有传输也没有存储到中国境外的任何地方,但外资企业在境外的主体可以访问、查看到这些数据,是否属于“数据出境”?
如前所述,关键是如何理解“境”, 就该问题,本次《办法》公布后,官方也做出了确定的回复,虽然数据没有传输、也没有存储至中国境外的地方,仍然存储在位于中国境内的服务器中,但实际上,该等数据可以被境外的机构、组织、个人直接或间接地访问、查看、调用的,仍然属于“数据出境”,但是如果是属于公开信息,仅通过正常公开网页进行访问等的情况除外。
Q8.外资企业高频问题之五:跨国集团内部的数据传输行为,是否属于“数据出境”?
同样是如何理解“境”的问题,即便是跨境集团内部的数据传输行为,由于数据是通过境内的网络运营者从境内转移至境外的,如果该等数据也是属于其在境内运营中收集和产生的个人信息和重要数据的,则仍然属于“数据出境”。
因此,在实务中,当涉及跨国集团常发的集团统一采购、人事管理、OA系统、财务管理、文档管理、供应商管理、远程运维等情况时,将可能经常发生企业内部数据流动,并向境外关联主体提供数据的情况,从而可能会落入“数据出境”的范畴,需要特别注意。
Q9.如何识别哪些情况不构成数据出境?
简而言之,排除了所有属于“数据出境”的情况,则属于不构成数据出境的情况。概括起来,主要有两种情况并不属于数据出境:
第一,没有进行任何加工和处理的“过境中转数据”,即该等数据只是经由我国境内中转,但没有经过任何的变动或加工处理,则不属于“数据出境”。
第二,即便进行了加工和处理的“过境中转数据”,但该等数据并非是在我国境内产生和收集的个人信息和重要数据,则不属于“数据出境”。
Q10.如何判断业务场景是否涉及处理了“个人信息”?
判断企业正在处理的数据是否属于“个人信息”,是开展各类数据合规事项最基本的前提,我国《个人信息保护法》就何谓“个人信息”给出了明确的定义,即,个人信息,是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
从法条内容可以判断,我国个人信息保护法对“个人信息”的定义是非常宽泛的,只要具有识别自然人相关信息的可能性即可被认定为“个人信息”,此外,本法条还进行了反向的规定,只有被真正匿名化处理过的信息,才不属于个人信息。可见,任何可能识别出特定自然人的各种各样的信息,都可能会被认为是“个人信息”。
在实务中,会经常出现有大量看似不是“个人信息”的业务数据,则在判断是否属于“个人信息”时候需要特别注意识别,在出现有可能识别到特定个人的情况下,建议倾向按“个人信息”的标准对待和处理。
Q11.如何判断业务场景是否涉及处理了“敏感个人信息”?
同样,我国《个人信息保护法》,就何谓“敏感个人信息”也给出了具体的定义,敏感个人信息是指,一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
可见,“个人信息”包括了“敏感个人信息”,并且,法律严格要求了个人信息处理者,只有在具有特定的目的和充分的必要性,并且采取了严格保护措施的情形下,才可以处理敏感个人信息。
实务中企业想要判断其处理的信息是否涉及“敏感个人信息”时,可以结合该等信息对数据主体权益的影响程度、是否属于特殊类型数据、以及结合《信息安全技术-个人信息安全规范》的附录的举例表等进行综合判断。
Q12. 如何判断企业是否涉及处理了“重要数据”?
“重要数据”也是在各个规定、办法、指南中都曾经出现的概念,本次《办法》有对重要数据作出定义,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。定义中对重要数据的识别主要关注数据产生的影响力。
此外,在2022年1月发布的《信息安全技术 重要数据识别指南(征求意见稿)》中,为企业给出了如何识别出“重要数据”的具体指引,包括识别的基本原则、判断因素和描述格式。
还需特别注意的是,基于海量个人信息形成的统计数据、衍生数据也有可能属于重要数据。
Q13. 如何判断企业是否属于“关键信息基础设施运营者(CIIO)”?
自《网络安全法》公布以来,“关键信息基础设施运营者”的概念就持续在各种规定中被使用,后续各项法律规定不断完善后,该概念也逐渐清晰起来。
《关键信息基础设施安全保护条例》第二条为CIIO给出了明确的定义,关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
关键信息基础设施的确定,通常包括三个步骤,
01
确定关键业务
02
确定支撑关键业务的信息系统或工业控制系统
03
根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施
同时,条例第九条规定,保护工作部门会结合本行业、本领域实际,制定关键信息基础设施认定规则,并报国务院公安部门备案。制定认定规则考虑的因素包括:
(1)网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;
(2)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;
(3)对其他行业和领域的关联性影响。
目前,企业是否为“关键信息基础设施运营者“是由保护工作部门根据其制定的相应规则组织认定的,认定结果工作部门会通知给运营者。可见,如果企业并没有收到主管部门的认定通知的话,可以认为企业暂时不属于CIIO。
Q14.何谓“个人信息保护影响评估”?
个人信息保护影响评估是企业对其个人信息处理活动进行合法合规程度检查、判断企业的个人信息处理活动是否对个人信息主体合法权益造成损害及相关风险、以及评估保护个人信息主体的各项措施有效性的过程。我国《个人信息保护法》中明确规定,在几大特别情形下,企业应当在开展个人信息处理活动之前,先进行个人信息保护影响评估,并且评估报告和处理记录应当至少保存三年。《个人信息保护法》第五十五条则规定了企业需要进行个人信息影响评估的适用范围,包括:
01
处理敏感个人信息
02
利用个人信息进行自动化决策
03
委托处理个人信息
04
向其他处理者提供个人信息
05
公开个人信息
06
向境外提供个人信息
07
其他对个人权益有重大影响的个人信息处理活动
个人信息保护影响评估应当包括下列内容:
(1)个人信息的处理目的、处理方式等是否合法、正当、必要;
(2)对个人权益的影响及安全风险;
(3)所采取的保护措施是否合法、有效并与风险程度相适应。
在确定数据出境中需要个人信息保护影响评估的前提下,前不久《个人信息出境标准合同规定(征求意见稿)》进一步的对影响评估的适用条件,程序,内容进行了细化扩充,在本专题的后续部分将会对问题进行深化解读。
Q15. 何谓“数据出境安全评估”?
数据出境安全评估是符合要求的企业需要向境外提供重要数据和个人信息时,由企业申报,国家网信部门进行安全性审核的过程。
数据安全评估最初在2017年我国《网络安全法》第三十七条出现,同年的《个人信息和重要数据出境安全评估办法(征求意见稿)》也沿用了此规则,此后,《数据安全法》、《个人信息保护法》以及《信息安全技术 数据出境安全评估指南》等相继在重要数据、数据出境中提出了安全评估的要求。
本次《办法》则是对数据出境安全评估进行了内容的细化。在本专题的后续部分将会对问题进行深化解读。
Q16. 何谓“数据出境风险自评估”?
自评估是上述安全评估的前置程序,本次《办法》规定,企业在申报数据出境安全评估前,需要开展数据出境风险的自评估。在要求提交的申报安全评估材料中,自评估报告是提交的材料之一。
虽然自评估与个人信息影响保护评估一样都是由企业自主进行的,但是自评估的内容呈现会关系到后续国家网信部的安全评估结果,企业在进行自评估时可以关注配合后续安全评估的要求。本专题在第三部分也会详细解读自评估值得重点关注的内容事项。此外,许多企业困惑于“自评估”、“安全评估”以及“个人信息保护影响评估“的关系区别,在了解分别是何种程序,由谁负责进行后,本专题在二三部分也将会为大家继续做出详细对比分析。
第二部分(上篇):
《个人信息出境标准合同规定》高频问题与适用解读
本部分上篇将回答以下问题:
Q17.如何准确理解何谓“标准合同条款”?
Q18.企业如何识别是否落入我国《规定》的适用范围?
Q19.什么类型的企业可能符合签署《标准合同》的情形?
Q20.通过“申报网信部门安全评估”路径而实现数据出境的企业,是否还需要签署《标准合同》?
Q21.发起《标准合同》签署的个人信息处理者是否必须是中国境内的注册企业?
Q22.如果是境外主体直接收集了境内个人信息的情况下,是否需要签署《标准合同》?
Q23.《标准合同》签订前已经签定的数据处理相关合同的效力如何?
Q24.企业何种情形下需要签订补充条款?
Q25.企业何种情形下需要重新签订《标准合同》?
Q26.延伸问题—如果出现需重新签订《标准合同》的情形,企业需要在多长时间内进行重新签订以及备案?
Q27.如何理解境内个人信息处理者与境外接收方在《标准合同》中承担的责任与义务?在多长时间内进行重新签订以及备案?
Q28.如何理解《标准合同》中的第三方受益人?
Q29.如何理解“自主缔约与备案管理相结合”?
Q30.进行《标准合同》备案时需要注意哪些事项?
Q31.《标准合同》的备案是否是《标准合同》的生效要件?
Q32.“累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息”的起算时间是什么?
本次《规定》的发布一共包括两个部分。
第一部分为个人信息出境的标准合同法律规定,阐明了《规定》附件中的合同模板(以下简称《标准合同》或中国版SCC)的适用范围,适用要求,责任承担等基本问题。
第二部分为国家网信办制定的《标准合同》,共包括9项合同条款,涉及个人信息处理者与境外接收方的权利义务以及第三方受益主体的权利及救济内容。《标准合同》中包含两份附录,供出境双方填写个人信息出境说明以及补充条款。
本文将会总结《规定》中在业内以及企业实务方面常见的关注点以及困惑的内容并进行整理及解答。
Q17.如何准确理解何谓“标准合同条款”?
根据我国《个人信息保护法》在第三章关于个人信息跨境传输的规定内容,我们知道,我国提供了三种个人信息跨境传输的机制:
01
数据出境安全评估,属于法定适用情况,即只要达到法律规定的条件,企业就必须申报数据出境安全评估。
02
认证机制,属于国家推荐的自愿性的认证情况,主要适用在跨国集团与关联公司之间的个人信息跨境传输活动。
03
标准合同条款,考虑到境外接收方所在国家或地区在个人信息保护立法或执法保护水平上存在的不足,通过境内的个人信息处理者与境外的接收方签署标准合同条款,将我国法律法规所确立的个人信息保护要求转化为对境外接收方具有法律约束力和可执行的合同条款。因此,其实质上是我国《个人信息保护法》中确立的同等保护原则的一种跨境传输机制。
可见,标准合同条款是个人信息跨境处理活动中可以采用的其中一种合法路径。
标准合同条款虽然是合同性质,但并不是说双方完成了签署就完事,它仍然会涉及到我国法律及原则的适用,以及我国的个人信息监管机构也会对标准合同条款的实施实施了对应的监管要求,例如要求进行事前的个人信息影响保护评估、采取保护措施,要求进行备案等。
Q18.企业如何识别是否落入我国《规定》的适用范围?
该问题的回应可以分成两个部分,一是确定适用场景,二是确定规定场景下的适用条件。
从适用场景上看,《个人信息保护法》第三十八条规定了我国个人信息处理者数据出境的四个路径,而双方订立标准合同约定权利义务是其中可选用的路径之一。
从适用条件上看,根据《规定》第四条规定:使用标准合同的企业(个人信息处理者)应当同时满足以下条件:
(一)非关键信息基础设施运营者;
(二)处理个人信息不满100万人的;
(三)自上年1月1日起累计向境外提供未达到10万人个人信息的;
(四)且自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。
故可知,以上四项条件是对通过签订标准合同进行数据出镜的个人信息处理者身份的限制,只有同时满足以上四项条件的个人信息处理者方可使用标准合同。
Q19.什么类型的企业可能符合签署《标准合同》的情形?
由上述问题可知,适用我国《标准合同》对企业自身情况有严格要求,前述4个需要同时满足的条件,已经将我国《个人信息保护法》以及《数据出境安全评估办法》中规定的必须向网信部门申请数据出境安全评估的情形都排除出去了。
即,可以通过签署中国版SCC而实现数据出境的适用主体需要是非关键信息基础设施运营者,且要求是处理个人信息人数或敏感信息数量较少的个人信息处理者,因此,在实务中多适用于用户量小,规模较小的企业主体。而大型公司或平台由于收集个人信息体量大,应用场景广泛,易于对个人信息主体的权利造成威胁,其选择签署《标准合同》作为数据出境路径的可能性一般较低。
Q20.通过“申报网信部门安全评估”路径而实现数据出境的企业,是否
还需要签署《标准合同》?
值得注意的是,这并不代表申报了网信部门数据出境安全评估的情况就不需要签署《标准合同》了,而只是说明了企业不能单单靠通过签署《标准合同》的路径来实现数据出境,企业仍然需要在签署《标准合同》的基础上,进行网信部门数据出境安全评估的申报。
Q21.发起《标准合同》签署的个人信息处理者是否必须是中国境内的注册企业?
中国版SCC的适用前提是个人信息处理者依据我国《个人信息保护法》第三十八条第一款第(三)项,发生了与境外接收方订立合同而向我国境外提供个人信息的情况;同时,在现在公布的《标准合同》开篇处双方主体中的表述也是使用了“个人信息处理者”,可见,不论是《规定》本身,还是在《标准合同》的表述,都是使用了“个人信息处理者”,并没有对该个人信息处理者是否必须是在境内注册的企业进行要求,结合我国《个人信息保护法》的要求,只要是在个人信息处理活动中可以自主决定处理目的、处理方式的组织和个人都将会被认定为个人信息处理者。
Q22.如果是境外主体直接收集了境内个人信息的情况下,是否需要签署《标准合同》?
判断这个问题,首先判分析境外主体直接收集境内自然人个人信息的情况,是否属于境内个人信息处理者向境外提供个人信息的情况。
从字面的意思来看,境内个人信息处理者向境外提供个人信息,是需要有一个在境内的个人信息处理者,该境内的主体向境外的主体(境外接收方)提供个人信息,此处会有一个境内向境外提供的过程。因此如果是境外主体收集了境内自然人的个人信息的情况的,并不属于境内个人信息处理者向境外提供个人信息的情况,即该情况不属于《个人信息保护法》第三十八条和《规定》意义上的“个人信息出境”行为。从这一点看,由于没有境内主体这个环节,因此难以适用签署《标准合同》的情形。
但需要注意的是,该情况下,如果该境外主体是以向境内自然人提供产品或提供服务为目的的,即当该境外主体落入了《个人信息保护法》第三条第二款的规定的,则该境外主体收集并处理境内自然人个人信息的行为仍然是属于“个人信息跨境处理活动”,可以参考《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》中的规定,由该境外主体在境内设置的专门机构或指定代表申请认证。
Q23.《标准合同》签订前已经签定的数据处理相关合同的效力如何?
首先,《标准合同》第二条第二款规定,个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同,不得与标准合同冲突,该法条说明了《标准合同》的优先效力。
其次,虽然《规定》的征求意见稿已经发布,但此时《标准合同》的正式稿尚未正式生效,此时开展数据出境的企业双方签订的合同条款效力仍然继续保持原有效力。
最后,当《标准合同》正式生效后,《标准合同》签订前已经签定的数据处理相关合同与《标准合同》冲突的条款,以《标准合同》为准,其他不冲突的条款依然有效,不会当然导致原有的合同失效。
Q24.企业何种情形下需要签订补充条款?
实务中常会出现数据出境的企业双方想要进行更细致的条款补充的情况,补充条款并不被《标准合同》所禁止,同时,也符合《规定》“自主缔约+备案管理”的目的精神,企业如果认为标准合同中已经规定的内容不足以满足双方的需要,可以通过《标准合同》附件2增加补充条款,但需要注意的是,企业增加的补充条款不能与标准合同条款本身相冲突,也不能通过增加补充条款来规避标准合同条款的实施,以及不能通过增加补充条款来限制和缩小数据主体本应享有的数据主体权利。
Q25.企业何种情形下需要重新签订《标准合同》?
总结《规定》内容来看,数据出境双方约定的个人信息各项内容、场景环境发生变化都有可能需要重新签订合同,依据《标准合同》第八条规定重新签订标准合同的情形有:
(一)向境外提供个人信息的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点和境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;
(二)境外接收方所在国家或者地区的个人信息保护政策法规发生变化等可能影响个人信息权益的;
(三)可能影响个人信息权益的其他情况。
在法律规定的基础上,以下两种情形也是实务中企业需要考虑到的情况。
01
向同一个境外接收方持续传输信息
在这种情形下,可能涉及传输的个人信息的数量变化和数据类型的变化,依据《规定》第八条,需要重新签订标准合同以及重新备案。考虑到企业的成本问题,建议在签署合同前,对协议内容所覆盖的范围和维度进行设计和细化,例如对需要传输的个人信息数量、类型、目的、方式、保存期限等维度进行有效预估,减少重复更新合同以及备案。
02
向不同的境外接收方传输信息
在这种情形下企业需要与不同的境外接收方分别签订数据传输协议。不管是只将数据传给单个境外数据接收方,还是需同时传给多个境外数据接收方,每多增加一个境外数据接收方,就需要单独签署一份合同,并作一次评估。所以,如果企业需要和多个境外接收方签署标准合同,可考虑合并同类数据出境的场景,一起进行评估与备案。
值得注意的是,当企业重新签署《标准合同》以及进行备案时,需要重新进行个人信息保护影响评估,并将评估结果和重新签署的《标准合同》提交网信办备案(至于是否可以仅对发生变化的部分进行评估,有待在实践中确认)。需要明确的是并非境外接收方所在国家或地区的数据保护政策有任何变化,企业就需要重新签订合同,还要看具体是否会对数据主体的权益造成影响,但这也是实务中较难判断的一点。
所谓牵一发而动全身,考虑到企业因为重新签署合同而投入的成本,企业在首次签订《标准合同》时,需要进行更精细化的设计与评估。
Q26.延伸问题—如果出现需重新签订《标准合同》的情形,企业需要
在多长时间内进行重新签订以及备案?
目前《规定》中尚未有确定重新签订的备案期限,但是对于符合条件的企业而言,签订《标准合同》及备案是企业开展数据出境活动的前提,且考虑到配合《规定》出境安全及保护个人信息权益的精神,为了降低企业风险,企业在得知已达到重签条件后,宜尽早进行重签。
Q27.如何理解境内个人信息处理者与境外接收方在《标准合同》中承担的
责任与义务?
《标准合同》第二条明确了个人信息处理者应当履行的义务,并特别要求个人信息处理者对境外接收方承担监督管理者责任。可见,在实务开展过程中,企业进行数据出境活动的时候,企业不仅是出境活动的主要责任方,更是监管机构的重点监督对象。而对于境外接收方而言,《标准合同》将我国数据保护法律法规的各种法律要求转化为境外接收方的合同义务,以使境外接收方可以达到我国法律所要求的保护水平,并特别规定了境外接收方需要配合境内企业接受我国监管机构检查的义务和责任,与前述境内企业需要承担监督与检查责任相呼应。
我们对境内个人信息处理者与境外接收方在责任与义务方面进行扼要对比:
Q28.如何理解《标准合同》中的第三方受益人?
除合同双方当事人即个人信息处理者与境外接收方外,《标准合同》还明确了保护第三方受益人权益的相关内容,这是需要注意的问题。根据《标准合同》的规定,企业需要向数据主体告知其与境外接收方通过标准合同约定数据主体为第三方受益人,如果数据主体没有在三十天内明确拒绝的,则可以依据标准合同享有第三方受益人的权利。
关于第三方受益人,该概念借鉴了欧盟《关于向第三国转移个人数据的标准合同条款》的内容,并首次在国内提出,《标准合同》中赋予个人信息主体相应的权利,即作为合同第三方受益人,有权向个人信息处理者、境外接收方任何一方主张并要求履行合同中规定的与个人信息主体权利相关的权利。同时还明确了个人信息主体在权利受到侵犯时,可以通过向监管机构提出投诉或根据管辖规则向相关法院提起诉讼的救济途径。
Q29.如何理解“自主缔约与备案管理相结合”?
备案制度体现了我国《规定》的监管规则,是指符合条件的个人信息处理者与境外接收方应当自行订立标准合同,并通过在监管部门备案的方式进行数据出境活动。
与欧盟的规定不同的是,欧盟允许数据进出双方在不抵触数据主体基本权利及自由的前提下修订SCC并由各欧盟成员国的监管机构局进行批准,我国《规定》中提及的“自主缔约与备案管理相结合”的模式则未对是否允许双方修改标准合同条款进行说明。
在实务中不建议修改标准合同,但可以约定在附录二中进行补充,并且不能与标准合同条款相冲突。关于备案的方式以及频率则在下面的问题中进行说明。
Q30.进行《标准合同》备案时需要注意哪些事项?
依据《规定》第七条,企业有3点需要注意的:
首先是在备案的时间上,应当在标准合同生效之日起10个工作日内进行。
其次是在备案机关上,应向所在地省级网信部门备案。
最后,是在备案的材料上,企业需要提交2份材料,包括签署的《标准合同》以及《个人信息保护影响评估报告》。
Q31.《标准合同》的备案是否是《标准合同》的生效要件?
请注意,备案并非是标准合同条款的生效要件。
《规定》第三条明确个人信息出境标准合同的使用规则是以“自主缔约与备案管理”相结合,企业不进行备案并不影响合同的效力,但是如果企业不完成备案,就会可能导致网信部门对企业进行责令改正、停止个人信息出境行为等情况,会对企业业务开展产生不良影响。因此,建议企业按要求进行备案。
Q32.“累计向境外提供超过十万人以上个人信息或者一万人以上
敏感个人信息”的起算时间是什么?
“累计”的起算时间点并非《规定》生效之日,而是在《规定》生效时间点上一年1月1日起开始计算累计向境外提供的个人信息人数。可见,“累计提供”的个人信息数量应该按年度进行计算,且最长跨度为2年。
因此,企业应该每年度至少进行一次审查,审查企业向境外提供的个人信息涉及的总人数是否超过/即将超过临界值,如果超过,则通过签订《标准合同》进行数据出境可能已经不能满足现有规定了,便需要进行安全评估。有关出境安全评估的内容将会在本专题第三部分进行详细解读。
第二部分下篇:
《个人信息出境标准合同规定》高频问题与适用解读
本部分下篇将回答以下问题:
Q33.《规定》第四条中的100万、10万、1万是指人数还是个人信息的条数?
Q34.个人信息的信息数量计算单位是什么?
Q35.个人信息保护影响评估是否是《规定》中的必备要求?
Q36.个人信息保护影响评估中的主要评估内容是什么?
Q37.延伸-《规定》中要求的个人信息保护影响评估的难点是什么?
Q38.如何理解“境外接收方处理个人信息的活动是否达到本法规定的个人信息保护标准”?
Q39.如何在实务中确定境外接收方的政策法规变化是否影响了个人信息权益?
Q40.延伸-《标准合同》模板中,技术水平、技术措施、进到最大努力、足够保护,这些不够精准的表达如何理解?
Q41.未履行备案程序需要承担相应法律责任,但是若因备案标准不清晰,难以落实,该如何处理?
Q42.在满足何种情况下,境外接收方可以再向境外第三方提供所接收的个人信息?
Q43.境外接收方向境外第三方再次提供所接收的个人信息,是否需要再次签署《标准合同》?
Q44.企业在何种情况下可以解除《标准合同》,以及需要注意的问题包括哪些?
Q45.《标准合同》的违约救济途径包括哪些?
Q46.企业是否需要向个人信息主体提供《标准合同》副本文件?在提供时有什么注意事项?
Q47.数据出境场景中,除“单独同意”外,企业还需告知用户哪些内容?
Q48.企业违反《标准合同》规定的,对企业出境活动有什么影响?
本次《规定》的发布一共包括两个部分。
第一部分为个人信息出境的标准合同法律规定,阐明了《规定》附件中的合同模板(以下简称《标准合同》或中国版SCC)的适用范围,适用要求,责任承担等基本问题。
第二部分为国家网信办制定的《标准合同》,共包括9项合同条款,涉及个人信息处理者与境外接收方的权利义务以及第三方受益主体的权利及救济内容。《标准合同》中包含两份附录,供出境双方填写个人信息出境说明以及补充条款。
本文将会总结《规定》中在业内以及企业实务方面常见的关注点以及困惑的内容并进行整理及解答。
Q33.《规定》第四条中的100万、10万、1万是指人数还是个人信息的条数?
本条中的3个数字均指的是人数,不是条数。举个极端的例子,从目前的规定来说,如果某企业的国内用户人数超过了100万,即便向境外接收方提供了一条个人信息,也需要按照《办法》的规定申报网信办安全评估。
Q34.个人信息的信息数量计算单位是什么?
《规定》中提及过“出境个人信息的数量”,并且出境个人信息的数量的变更将会触发重新签署《标准合同》的可能,因此,如何判断个人信息的“数量”非常重要,这一点也是笔者存疑并一直思考的地方。
实务中,一旦开启数据跨境传输的业务,境外接收方就会不断接收到来自境内的个人信息,如何在标准合同中确定出境个人信息的“数量”成为一个有待解决的问题。该“数量”是以条数、量级、范围计算不甚明确,以及企业在填写个人信息数量时是否可以填写具体的范围,而不是具体数字,仍然有待监管机关进一步明确。
Q35.个人信息保护影响评估是否是《规定》中的必备要求?
这个问题的结论是肯定的,符合条件的企业如果想要选用签署标准合同的方式完成数据出境就必须要进行个人信息保护影响评估,我国依据《标准合同》开展出境活动采用的是自主缔约和备案管理相结合的方法,签订标准合同的个人信息处理者必需要进行备案,个人信息保护影响评估报告就是备案材料之一。
Q36.个人信息保护影响评估中的主要评估内容是什么?
评估内容主要围绕可能产生个人信息安全风险的各事项进行展开,《标准合同》在其第五条有列明重点评估的内容:
结合王捷律师团队已为不同企业做过的个人信息保护影响评估,以及上述内容判断,评估主要从处理者及接收者双方的个体情况、合同内容、个人信息的数据状况、可能发生的安全事件情况以及目的国的法律环境五个维度进行评估,后续企业在进行评估活动时,可以依据上述五项维度分类,设计类型化的评估环节以及完成有针对性的材料准备。
Q37.延伸—《规定》中要求的个人信息保护影响评估的难点是什么?
个人信息保护影响评估要求企业对境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响进行评估,此为评估的难点。
在《出境安全评估办法》中,该项评估是由网信部门进行的。境外政策的变化,是否会影响合同履行,影响的程度如何,实务中由企业判断存在一定难度。企业可能需要境外律师协助评估才能满足相应的评估要求。此外,为了方便企业评估活动,可以在与数据接收方签订的合同中,约定数据接收方有义务协助提供当地的法律政策文本、协助企业进行评估以及在政策变动时及时告知等。
总之,基于此评估要求,企业需要密切关注数据接收方所在国/地区的法律动态。
Q38.如何理解“境外接收方处理个人信息的活动是否达到本法规定的个人信息保护标准”?
该问题的本质是要如何判断一个境外接收方整体上满足《标准合同》的要求,规定中对境外接收方的考虑主要包括三个方面:
第一是境外接收方的情况,包括技术、管理制度、应急处理能力等,需要确认境外接收方在技术以及制度上具有保护个人信息安全的能力;
第二是境外接收方与个人信息处理者的合同内容,确认双方与个人信息相关的责任要求符合规定标准;
第三是境外接收方所在的地区环境,主要考虑其所在的国家及地区的政策是否会影响个人信息权益。
王捷律师团队曾于2020年出具《全球数据合规观察报告》,里面有就不同国家与地区的数据保护法律环境情况进行介绍,以帮助企业客户更全面地了解目标国家与地区的数据保护动态。
Q39.如何在实务中确定境外接受方的政策法规变化是否影响了个人信息权益?
这是实务中企业完成个人信息影响保护评估的难点,受限于跨地域、跨法域会产生信息差的客观原因,企业在进行个人信息保护影响评估时要毫无疏漏地分析境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响颇为困难,实务中要求企业需要更有意识的使用全球法律视角来判断问题,有数据出境业务的企业要对出境国家及地区的法律规定、政策变化保持敏感度。
王捷律师团队曾于2021年出具的《中国与海外多国/地区数据保护及企业合规要点对比报告》,里面有就部分主流出海国家与地区的数据保护法律要点进行分析与比对,以帮助企业客户更全面地掌握出境目标国家及地区的合规要点。
Q40.延伸—《标准合同》模板中,技术水平、技术措施、尽到最大努力、足够保护,这些不够精准的表达如何理解?
这不仅是实务中企业常有的困惑,同时也是业界颇为关注的问题,对于该问题可以分两个层面进行回答。首先我们可以理解法律中的这些概念表述所希望追求的法律效果,达成的法律目的是什么,这样我们在完成评估的过程中许多内容就可以基于想要追求的效果作为行动标准进行判断,其次,我们可以进一步分析标准细化的规定与方法。
01
从《标准合同》的内容上判断,数据安全以及保护个人信息权益是重要的规范目标
这在《标准合同》的多项规定中都可以体现,比如《标准合同》第八条第(六)项规定尽管在境外处理者违反规定侵害个人权益的情形下,个人信息处理者也可能需要先向个人信息主体承担责任。因此,在判断自己的出境活动评估是否已经是尽到“最大努力”、并“足够保护”个人信息主体时,企业应保持一个严格的态度,并在评估的过程中增加“个人信息主体权益”的判断视角。
02
我国数据出境法律不断完善的过程实际也是出境标准细化的过程,《标准合同》中的许多技术指标,我国各部门机关是有提供细化规范参考的
如《信息安全技术—个人信息安全影响评估指南》提供的更细节的流程、事项指引,同时,实践中企业对自评估各事项的经验总结以及有关部门对各评估事项完成度的反馈也是细化这些概述表达的方法。
Q41.未履行备案程序需要承担相应法律责任,但是若因备案标准不清晰,难以落实,该如何处理?
回应该问题需先判断《标准合同》确认的备案适用标准,再进一步分析备案标准是否存在需要考虑适用范围不清晰的部分。
首先,问题中提及的备案制度作为《规定》中的要求,当然是在企业开展数据出境活动中适用,数据出境的判断标准我们在第一部分的基础概念解答中已经有详细的解答,标准相对清晰。
其次,判断数据出境中企业在何种条件下可以适用《规定》并进行备案,《规定》内容中有详细要求,前文也有进行列举。
从现阶段规定的适用标准来看,还是比较明确的,基于规定,企业适用不清晰的情况应该很少出现,但仍值得进一步分析:
第一,何为非关键信息基础设施运营者,这个标准我们第一部分也完成了详细解读;
第二,若企业现阶段尚符合备案标准,但可能日后有不符合的风险如何处理,由于此时不符合备案条件的情形尚未发生,我们认为该阶段企业仍然可以选用《标准合同》的路径,但是一般该情况可以在个人信息影响保护评估中体现,如确有超过条件风险的,企业宜提前做好准备,例如考虑落入安全评估范围时的数据出境规则。
Q42.在满足何种情况下,境外接收方可以再向境外第三方提供所接收的个人信息?
境外接收方原则上不应再向境外第三方提供所接收的个人信息,除非业务确有需要,并且满足特定的要求。具体而言,《标准合同》要求境外接收方将向个人信息提供给位于境外的第三方时需要同时满足以下要求:
01
明确有特定的业务需要而提供个人信息
02
告知个人信息主体境外第三方的具体信息(境外第三方身份、联系方式、处理目的、方式、个人信息种类及个人行使权利的方式和程序),并获取个人信息主体单独同意(但法律法规另有规定的除外)
03
涉及敏感个人信息的,则需要向个人信息主体告知传输敏感个人信息的必要性及对个人的影响。若难以告知或难以取得单独同意,则境外接收方应及时告知个人信息处理者并请求其协助告知个人信息主体或协助取得个人的单独同意
04
与境外第三方达成书面合同,确保境外第三方的保护水平不低于我国数据保护法律的标准
05
承担因再提供而可能导致的个人信息主体损害的连带责任
06
向个人信息处理者提供以上规定的合同副本
因此,企业在海外业务开展过程中,应首先判断是否确实有进行境外二次流转的必要,若确有必要的,不仅应获得个人信息主体的单独同意(但法律法规另有规定的除外),还应签订合同,以保障第三方对个人信息的保护水平不低于我国相关法律法规规定的个人信息保护标准,并承担因再提供而可能导致对个人信息主体造成损害的连带责任,此外,还应主动向中国境内的数据处理者提供以上合同的副本。
Q43.境外接收方向境外第三方再次提供所接收的个人信息,是否需要再次签署《标准合同》?
如果在部分业务场景中境外接收方确需将所接收的个人信息提供给境外第三方,在满足Q42中所列明的条件的同时,建议境内个人信息处理者在与境外数据接收方所签订的《标准合同》中以排他性列举的方式明确境内个人信息处理者所认可的境外第三方(即分处理者或次处理者)。
未经境内个人信息处理者同意,不得再向境外第三方提供个人信息,并要求境外数据接收方对第三方的过错承担连带责任。
综上所述,若存在境外接收方向境外第三方再次提供所接收的个人信息的情况,境内个人信息处理者可以直接在与境外接收方所签的《标准合同》中约定关于境外第三方的相关条款,比如在《标准合同》附录一的第(六)项中阐明境外接收方可能再向哪些第三方主体提供个人信息,避免重复签订《标准合同》或补充协议以及进行多次备案。
Q44.企业在何种情况下可以解除《标准合同》,以及需要注意的问题包括哪些?
当企业与境外接收方在履行《标准合同》的过程中,根据《标准合同》第七条的规定,企业可以在出现以下情况的时候与境外接收方解除合同:
(1)境外接收方严重或持续违反标准合同规定的义务;
(2)境外接收方遭遇了破产、解散或清算等情况。
如果出现以下情况,则企业和境外接收方任何一方都可以解除合同:
01
因境外接收方违反合同规定的义务,且企业暂停向境外接收方传输个人信息的时间超过一个月
02
境外接收方继续遵守标准合同将会违反其所在国家的法律规定
03
根据境外接收方的主管法院或监管机构作出的不能上诉的终局性决定,境外接收方或企业违反了标准合同的规定
04
在监管机构按照相关法律法规作出个人信息出境相关的决定导致标准合同无法执行的情况下
需要注意的是,标准合同的解除,并不能免除境外接收方在个人信息处理过程中的个人信息保护义务,境外接收方应当返还、销毀或匿名化处理接收的个人信息;并提供对应的审计报告。
Q45.《标准合同》的违约救济途径包括哪些?
发生违反《标准合同》的情形时,个人信息处理者、境外接收方、个人信息主体及有关部门都有可采取的救济措施:
01
个人信息处理者、境外接收方
对于数据出境相关的双方而言,任意一方出现违反合同义务情形的,另一方可以要求其承担违约责任,《标准合同》提供的合同模版中规定违约责任及于非违约方遭受的损失,在法定情形下或协商一致的情况下,双方亦可解除合同。
02
个人信息主体
对于个人信息主体,也即第三方受益人而言,合同任意一方侵害第三方受益人权益的,个人信息主体都有权获得赔偿。此外,《规定》还明确了任何组织和个人发现个人信息处理者违反《规定》的,都可以向省级以上网信部门投诉、举报。
03
监管部门
省级以上网信部门除通过接收备案进行监督外,也会对《标准合同》双方的实际处理过程进行主动监管。
Q46.企业是否需要向个人信息主体提供《标准合同》副本文件?在提供时有什么注意事项?
目前未见有规定强制要求企业需要主动向个人信息主体提供《标准合同》的副本文件,但考虑到这是企业的配合义务之一,因此仍然建议企业在签署《标准合同》后及时完成副本文件的准备,因为《标准合同》明确个人信息主体具有要求个人信息处理者提供其所签订的《标准合同》副本的权利,企业必须配合。在提供副本的过程中,企业可以着重考虑保密以及方便个人理解阅读的问题。
例如:
(1) 及时将《标准合同》进行适当处理,包括遮蔽机密信息(如有),避免商业秘密泄露;
(2) 提供便于个人信息主体理解合同的摘要内容;
(3) 在可行的情况下,提供《标准合同》副本公示入口或其他查看方式。
Q47.数据出境场景中,除“单独同意”外,企业还需告知用户哪些内容?
由于涉及数据的跨境传输,企业在进行数据出境时需符合《个人信息保护法》第三十九条规定的“单独同意”要求。此外,《标准合同》要求个人信息处理者与境外接收方依据《标准合同》附录一“个人信息出境说明” 所列约定开展与个人信息出境有关的活动,企业还需完成并向个人信息主体告知“个人信息出境说明”的相关情况,包括:
(1)传输的个人信息属于特定类别的个人信息主体,列出该特定类别的个人信息主体;
(2)传输的目的;
(3)传输个人信息的数量;
(4)出境个人信息类别;
(5)出境敏感个人信息类别;
(6)境外接收方传输的个人信息只向特定的接收方提供,列出该特定的接收方;
(7)传输的方式;
(8)出境后的存储时间;
(9)出境后的存储地点;
(10)其他事项。
Q48.企业违反《标准合同》规定的,对企业出境活动有什么影响?
风险承担是企业在开展数据出境活动之前必须要清楚考虑的问题,根据《标准合同》的内容来看,除承担违约责任或面临行政处罚外,省级以上网信部门有权要求个人信息处理者立即终止个人信息出境活动,由此可能会给企业产生较大损失,是企业在风险承担中需要考虑的事项。
第三部分上篇:
《数据出境安全评估办法》高频问题与适用解读
本部分上篇将回答以下问题:
Q49.本次《办法》相比先前的各个意见稿版本有何变化?与《网安法》、《个保法》、《数安法》中关于跨境安全评估的规定有何异同?
Q50.企业如何判断自身业务是否需要进行出境安全评估的申报?
Q51.延伸 一 如何理解“数据处理者向境外提供重要数据”以及具体情况可能包括哪些?
Q52.延伸 — 核心数据是否可以通过安全评估数据出境?
Q53.延伸 — 如何理解“CIIO和达量数据处理者向境外提供个人信息”以及具体情况可能包括哪些?
Q54.《关键信息基础设施确定指南(试行)》提及的100万访问人次和《办法》的人数一样吗?
Q55.《办法》中提及的100万“人”、10万“人”、1万“人”是否只计算具有中国国籍的公民?例如,收集境外来境内的游客是否应计算在内?
Q56.《办法》中关于100万数据出境的规定是否可以理解为就是《个人信息保护法》第四十条规定的境内储存达量标准?
Q57.延伸 — 如何理解“累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息”,其具体情况可能包括哪些?
Q58.延伸 — 如何理解“网信部门规定的其他需要申报数据出境安全评估的情形”以及具体情况可能包括哪些?
Q59.小剧场:仔细研读《办法》后,为后续便利出境,A公司就累计起算规则日期的问题前来和律所探讨,A公司认为,《办法》是今年9月1号开始施行,今年的1月1号已经经过,是否可以理解为累计时间的起算点是从2022年1月1日、或2023年1月1日才开始起算?
Q60.延伸 — 规定关于100万人数的标准并没有上一年1月1号的限制条件,是否意味着只要历史到现在累计达到100万人,就得申报而不是采用滚动清零措施?
Q61.延伸 — 未达到《办法》要求进行安全评估的人数要求,但是处理个人信息的条数规模较大是否需要进行安全评估?
Q62.延伸 — 现阶段未达到申报要求但未来有达到要求可能的企业是否需要申报?
Q63.企业是否可以通过安排不同主体去承接数据的方式规避《办法》要求的数据出境安全评估?
《办法》的发布促进了我国维护数据安全及保护数据利益的制度设计到实践操作的良性衔接,本次《办法》共包括二十条,对安全评估的目的,适用范围,评估程序,评估内容,评估效果等各进行了全面规定。
《办法》实施后,符合要求的企业最好在规定的期限内尽快配合完成评估,尽早熟悉、准备安全评估的相关事项及流程,以避免因违反《办法》规定而导致企业的数据出境活动受到影响。本专题的第三部分,将汇总《办法》的高频问题以及适用难点,结合团队多年的数据出境业务经验,为大家带来详细解读。
Q49. 本次《办法》相比先前的各个意见稿版本有何变化?与《网安法》、《个保法》、《数安法》中关于跨境安全评估的规定有何异同?
与早些年相比,目前我国数据保护相关的法律成果是比较丰富的,借助回答本问题的机会,我们可以先对《办法》及与数据出境评估相关的立法脉络进行一个梳理。
从当下的法律布局来看,在已经实施并生效的法律中,《网络安全法》、《数据安全法》、以及《个人信息保护法》共同搭建起了立体的数据安全评估法律体系,其中,《网络安全法》侧重网络安全风险、对关键信息基础设施提出了评估要求;《数据安全法》更关注重要数据处理相关的评估事项;《个人信息保护法》则把安全评估作为个人信息数据出境可能采取的路径之一;而随着《办法》的发布,后续企业将能获得数据出境安全评估事项的详细指引,我国安全评估从规定事项到具体做法逐渐清晰。
从《办法》制定的时间脉络来看,《办法》的制定先后经历2017年《个人信息和重要数据出境安全评估办法(征求意见稿)》、2019年《个人信息安全出境评估办法(征求意见稿)》、2021年《数据出境安全评估办法(征求意见稿)》以及2022年《数据出境安全评估办法》4个版本,期间名称、内容的改动可以很好地看到我国近年来对数据出境安全立法思路的调整与发展,如对于是否要分类调整个人信息及重要数据、安全评估如何开展、是否需要自评估等,在不断的调整和立法探索中,如今的《办法》才最终敲定。
对我国数据出境评估相关法律规定进行扼要对比如下:
(2021年征求意见稿与2022年正式稿的内容对比在本专题最后附录部分提供)
Q50. 企业如何判断自身业务是否需要进行出境安全评估的申报?
是否需要进行安全评估,企业可以按照以下流程图进行判断:
但是,在实务中,企业还有很多既不是个人信息又不是重要数据的数据,且这些数据也会有大量出境的情况存在,若按照现有《办法》的条文来看,这类的数据,并不需要进行安全评估,或者签署标准合同,但仍然建议企业考虑通过完成风险自评估的方式来进行自我检测。
Q51. 延伸 一 如何理解“数据处理者向境外提供重要数据”以及具体情况可能包括哪些?
《办法》第十九条对重要数据进行了详细的定义,主要强调考虑数据产生的社会影响,该部分在本专题第一部分有进行讲解,进一步补充的是,《信息安全技术 重要数据识别指南》(以下简称《指南》)中除给出了重要数据的定义外,对危害国家安全、公共利益等各个领域重要数据的识别需要考虑的因素也作出了详细的列举,故企业可以通过对处理数据的领域进行判断以明确是否处理了重要数据。比如,地图软件中掌握的地图数据,城市车辆的行驶路线等。
需要注意的是,《指南》中规定重要数据不包括国家秘密和个人信息,但是基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据,其中“海量”的具体数字并未明确。在《汽车数据安全管理若干规定(试行)》中,其明确指出“涉及个人信息主体超过10万人的个人信息”属于重要数据。故在实务中,关于海量个人数据的具体化可能需要在不同行业领域进行分别规范。
Q52. 延伸 — 核心数据是否可以通过安全评估数据出境?
从数据类型上看,《办法》只规定了重要数据、达量的敏感数据及个人数据出境需要进行安全评估,而并未列明核心数据可以通过安全评估完成出境,由此核心数据的数据出境规则值得进一步分析,根据《数据安全法》第二十一条规定:“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。”由此可以判断核心数据可能不能通过安全评估办法进行出境,一是因为核心数据其对国家、社会的重要性要比《办法》中规定的几种数据类型更高,二是《数据安全法》中已说明将会实行更严格的管理制度要求,至于这是否意味着核心数据不具有出境的可能性,或者核心数据出境需要适用何种规则,由于其需要更多维度要素的考量,可以在未来进一步观察。
Q53.延伸 — 如何理解“CIIO和达量数据处理者向境外提供个人信息”以及具体情况可能包括哪些?
关于关键基础设施运营者,《关键信息基础设施安全保护条例》(以下简称《条例》中给出了明确的定义。除此之外,《条例》第十条规定保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门,故企业应当注意是否接到主管部门的认定结果的通知,以判断自己是否属于关键基础设施运营者。关于CIIO的其他内容,在本系列文章第一部分做了更详细的阐释,如仍有疑问可以进行参照。
其次,关于处理100万人以上个人信息是对数据处理者处理个人信息的人数要求,同时,处理个人信息主体量达到100万,不管向境外传输多少,都已符合该条要求,需要进行申报。
Q54.《关键信息基础设施确定指南(试行)》提及的100万访问人次和《办法》的人数一样吗?
实务中有企业注意到了《关键信息基础设施确定指南(试行)》(以下简称《指南》)中也提及到“100万”的衡量标准,并前来咨询《指南》的100万与《办法》的标准是否等同的问题.
实际是,虽然都是100万,但是衡量标准是不同的,根据《指南》的规定,“日均访问量超过100万人次的网站,或可能影响超过100万人工作、生活,或造成超过100万人个人信息泄露的网站可认定为关键信息基础设施。”注意,《指南》中提及的标准是100万“人次”,而《办法》则是100万“人数”,前者计算访问次数,后者计算主体数量,单个主体可能会访问多次网站,每次访问都会以人次作为计算。
Q55.《办法》中提及的100万“人”、10万“人”、1万“人”是否只计算具有中国国籍的公民?例如,收集境外来境内的游客的个人信息是否应计算在内?
该问题的核心在于确认我国保护的个人信息主体的涵盖范围,结论是,只要是我国境内的自然人的个人信息都受到保护,并不止于我国的公民。该范围可以在《个人信息保护法》第二条及第三条的内容中找到法律依据,只要是位于我国境内的自然人都将会落入《办法》计算中被判断的主体。如理解有误,欢迎拍砖指正。
Q56.《办法》中关于100万数据出境的规定是否可以理解为就是《个人信息保护法》第四十条规定的境内储存达量标准?
该问题出现了一个针锋相对的观点,早在《个人信息保护法》刚发布实施时,其第四十条要求的国家网信部的规定数量究竟为何一直是被业内关注的重点,《办法》实施后,100万是否应当同时也是个人信息处理者应当把信息储存到境内的标准。有企业认为,既然数据出境的达量标准为100万,那么境内储存的标准应当与其等同或者,至少不会比数据出境的标准更低;亦有企业认为,若境内储存的标准为100万人数或者要求更严格的话,实务中会为企业的数据处理活动带来过高的处理成本。
我们认为,判断该问题可以分为两步,
01
从目前来看,《办法》规定的是数据出境的适用规则而并非是数据储存,二者的标准可能有参考价值但不能从法条文义上直接得出数据储存也适用该标准的结论
由此,数据储存的标准不会因为《办法》的颁布施行而当然的提高;
02
从近年来的实践判断,企业实践中亦尚未出现因掌握个人信息人数达到100万即被要求必须在境内储存信息的情形
由此,在未进一步明确境内储存规则之前,目前实务中企业的境内储存规则状况可能会仍暂时维持现状。
Q57. 延伸 — 如何理解“累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息”,其具体情况可能包括哪些?
首先,需要注意的是时间起算点为自上年1月1日起,由于本《办法》自2022年9月1日起施行,故在实务中应理解为自2021年1月1日起计算,此条与《规定》中关于签署《标准合同》的主体的时间要求衔接,如此规定避免了长时间的数据累计,可使数据量较小的数据处理者不必落入监管范围。
其次,10万人与1万人为实际累计向境外传输个人信息主体的人数,关于传输信息的计量单位(例如条数、容量等等)在本系列第二部分文章中也进行了讨论,这是一个在实务中较为模糊,需要进一步立法规定的问题。最后,关于敏感个人信息,在本系列文章第一部分进行了解释,故企业在实务中应当注意时间的起算要求以及收集个人信息的种类是否属于敏感个人信息。
Q58.延伸 — 如何理解“网信部门规定的其他需要申报数据出境安全评估的情形”以及具体情况可能包括哪些?
该条为兜底条款,企业在实务中应当注意经营领域是否有相关行业法规规章对数据收集以及出境具有要求,而不仅局限于《网络安全法》《数据安全法》和《个人信息保护法》等整体性法律框架内。
Q59.小剧场:仔细研读《办法》后,为后续便利出境,A公司就累计起算规则日期的问题前来和律所探讨,A公司认为,《办法》是今年9月1号开始施行,今年的1月1号已经经过,是否可以理解为累计时间的起算点是从2022年1月1日、或2023年1月1日才开始起算?
结合现有法条的文义来看,我们理解,累计的起算时间点应当从2021年1月1日开始,除非有额外的规定说明,否则《办法》2022年9月1日生效后,就应该在生效的时间点开始遵循《办法》规定的起算点,即,2022年9月1日为生效时间点,自上一年1月1日开始累计计算。同时,若累计起算的时间点尚需等待2022年乃至2023年起算,那么《办法》提出的六个月的整改期,以及尽快完善出台我国数据出境的各项规则的效果也会大打折扣。
Q60.延伸 — 规定关于100万人数的标准并没有上一年1月1号的限制条件,是否意味着只要历史到现在累计达到100人,就得申报而不是采用滚动清零措施?
从《办法》的适用标准框架来分析,100万人目前确实并未采取滚动清零的措施。
01
考虑到累计人数达到100万,已经是一个相当庞大的数据合集,容易产生较大的数据安全隐患,尽管是历史累计,可能牵涉的主体以及产生的社会影响力仍然比较高;
02
从规则设计可行性上看,如果100万人数采取的累积规则若仍是上一年1月1号,很难有企业会达到100万的要求,监管目的容易落空;
03
从适用标准的体系来看,4项标准分别从主体类型、数据类型、人数规模、时间累计四个层面进行了多层次的规定,体系上标准相对完善;
04
《办法》的目的是尽可能的降低法数据安全出境风险,若采用历史累计达100万的方式也与《办法》的目的相符合。
Q61. 延伸 — 未达到《办法》要求进行安全评估的人数要求,但是处理个人信息的条数规模较大是否需要进行安全评估?
鉴于《办法》中关于100万、10万、1万均指的是人数要求,而非信息条数的要求。在此情况下,实务和业内基于此标准延伸出了一个疑问,若企业处理的人数未达标准,但是所持有的信息条数足够多,企业是不是就无需进行安全评估。
该问题的着眼内容不仅在于人数标准,而在于在该情形下企业是否需要进行安全评估,我们认为,该情形下,虽然企业确实达不到安全评估的人数要求,但是其持有的条数如果足够多,以至于对国家、经济、社会、公共健康等产生影响的,企业可能会因为其所处理的数据被认定为重要数据或属于法律规定的其他情况而达到进行安全评估的要求。
Q62.延伸 — 现阶段未达到申报要求但未来有达到要求可能的企业是否需要申报?
若数据类型为个人信息的,现阶段未达到申报要求的企业可以通过签订《标准合同》等其他途径进行数据出境,若数据非涉及个人信息且未达到《办法》要求的,无需进行安全评估申报。但是根据《办法》第十六条以及第十八条规定,违反本办法规定的,不仅面临被举报的风险,更有可能构成犯罪,依法追究刑事责任。
由于进行出境安全评估申报,需要开展自评估以及安全评估,提交申报书、自评估报告以及各项法律文件,且需要通过省级网信部门查验以及国家网信部门受理,整个申报过程需要大量时间成本,故建议企业应当根据现阶段经营状况进行及时预估,如果预测未来发展走势积极,应当尽早做好申报准备,以免因为不符合数据出境要求影响企业业务发展。
Q63.企业是否可以通过安排不同主体去承接数据的方式规避《办法》要求的数据出境安全评估?
在《办法》实施后各企业包括业内都有曾进行类似场景的讨论,假设一个需要安全评估的企业主体把个人信息分散给不同的企业主体进行处理,且分散后每个主体都达不到安全评估的要求,此时企业是否就可以不用完成安全评估了。
从实务经验来看,判断该问题的核心在于分析处理数据的不同企业之间的关系如何,若企业与企业之间能够保持独立,人员、资金、管理制度等都能达到不混同、不融合、不共享的,我们可以认为,每一个处理数据企业都构成一个完全独立的主体,因此,若此时每一个企业主体处理数据的情形都未达到安全评估的要求标准,数据出境活动可以不进行安全评估。
但是随着对数据出境监管力度的加强,不排除之后监管部门会通过对不同企业主体进行详细审查,若通过判定企业之间的数据流转情况、数据融合情况、企业的具体经营状况(包括但不限于业务人员的对应的劳动合同关系,各企业主体是否独立承担责任,是否具有独立责任人等),以及向境外提供个人信息和重要数据的各企业之间的关系,最终判断出各企业主体之间是较难保持独立性,或实际为同一企业所控制的话,则仍然需要考虑依据《办法》要求的内容完成数据出境安全评估。
故目前来说,这种方式并不能当然就完全避免企业面临的被监管部门审查问责的风险。
第三部分中篇:
《数据出境安全评估办法》高频问题
与适用解读
本部分中篇将回答以下问题:
Q64.企业在进行数据出境安全评估时将需要经历哪些具体流程?
Q65.企业应该如何进行自评估报告,完成自评估的过程中需要重点关注哪些内容?
Q66.延伸—自评估报告和安全评估报告有什么区别?
Q67.《标准合同》的个人信息保护影响评估与《办法》规定的自评估有什么区别?
Q68.企业是否需要分开做个人信息保护影响评估以及自评估?
Q69.企业进行自评估以及个人信息保护影响评估的材料是否有可以共用的部分?
Q70.《办法》中提及的数据出境的法律文件具体有哪些要求?
Q71.延伸—《办法》中的法律文件和《标准合同》有什么区别?
Q72.延伸—在企业起草法律文件中的安全保障义务条款时,是否可以参考《标准合同》的内容?
《办法》的发布促进了我国维护数据安全及保护数据利益的制度设计到实践操作的良性衔接,本次《办法》共包括二十条,对安全评估的目的,适用范围,评估程序,评估内容,评估效果等各进行了全面规定。
《办法》实施后,符合要求的企业最好在规定的期限内尽快配合完成评估,尽早熟悉、准备安全评估的相关事项及流程,以避免因违反《办法》规定而导致企业的数据出境活动受到影响。本专题的第三部分,将汇总《办法》的高频问题以及适用难点,结合团队多年的数据出境业务经验,为大家带来详细解读。
Q64.企业在进行数据出境安全评估时将需要经历哪些具体流程?
Q65.企业应该如何进行自评估报告,完成自评估的过程中需要重点关注哪些内容?
我们在本专题的第一部分对自评估报告的概念进行了说明,简单来说,自评估报告中需要对数据出境业务、数据出境过程中可能涉及的风险、境外接收方的安全保护能力、个人信息权益维护、签订的法律文件等进行评估。
结合法条内容,我们理解,风险自评估的报告可以包括如下内容:
Q66.延伸—自评估报告和安全评估报告有什么区别?
首先,我们先从两个评估流程的法律规定进行内容上的对比:
其次,除常规法条对比外,从实务角度进行理解,讨论该问题的核心目的并不是为了从学理上理解二者的差别,而是知道安全评估办法的重点内容,以便于企业在完成自评估的时候尽可能地配合安全评估办法的着眼点,确保企业数据成功出境,就如同日常中给客户讲解项目报告,关键点在于如何阐述到客户的心槛里才是提高成功率的关键。
从对比可以看到,在法条描述的内容里,自评估与安全评估有许多内容保持了一致性,由此可以推断,对于两个评估环节保持一致的部分,企业按照评估要求完成材料准备即可。
此外,安全评估与自评估的差异性在于,从内容上看,相比于企业,国家在考察境外法律、政策方面的评估更具有优势,因此安全评估比自评估多了“关于境外接收方所在国/地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;遵守中国法律、行政法规、部门规章情况”这两条;从考察视角上看,自评估相对而言侧重评估个人信息主体的权益在境外是否能得到同等的保障,出境安全评估除了评估个人信息主体权益外,还更多地考量国家安全、公共利益。
基于以上差别,可以推断出,企业在进行自评估的时候,在条件允许的情况下,可以事先对境外接收方所在国家的法律政策有所考察,并对国家、社会、个人风险进行一个初步的判断。王捷律师团队曾于2021年出具的《中国与海外多国/地区数据保护及企业合规要点对比报告》,里面有就部分主流出海国家与地区的数据保护法律要点进行分析与比对,以帮助企业客户更全面地了解境外接收方所在国家的法律政策。
概述而言,企业进行自评估的主要目标是为了让数据出境,开展业务,尽管自评估与安全评估在规定上有所差别,但是企业在条件以及成本允许的情况下,进行自评估时可以兼顾安全评估的标准,提高获得批准的可能性。
Q67.《标准合同》的个人信息保护影响评估与《办法》规定的自评估有什么区别?
二者的对比如下:
基于《标准合同》传输的个人信息的数量以及风险程度相对较低(不涉及或较少涉及重要数据、敏感数据),因此,企业进行个人信息保护影响评估更多关注对个人信息权益带来的风险,而自评估还需更多考量数据出境给国家安全、公共利益带来的风险。
企业使用签订标准合同的方式进行传输时,按规定需要备案。若《规定》生效,网信部门将面临大量的备案工作,不太可能对备案的内容进行实质性审查,因此个人信息保护影响评估将“评估境外接收方所在国家的法律、政策对履行合同的影响”这一内容规定由企业承担,从上一问的对比也可以知道,在安全评估中这一内容主要由国家网信部门以及其他有关部门开展,企业的自评估并不涉及这一点。单从这一项对比来看,个人信息保护影响评估所要评估的内容(广度)是多于自评估的。但是,自评估由于可能涉及重要数据、敏感个人信息以及传输数量较大,其所需的评估程度(深度)是大于个人信息保护影响评估的。
此外,对比自评估的第5项“是否订立了法律文件来符合数据安全保障义务”,由于个人信息保护影响评估是企业签署《标准合同》的配套评估活动,且《标准合同》是网信部门制定的,其中已经涵盖安保义务的约定,故在个人信息保护影响评估中无需另外评估标准合同。对于需要进行安全评估的企业,我们建议可以在签订《标准合同》的基础上,再根据具体业务情况签订其他法律文件。
Q68. 企业是否需要分开做个人信息保护影响评估以及自评估?
个人信息保护影响评估主要适用数据类型为个人信息的情形,自评估则可能涉及到更多数据类型,由于个人信息保护影响评估以及自评估涉及的评估广度以及深度上的差异,对于不同类型的数据,企业都需要完成数据出境的,有可能存在分别进行个人信息保护影响评估以及自评估的情况。
Q69.企业进行自评估以及个人信息保护影响评估的材料是否有可以共用的部分?
承接上一问,由于个人信息保护影响评估以及自评估涉及的评估广度以及深度上的差异,企业可能需要分别进行个人信息保护影响评估以及自评估。但是,这并不意味着二者没有可以共用的部分。
相反,许多企业在进行两项评估的过程中实际上有许多调查的事项材料是重合的,比如涉及到个人信息相关的目的、类型、使用范围、境外接收者保障信息安全的技术和管理制度、境外的责任承担义务等,这也提醒企业,在进行各项评估时,相关的评估材料可以进行及时备份和保存,以提高企业经办数据出境流程的效率。
在对个人信息主体的保护方面,自评估涵盖了个人信息保护影响评估内容,可以合并进行评估。而对于涉及接收方所在国/地区的政策评估,则需要在个人信息保护影响评估中额外进行。
Q70. 《办法》中提及的数据出境的法律文件具体有哪些要求?
《办法》中表述数据处理者与境外接收者之间签订的文本使用的是“法律文件”而并非“合同”,这说明,企业双方也可能采取在原有合同的基础上签订补充协议或者增加附件的方式完成义务内容的约定,同时与《标准合同》不同,《办法》规定发布后并没有提供一个官方的样本,而主要强调法律文件中的数据安全保护责任义务内容。主要包括以下要点:
Q71.延伸—《办法》中的法律文件和《标准合同》有什么区别?
本质上,《办法》的法律文件以及《规定》提供的标准合同,都能体现国家对于数据出境的监管,只是由于约束的数据内容在涉及的范围、类型、重要性及影响力上存在差异,因此两个文本背后体现出来的,采用的监管策略可能会存在差异,关于差异性,二者的比较可以从多个角度进行分析:
Q72.延伸—在企业起草法律文件中的安全保障义务条款时,是否可以参考《标准合同》的内容?
目前来看,《标准合同》的条款还是具有较高参考价值的,尤其在《办法》实施的初期,境内各企业对法律文件的条款内容可能尚缺乏充足的经验帮助判断,《标准合同》中关于个人信息处理者及境外接收者的权利义务、对个人信息的制度及技术保护要求、对出现侵害个人信息事件风险时的处置措施等内容都值得借鉴。由于进行安全评估的个人信息重要性更高,影响力更大,双方的安全保障义务条款可能会比《标准合同》更为严格。
第三部分下篇:
《数据出境安全评估办法》高频问题与适用解读
本部分下篇将回答以下问题:
Q73.安全评估结果的有效期持续多久?
Q74.有效期届满时企业何时需要进行重新评估?
Q75.企业在重新申报评估的过程中原评估结果有效期届满,数据出境活动效力为何?
Q76.符合安全评估要求的企业需要现在就着手准备安全评估吗?
Q77.若企业不进行安全评估需要承担何种法律责任?
Q78.现阶段不符合《办法》规定的,《办法》实施后还需要追究责任吗?
Q79.如果申报材料不符合规定或者对安全评估结果有异议的,企业如何进行补救?
Q80.通过安全评估后是否还有其他持续性的审查?
Q81.已经进行了网络安全审核评估的企业,还要做数据出境安全评估吗?
Q82.企业如何合规地进行数据出境活动?
《办法》的发布促进了我国维护数据安全及保护数据利益的制度设计到实践操作的良性衔接,本次《办法》共包括二十条,对安全评估的目的,适用范围,评估程序,评估内容,评估效果等各进行了全面规定。
《办法》实施后,符合要求的企业最好在规定的期限内尽快配合完成评估,尽早熟悉、准备安全评估的相关事项及流程,以避免因违反《办法》规定而导致企业的数据出境活动受到影响。本专题的第三部分,将汇总《办法》的高频问题以及适用难点,结合团队多年的数据出境业务经验,为大家带来详细解读。
Q73.安全评估结果的有效期持续多久?
安全评估活动并非是一劳永逸,《办法》规定评估结果的有效期为出具结果之日起二年,如果企业在评估结果有效期届满后仍计划继续开展数据出境活动的,应当在有效期届满前60个工作日前重新申报评估,即大约三个自然月。
从《办法》的时效要求来看,如果达到《办法》规定要求的企业,持续有数据出境相关业务的话,安全评估可能将会是企业未来频繁接触的流程。
Q74. 有效期届满时企业何时需要进行重新评估?
需要注意的是,若想确保企业数据出境活动不受评估结果失效而终止,企业需要留够充分的申报时间,虽然流程中有规定申报材料流程的相关部门大概的处理时长,但目前《办法》要求最终出具评估结果的最长时间尚不明确,建议企业需要重新进行安全评估的,应当尽早着手准备。
Q75.企业在重新申报评估的过程中原评估结果有效期届满,数据出境活动效力为何?
既然目前并不确定评估结果出具的最长时间需要多久,那么尽管企业在60个工作日前完成重新申报,也有可能会出现原评估结果有效期届满,但是新评估结果也尚未出具的情形,严格按照《个人信息保护法》以及《办法》的规定来判断,有效的安全评估结果是符合要求的企业开展数据出境活动的前置条件,有效期届满后,企业继续进行数据出境活动的,可能会被因违反《办法》要求而被终止活动。
Q76.符合安全评估要求的企业需要现在就着手准备安全评估吗?
自《办法》发布后,近日许多企业都前来咨询该问题,未来一段时间内,很有可能是数据安全评估申报的高峰期。
首先,《办法》要求符合安全评估要求的企业坚持事前评估、风险自评估,并在申报安全评估时提交申报书、数据处理者与境外接收方拟订立的法律文件以及其他材料,这意味企业需要在申报前完成大量的准备工作;
其次,《办法》第二十条规定,《办法》自2022年9月1日起施行。《办法》施行前已经开展的数据出境活动,不符合《办法》规定的,应当自《办法》施行之日起6个月内完成整改,即已有数据出境业务的企业应在实施之日起6个月内整改,即最迟于2023年3月1日完成整改;
最后,《办法》规定,国家网信部门应当自向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估,情况复杂或者需要补充、更正材料的,可以适当延长并告知数据处理者预计延长的时间,这意味目前监管部分对于数据出境安全评估审核的期限可能基于情况复杂、材料不足等原因延迟;
综上所述,我们建议符合安全评估要求的企业尽快开始着手准备安全评估,避免因提交材料、审核期限等问题导致无法在《办法》实施之日起6个月内整改。
Q77.若企业不进行安全评估需要承担何种法律责任?
《办法》明确了符合安全评估要求的企业违反《办法》要求的法律后果,包括依据《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规处理,若情节严重,构成犯罪的,还有被追究刑事责任的风险。我们为企业梳理以上法律中的相关规定如下,供企业参考:
01
《网络安全法》第六十六条中对违法在境外存储网络数据,或者向境外提供网络数据的行为处罚规定
02
《数据安全法》第四十六条中针对向境外提供重要数据行为的处罚规定
03
《个人信息保护法》第六十六、六十七条中对违反规定处理个人信息,或者处理个人信息未履行《个保法》规定的个人信息保护义务的行为处罚规定
Q78.现阶段不符合《办法》规定的,《办法》实施后还需要追究责任吗?
企业数据出境现阶段不符合《办法》规定的,由于现阶段《办法》尚未实施,目前还不会受到处罚,但是《办法》也给企业预留了整改期,这说明,《办法》是考虑到了企业此时可能不合规的情况,并预留给企业调整时间的,因此,如企业在《办法》实施前已有部分数据出境情形,建议企业在《办法》施行之日起6个月内完成整改,否则可能面临违规风险。
Q79.如果申报材料不符合规定或者对安全评估结果有异议的,企业如何进行补救?
与之前2021年征求意见稿的版本相比,《办法》完善了安全评估的救济流程,企业先把材料交给省级网信部门进行材料的完备性审查,当材料不齐全时,会退回数据处理者并告知补充材料,企业可在此时补充材料,并在此向省级网信部门重新提交申报材料;同时,若最终企业无法通过安全评估,数据处理者对国家网信部门的评估结果有异议的,还可以在收到评估结果15个工作日内向国家网信部门申请复评,需注意此复评结果为最终结果。
Q80.通过安全评估后是否还有其他持续性的审查?
会的,我国数据出境安全坚持事件评估和持续监督相结合,也就是说国家网信部门可以主动对正在进行的各项企业数据出境活动进行监督,一旦发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当书面通知数据处理者终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估。
Q81.已经进行了网络安全审核评估的企业,还要做数据出境安全评估吗?
从现有法律的规定与监管的角度来看,完成网络安全审核评估的企业,建议仍然需要根据企业实际情况以及现有规定进行数据出境安全评估。网络安全审查评估与数据出境安全评估在许多内容上都有明显差别,二者共同作为我国数据安全的法治框架的一部分,数据安全既包括数据出境场景,同时也包括境内活动场景。
Q82.企业如何合规地进行数据出境活动?
企业马上需要做的内容是判断自身是否符合《办法》规定的需进行申报的要求,具体的事务事项可能受限篇幅无法完全展开,此处可以提供大致的思路,企业可以先对自己日常经营过程中处理的数据类型、规模、范围、业务流程进行一个确认归类,并梳理出企业内部的数据处理流程,以确保企业对其合规的判断足够精确。
其次,若符合《办法》要求的,由于《办法》规定了有限的整改期,且可能近段时间为申报的高峰期,可以尽早按照《办法》的要求完成申报材料的准备。
最后,企业除了考虑《办法》的要求外,本次解读第二部分《规定》的内容也需要关注,尤其《标准合同》中约定的各项权利义务及责任要求,可以成为企业日常数据出境活动中完成法律文件时的参考内容。当然,企业若想要安全合规的完成数据出境,只考虑出境规则是不够的,企业内部数据处理各项环节都可能会有违规的风险,精准的找到出血点,并对症下药,也是保证合规的关键。具体开展企业数据合规的相关事宜时,也非常欢迎企业与王捷律师团队进一步联系。
【附件】
数据出境评估2021年征求意见稿与2022年正式稿对比
向上滑动阅览
第四部分:
数据出海实践关键问题与海外SCCs
要点对比
本部分将回答以下问题:
Q83.什么是SCCs?
Q84.SCCs的适用主体和我国《标准合同》有什么区别?
Q85.SCCs有哪几种类型?每种类型的适用情形如何?
Q86.如何判断企业跨境传输活动是否需要签署SCCs?
Q87.符合SCCs签署条件的企业必须要签署SCCs吗?
Q88.跨国集团内部的数据传输行为,可以签署SCCs吗?
Q89.企业双方签订完SCCs后,若SCCs的条款与双方之前签订的合同相冲突,企业需要重新签订合同吗?
Q90.若欧盟用户可以访问中国境内企业提供的网站,并且企业收集了欧盟用户的个人信息,此种情况是否需要签署SCCs?
Q91.企业签署了SCCs,需要和中国一样到有关部门进行备案吗?
Q92.延伸—《标准合同》中的个人信息保护影响评估和欧盟SCCs的评估有何不同?
Q93.如果中国企业和位于欧盟境内的企业互相传输数据,双方是否需要同时签署中国标准合同以及签署欧盟SCCs?
Q94.我国《标准合同》如何应对欧盟SCCs体现的长臂管辖?
Q95.延伸—作为数据接收方且为数据控制者的中国企业如何应对欧盟相关机构的监管?
Q96.延伸—作为数据接收方且为数据处理者的中国企业如何应对欧盟相关机构的监管?
Q97.SCCs和《标准合同》的文本是否都可以删减更改?
Q98.欧盟SCCs与我国《标准合同》适用的管辖规则一样吗?
Q99.在使用SCCs完成跨境数据传输时,企业是否要考虑对第三方受益主体的保护?
Q100.SCCs在涉及向境外第三方传输数据时如何处理?
Q101.是否有可能在SCCs中添加其他条款,或将SCCs纳入更广泛的商业合同?
在专题的前三部分,我们已经基本完成了对近期境内数据出境相关的重要法律内容进行了解读,除对国内的相关规定进行详细的研究以外,实务及业内同时也关注欧盟与我国境内数据出境规定的比较,由于本专题主要围绕《办法》及《规定》的内容展开,我们拟在第四部分也针对欧盟地区与之相对应的部分进行分析比较,而在欧盟地区并无国家安全评估的相关要求,因此,我们将会对欧盟SCCs与国内的规定进行比对。
欧盟委员会于2021年6月4日以发布(EU)2021/91号执行决定的方式提供的标准合同条款最新版本(Standard Contractual Clauses,下称“SCCs”)。此最新版本的SCCs总共分为4个部分,主要规定了个人信息数据跨境传输过程中数据输出方与数据接收方与数据保护相关的权利义务、数据主体的利益保护、向第三国传输的相关事项以及法律适用等方面的内容。
Q83.什么是SCCs?
SCCs全称为Standard Contractual Clauses(标准合同条款)。现行SCCs是一组由欧盟委员会于2021年6月4日通过的标准合同条款,旨在保护离开了EEA的个人数据,确保个人数据在数据接收方得到GDPR规定的同等保护。
SCCs中包含2套,其中一套适用于数据控制者与数据处理者之间的数据委托处理活动(“委托处理SCCs”);另一套则适用于向第三国传输个人数据的情形(“跨境传输SCCs”或“SCCs”)。
从 EEA 境内向 EEA 境外的数据接收方传输个人数据时,必须遵守 GDPR 及其针对个人数据国际传输制定的规则。跨境传输SCCs 是可用于合规的保障措施之一,也是相对高效且节省成本的保障措施之一 。跨境传输SCCs有助于统一跨境处理方法,从而确保继续遵守 GDPR 对数据跨境传输的要求,并有助于确保个人数据的自由流动。
Q84.SCCs的适用主体和我国《标准合同》有什么区别?
两份文件中对于主体的划分是有较大差别的,在我国《标准合同》中对双方主体的划分方式主要为境内的个人信息处理者以及境外的数据接收方,而SCCs的主体划分则与我国不同,SCCs在境内及境外场景划分的基础之上,还基于数据跨境传输双方对数据的支配状态进行了角色区分,即数据控制者和数据处理者,二者区别在于,数据控制者决定数据处理的目的和方式,而数据处理者基于数据控制者的委托按照其指示进行数据处理活动。
Q85.SCCs有哪几种类型?每种类型的适用情形如何?
如上个问题所述,企业依据对数据处理目的以及处理方式是否具有决定能力,可以区分为数据控制者(controller)和数据处理者(processor)2种角色。SCCs根据数据输出方以及数据接收方的不同角色定位分为4种类型(Module)。具体为:
第一种类型(Module One:c-c)适用于数据控制者向数据控制者的跨境传输;
第二种类型(Module Two:c-p)适用于数据控制者向数据处理者的跨境传输;
第三种类型(Module Three:p-p)适用于数据处理者向数据处理者的跨境传输;
第四种类型(Module Four:p-c)适用于数据处理者向数据控制者的跨境传输。
企业可以根据具体的业务场景,判断双方的角色,选择相应的类型(Module)进行签署。
Q86.如何判断企业跨境传输活动是否需要签署SCCs?
该问题下我们首要考虑的是我国境内企业何时可能需要签署SCCs,如果企业是数据输出方,依据欧洲委员会2022年5月公布的新版SCCs问答的第24问规定,在判断是否适合签署SCCs时,需要考虑以下4个问题:
01
企业是否受GDPR管辖
02
数据跨境传输的双方是否为GDPR规定的数据控制者或者数据处理者
03
传输的是否为个人数据
04
数据接收方是否不受GDPR管辖
如果以上四个问题的答案均为是,则企业可以考虑使用SCCs作为跨境传输的工具。
Q87.符合SCCs签署条件的企业必须要签署SCCs吗?
根据欧洲委员会2022年5月发布的官方问答提供的内容,SCCs的条款是在自愿的基础上使用的,各企业并无义务必须签署SCCs,企业也可以选择自行制定一份符合GDPR要求的合同,但是由于SCCs提供了合规模板,出于节省成本和确保合规等原因的考虑,实际场景中,SCCs是许多符合签署条件的企业原意选择的路径。
该问题进一步有讨论价值的内容在于,相比之下,我国符合《规定》条件的企业是否必须要签署《标准合同》抑或是允许签署同等保护水平的合同完成数据出境,根据《个人信息保护法》第三十八条的内容,企业通过数据出境的四种路径是确定的,在提及标准合同的出境路径时,并未做额外允许签署同等水平协议的说明,同时《规定》中也未对该部分进行阐述,而考虑到一方面备案相比较于安全评估可能监管的力度会稍微放宽,另一方面若自行起草相关合同可能需要有更严格审核,在没有更进一步的官方解释的情况下,未来我国境内企业选择官方标准合同模版而非自行拟定合同是风险更低的选择。
Q88.跨国集团内部的数据传输行为,可以签署SCCs吗?
可以。SCCs与具有约束力的公司规则BCRs不同, SCCs既可以适用于向境外第三方进行数据传输的场景,也可以适用于跨国集团内部的数据传输。实务中,有企业会咨询我们SCCs和BCRs哪种方式更推荐使用。
具有约束力的公司规则BCRs适用于从事联合经济活动的企业集团或企业集团的每个相关成员,包括其雇员。不过,BCRs不适用于与第三方(例如服务提供商、客户、供应商等)之间的数据跨境转移,并且采用BCRs工具要求跨国企业必须在欧洲经济区内有实体以及由主管监管机构批准。由此可以判断,BCRs进行跨境传输的成本较高,建议企业采用签署内部SCCs的方式进行集团内部的数据跨境传输。Q89.企业双方签订完SCCs后,若SCCs的条款与双方之前签订的合同相冲突,企业需要重新签订合同吗?
类似的问题其实我们在本专题第二部分探讨我国《标准合同》的问题时也讨论过,即若曾经签署的条款与生效后的《标准合同》条款冲突时如何处理,此情形下SCCs与《标准合同》的处理结论类似,从效力优先性上判断,SCCs第五条有说明,若SCCs的条款内容与双方存在的或未来订立的协议内容间存在冲突,应以SCCs条款为准。因此,在双方签署SCCs后,一般企业并非必须重新签订合同,后续的数据跨境传输活动可以SCCs的条款为准。
Q90.若欧盟用户可以访问中国境内企业提供的网站,并且企业收集了欧盟用户的个人信息,此种情况是否需要签署SCCs?
不需要。适用SCCs的前提是存在一个数据控制者(或处理者)向另一个数据处理者(或控制者)进行跨境数据传输,在该问题的场景下,则并不存在两个这样的数据传输主体,我们可以通过案例更好理解这个问题,比如欧盟用户A在中国境内公司B的网站中享受服务,填写用户信息,此时由于数据是由用户A自己直接上传给公司B的,而并非由两个数据控制者或处理者之间完成传输,此时无需签署SCCs。
Q91.企业签署了SCCs,需要和中国一样到有关部门进行备案吗 ?
与我国《规定》里体现的“自主缔约+备案管理”相结合不同,欧盟SCCs无需备案,企业签署SCCs之后,即可将数据依据合同约定的方式进行跨境传输。但是,虽然没有备案的要求,依据SCCs第14条的规定,数据输出方可能也需要对传输的具体情况进行评估。
Q92.延伸—《标准合同》中的个人信息保护影响评估和欧盟SCCs的评估有何不同?
我们先了解SCCs评估的背景,在Schrems II 案后,欧盟更加强调了当使用SCCs作为数据跨境传输工具时对数据接收方的评估,一旦评估的过程中发现传输行为可能出现有悖欧盟规定的最低限度保障措施要求,则可能需要考虑停止数据传输或者采取适当补救措施。而根据SCCs第14条(b)的规定,评估需要考虑的内容,包括处理链条的长度、涉及的信息数量和使用的传输渠道;预期的再传输;接收者的类型;处理的目的;传输的个人数据的类别和格式;发生传输的经济领域;传输数据的存储位置;目的地第三国与传输的具体情况相关的法律和惯例;为补充本条款下的保障措施而制定的任何相关的合同、技术或组织保障措施,包括在传输过程中采取的措施以及在目的地国家处理个人数据的措施。
完成对SCCs的简单介绍后,结合我们本专题第二部分已经提及的个人信息影响保护内容,我们会发现,两个评估间有许多相似的特点,比如,需要考虑数据的类型、方式;对境外接收主体个人信息保护能力的考察;境外接收方所在地区,国家的法律政策影响等,评估的核心目的都在于确保数据安全能够符合文本制定国/区域的要求。
同时,两个评估间当然也有差异性的部分,比如程序上,我国的评估是数据出境的必须要求,而SCCs中的评估并非出境活动所必须,侧重点上,《标准合同》的评估内容会更全面,除了与SCCs一样关注境外风险以外,对境内主体的考量也是评估的重点之一。
Q93.如果中国企业和位于欧盟境内的企业互相传输数据,双方是否需要同时签署中国标准合同以及签署欧盟SCCs?
我们的建议是在符合各自的适用前提的条件下,中国标准合同以及欧盟SCCs均要签署。《标准合同》以及SCCs规定的适用,都是境内输出方向境外接收方进行数据传输的情况。在问题提及的双向传输的场景内,可以理解为,在国内企业数据传输向欧盟企业时受《标准合同》调整;在欧盟企业向国内企业进行数据传输时受SCCs调整。
同时,从数据保护目的上看,为了确保数据在第三国能够得到和在境内同等的保护水平,企业分别签署可以分别就中国数据出境以及欧盟数据出境事宜进行约束。可以确保中国数据在欧盟能得到充分保护,以及欧盟数据在中国能够得到GDPR规定的同等保护水平。
Q94.我国《标准合同》如何应对欧盟SCCs体现的长臂管辖?
判断该问题的重点在于关注我国对境内企业数据出境的保护。在欧盟GDPR的框架下,企业主体间若通过SCCs完成数据出境,要求企业必须配合欧盟监管部门各项安全性调查,面对欧盟SCCs的监管要求,我国《标准合同》也做出了相似的回应,同样也要求境外接收方接受并配合我国监管机构采取的各项安全性措施,从制度设计上分析,我国《标准合同》在监管内容上的回应能够很好的保护了我国境内企业及个人信息主体的利益。
Q95.延伸—作为数据接收方且为数据控制者的中国企业如何应对欧盟相关机构的监管?
结合我们过去积累的实务来看,要妥善应对数据出境目的国的监管是一个复杂的实践课题,一方面需要对企业内部、合作方、数据本身等各维度进行颗粒度足够细的详尽调查研究,另一方面也还需要各方人员的深度配合,才能形成契合每个企业自身情况的定制化建议,因此,我们就该问题部分先提供一个大致的方向,依据SCCs第13(b)条的约定,作为数据接收方的企业有责任服从欧盟相关监管机关的管辖,回应其询问,接受审计。因此,企业应保留在约定职责范围内进行处理活动的适当文件,按照欧盟监管机构的要求提供此类证明文件。
如想了解更详细的定制化应对策略,也欢迎联系我们。
Q96.延伸——作为数据接收方且为数据处理者的中国企业如何应对欧盟相关机构的监管?
同样,如上问题所述,此部分我们先提供一个大致的应对方向,企业应该保存有关代表数据输出方进行数据处理活动的文件,以及能够证明企业遵守了SCCs条款下约定的义务(包括但不限于采取了技术和组织措施等)的文件。如果企业收到欧盟监管机构的要求,可以提供上述材料用于证明。除此之外,企业在日常经营活动中,也需要配合数据控制者的审计活动以及回应来自监管机构的问询。
综上,不管企业是作为控制者或者是处理者,其对处理活动的记录文件十分必要,可以用于证明企业遵守了SCCs约定的条款义务、回应可能来自监管机构的审查。
Q97.SCCs和《标准合同》的文本是否都可以删减更改?
在涉及合同双方当事人权利义务,第三人权利,责任承担等合同的核心内容时,无论是SCC还是《标准合同》都不可以删减更改,我国《标准合同》各项内容由国家网信部门官方制定,对双方主体以及受益第三人的各项事项都做出了符合我国对数据出境安全要求以及实现数据出境安全目的的条款规定,因此,我国《标准合同》除非有特别说明,一般不得删减更改,当然,《标准合同》中个人信息处理者和境外接收方允许自由磋商的部分有可以调整的空间,双方可以在谈判过程中酌情调整,如附件一的个人信息出境说明及附件二的约定其他条款的部分等。
同样,根据2022年5月欧盟委员会的官方问答。SCCs的文本不得更改,除非(1)为了选择模块或文本中提供的选项;(2)为完成文本必要的,例如指明主管法院和监督机构,并制定时间段;(3)为填写附件;(4)为添加额外的保护措施,以提高数据的保护水平。但这些改变并不能视为改变了核心的文本内容。
Q98.欧盟SCCs与我国《标准合同》适用的管辖规则一样吗?
无论是SCCs或是我国的《标准合同》,在企业双方就合同各事项发生争议纠纷时,原则上都倾向于由本国或本地区的司法机关进行处理,我国《标准合同》第九条第(五)项中就提及个人信息处理者及境外接收方可以选择就争议事项寻求指定仲裁机构提起仲裁或向国内有管辖权的人民法院提起诉讼。
SCCs体现的管辖内容基本与《标准合同》的约定一致,但需要注意的是,在p-c的类型(Module 4)下,SCCs允许数据传输双方约定欧盟境外的法院进行争议的解决。
Q99.在使用SCCs完成跨境数据传输时,企业是否要考虑对第三方受益主体的保护?
SCCs的四个模块中都有较大的篇幅用以规定跨境传输双方如何保护第三方受益主体利益的内容,包括如确认双方责任承担,充分考虑境外接收方国家及地区的法律政策,规定第三方受益主体有权要求企业提供合同副本,以及规定第三方受益主体的救济方法等,这部分内容为我国《标准合同》的规定内容提供了很高的借鉴价值,从内容上比较,两份文件在第三方受益主体的保护上比较相似,也进一步体现了我国对保护个人信息保护主体权益的重视程度。因此,无论是何种场景,企业对个人信息保护的合规性都是数据出境活动中需要着重考虑的部分。
Q100.在签署SCCs后,如果企业想让额外相关方加入其已签署的SCCs,可以怎么做?
在SCCs合同签订后,如果有第三方想加入,可以根据SCCs第7条(docking clause)的约定,在合同缔约方同意后,以数据输出方或数据接收方的身份填写附录并签署的方式加入,加入之后该第三方就享有SCCs合同约定的权利以及需要承担相应的义务。这与我国《标准合同》的规定存在差别,《标准合同》要求数据出境后再传输到第三方主体的,需要境外接收方与第三方重新达成对个人信息保护程度不低于我国法律规定标准的书面协议。
Q101.是否有可能在SCCs中添加其他条款,或将SCCs纳入更广泛的商业合同?
如果合同缔约双方有其他事项需要在合同中约定,只要该合同条款不损害数据主体的权利,同时也不直接或间接地与SCCs合同正文规定的内容冲突,合同缔约双方可以在SCCs中增添额外条款。
除此之外,如若合同缔约双方欲将SCCs置于缔约方之间的其他商业合同之中,也需要满足以上要求,即不损害数据主体的权利,同时也不直接或间接地与SCCs合同正文规定的内容冲突。合同双方应当根据约定的管辖地域的法律要求,应签署并遵守SCCs,并将其纳入他们的其他合同中。
关于将SCCs合同纳入商业合同中,举例如下:SCCs国际数据传输第12(a)条规定了缔约双方的责任,其要求合同双方不得在商业合同(其中包括了SCCs的合同)中制定一般免责条款,因为这将与SCCs的本条款相冲突。故在不违反SCCs正文内容的前提下,可以将其以附件等形式纳入缔约方之间的商业合同中。
以上为我们本次数据出境实务100问的全部问题,实际上,关于数据跨境传输的相关问题还有很多很多,远非寥寥一百问可以囊括,在接下来的实践中,也会出现更多实务性落地性的问题,以及需要监管进一步阐明的疑难问题。作为数据合规共同体的一部分,我们非常期待能够有机会和各位同行、伙伴、朋友一起进行深入探讨和研究,共同进步,互相成就。
WISS 2023 第四届世界物联网安全及数据安全治理峰会火热报名中 , 欢迎报名↓
来源:等级保护测评
会员权益: (点击可进入)谈思实验室VIP会员
END
微信入群
谈思实验室专注智能汽车信息安全、预期功能安全、自动驾驶、以太网等汽车创新技术,为汽车行业提供最优质的学习交流服务,并依托强大的产业及专家资源,致力于打造汽车产业一流高效的商务平台。
每年谈思实验室举办数十场线上线下品牌活动,拥有数十个智能汽车创新技术的精品专题社群,覆盖BMW、Daimler、PSA、Audi、Volvo、Nissan、广汽、一汽、上汽、蔚来等近百家国内国际领先的汽车厂商专家,已经服务上万名智能汽车行业上下游产业链从业者。专属社群有:信息安全、功能安全、自动驾驶、TARA、渗透测试、SOTIF、WP.29、以太网、物联网安全等,现专题社群仍然开放,入满即止。
扫描二维码添加微信,根据提示,可以进入有意向的专题交流群,享受最新资讯及与业内专家互动机会。
谈思实验室,为汽车科技赋能,推动产业创新发展!