返回研究

《网络数据安全管理条例(征求意见稿)》系列解读之四——数据跨境安全管理

  发布时间:2021-11-23

作者:秦英、邵渝棋

正如《网络数据安全管理条例(征求意见稿)》系列解读之一所介绍的,《网络数据安全管理条例(征求意见稿)》(以下简称《数安条例》)作为第一部明确以《网络安全法》(“《网安法》”)《数据安全法》(“《数安法》”)《个人信息保护法》(“《个保法》”)三大基本法为上位法的行政法规,衔接、融合、补充及细化了三大基本法。其中,《数安条例》设置了专门章节,对数据跨境安全管理提出更为细化的要求。

在三大基本法中,关于数据跨境安全管理的规定较为笼统,但国家互联网信息办公室(以下简称“网信办”)自2017年以来先后颁布了三稿有关个人信息和数据跨境相关规定的征求意见稿,具体如下:

  • 2017年4月11日,《个人信息和重要数据出境安全评估办法(征求意见稿)》(“《2017年评估办法》”);
  • 2019年6月13日,《个人信息出境安全评估办法(征求意见稿)》(“《2019年评估办法》”)
  • 2021年10月29日,《数据出境安全评估办法(征求意见稿)》(“《2021年评估办法》”)

以上规定可为相关实践提供详实的参考。而《数安条例》的出台,很好地衔接了个人信息和数据安全的上位法与网信办多次修改的个人信息和数据出境评估规则。本文将分析《数安条例》与三大基本法在数据跨境安全管理方面的异同,并结合网信办此前发布的数据跨境相关规定等,厘清《数安条例》对数据跨境安全管理的要求。

一、数据跨境传输的前提条件

事实上,并非所有涉及数据出境的数据处理者均需进行数据出境安全评估才可做到合规。除下文第二部分所罗列出的相关规定要求必须进行安全评估的主体之外,对于一般的数据处理者而言,《个保法》及《数安条例》均规定了不同的合规方式可供选择:

《数安条例》

《个保法》

第三十五条 数据处理者因业务等需要,确需向中华人民共和国境外提供数据的,应当具备下列条件之一:

 

(一)通过国家网信部门组织的数据出境安全评估;

(二)数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证;

(三)按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同,约定双方权利和义务;

(四)法律、行政法规或者国家网信部门规定的其他条件。

 

数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的,或者为了保护个人生命健康和财产安全而必须向境外提供个人信息的除外。

第三十八条  个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:

 

(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;

(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;

(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;

(四)法律、行政法规或者国家网信部门规定的其他条件。

 

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。

个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

其中,可重点关注如下问题:

1. 对于一般的数据处理者而言,可选择通过进行安全评估、进行个人信息保护认证、与境外接收方订立网信部门制定的标准合同三种方式中的任何一种实现合规的跨境数据传输。

2. 对于进行个人信息保护认证的主体,《数安条例》进行了一定扩展。此前,《个保法》仅要求个人信息处理者进行该认证,而《数安条例》则将主体规定为“数据处理者和数据接收方”目前为止,具体的认证方法暂未公布,但是要求境外数据接收方同样需要通过该等认证,这也对数据的跨境传输设立了更为严格的要求。

3. 除可选择的合规方式之外,《数安条例》新增加了个人信息出境的豁免情形,即在符合特定情形时,数据处理者可不经任何一种合规方式便向境外提供个人信息。具体豁免情形包括:

  • 为订立、履行个人作为一方当事人的合同所必
  • 为了保护个人生命健康和财产安全所必需

我们理解,如果这一规定能最终通过,那么外企员工个人信息的跨境传输有可能会落入第一种豁免情形的范畴,为这些企业的内部运作提供一定便利。

目前,对于与境外接收方所订立标准合同的内容等具体要求,网信办正在制定,相信会在不远的未来公布。据我们所知,实践中已经有非常多的企业参照网信办此前发布的《2021年评估办法》以及《2019年评估办法》等相关规定以及GDPR公布的标准合同模板拟定合同文本,在企业进行数据跨境传输时使用。

二、关于数据出境安全评估

对于业务范围涉及数据出境的数据处理者而言,数据出境安全评估的重要性不容小觑。在数据出境安全评估方面,本次《数安条例》一方面与三大基本法及网信办此前发布的相关规定保持一致,另一方面也对部分内容进行了细化或扩展。为保证内容的系统性与全面性,笔者将结合相关规定,对于数据出境安全评估重点问题进行整体梳理。

(一) 在何种情况下需进行数据出境安全评估?

是否应进行数据出境安全评估,以及在何种情况下应进行数据出境安全评估,是相关数据处理者首先需关注的问题。对于此问题,各规定目前基本呈现出相互协调的状况,具体如下表所列示。同时提请注意,事实上在此前发布的《2017年评估办法》、《2019年评估办法》中,已存在关于需进行数据出境安全评估的规定情形,下表仅系对于三大基本法、最新的《2021年评估办法》以及《数安条例》的综合梳理。

需评估情形

对应规定

出境数据中包含重要数据

《数安条例》第三十七条 数据处理者向境外提供在中华人民共和国境内收集和产生的数据,属于以下情形的,应当通过国家网信部门组织的数据出境安全评估:

  (一)出境数据中包含重要数据;

《2021年评估办法》第四条  数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。…

(二)出境数据中包含重要数据;…。

关键信息基础设施运营者向境外提供个人信息

《个保法》第四十条  关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;…。

《网安法》第三十七条  关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;…。

《数安法》第三十一条  关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。

《数安条例》第三十七条 数据处理者向境外提供在中华人民共和国境内收集和产生的数据,属于以下情形的,应当通过国家网信部门组织的数据出境安全评估:

(二)关键信息基础设施运营者和处理一百万人以上个人信息的数据处理者向境外提供个人信息;

2021年评估办法》第四条  数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。

(一)关键信息基础设施的运营者收集和产生的个人信息和重要数据;

…;

(三)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;

…。

处理一百万人以上个人信息的数据处理者向境外提供个人信息

累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息

《2021年评估办法》第四条  数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。

(四)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;

…。

(二) 如何申请进行数据出境安全评估?

从实操层面而言,目前网信办已发布的《2021年评估办法》以及《2019年评估办法》均对申请进行数据出境安全评估的方法及所需材料进行了较为明确的规定,可进行参考,待其正式生效后将提供细致且有效的指引。

总体而言,根据上述两规定,申请进行数据出境安全评估应首先向所在地省级网信部门进行申报,或通过所在地省级网信部门向国家网信部门申报。申报时应提交如下材料:

  • 申报书;
  • 数据出境风险自评估报告/个人信息出境安全风险及安全保障措施分析报告;
  • 数据处理者与境外接收方拟订立的合同或者其他具有法律效力的文件等;
  • 安全评估工作需要的其他材料。

看到这里,如果大家还记得,前面提到《个保法》第38条和《数安条例》第35条规定的都是(1)个人信息/数据出境安全评估、(2)网信部门认定的专业机构认证、(3)网信部门制定的标准合同这三个条件任选其一即可进行个人信息/数据的跨境传输。但是,在申请网信部门进行数据出境安全评估时,却需要将数据处理者与境外接收方拟订立的合同作为申请材料之一,这是否说明数据出境安全评估与签署合同的要求已经是“并”而不是“或”的关系,从而与《个保法》有所冲突呢?我们理解,无论是数据跨境传输还是数据的共享等,数据提供方与接收方之间都需要签署相关合同来约定双方之间的权利义务。虽然内容上,该等自行签订的合同与网信部门制定的标准合同(目前并没有发布)可能存在很大的重合,但是这里作为申请材料之一的合同是“拟订立的合同或者其他具有法律效力的文件”而没有要求必须是“网信部门制定的标准合同”。换言之,作为数据出境安全评估申请材料之一的合同,可以是双方之间签署的非标准合同。因此,我们理解,如果不进行数据出境安全评估,则必须以签署“网信部门制定的标准合同”作为数据出境的前置条件。《数安条例》的这一规定与《个保法》的要求并不冲突。

(三) 数据出境安全评估的主要内容?

对于数据出境安全评估需要评估的具体内容,网信办发布的《2017年评估办法》、《2019年评估办法》和《2021年评估办法》均有所涉及。实际上,《2021年评估办法》第五条和第八条分别规定了企业进行数据出境的自评估和网信部门评估的评估要点。

我们以表格的形式将网信办在《2021年评估办法》中对于数据出境安全评估的最新规定,与《数安条例》的相关规定进行了对比如下:

2021年评估办法》

《数安条例》

第八条  数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项:

(一)数据出境的目的、范围、方式等的合法性、正当性、必要性;

(二)境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规规定和强制性国家标准的要求;

(三)出境数据的数量、范围、种类、敏感程度,出境中和出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险;

(四)数据安全和个人信息权益是否能够得到充分有效保障;

(五)数据处理者与境外接收方订立的合同中是否充分约定了数据安全保护责任义务;

(六)遵守中国法律、行政法规、部门规章情况;

(七)国家网信部门认为需要评估的其他事项。

第三十二条  …

数据处理者开展共享、交易、委托处理、向境外提供重要数据的安全评估,应当重点评估以下内容:

(一)共享、交易、委托处理、向境外提供数据,以及数据接收方处理数据的目的、方式、范围等是否合法、正当、必要;

(二)共享、交易、委托处理、向境外提供数据被泄露、毁损、篡改、滥用的风险,以及对国家安全、经济发展、公共利益带来的风险;

(三)数据接收方的诚信状况、守法情况、境外政府机构合作关系、是否被中国政府制裁等背景情况,承诺承担的责任以及履行责任的能力等是否能够有效保障数据安全;

(四)与数据接收方订立的相关合同中关于数据安全的要求能否有效约束数据接收方履行数据安全保护义务;

(五)在数据处理过程中的管理和技术措施等是否能够防范数据泄露、毁损等风险。

评估认为可能危害国家安全、经济发展和公共利益,数据处理者不得共享、交易、委托处理、向境外提供数据。

从上表可以看出,关于具体的评估内容,《2021年评估办法》与《数安条例》的规定有较大的重合,包括对于合法、正当、必要性的评估等要求。此外,《数安条例》第三十二条关于“向”的相关规定。《数安条例》的规定则更为细致及具体,例如对数据接收方的诚信状况、守法情况、境外政府机构合作关系、是否被中国政府制裁等背景情况的评估,也是本次《数安条例》明确的新要求。

三、增加并明确数据处理者向境外提供数据的具体义务

在《数安条例》发布之前,各法律法规中均没有针对业务范围涉及数据出境的数据处理者的义务进行集中而全面的规定,而此次《数安条例》对于相关数据处理者的详细义务进行了梳理与明确,有利于相关数据处理者明确并遵守其所应履行的义务。

总体而言,根据《数安条例》第三十九条,数据处理者向境外提供数据应当履行的义务可大体分为几个方面:

(一) 落实网信部门的管控

  • 对于向网信部门申请进行安全评估以及需向网信部门报送个人信息保护影响评估报告[1]的数据处理者,向境外提供数据应以安全评估时明确的或报送的个人信息保护影响评估报告中明确的出境目的、范围、方式和数据类型、规模等为准,不得超出该范畴。
  • 国家网信部门会同国务院有关部门核验向境外提供个人信息和重要数据的类型、范围时,数据处理者应当以明文、可读方式予以展示。
  • 国家网信部门认定不得出境的,数据处理者应当停止数据出境,并采取有效措施对已出境数据的安全予以补救。

(二) 落实与个人和第三方约定

  • 对于数据接收方,应采取合同等有效措施监督接收方按照双方约定的目的、范围、方式使用数据,履行数据安全保护义务,保证数据安全。
  • 对于个人信息出境后确需再转移的,应当事先与个人约定再转移的条件,并明确数据接收方履行的安全保护义务。
(三) 存留履行义务记录
  • 存留相关日志记录
  • 存留数据出境审批记录
  • 存留时间应达到三年以上

(四) 积极处理负面情况,履行相应责任

  • 接受和处理数据出境所涉及的用户投诉;
  • 数据出境对个人、组织合法权益或者公共利益造成损害的,应当依法承担责任;

四、对特定数据处理者增设出境安全报告要求

除上述基本义务之外,对于向境外提供个人信息和重要数据的数据处理者,本次《数安条例》新设立了需定期编制数据出境安全报告,向设区的市级网信部门报告上一年度以下数据出境情况的义务。

报告时间:每年1月31日前

报告内容:

  • 全部数据接收方名称、联系方式;
  • 出境数据的类型、数量及目的;
  • 数据在境外的存放地点、存储期限、使用范围和方式;
  • 涉及向境外提供数据的用户投诉及处理情况;
  • 发生的数据安全事件及其处置情况;
  • 数据出境后再转移的情况;
  • 国家网信部门明确向境外提供数据需要报告的其他事项。

五、VPN管控从严

近年来,我国对于VPN的管控逐渐加强。在《数安条例》发布之前,对于VPN进行禁止的规定主要包括《国际通信出入口局管理办法》、《计算机信息网络国际联网管理暂行规定》等,明确未通过官方渠道批准的VPN不能够进行使用。

而《数安条例》所带来的主要变化之一是明确了“任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等,不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务”,将责任延伸到了VPN“提供”主体及各类服务主体身上,明确拓宽了责任主体范畴。

六、结语

在目前的时代背景之下,数据的跨境传输对于大多数企业,尤其是在全球多地开展业务的跨国企业而言已经是不可避免的操作。本次《数安条例》的发布对于数据跨境安全管理相关要求进行了较为细致的梳理与完善,在其正式生效后将为后续的相关实践提供有效指引。

注释:

[1] 《个人信息保护法》第五十五条:有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:

(一)处理敏感个人信息;

(二)利用个人信息进行自动化决策;

(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;

(四)向境外提供个人信息;

(五)其他对个人权益有重大影响的个人信息处理活动。

作者简介:

相关阅读:

《网络数据安全管理条例(征求意见稿)》系列解读之一

《网络数据安全管理条例(征求意见稿)》系列解读之二——个人信息保护

《网络数据安全管理条例(征求意见稿)》系列解读之三——重要数据的保护

特别声明

本文仅供参考,不构成律师的正式意见,不应被看作是采取任何法律行动或进行法律决策的依据。文中所述仅代表作者个人观点,并不反映作者所服务的任何机构或客户的立场。

Copyright © 2020 立方律师     京ICP备09037220号-1      京公网安备11010102000452号