总第120期 出境数据100问
编者按
数据作为如今时代下的重要生产资料,其安全性问题不仅关乎个人权利,对社会稳定,国家利益而言都至关重要,在数据立法活动于全球范围内各国全面铺开的情况下,我国通过各方努力,实现了数据立法从无变有再到多而全的突破。随着我国数据出境制度完善,实践中的操作衔接与法律适用也是不可忽视的内容。该部分离不开实务中各企业人员以及法律人携手配合共同完成。随着《数据出境安全评估办法》《个人信息保护认证实施规则》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》的公布,由《个人信息保护法》第三十八条确定的数据出境路径的实践脉络已经越发清晰,可以判断,数据出境合规是企业开展国际业务必须面对的课题。
本专题是作者殚精竭虑后的创作成果,归纳了数据出境的相关法律内容以及实务操作层面的各类问题。本专题结合最新的法律法规、指南文件等,一方面对数据出境相关的法律法规进行分析,另一方面也就日常工作中遇到的高频出境问题进行总结。专题分成7个部分,113问中所涉及的问题既包括基础性的概念讲解,也包括对热点问题的分析,还包括对实务前沿问题的判断及境外个人信息跨境传输的相关内容,致力于让每一位不同基础、不同需求的读者都能够从中有所收获。
目录
释义
除非本文另有明确说明,下列简称分别具有如下含义:
| 《网络安全法》或《网安法》 | 指《中华人民共和国网络安全法》 |
| 《数据安全法》或《数安法》 | 指《中华人民共和国数据安全法》 |
| 《个人信息保护法》或《个保法》 | 指《中华人民共和国个人信息保护法》 |
| 《保守国家秘密法》 | 指《中华人民共和国保守国家秘密法》 |
| 《人类遗传资源管理条例》 | 指《中华人民共和国人类遗传资源管理条例》 |
| 《数据出境安全评估办法》 | 指《数据出境安全评估办法》 |
| 《安全评估申报指南》 | 指《数据出境安全评估申报指南(第二版)》 |
| 《标准合同办法》 | 指《个人信息出境标准合同办法》 |
| 《标准合同备案指南》 | 指《个人信息出境标准合同备案指南(第二版)》 |
| 《认证实施规则》 | 指《个人信息保护认证实施规则》 |
| 《个人信息安全规范》 | 指GB/T 35273-2020《信息安全技术 个人信息安全规范》 |
| 《数据分类分级规则》 | 指GB/T 43697-2024《数据安全技术 数据分类分级规则》 |
| 《大湾区实施指引》 | 指《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》 |
| 《数据跨境流动规定》 | 指《促进和规范数据跨境流动规定》 |
| 数据出境前置程序 | 指申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证 |
第一部分:数据出境关键概念剖析
很多看似非常难解答和处理的问题,并非问题本身,更多是基础概念没有真正理解到位。在日常为各大企业提供数据合规法律服务的过程中,我们经常遇到各项要素交织在一起的复杂情况,解决问题的关键之一,是对基础概念进行准确理解,并识别出待解决问题的真正核心。下面主要就部分数据出境的关键概念进行梳理和解读。
Q1.我国的数据出境制度包含哪些法律文件?
在法律层面,涉及数据出境制度的法律文件有《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等。
为了进一步落实上述法律中规定的数据出境制度,国家网信办于2022年7月7日公布了《数据出境安全评估办法》,自2022年9月1日起施行。2022年11月4日,国家网信办联合国家市场监督管理总局公布了《关于实施个人信息保护认证的公告》。2023年2月22日,国家网信办公布了《个人信息出境标准合同办法》,自2023年6月1日起施行。2024年3月22日,国家网信办公布《促进和规范数据跨境流动规定》,对数据出境安全评估、个人信息保护认证、个人信息出境标准合同等数据出境制度做出了调整,旨在进一步促进数据有序跨境流动,释放数据价值。
伴随着《促进和规范数据跨境流动规定》的发布,国家网信办还公布了《数据出境安全评估申报指南(第二版)》《个人信息出境标准合同备案指南(第二版)》等文件,对申报安全评估以及标准合同备案进行了具体规定。
除此之外,为了促进粤港澳大湾区个人信息跨境安全有序流动,国家互联网信息办公室联合香港特区政府创新科技及工业局于2023年12月10日发布了《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》,对粤港澳大湾区通过标准合同的方式进行个人信息跨境传输做出了特别规定。
除了以上规定,部分场景下或部分行业的数据出境有特别的规定,如依据《数据安全法》第三十六条和《个人信息保护法》第四十一条规定的所有向外国司法或者执法机构提供境内存储的包括个人信息在内的数据的行为(司法协助场景),应当经国内主管机关批准;根据《中华人民共和国人类遗传资源管理条例》规定的对外提供人类遗传资源信息时的安全审查或备案;以及《保守国家秘密法》规定国家秘密以及国际秘密载体的受到严格出境限制;特殊行业的数据出境限制及禁止性规定。
Q2.“数据出境”对什么类型的“数据”进行出境监管?
根据《中华人民共和国数据安全法》的定义,数据是指任何以电子或者其他方式对信息的记录。但是,在“数据出境”监管场景下,并非所有数据出境都会落入有关数据出境的法律法规的监管范围中,故识别数据出境场景,首先需要明确目前我国对什么类型的数据进行出境监管。目前受到出境监管的数据类型包括以下类别:
(1)依据《数据出境安全评估办法》第二条的规定,适用数据出境安全评估的数据包括重要数据以及个人信息。根据《个人信息出境标准合同办法》第二条的规定,适用个人信息出境标准合同的数据为个人信息。根据《认证实施规则》中的“适用范围”,适用于个人信息保护认证的数据为个人信息。
(2)此外依据《数据安全法》第三十六条和《个人信息保护法》第四十一条规定,所有向外国司法或者执法机构提供境内存储的包括个人信息在内的数据的行为(司法协助场景),应当经国内主管机关批准;依据《人类遗传资源管理条例》第二十八条的对人类遗传资源信息对外提供的安全审查或备案的要求;以及《保守国家秘密法》规定国家秘密以及国际秘密载体的受到严格出境限制等等。
(3)此外,依据部分行业(如汽车、金融、医疗等行业)的特殊规定,也存在数据出境限制或禁止规定。
Q3.如何判断是否涉及处理“个人信息”?
根据《个人信息保护法》第四条,“个人信息”指“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”,一般情形下对于何为“个人信息”是比较明确的,依据国家标准《个人信息安全规范》的“附录A(资料性附录)个人信息示例”,识别个人信息应当考虑两种方式,一是“识别”,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人。二是“关联”,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。
识别个人信息的场景中,较为困难的是何为“匿名化处理后的信息”,实务中有较多的企业会认为自身已经对个人信息进行了所谓的脱敏或匿名化处理,从而认为该类数据不再属于“个人信息”的范畴,实则我国监管对于“个人信息”的定义是比较宽泛的,当该类数据能够与任何其他数据结合识别出特定自然人,则其仍然属于个人信息的范畴,只有真正被匿名化处理过的数据,才不属于个人信息。
此外,在实务中,会经常出现有大量看似不是“个人信息”的业务数据,在判断此类数据是否属于“个人信息”时候需要特别注意识别,在出现有可能识别到特定个人的情况下,建议倾向按“个人信息”的标准对待和处理。
Q4.何种数据属于“重要数据”,以及如何判断自身业务涉及“重要数据”?
根据《数据出境安全评估办法》、《数据分类分级规则》,重要数据包含以下定义:
● 特定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。(《数据分类分级规则》)
● 一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。(《数据出境安全评估办法》)
以上可总结“重要数据”的特点是:一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全,即,重要数据的安全将对整个社会或国家的利益和福祉产生重大影响,此外“重要数据”的识别需结合具体场景、时间、行业规模等要素,同一种数据在不同时间节点、规模以及场景维度下会发生定性变化。
在实践中,诸多企业对于自身向境外提供的数据是否落入“重要数据”的范畴是比较模糊的,这为企业判断自身是否需要申报安全评估带来了困难。于2024年3月发布的《数据跨境流动规定》很大程度解决了企业的这一难题,根据该规定,未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。我们理解,重要数据的认定工作,未来将会由相关部门、地区等的主管(监管)部门承担,这将很大程度为企业降低负担,但企业仍需要关注相关部门或地区公布的重要数据目录。
Q5.如何判断公司业务行为与场景是否属于“数据出境”?
数据出境的概念早在2017年版的《个人信息和重要数据出境安全评估办法(征求意见稿)》曾给出过解析:网络运营者将在中国境内运营中收集和产生的个人信息与重要数据,提供给位于境外的机构、组织、个人。后根据2022年9月施行的《数据出境评估办法》第二条,“数据出境”是指“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息”。
《安全评估办法申报指南》中对于“数据出境行为”进行了罗列:
(1)数据处理者将在境内运营中收集和产生的数据传输、存储至境外。
(2)是数据处理者收集和产生的数据存储在境内,但境外的机构、组织或者个人可以查询、调取、下载、导出。
(3)符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他数据处理活动。
实践中较为常见的数据出境行为,根据过往的项目经验,至少包括以下几种常见的数据出境行为:
1. 数据传输至境外
场景示例:某境内在线零售平台与境外支付服务提供商合作,境内消费者在该平台购物后选择使用国际信用卡支付。在交易过程中,消费者的支付信息和交易数据被传输至境外支付服务提供商进行处理和结算,以完成跨境支付。
2. 数据存储至境外
场景示例:一家境内企业采用境外的SaaS(Software as a Service)软件来管理其销售业务。该SaaS软件提供商位于境外,境内企业在SaaS软件上上传或提交销售数据和客户信息等,销售数据和客户信息将传输至位于境外的SaaS软件提供商进行处理(包括但不限于存储),以实现该境内公司的销售业务的管理和分析。
3. 境外查询、调取、下载、导出境内数据
场景示例:一项国际性的医学研究项目中,中国的大学作为合作方之一,收集了大量的患者医疗数据,在项目合作过程中,境外的科研机构需要通过特定系统访问或查询这些数据进行进一步的分析和研究。
企业在判断公司业务行为是否属于“数据出境”的时候,需要注意以下内容:
(1)判断自己是否是我国《数据安全法》中的“数据处理者”(以及判断是否是我国《个人信息保护法》中的“个人信息处理者”);
(2)该等数据是否是在“境内运营过程中”收集和产生的;
(3)企业的行为是否有涉及“向境外提供”,或被境外“查询、调取、下载、导出”的情形,或者符合《个人信息保护法》第三条第二款情形,存在在境外处理境内自然人个人信息等其他数据处理活动。
Q6.如何理解《个人信息保护法》第三条第二款的情形,在境外处理境内自然人个人信息等其他处理活动,构成个人信息出境行为?
《安全评估申报指南》和《标准合同备案指南》两份文件的第二版出台之前,业内有观点认为《个人信息保护法》第三条第二款的行为不适用数据出境路径,原因在于落入该情形的境外个人信息处理者直接受《个保法》管辖,若境外个人信息处理者未向中国境外的其他个人信息处理者提供个人信息,那么并不涉及“个人信息出境”。
但目前,根据2024年3月发布的《安全评估申报指南》第二版及《标准合同备案指南》第二版,“符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他个人信息处理活动”已被明确为个人信息出境行为,若未落入豁免数据出境前置程序的情形,则境外个人信息处理者需根据具体情形申报安全评估、签订标准合同或通过保护认证。
Q7.如何准确识别企业行为是否涉及“境内运营”?
“境内运营”是一个经常出现在各个规定、办法、指南中的常见概念,也是我们研究“数据出境”行为的常见概念。根据2017年《信息安全技术 数据出境安全评估指南(征求意见稿)》中的规定,“境内运营(domestic operation)”是指,网络运营者在中华人民共和国境内开展业务,提供产品或服务的活动。
Q8.没有在中国境内注册,但是在境内开展业务,或向境内提供产品或服务的,是否属于境内运营?
解决难题的关键点在要看到问题的实质。结合前问,判断是否属于“境内运营”,不以是否在境内注册为判断依据,如果没有在我国境内注册的网络运营者,但在我国境内开展业务,或向中华人民共和境内提供产品或服务的,仍然属于境内运营。
判断是否“在我国境内开展业务,或向我国境内提供产品或服务的实务因素”,则包括但不限于:是否以为我国境内居民提供产品或服务为目的,提供产品和服务的过程中是否使用了中文;是否提供了可以用人民币作为结算货币的选项;是否提供了有向中国境内配送物流的服务等等。
Q9.如何正确识别“数据出境”中“出”的动作含义?
数据同一般有形实物不同,存在多种“出”的方式,包括将数据存储在U盘中携带出境;通过电子邮件发送数据;数据在云服务器之间传输;境外人员远程访问境内服务器查看、处理数据。
在实务中,存在较多疑问的场景集中在“境外人员远程访问境内服务器查看、处理数据”是否属于数据出境场景上,我们可以通过对“出境”这一基础概念的剖析和理解进行解答:虽然在本场景中,数据并没有实质发生物理转移出境的动作,但是,基于数据与有形实物的区别,数据本就以可观察的、电子形式进行存储,当数据受到境外机构或人员的查看、处理甚至导出时,已经属于实质上的数据出境行为。《安全评估申报指南(第二版)》中对于数据出境行为的规定亦确认了“远程访问”属于数据出境行为。
Q10. 如何理解数据出境的“境”?
我们常说的“出境”和“跨境”,不仅是指数据存在物理上跨越国境的行为,更是指从一个司法管辖区域到另一个司法管辖区域的行为,而其中司法管辖区域是既包括独立主权的国家,也包括具有司法独立主权的地区。
经常有客户咨询,中国大陆企业向香港、澳门、台湾地区传输数据,是否属于出境的行为。当我们对“境”有一个更准确的理解时,该问题便能轻松解决。
(1)中国大陆与香港、澳门、台湾地区分别属于不同的司法管辖区域;
(2)在《中华人民共和国出境入境管理法》第八十九条中曾有对“出境”进行定义,根据规定,出境是指中国内地前往其他国家或者地区,由中国内地前往香港特别行政区、澳门特别行政区,由中国大陆前往台湾地区;
(3)当企业将中国内地/大陆境内收集和产生的重要数据和个人信息向香港、澳门、台湾地区传输时,属于数据出境行为。
Q11. 如何理解“境外机构、组织、个人”?
实务中跨国集团、外资企业等存在很多看似疑难或模糊的数据出境场景,要想理清各类数据流转场景下是否涉及“向境外提供”数据,或数据被境外“访问或调用”的情况,需要进一步对“对境外机构、组织、个人”进行理解。
根据现行法律法规的定义,“境外机构、组织”包括境外机构、组织在中华人民共和国境内设立的分支(代表)机构和分支组织;“境外个人”包括居住在中华人民共和国境内不具有中华人民共和国国籍的人。
即境外的机构、组织是指没有在我国境内注册的主体,境外的个人是指持有外国国籍的自然人以及不受我国(内地/大陆)司法管辖的香港、澳门、台湾地区的自然人。
Q12. 境内主体向另一个位于境内的外资企业的办事处传输数据,是否属于“数据出境”?
在实务中,有很多看似不是数据出境,但实质上属于数据出境的“迷惑性”情况。判断这些问题的关键,主要看该业务场景是否落入“数据出境”的范围。
如前所述,出境的“境”是指跨越了司法管辖区域的边界,如果是向在我国境内,但不属于我国司法管辖的另一主体,或没有在我国境内注册的另一主体提供了数据,且该数据涉及个人信息和重要数据的,则仍然属于“数据出境”。
Q13. 跨国集团内部的数据传输行为,是否属于“数据出境”?
同样是如何理解“境”的问题,即便是跨境集团内部的数据传输行为,由于数据是通过境内的网络运营者从境内转移至境外的,如果该等数据也是属于其在境内运营中收集和产生的个人信息和重要数据的,则仍然属于“数据出境”。
因此,在实务中,当涉及跨国集团常发的集团统一采购、人事管理、OA系统、财务管理、文档管理、供应商管理、远程运维等情况时,将可能经常发生企业内部数据流动,并向境外关联主体提供数据的情况,从而可能会落入“数据出境”的范畴,需要特别注意。
Q14. 如何识别哪些情况不构成数据出境?
简而言之,排除了所有属于“数据出境”的情况,则属于不构成数据出境的情况。
我们认为,没有进行任何加工和处理的“过境中转数据”,即该等数据只是经由我国境内中转,但没有经过任何的变动或加工处理,不属于“数据出境”。
但对于“并非在我国境内收集和产生的数据,但处理过程中没有引入境内个人信息或重要数据”的情形,我们认为根据《数据跨境流动规定》第四条的规定,该情形仍然属于数据出境,但“免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”。但如在处理非我国境内收集和产生的数据过程中引入了境内个人信息或重要数据,我们理解需要根据引入数据及具体数据出境情况等,确定具体应适用的数据出境路径。
Q15. 什么是“数据出境安全评估”?
数据出境安全评估是符合要求的企业需要向境外提供重要数据和个人信息时,由企业申报,由国家网信部门进行安全性审查的过程。
安全评估最初在2017年我国《网络安全法》第三十七条出现,此后,《数据安全法》《个人信息保护法》《数据出境安全评估办法》等相继在重要数据及个人信息出境中提出了安全评估的要求。
《数据出境安全评估办法》是对数据出境安全评估进行了内容的细化。根据《数据出境安全评估办法》,数据处理者在申报数据出境安全评估前,应当先开展数据出境风险自评估。在后续部分,我们将会对安全评估的相关问题进行深化解读。
Q16. 什么是“个人信息出境标准合同”?
《个人信息出境标准合同》是国家网信部门制定的一项标准合同,是《个人信息出境标准合同办法》的配套文件。《个人信息出境标准合同》为个人信息处理者和境外接收方设定了一系列权利和义务,通过合同义务的方式约束双方的个人信息保护义务。
《个人信息出境标准合同》虽然是合同性质,但并不是说双方完成了签署就完事,它仍然会涉及到我国法律及原则的适用,以及我国的监管机构也对标准合同条款的实施了对应的监管要求,例如要求进行事前的个人信息影响保护评估、采取保护措施、要求进行备案等。
Q17. 什么是“个人信息保护认证”?
国家网信办联合国家市场监督管理总局发布的《关于实施个人信息保护认证的公告》落实了个人信息保护认证制度。个人信息保护认证是《个人信息保护法》规定的个人信息出境合规路径之一。具体而言,个人信息保护认证是由第三方机构通过评估对企业个人信息保护的能力给予信任背书。个人信息保护认证有两种类型,分别为不含跨境处理活动的个人信息保护认证何和包含跨境处理活动的个人信息保护认证。
Q18. 《数据跨境流动规定》出台后,适用不同数据出境路径的条件是什么?
根据《数据跨境流动规定》第十三条的规定,《数据跨境流动规定》与《数据出境安全评估办法》及《标准合同办法》规定不一致的,适用《数据跨境流动规定》。而《数据跨境流动规定》的第三至八条对于不同数据跨境传输路径的适用条件进行了大幅调整,且增加了豁免情形。故本专题在阐述后续部分各数据跨境传输路径的相关问题之前,对各路径的豁免情形和适用条件予以阐述。
第一,是“免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”的情形,即所谓的豁免情形。根据《数据跨境流动规定》第三至六条,包括:
(1)数据处理者跨境传输的数据不包括个人信息或重要数据;
(2)数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的;
(3)数据处理者向境外提供个人信息,符合下列情形之一,且向境外提供的个人信息不包括重要数据的:
1)为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的;
2)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;
3)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;
4)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。
(4)自由贸易试验区内数据处理者向境外提供自由贸易试验区制定的负面清单[1]外的数据。
第二,是适用各数据跨境传输路径的条件:
(1)符合下列条件之一,需申报数据出境安全评估:
1)关键信息基础设施运营者向境外提供个人信息或者重要数据;
2)关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。
(2)同时符合下列条件的,需订立个人信息出境标准合同或者通过个人信息保护认证:
1)非关键信息基础设施运营者;
2)自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的。
第三,另外,值得关注的问题包括:
(1)关键信息基础设施运营者的特定数据出境场景落入《数据跨境流动规定》第三至六条的情形时,无需申报数据出境安全评估,亦无需订立个人信息出境标准合同或通过个人信息保护认证。
(2)即使落入“免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”的情形,但数据处理者向境外提供个人信息的,仍需按照法律、行政法规的规定履行告知、取得个人单独同意(若适用)、进行个人信息保护影响评估等义务;数据处理者向境外提供数据(包括个人信息)的,仍需遵守法律、法规的规定,履行数据安全保护义务,采取技术措施和其他必要措施,保障数据出境安全,如发生或者可能发生数据安全事件的,应当采取补救措施,及时向省级以上网信部门和其他有关主管部门报告。
(3)当年1月1日起累计向境外提供不满10万人个人信息(但不包括敏感个人信息),无需申报数据出境安全评估,亦无需订立个人信息出境标准合同或通过个人信息保护认证,但仍需要履行上述(2)的义务。
在第一部分的附录中,我们也提供了“数据出境路径判断流程图”,以供读者以图示方式了解《数据跨境流动规定》出台后的数据出境路径判断逻辑。
Q19. 如何判断企业是否属于“关键信息基础设施运营者(CIIO)”?
自《网络安全法》公布以来,“关键信息基础设施运营者”的概念就持续在各种规定中被使用,后续各项法律规定不断完善后,该概念也逐渐清晰起来。
《关键信息基础设施安全保护条例》第二条为CIIO给出了明确的定义,关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
关键信息基础设施的确定,通常包括三个步骤,
(1)确定关键业务
(2)确定支撑关键业务的信息系统或工业控制系统
(3)根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施
同时,条例第九条规定,保护工作部门会结合本行业、本领域实际,制定关键信息基础设施认定规则,并报国务院公安部门备案。制定认定规则考虑的因素包括:
(1)网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;
(2)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;
(3)对其他行业和领域的关联性影响。
目前,企业是否为“关键信息基础设施运营者”是由保护工作部门根据其制定的相应规则组织认定的,认定结果工作部门会通知给运营者,并通报国务院公安部门。可见,如果企业并没有收到主管部门的认定通知的话,可以认为企业暂时不属于CIIO。
Q20. 如何计算“1万、10万、100万人个人信息”、如何理解“自当年1月1日起累计”?
(1)计算标准为个人信息主体数量,即人数,而不是条数。若企业涉及将一个个人的个人信息以多条的形式向境外提供,如企业同时将某个自然人的个人信息以“手机号+性别+所在城市”、“手机号+年龄+性别”的方式向境外提供,应计算为向境外提供了一个自然人的个人信息,对此企业在计算时需要以特定的方式进行去重后确定出境个人信息所对应的人数。
需要注意的是,根据《数据跨境流动规定》答记者问,符合《数据跨境流动规定》第三条、第四条、第五条第一款第一项至第三项、第六条规定情形的,不计入累计数量。
另外,请注意,数量应按照个人信息处理者的全部出境场景的个人信息所对应的个人信息主体数量计算,并非以单一业务线或单一产品来进行计算。
(2)10万人及1万人指的是自当年1月1日起出境的个人信息所对应的个人信息主体数量(人数)的累计计算。假设个人信息处理者于2024年4月2日评估是否可适用标准合同作为个人信息跨境传输路径,则计算范围为该个人信息处理者自2024年1月1日至2024年12月31日之间出境个人信息所对应的个人信息主体数量,因此个人信息处理者需要预估2024年整年出境个人信息所对应的个人信息主体数量。
为避免出现出境个人信息所对应的个人信息主体数量(人数)超过100万或1万敏感个人信息的阈值导致需申报安全评估,且考虑到完成整个安全评估的周期较长,我们建议企业根据过往两年的已出境个人信息所对应的个人信息主体数量、未来一年内的业务增长量预判等因素预估本年度的出境个人信息所对应的人数,如可能落入申报安全评估的范围,提前安排安全评估的相关工作。
Q21. 什么是“敏感个人信息”?
同样,我国《个人信息保护法》,就何谓“敏感个人信息”也给出了具体的定义,敏感个人信息是指,一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
实务中企业想要判断其处理的信息是否涉及“敏感个人信息”时,可以结合该等信息被泄漏或被非法使用时对数据主体权益的影响程度、是否属于特殊类型数据以及结合《个人信息安全规范》的“附录B(资料性附录)个人敏感信息”等进行综合判断。
Q22. 如何理解《数据跨境流动规定》第四条,即“在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的”?
适用该情形需要满足两个条件,即:
(1)出境的个人信息是在境外收集和产生的;
(2)在境内处理个人信息时没有引入境内个人信息或重要数据。
举例来说,中国互联网企业在出海过程中,收集海外自然人的数据,并将其传输至境内自有的数据中心进行处理,处理完成后向境外机构、组织或个人提供,且企业在境内处理的过程中没有引入境内的个人信息或者重要数据。
又如出海语音识别SaaS服务提供商,收集海外的B端客户传输的自然人语音信息,在境内识别分析后向境外机构、组织或个人返回语音识别后的结果,且该服务提供商在境内进行语音识别分析的过程中没有引入境内的个人信息或者重要数据。
Q23. 如何理解《数据跨境流动规定》第五条第一款的“订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的”?
该情形需要满足以下的条件:
(1)合同的一方当事人为个人(该个人的个人信息将向境外提供);
(2)个人信息处理者向境外提供个人信息,是为了订立、履行其与个人之间的合同;
(3)个人信息处理者为订立、履行其与个人之间的合同,确需向境外提供个人信息。
企业在确定适用该情形之前,需要就向境外提供的各个人信息字段进行必要性评估,对于企业来说,评估是否为“确需”是较难把握的问题。目前监管部门尚未公布进一步的明确标准,评估是否可适用该情形的负担很大程度上归于企业,企业也可能担心若“错误”适用是否可能被监管部门事后处罚。如企业希望寻求协助的,欢迎随时联系王捷律师团队。
Q24. 如何理解《数据跨境流动规定》第五条第二款的“按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的”?
针对该豁免情形,我们需要注意以下要点:
- 关于劳动规章制度和集体合同
■ 依法制定的劳动规章制度:是指企业与本单位职工根据法律、法规、规章的规定有关劳动报酬、工作时间、休息休假、劳动安全卫生、保险福利、职工培训、劳动记录以及劳动定额管理等直接涉及劳动者切身利益的规章制度,例如员工手册、绩效管理办法等文件。
■ 依法签订的集体合同是指企业与本单位职工根据法律、法规、规章的规定,就劳动报酬、工作时间、休息休假、劳动安全卫生、职业培训、保险福利等事项,通过集体协商签订的书面协议,也可就集体协商的某项内容签订专项书面协议。就我国而言签订该合同的企业为少数。 - 跨境人力资源管理场景不仅局限于入职阶段,我们理解此场景包含入职阶段(文件签订、体检、培训等)、在职阶段(考勤、社保、绩效等)、离职阶段(竞业限制、离职关怀等)。
- “确需”的必要性评估
■ 例如跨国企业需要将境内员工相关信息传输至境外统一的人力资源系统进行绩效分析时,境内公司向境外母公司传输员工的全部个人信息不具备必要性,实践中需就各个字段进行充分、必要的论证。
Q25. 如何理解《数据跨境流动规定》第六条第二款的“自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免于申报安全评估、订立标准合同、通过保护认证”?
《数据跨境流动规定》规定自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。
注册于自由贸易试验区(“自贸区”)的企业可持续关注所属自贸区发布的负面清单,若经核对后,出境数据(包括个人信息)属于负面清单之外的数据,则可免于安全评估、订立标准合同或通过保护认证;但如出境数据落入负面清单的范围,则仍需根据适用条件,申报安全评估、订立标准合同或通过保护认证。
实践中,上海和天津的自贸区均对区域内数据分类分级的流程进行了规定。上海也已基本编制完成智能网联汽车车辆远程诊断、公募基金市场投研信息、跨国公司集团管理、生物医药临床试验和研发等20个场景的跨境流动分级分类的首批清单目录,在完成论证后将于近期对外发布。
Q26. 自贸区若尚未发布负面清单,是否可以等负面清单落地再进行相关申报、备案?
根据《数据跨境流动规定》答记者问,负面清单出台前,自由贸易试验区内的数据出境活动按照国家数据出境安全管理有关规定执行。我们理解,在负面清单出台前,企业仍需按照现有的数据出境制度、自身向境外提供数据的情况申报数据出境安全评估、签署《标准合同》并备案、通过个人信息保护认证等,但若落入《数据跨境流动规定》中的其他豁免情形,则免于数据出境前置程序。
Q27. CIIO可否适用豁免情形?
《数据跨境流动规定》第七条也规定了“属于本规定第三条、第四条、第五条、第六条规定情形的,从其规定。”因此,若CIIO数据出境场景符合《数据跨境流动规定》第三至五条的情形,亦可适用豁免情形。
Q28. 若出境场景属于豁免数据出境前置程序的情形,还需要做什么?
《数据跨境流动规定》设置了一系列免予申报安全评估、订立标准合同、通过保护认证的数据出境场景,但这不意味着,落入豁免情形的数据出境活动可以不受限制地进行。
根据《个人信息保护法》的规定,在豁免数据出境前置程序的条件下,在个人信息出境方面,个人信息处理者仍需履行包括但不限于以下义务:
(1)向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项;
(2)取得个人的单独同意;
(3)进行个人信息保护影响评估;
(4)采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
对于个人信息之外的数据,如果豁免数据出境前置程序,根据《数据跨境流动规定》第十一条的规定,数据处理者仍需遵守法律、法规的规定,包括履行数据安全保护义务,采取技术措施和必要措施;发生或者可能发生数据安全事件的,应当采取补救措施,及时向省级以上网信部门和其他有关主管部门报告。
Q29. 《数据跨境流动规定》发布的背景下,企业如何合规地进行数据出境活动?
针对不同情况的企业,我们建议:
对于那些已经根据原有规定进行申报和备案的企业,应当根据申报的进展和结果,评估自身的数据出境活动是否符合《数据跨境流动规定》中的豁免情况。同时,与监管部门保持紧密的沟通,为接下来的应对措施和最终的收尾工作做好准备。
对于之前处于观望状态的企业,现在数据出境监管的不确定性已经有所缓解。企业应当开始对数据处理(其中包括数据出境)的情况进行彻底的排查,并采取相应的合规措施。鉴于当前政策强调行业监管和事前事中事后的监管检查,即便企业可能符合豁免情况,也应当加强内部的合规工作,并确保其他的义务得到有效履行,以实现业务长远稳定的发展。
Q30. 什么是“单独同意”?
“单独同意”是指个人针对其个人信息进行特定处理而专门作出具体、明确授权的行为,不包括一次性针对多种目的或方式的个人信息处理活动作出的同意。与“单独同意”相对的是所谓的“一揽子同意”,比如一款AI产品在用户交互界面向用户提供了一个勾选同意的选项,同意的内容包括将个人信息向境外主体提供、利用个人信息优化AIGC产品、对个人信息向境内主体共享等,这种一揽子的同意就不属于单独同意。关于单独同意的实施,在《GB/T 42574-2023 信息安全技术 个人信息处理中告知和同意的实施指南》的第9.3点有更为详细、区分不同情形的说明。
如个人信息处理者以“同意”为合法性基础向境外提供个人信息、不具备《个人信息保护法》第十三条第一款第(二)至(七)项的合法性基础,则需要取得个人的单独同意;这意味着,如个人信息处理者具备“同意”之外的合法性基础,则无需取得个人的单独同意,常见的如“为履行个人作为一方当事人的合同所必需”。
Q31. 什么是“数据出境风险自评估”?
数据出境风险自评估是申报数据出境安全评估的前置程序,《数据出境安全评估办法》规定,企业在申报数据出境安全评估前,需要开展数据出境风险的自评估。在要求提交的申报安全评估材料中,自评估报告是提交的材料之一。
虽然数据出境风险自评估与个人信息影响保护评估一样都是由企业自主进行的,但是自评估的内容呈现会关系到后续国家网信办的安全评估结果,企业在进行自评估时可以关注配合《安全评估申报指南》的要求。本专题的后续部分也会详细解读自评估值得重点关注的内容事项。此外,许多企业困惑于“数据出境风险自评估”、“数据出境安全评估”以及“个人信息保护影响评估”的关系区别,在了解分别是何种程序,由谁负责进行后,我们也将会在后文为大家继续做出详细对比分析。
Q32. 什么是“个人信息保护影响评估”?
个人信息保护影响评估是企业对其个人信息处理活动进行合法合规程度检查、判断企业的个人信息处理活动是否对个人信息主体合法权益造成损害及相关风险、以及评估保护个人信息主体的各项措施有效性的过程。我国《个人信息保护法》中明确规定,在几大特别情形下,企业应当在开展个人信息处理活动之前,先进行个人信息保护影响评估,并且评估报告和处理记录应当至少保存三年。《个人信息保护法》第五十五条则规定了企业需要进行个人信息保护影响评估的适用范围,包括:
(1)处理敏感个人信息
(2)利用个人信息进行自动化决策
(3)委托处理个人信息
(4)向其他处理者提供个人信息
(5)公开个人信息
(6)向境外提供个人信息
(7)其他对个人权益有重大影响的个人信息处理活动
个人信息保护影响评估应当包括下列内容:
(1)个人信息的处理目的、处理方式等是否合法、正当、必要;
(2)对个人权益的影响及安全风险;
(3)所采取的保护措施是否合法、有效并与风险程度相适应。
在确定数据出境中需要个人信息保护影响评估的前提下,《标准合同办法》《标准合同备案指南》进一步的对出境个人信息保护影响评估的适用条件、程序、内容进行了细化扩充,在本专题的后续部分将会对问题进行深化解读。
Q33. 如果落入《数据跨境流动规定》规定的豁免情形,仍需开展的个人信息保护影响评估需要参照哪个版本进行?
目前我国有两种个人信息保护影响评估,一种为参照《GB/T 39335-2020 信息安全技术 个人信息安全影响评估指南》开展的个人信息保护影响评估,另一种为《标准合同备案指南》附件5《个人信息保护影响评估报告(模板)(出境版)》。
我们理解,特定个人信息出境活动,即使根据《数据跨境流动规定》豁免数据出境前置程序,其仍然属于个人信息出境,因此建议按照《个人信息保护影响评估报告(模板)(出境版)》开展个人信息保护影响评估,当然企业可在条件允许的情况下融入《个人信息安全影响评估指南》的相关要求。
附:数据出境路径判断流程图
.png)
第二部分:数据出境安全评估高频问题与适用解读
《数据出境安全评估办法》的发布促进了我国维护数据安全及保护数据利益的制度设计到实践操作的良性衔接,《数据出境安全评估办法》共包括二十条,对安全评估的目的、适用范围、评估程序、评估内容、评估效果等各进行了全面规定。随后发布的《安全评估申报指南》,对数据出境安全评估的相关定义、申报方式、申报流程和申报材料等做出了进一步说明,为企业申报安全评估提供了明确的指引。此外,在实践过程中,部分省级网信部门通过发布指引,补充了一些申报评估的操作细节。2024年3月22日,《数据跨境流动规定》的发布对数据出境安全评估路径进行了重大调整,同期发布了《安全评估申报指南》的第二版。
需要通过数据出境安全评估开展数据跨境传输的企业,需要参照《数据出境安全评估办法》和《安全评估申报指南》申报安全评估,准备申报安全评估的相关事项及流程,以避免因违反《数据出境安全评估办法》、《安全评估申报指南》的规定而导致企业的数据出境活动受到影响。本专题的第二部分,将汇总《数据出境安全评估办法》《安全评估申报指南》《数据跨境流动规定》的高频问题以及适用难点,以各省网信部门新增的细节为补充,结合团队多年的数据出境业务经验,为大家带来详细解读。
Q34. 《数据跨境流动规定》发布的背景下,应申报安全评估的条件是什么?
根据《数据跨境流动规定》第七条的规定,符合下列条件之一的,应当申报数据出境安全评估:
(1)对于CIIO
1)提供个人信息或者重要数据
(2)对于非CIIO的数据处理者
1)提供重要数据;
2)自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息);或者
3)自当年1月1日起累计向境外提供1万人以上敏感个人信息。
需要注意的是:
● 计算个人信息人数时需要去重及去除豁免场景的个人信息。
● 如果数据处理处理者同时符合上述条件,但具备《数据跨境流动规定》第三至六条规定的情形的,则无需申报安全评估。以CIIO为例,如特定数据出境活动落入豁免情形,就该数据出境活动并不需要申报安全评估,但其他数据出境活动仍需申报安全评估。
Q35. 《数据跨境流动规定》与《数据出境安全评估办法》之间的关系是什么?
《数据跨境流动规定》是网信办结合过去两年的安全评估经验,对现行数据出境监管框架作出的重大调整,即《数据跨境流动规定》和《数据出境安全评估办法》均为现行生效法规。但若《数据出境安全评估办法》与《数据跨境流动规定》中的规定不一致的,需以《数据跨境流动规定》中的规定为准。
Q36. 《数据跨境流动规定》中哪些规定与《数据出境安全评估办法》不一致?
(1)适用安全评估的条件:包括增加豁免情形和调整适用条件;
(2)通过评估结果有效期及延长制度:有效期从“2年”调整为“3年”,增加延长评估有效期的制度和相应条件。
(3)监管思路:从“坚持事前评估”,调整为“强化事前事中事后全链条全领域监管”。
Q37. 《安全评估申报指南》的第二版相较于第一版有哪些主要变化?
《数据跨境流动规定》发布的同时,亦更新了《安全评估申报指南》第二版。
《安全评估申报指南》第二版,相比第一版,共有以下三处主要变化:
(1)调整了应当申报安全评估的条件;
(2)申报方式从“线下书面申报”转变为“线上系统申报和线下书面申报”并行。
(3)申报材料要求变化:
1)附件1:数据出境安全评估申报材料要求
a)“经办人授权委托书”、“承诺书”、“数据出境安全评估申报表”、“数据出境风险自评估报告”删除了“原件”要求;
b)“与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件”及其他相关证明材料,删除了“影印件加盖公章”要求,明确相关法律文件以中文版本为准,若仅有非中文版本,须同步提交准确的中文译本;
c)明确使用中文填写“数据出境安全评估申报表”及“数据出境风险自评估报告”;
d)明确线下方式提交申报材料的数据处理者,需同步通过光盘提交相应电子版材料。
2)附件3:数据出境安全评估申报书(模版)
a)优化填写方式,将单位性质、类型、涉及行业及领域等字段修改为勾选,便于企业填报。
b)明确计算出境的数据需经过去重。
c)明确为按场景分别申报,更符合实践中的申报逻辑及思路。
3)附件4:数据出境风险自评估报告(模板)
a)如有第三方机构参与自评估,须在自评估报告中说明第三方机构的基本情况及参与评估的情况,但删除了“在相关内容页上加盖第三方机构公章”等规定。
b)简化原数据出境风险自评估的填写内容。
具体修改内容,详见第二部分后文的附录部分。
Q38. 核心数据是否可以通过安全评估实现数据出境?
从数据类型上看,《数据出境安全评估办法》、《数据跨境流动规定》只规定了重要数据及个人信息出境需要申报安全评估,而并未列明核心数据可以通过安全评估实现出境,由此核心数据的数据出境规则值得进一步分析,根据《数据安全法》第二十一条规定:“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。”《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》第八条将跨境数据分为核心数据、重要数据、一般数据3个级别,其中核心数据禁止跨境。
结合相关地区政策,我们可以判断核心数据可能无法通过安全评估办法进行出境,一是因为核心数据其对国家、社会的重要性要比《数据出境安全评估办法》中规定的几种数据类型更高,二是《数据安全法》中已说明将会实行更严格的管理制度要求,至于这是否意味着核心数据不具有出境的可能性,或者核心数据出境需要适用何种规则,由于其需要更多维度要素的考量,需要进一步观察。
Q39. 企业是否可以通过安排不同主体向境外提供个人信息的方式以规避安全评估?
对于该问题,《数据出境安全评估办法》本身并没有提供答案,但参考《标准合同办法》第4条第3款的规定:“个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。”再结合数据出境监管趋势可推知,我们理解,企业不能通过安排不同主体向境外提供个人信息的方式规避安全评估。
但需要指出的是,如企业与企业之间能够保持独立,业务、人员、资金、管理制度等都能达到不混同、不融合、不共享的,我们可以认为,每一个处理数据的企业都构成一个完全独立的数据处理者。若此时每一个单独的企业处理数据的情形都未达到安全评估的要求标准,出境个人信息量应独立计算、不会累计计算,此时企业的数据出境活动可以不申报安全评估。
现尚无依据判断企业间是否符合“不混同、不融合、不共享”的标准,但随着对数据出境监管力度的加强,不排除未来监管部门会通过对不同企业主体进行详细审查或在企业进行安全评估申报、标准合同备案时进行审查,如通过判定企业之间的数据流转情况、数据融合情况、企业的具体经营状况(包括但不限于业务人员的对应的劳动合同关系,各企业主体是否独立承担责任,是否具有独立责任人等),以及向境外提供个人信息和重要数据的各企业之间的关系,最终判断出各企业主体之间是较难保持(数据的)独立性,或数据实际为同一企业所控制,或有采取数量拆分等手段以规避安全评估的话,各企业间的数据量可能会被视为应累计计算,进而符合《数据出境安全评估办法》规定的应申报安全评估的标准,需要依据要求的内容申报安全评估。
Q40. 企业如何申报数据出境安全评估?
企业可进行线上申报,申报地址为https://sjcj.cac.gov.cn。但根据《安全评估申报指南》第二版,关键信息基础设施或者其他不适合通过数据出境申报系统申报数据出境安全评估的,采用线下方式通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
Q41. 企业在进行数据出境安全评估时将需要经历哪些具体流程?
.png)
Q42. 企业申报数据出境安全评估需要提交哪些材料?
(1)统一社会信用代码证件影印件
(2)法定代表人身份证件影印件
(3)经办人身份证件影印件
(4)经办人授权委托书
(5)数据出境安全评估申报书(使用中文填写)
(6)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件(对数据出境相关约定条款作高亮、线框等显著标识。法律文件以中文版本为准,若仅有非中文版本,须同步提交准确的中文译本。)
(7)数据出境风险自评估报告(使用中文撰写)
(8)其他相关证明材料
其中,数据出境安全评估申报书、与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件、数据出境风险自评估报告为申报材料中较难填写的材料。
Q43. 企业应该如何进行自评估报告,完成自评估的过程中需要重点关注哪些内容?
我们在本专题的第一部分对自评估报告的概念进行了说明,简单来说,自评估报告中需要对数据出境业务、数据出境过程中可能涉及的风险、境外接收方处理数据的用途、方式、个人信息权益维护、签订的法律文件等进行评估。
根据《安全评估申报指南》第二版,自评估报告应包括三个部分:
(1)自评估工作简述
(2)出境活动整体情况
(3)拟出境活动的风险评估情况及结论
其中,“出境活动整体情况”和“拟出境活动的风险评估情况”为风险自评估报告的重点内容。企业需要在客观描述出境活动的整体情况;基于第二部分的事实情况,在第三部分中,评估拟出境活动在该事实情况的基础上可能存在的风险以及相应的整改措施。
|
企业数据出境风险自评估报告 一、自评估工作简述 简要概述自评估工作开展情况,包括起止时间、组织情况、实施过程、实施方式等内容。 二、出境活动整体情况 详简要说明数据处理者基本情况、数据处理者安全保障能力情况、境外接收方情况、法律文件约定情况等,详细说明拟出境数据情况。 (一)数据处理者基本情况 (二)拟出境数据情况 (三)数据处理者数据安全保障能力情况 (四)境外接收方情况 (五)法律文件约定数据安全保护责任义务的情况 (六)数据处理者认为需要说明的其他情况 三、拟出境活动的风险评估情况及结论 对照《数据出境安全评估办法》第五条规定事项,说明数据出境风险自评估情况,重点说明自评估发现的问题和整改情况。 综合风险自评估情况和相应整改情况,对拟申报的数据出境活动作出客观的风险自评估结论,充分说明得出自评估结论的理由。 |
Q44. 企业开展自评估有哪些难点?
(1)启动自评估的时间节点:企业开展自评估的时间不能过早,应在申报前3个月内完成。
(2)法律文件的规范性:《数据出境安全评估办法》和《安全评估申报指南》第二版中对数据处理者与境外接收方签订的法律文件提出了较高的规范要求。法律文件看似只明确提及要求约定数据安全保护责任义务,但这些义务的涵盖范围非常广泛。企业必须事先了解相关立法,从而起草符合规范要求的法律文件条款,同时避免违法违规风险和法律冲突;事中关注法律和数据出境动态等,确保境外接收方可持续保障数据安全;约定安全事件发生后应当启动的补救措施,以全方位确保在数据出境活动中的合法性和合规性。
(3)文件或数据的收集和整理困难:自评估涉及企业管理组织体系和制度建设、技术措施、数据规模等多项内容,涉及的文件或数据的时间跨度大,涉及的范围广,且可能需要联合或调度多个部门(如合规部门、业务部门、信息化部门、信息安全部门等)收集相关文件和数据并整理,因此企业组织自评估的难度大且专业要求高。
(4)风险评估的客观性:自评估第三部分为风险评估,而风险评估涉及到主观判断和预测,不同人对风险的认知和评估可能存在差异,因此对进行风险评估的人员提出了较高要求,需要确保风险评估过程的客观性、全面性。
(5)整改措施的落实和效果评估:自评估不仅需要评估问题和风险,还需要确定相应的整改措施并确保其有效实施,同时还需要对整改效果进行评估和监测,这需要企业具备一定的管理和执行能力。
综上,在评估实施过程中,建议企业以涉及数据出境的业务为主线,全面梳理和掌握数据出境活动所涉及的主体、技术、管理制度、法律合同的全貌和细节。企业将自评估纳入企业日常的数据合规管理体系中,从业务开展之初即开始筹划,把自评估贯穿企业数据出境的全程,实现降本增效的同时,更好地把握自评估的开展进程,既符合申报前3个月内完成风险自评估的规定,又降低申报不通过的可能性。
Q45. 企业是否需要分开做个人信息保护影响评估以及数据出境风险自评估?
个人信息保护影响评估主要适用数据类型为个人信息的情形,数据出境风险自评估则可能涉及到更多数据类型,由于个人信息保护影响评估以及数据出境风险涉及的评估广度以及深度上的差异,对于不同类型的数据,企业都需要完成数据出境的,有可能存在分别需进行个人信息保护影响评估以及数据出境风险自评估的情况。
Q46. 企业进行数据出境风险自评估以及个人信息保护影响评估的材料是否有可以共用的部分?
承接上一问,由于个人信息保护影响评估以及数据出境风险自评估涉及的评估广度以及深度上的差异,企业可能需要分别进行个人信息保护影响评估以及自评估。但是,这并不意味着二者没有可以共用的部分。
相反,许多企业在进行两项评估的过程中实际上有许多调查的事项材料是重合的,比如涉及到个人信息相关的目的、类型、使用范围、境外接收者保障信息安全的技术和管理制度、境外的责任承担义务等,这也提醒企业,在进行各项评估时,相关的评估材料可以进行及时备份和保存,以提高企业经办数据出境流程的效率。
在对个人信息主体的保护方面,数据出境风险自评估涵盖了个人信息保护影响评估的内容,可以合并进行评估。而对于涉及接收方所在国/地区的政策评估,则需要在个人信息保护影响评估中额外进行。
Q47. 安全评估结果的有效期持续多久?什么情形下需要重新申报安全评估?
根据最新的《数据跨境流动规定》,数据出境安全评估的结果有效期为3年,自评估结果出具之日起算,延长了《数据出境安全评估办法》中的原本“2年”的有效期;同时亦删除了原有的有效期届满时需重新申报的规定,改为有效期届满但未发生需重新申报数据出境安全评估情形时的“延长评估结果”的制度,在该情形下数据处理者应当在有效期届满前60个工作日前通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请,经国家网信部门批准,可以延长评估结果有效期3年,但根据目前规定无法确定是否可多次延长、以及审批延长评估结果时需要提交哪些材料。
另外,根据《数据出境安全评估办法》第十四条的规定,如果企业在安全评估结果有效期内发生出现以下情形(即使是在评估结果有效期内),则需要重新申报评估:
(1)向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的;
(2)境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的;
(3)出现影响出境数据安全的其他情形。
对于评估结果有效期即将届满且同时满足需重新申报安全评估(若如新涉及数据出境的业务)的企业,若想避免企业原有数据出境活动因原有的评估结果失效而终止,可考虑采用同时申请延长评估结果和开展重新申报安全评估的方式进行。
Q48. 若企业不申报安全评估需要承担何种法律责任?
《数据出境安全评估办法》明确了企业违反《数据出境安全评估办法》规定的法律后果,包括依据《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规处理,若情节严重,构成犯罪的,还有被追究刑事责任的风险。我们为企业梳理以上法律中的相关规定如下,供企业参考:
(1)《网络安全法》第六十六条中对违反在境外存储网络数据,或者向境外提供网络数据的行为处罚规定;
(2)《数据安全法》第四十六条中针对向境外提供重要数据行为的处罚规定;
(3)《个人信息保护法》第六十六、六十七条中对违反规定处理个人信息,或者处理个人信息未履行《个人信息保护法》规定的个人信息保护义务的行为处罚规定。
Q49. 如果申报材料不符合规定或者对安全评估结果有异议的,企业如何进行补救?
《数据出境安全评估办法》及《安全评估申报指南》第二版完善了安全评估的救济流程,企业先把材料交给省级网信部门进行材料的完备性审查,当材料不齐全时,省级网信部门会退回并告知补充材料,企业可在此时补充材料,并向省级网信部门重新提交申报材料。在国家网信部门受理阶段,国家网信部门可能要求数据处理者补充、更正材料。若经国家网信部门评估后,数据处理者未通过安全评估,数据处理者对国家网信部门的评估结果有异议的,还可以在收到评估结果15个工作日内向国家网信部门申请复评,但需注意此复评结果为最终结果。
Q50. 《数据跨境流动规定》施行前已经完成或者正在申报数据出境安全评估的,发现落入数据出境前置程序的豁免情形,应当如何处理?
面对当前的情况,企业可以考虑两个方向:一是继续开展现有程序,二是向国家网信办请求撤回已提交的申报。
企业可权衡各方面的因素,选择最符合自身长远利益和合规要求的方案。
若选择继续开展现有程序,若通过,企业将得到国家网信部门的安全评估结果,可作为企业数据出境方面合规的有效增信文件,但这也意味着企业可能需要继续投入资源来完成整个安全评估申报的过程。
若选择撤回申报,企业则无需承担申报安全评估的义务,但仍需履行其他义务,企业可能不确定目前已采取的合规措施是否完全符合法律法规的规定及监管机构的要求。为此,我们建议企业应当妥善保存与豁免相关的论证材料及其他义务的履行证明,以备后续可能的核查之需。
Q51. 若企业安全评估申报未被通过,但落入可豁免情形,应当如何处理?
我们理解,企业仍可依据新规进行数据出境活动。但考虑到的安全评估申报未获通过,可能是因为未取得单独同意、未采取相应的安全保护措施、不符合“必要性”原则等原因而未通过,我们建议企业可进一步向国家网信部门询问不予通过的原因,发现已有的合规敞口,以进行相应合规整改,以面对豁免情形下亦需要受到的数据出境事中事后监管。
Q52. 通过安全评估后是否还有其他持续性的审查?
即使通过了安全评估,并不意味着企业可高枕无忧。根据《数据跨境流动规定》第十二条的规定,网信部门从《数据出境安全评估办法》中的“坚持事前评估和持续监督相结合”改为《数据跨境流动规定》中的“强化事前事中事后全链条全领域监管”。若国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,将会书面通知数据处理者终止数据出境活动;数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估。
附:《数据出境安全评估申报指南》(第一版)和(第二版)对比表
| 注:斜体-新增、加粗-修改、下划线-删除 | |||||||||||||||||||||||||
| 数据出境安全评估申报指南 (第一版) |
数据出境安全评估申报指南 (第二版) |
||||||||||||||||||||||||
| 一、适用范围 数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信办向国家网信办申报数据出境安全评估: (一)数据处理者向境外提供重要数据; (二)关键信息基础设施运营者和处理 100 万人以上个人信息的数据处理者向境外提供个人信息; (三)自上年1月1 日起累计向境外提供10万人个人 信息或者 1 万人敏感个人信息的数据处理者向境外提供个人信息; (四)国家网信办规定的其他需要申报数据出境安全评估的情形。 以下情形属于数据出境行为: (一)数据处理者将在境内运营中收集和产生的数据传输、存储至境外; (二)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出; (三)国家网信办规定的其他数据出境行为。 |
一、适用范围 数据处理者向境外提供数据,有下列情形之一的,应当申报数据出境安全评估: (一)关键信息基础设施运营者向境外提供个人信息或者重要数据; (二)关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。 属于《促进和规范数据跨境流动规定》第三条、第四条、第五条、第六条规定情形的,从其规定。 以下情形属于数据出境行为: (一)数据处理者将在境内运营中收集和产生的数据传输至境外; (二)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出; (三)符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他数据处理活动。 |
||||||||||||||||||||||||
| 二、申报方式及流程 数据处理者申报数据出境安全评估,应当通过所在地省级网信办申报数据出境安全评估。申报方式为送达书面申报 材料并附带材料电子版。 省级网信办收到申报材料后,在5个工作日内完成申报材料的完备性查验。通过完备性查验的,省级网信办将申报材料上报国家网信办;未通过完备性查验的,数据处理者将收到申报退回通知。 国家网信办自收到省级网信办上报申报材料之日起7个工作日内,确定是否受理并书面通知数据处理者。 数据处理者如被告知补充或者更正申报材料,应当及时按照要求补充或者更正材料。无正当理由不补充或者更正申报材料的,安全评估将会终止。情况复杂的,数据处理者将被告知评估预计延长的时间。 评估完成后,数据处理者将收到评估结果通知书。对评估结果无异议的,数据处理者须按照数据出境安全管理相关法律法规和评估结果通知书的有关要求,规范相关数据出境活动;对评估结果有异议的,数据处理者可以在收到评估结果通知书15个工作日内向国家网信办申请复评,复评结果为最终结论。 |
二、申报方式及流程 数据处理者申报数据出境安全评估,应当通过数据出境申报系统提交申报材料,系统网址为https://sjcj.cac.gov.cn。关键信息基础设施运营者或者其他不适合通过数据出境申报系统申报数据出境安全评估的,采用线下方式通过所在地省级网信办向国家网信办申报数据出境安全评估,申报方式为送达书面申报材料并附带材料电子版,书面申报材料需装订成册。 省级网信办在数据处理者提交申报材料之日起5个工作日内完成申报材料的完备性查验,并向数据处理者告知查验结果。通过完备性查验的,省级网信办将申报材料提请国家网信办受理;未通过完备性查验的,省级网信办向数据处理者告知未通过完备性查验原因。 国家网信办自收到省级网信办提交的申报材料之日起7个工作日内,确定是否受理并书面通知数据处理者。 需要补充或者更正申报材料的,数据处理者应当按照告知要求及时补充或者更正材料。无正当理由不补充或者更正申报材料的,国家网信办可以终止安全评估。情况复杂或者需要补充、更正材料的,国家网信办可以适当延长评估时间,并告知数据处理者预计延长的时间。 评估完成后,国家网信办向数据处理者出具评估结果通知书。数据处理者应当按照数据出境安全管理相关法律法规和评估结果通知书的有关要求,规范相关数据出境活动。数据处理者对评估结果有异议的,可以在收到评估结果通知书15个工作日内向国家网信办申请复评,复评结果为最终结论。 |
||||||||||||||||||||||||
| 三、申报材料 数据处理者申报数据出境安全评估,应当提交如下材料(数据出境安全评估申报材料要求见附件1): 1.统一社会信用代码证件影印件 2.法定代表人身份证件影印件 3.经办人身份证件影印件 4.经办人授权委托书(模板见附件2) 5.数据出境安全评估申报书(模板见附件3) 6.与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件影印件 7.数据出境风险自评估报告(模板见附件4) 8.其他相关证明材料 数据处理者对所提交材料的真实性负责,提交虚假材料的,按照评估不通过处理,并依法追究相应法律责任。 |
三、申报材料 数据处理者申报数据出境安全评估,应当提交如下材料(材料要求见附件1): 1.统一社会信用代码证件影印件 2.法定代表人身份证件影印件 3.经办人身份证件影印件 4.经办人授权委托书(模板见附件2) 5.数据出境安全评估申报书(模板见附件3) 6.与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件 7.数据出境风险自评估报告(模板见附件4) 8.其他相关证明材料 数据处理者对所提交材料的真实性负责,提交虚假材料的,按照评估不通过处理,并依法追究相应法律责任。 |
||||||||||||||||||||||||
| 四、申报咨询 电子邮箱:sjcj@cac.gov.cn 联系电话:010-55627135 |
四、咨询、举报联系方式 联系电话:010-55627135 电子邮箱:sjcj@cac.gov.cn |
||||||||||||||||||||||||
| 附件: 1.数据出境安全评估申报材料要求 2.经办人授权委托书(模板) 3.数据出境安全评估申报书(模板) 4.数据出境风险自评估报告(模板) |
附件: 1.数据出境安全评估申报材料要求 2.经办人授权委托书(模板) 3.数据出境安全评估申报书(模板) 4.数据出境风险自评估报告(模板) |
||||||||||||||||||||||||
| 附件对比 | |||||||||||||||||||||||||
| 附件1 数据出境安全评估申报材料要求有所变动: 1、“经办人授权委托书”、“承诺书”、“数据出境安全评估申报表”、“数据出境风险自评估报告”删除了“原件”要求。 2、“与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件”删除了“影印件加盖公章”要求;“其他相关证明材料”删除了“原件或影印件加盖公章”要求和备注内容“相关证明 材料以中文版本为准,若仅有非中文版本,须同步提交准确的中文译本”。 3、“数据出境安全评估申报表”增加了备注“使用中文填写”,“数据出境风险自评估报告”增加了备注“使用中文撰写”。 |
|||||||||||||||||||||||||
| 附件2 经办人授权委托书未作变动 | |||||||||||||||||||||||||
| 附件3 数据出境安全评估申报书(模板) 1、数据处理者情况:删除“有效期”、“邮政编码”、“主营业务”,添加“单位类型”、“是否为关键信息基础设施运营者”、“处理个人信息规模”。“单位性质”、“单位类型”、“是否为关键信息基础设施运营者”设置为勾选方式。 2、法定代表人信息、数据安全负责人和管理机构信息和经办人信息:“证件类型”改为勾选方式。 3、将“数据出境业务描述”、“数据出境的目的”、“数据出境的方式”、“数据出境链路”、“拟出境数据情况”、“境外接收方情况”、“境外接受方数据安全责任人和管理机构情况”、“法律文件、相关条款在法律文件中的页码及条款”改为“数据出境场景”描述,其中包括“出境场景简述”、“拟出境数据情况”、“境外接收方情况”。 4、“填表说明”部分修改为以下内容: 注: 1.其他申报材料内容应与申报表内容保持一致。 2.申报表第6项应按场景分项描述,可根据实际申报的出境场景数量增加申报表第6项。出境个人信息涉及自然人范围一致的场景应当合并。 3.境外接收方数量众多、范围不确定、无法逐一列举的,申报表第6项境外接收方情况可填写统计数据。 |
|||||||||||||||||||||||||
| 附件4 数据出境风险自评估报告(模板) | |||||||||||||||||||||||||
| 说明: (一)数据处理者申报数据出境安全评估时需提供自评估报告; (二)数据处理者须对所提交的自评估报告及附件材料真实性负责; (三)本报告所述自评估活动为本次申报前3个月内完成; (四)如有第三方机构参与自评估,须在自评估报告中说明第三方机构的基本情况及参与评估的情况,并在相关内容页上加盖第三方机构公章。 |
说明: (一)数据处理者申报数据出境安全评估时需提供自评估报告,并对所提交的自评估报告及附件材料真实性负责; (二)本报告所述自评估活动为本次申报前3个月内完成; (三)如有第三方机构参与自评估,须在自评估报告中说明第三方机构的基本情况及参与评估的情况; (四)自评估报告严格按照模板撰写。自评估报告必须使用中文撰写,正文字体四号“仿宋”(其中,正文一级标题黑体、二级标题楷体加黑、三级标题仿宋加黑),数字、字母使用四号“Times New Roman”字体,行距固定值26磅,段落首行缩进2字符。页面设置:A4纸,上下页边距为2.54cm,左右页边距为3.18cm。 |
||||||||||||||||||||||||
| 一、自评估工作简述 自评估工作开展情况,包括起止时间、组织情况、实施过程、实施方式等内容。 |
一、自评估工作情况 简要概述自评估工作开展情况,包括起止时间、组织情况、实施过程、实施方式等内容。 |
||||||||||||||||||||||||
| 二、出境活动整体情况 详细说明数据处理者基本情况、数据出境涉及的业务和信息系统、出境数据情况、数据处理者安全保障能力情况、境外接收方情况、法律文件约定情况等。包括不限于: (一)数据处理者基本情况 1.组织或者个人基本信息; 2.股权结构和实际控制人信息; 3.组织架构信息; 4.数据安全管理机构信息; 5.整体业务与数据情况; 6.境内外投资情况。 |
一、出境活动整体情况 简要说明数据处理者基本情况、数据处理者安全保障能力情况、境外接收方情况、法律文件约定情况等,详细说明拟出境数据情况。包括不限于: (一)数据处理者基本情况 1.基本情况简介,包括股权结构、实际控制人、境内外投资情况等; 2.组织架构和数据安全管理机构信息; 3.整体业务与数据资产情况。 |
||||||||||||||||||||||||
| (二)数据出境涉及业务和信息系统情况 1. 数据出境涉及业务的基本情况; 2. 数据出境涉及业务的数据资产情况; 3. 数据出境涉及业务的信息系统情况; 4. 数据出境涉及的数据中心(包含云服务)情况; 5. 数据出境链路相关情况。 |
|||||||||||||||||||||||||
| (三)拟出境数据情况 1.说明数据出境及境外接收方处理数据的目的、范围、方式,及其合法性、正当性、必要性; 2.说明出境数据的规模、范围、种类、敏感程度; 3.拟出境数据在境内存储的系统平台、数据中心等情况,计划出境后存储的系统平台、数据中心等; 4.数据出境后向境外其他接收方提供的情况。 |
(二)拟出境数据情况 1.数据出境涉及业务、数据资产等情况; 2.数据出境及境外接收方处理数据的目的、范围、方式,及其合法性、正当性、必要性; 3.按照申报业务场景梳理对应的出境数据项情况,以列表形式呈现数据项清单并逐一说明(如下表所示),同一场景下的数据项需去重;
5.数据出境后向境外其他接收方提供的情况; 6.涉及个人信息的,按照自然人(去重)统计当年的出境数量,预估未来3年的出境数量。 |
||||||||||||||||||||||||
| (四)数据处理者数据安全保障能力情况 1.数据安全管理能力,包括管理组织体系和制度建设情况,全流程管理、分类分级、应急处置、风险评估、个人信息权益保护等制度及落实情况; 2.数据安全技术能力,包括数据收集、存储、使用、加工、传输、提供、公开、删除等全流程所采取的安全技术措 施等; 3.数据安全保障措施有效性证明,例如开展的数据安全 风险评估、数据安全能力认证、数据安全检查测评、数据安 全合规审计、网络安全等级保护测评等情况; 4.遵守数据和网络安全相关法律法规的情况。 |
(三)数据处理者数据安全保障能力情况 1.数据安全管理能力,包括管理组织体系和制度建设情况,全流程管理、分类分级、应急处置、风险评估、个人信息权益保护等制度及落实情况; (涉及个人信息出境的,需提供履行《个人信息保护法》第三十九条规定的情况说明及佐证材料,包括告知义务和取得个人的单独同意等,若属于《个人信息保护法》第十三条第一款第二项至第七项规定情形的,不需取得个人同意) 2.数据安全技术能力,包括数据收集、存储、使用、加工、传输、提供、公开、删除等全流程所采取的安全技术措施等; 3.数据安全保障措施有效性证明,例如开展的数据安全风险评估、数据安全认证、数据安全检查测评、数据安全合规审计、网络安全等级保护测评等情况; 4.遵守数据和网络安全相关法律法规的情况。 (如涉及受到行政处罚和监管整改的,可以提供证明整改完成的相关佐证材料) |
||||||||||||||||||||||||
| (五)境外接收方情况 1.境外接收方基本情况; 2.境外接收方处理数据的用途、方式等; 3.境外接收方的数据安全保障能力; 4.境外接收方所在国家或地区数据安全保护政策法规和网络安全环境情况; 5.境外接收方处理数据的全流程过程描述。 |
(四)境外接收方情况 1.境外接收方基本情况; 2.境外接收方处理数据的用途、方式等; 3.境外接收方履行责任义务的管理和技术措施、能力等。 |
||||||||||||||||||||||||
| (六)法律文件约定数据安全保护责任义务的情况 1.数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等; 2.数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施; 3.对于境外接收方将出境数据再转移给其他组织、个人的约束性要求; 4.境外接收方在实际控制权或者经营范围发生实质性变 化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施; 5.违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式; 6.出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。 |
(五)法律文件约定数据安全保护责任义务的情况 1.数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等; 2.数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施; 3.对于境外接收方将出境数据再转移给其他组织、个人的约束性要求; 4.境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化,以及发生其他不可抗力情形,导致难以保障数据安全时,应当采取的安全措施; 5.违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式; 6.出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。 |
||||||||||||||||||||||||
| (七)数据处理者认为需要说明的其他情况 | (六)数据处理者认为需要说明的其他情况 | ||||||||||||||||||||||||
第三部分:标准合同高频问题与适用解读
在《数据跨境流动规定》发布后,标准合同相关制度将由《标准合同办法》《数据跨境流动规定》组成,其中,《标准合同办法》的相关规定与《数据跨境流动规定》不一致的,适用《数据跨境流动规定》。
《个人信息出境标准合同办法》一共包括两个部分。第一部分为个人信息出境的标准合同法律规定,阐明了《标准合同办法》附件中的《个人信息出境标准合同》模板(以下简称《标准合同》或中国版SCCs)的适用范围、适用要求、责任承担等基本问题。
第二部分为《标准合同》,共包括9项合同条款,涉及个人信息处理者与境外接收方的权利义务以及第三方受益主体的权利及救济内容。《标准合同》中包含两份附录,供出境双方填写个人信息出境说明以及补充条款。
本专题的第三部分,我们将会总结《标准合同办法》《数据跨境流动规定》《标准合同备案指南》中在业内以及企业实务方面常见的关注点以及困惑的内容并进行整理及解答。
Q53. 采用标准合同实现个人信息出境的条件是什么?
与《标准合同办法》相比,《数据跨境流动规定》提高了非敏感个人信息出境阈值。将原先10万的数量提升至100万,10万以下属于豁免。
故进行标准合同备案需要同时满足以下两个条件:
(1)非关键信息基础设施运营者;
(2)个人信息人数:
1)当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息);或者
2)不满1万人的敏感个人信息
需要注意的是:
● 计算个人信息人数时需要去重及去除豁免场景的个人信息。
● 如果企业出境个人信息中包含了敏感个人信息,即使仅向境外提供了一条敏感个人信息,除非落入豁免情形,否则亦需要签订标准合同。
● 如果个人信息处理者同时符合上述条件,但具备《数据跨境流动规定》第三至六条规定的情形的,则无需订立个人信息出境标准合同。
Q54. 发起《标准合同》签署的个人信息处理者是否必须是注册于中国境内的注册企业?
《标准合同》的适用前提是个人信息处理者依据我国《个人信息保护法》第三十八条第一款第(三)项,发生了向我国境外提供个人信息的情况;同时,在现在公布的《标准合同》开篇处双方主体中的表述也是使用了“个人信息处理者”,可见,不论是《标准合同办法》本身,还是《标准合同》的表述,都是使用了“个人信息处理者”,并没有对该个人信息处理者是否必须是在境内注册的企业进行要求,结合我国《个人信息保护法》第三条第二款的要求,在个人信息处理活动中可以自主决定处理目的、处理方式的组织和个人,并且符合我国《个人信息保护法》第三条第二款的要求,将构成我国《个人信息保护法》中的“个人信息处理者”,因此发起《标准合同》签署的个人信息处理者可以是注册于中国境外的企业。
Q55. 《标准合同》的内容能否根据合同双方的需求进行修改?
我国《标准合同办法》要求标准合同应当严格按照本办法附件订立,个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。
在实务中不建议修改标准合同,但可以约定在附录二中进行补充,并且不能与标准合同条款相冲突。
Q56. 《标准合同》中关于境外接收方采取的技术和管理措施该如何填写?
关于《标准合同》中关于“尽合理地努力确保境外接收方采取如下技术和管理措施”,我们建议个人信息处理者事先与境外接收方进行沟通,由境外接收方提供其可确切履行的技术和管理措施义务的说明及相关证明材料,并填写在《标准合同》和个人信息保护影响评估报告中。
Q57. 如何理解《标准合同》中境内个人信息处理者与境外接收方在《标准合同》中承担的责任与义务?
《标准合同》第二条明确了个人信息处理者应当履行的义务,并特别要求个人信息处理者(即传出方)对境外接收方承担监督管理者责任。可见,在实务开展过程中,个人信息处理者进行数据出境活动的时候,个人信息处理者不仅是出境活动的主要责任方,更是监管机构的重点监督对象。而对于境外接收方而言,《标准合同》将我国数据保护法律法规的各种法律要求转化为境外接收方的合同义务,以使境外接收方可以达到我国法律所要求的保护水平,并特别规定了境外接收方需要配合个人信息处理者接受我国监管机构检查的义务和责任,与前述个人信息处理者需要承担监督与检查责任相呼应。
我们对个人信息处理者与境外接收方在责任与义务方面进行扼要对比:
个人信息处理者与境外接收方责任义务对比
| 个人信息处理者 | 境外接收方 |
| 遵守最小必要原则 | 遵守最小必要原则 |
| 向个人信息主体履行告知义务 | 对个人信息的处理严格限制在约定的范围内 |
| 基于个人同意向境外提供个人信息的,应当取得个人信息主体的单独同意。涉及不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的单独同意。法律、行政法规规定应当取得书面同意的,应当取得书面同意。 | 转委托时需要获得境内个人信息处理者的同意,并确保转委托的第三方严格遵守合同条款的规定内容(原则上不应再向境外第三方提供所接收的个人信息,除非业务确有需要且满足特定要求) |
| 合理审查境外接收方的合规情况 | 采取技术和管理措施保障个人信息安全,确保其授权处理个人信息的人员履行保密义务,建立最小授权的权限管控机制 |
| 向境外接收方提供中国法律规定和技术标准的副本 | 遵守存储期限最短原则 |
| 负责答复监管机构的询问 | 配合个人信息处理者的义务 |
| 开展个人信息保护影响评估 | 安全事件应急响应机制 |
| 向个人信息主体提供合同副本 | 向个人信息主体提供合同副本 |
| 证明自己已履行合同义务的举证责任 | 个人信息处理活动记录及保存义务 |
| 向监管提供境外接收方合规证明材料 | 同意接受监管机构的监督管理 |
| 存在利用个人信息进行自动化决策的场景,需要满足自动化决策的要求 | |
| 境外接收方所在地的相关政策和法规发生变化导致境外接收方无法履行本合同的,通知个人信息处理者 | |
| 境外接收方接到所在国家或者地区的政府部门、司法机构关于提供本合同项下的个人信息要求的,应当立即通知个人信息处理者。 |
Q58. 如何理解《标准合同》中的第三方受益人?
除标准合同双方当事人即个人信息处理者与境外接收方外,《标准合同》还明确了保护第三方受益人权益的相关内容,这是需要注意的问题。根据《标准合同》的规定,个人信息处理者需要向个人信息主体告知其与境外接收方通过标准合同约定个人信息主体为第三方受益人,如果个人信息主体没有在三十天内明确拒绝的,则可以依据标准合同享有第三方受益人的权利。
关于第三方受益人,该概念借鉴了欧盟《关于向第三国转移个人数据的标准合同条款》的内容,并首次在国内提出,《标准合同》中赋予个人信息主体相应的权利,即作为合同第三方受益人,有权向个人信息处理者、境外接收方任何一方主张并要求履行标准合同中规定的与个人信息主体权利相关的权利。同时还明确了个人信息主体在权利受到侵犯时,可以通过向监管机构提出投诉或根据管辖规则向相关法院提起诉讼的救济途径。
Q59. 如何理解标准合同中的境外接收方可以再向境外第三方提供所接收的个人信息?
境外接收方原则上不应再向境外第三方提供所接收的个人信息,除非业务确有需要,并且满足特定的要求。具体而言,《标准合同》要求境外接收方将向个人信息提供给位于境外的第三方时,境外接收方需要同时满足以下要求:
(1)明确有特定的业务需要而提供个人信息;
(2)告知个人信息主体境外第三方的具体信息和个人信息处理情况(境外第三方的名称或者姓名、联系方式、处理目的、处理方式、个人信息种类、保存期限以及行使个人信息主体权利的方式和程序),但是法律、行政法规规定不需要告知的除外;
(3)涉及敏感个人信息的,则还需要向个人信息主体告知传输敏感个人信息的必要性及对个人权益的影响,但是法律、行政法规规定不需要告知的除外;
(4)基于个人同意处理个人信息的,应当取得个人信息主体的单独同意。涉及不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的单独同意。法律、行政法规规定应当取得书面同意的,应当取得书面同意;
(5)与境外第三方达成书面协议,确保境外第三方的个人信息处理活动不低于我国相关法律法规规定的个人信息保护标准,并承担因向中华人民共和国境外的第三方提供个人信息而侵害个人信息主体享有权利的法律责任,
(6)根据个人信息主体的要求向个人信息主体提供该书面协议的副本。如涉及商业秘密或者保密商务信息,在不影响个人信息主体理解的前提下,可对该书面协议相关内容进行适当处理。
因此,企业在向境外提供个人信息时,应判断是否确实有进行境外二次流转的必要,若确有必要且基于个人同意处理个人信息的,则应当要求第一境外接收方(即从个人信息处理者处接收到个人信息的境外接收方)取得个人信息主体的单独同意。涉及不满十四周岁的未成年人的个人信息的,境外接收方应当取得未成年人的父母或者其他监护人的单独同意。法律、行政法规规定应当取得书面同意的,应当取得书面同意。除此之外,还应签订合同,以保障境外第三方对个人信息的保护水平不低于我国相关法律法规规定的个人信息保护标准,并承担因向中华人民共和国境外的第三方提供个人信息而侵害个人信息主体享有权利的法律责任。不仅如此,在个人信息主体提出请求时,还应向其提供该书面协议的副本。
Q60. 境外接收方向境外第三方再次提供所接收的个人信息,是否需要再次签署《标准合同》?
如果在部分业务场景中境外接收方确需将所接收的个人信息提供给境外第三方,在满足前一问题中所列明的条件的同时,建议个人信息处理者在与境外数据接收方所签订的《标准合同》中以排他性列举的方式明确个人信息处理者所认可的境外第三方;并要求未经个人信息处理者同意,不得再向境外第三方提供个人信息,并要求境外数据接收方对第三方的过错承担连带责任。
综上所述,若存在境外接收方向境外第三方再次提供所接收的个人信息的情况,个人信息处理者可以直接在与境外接收方所签的《标准合同》中约定关于境外第三方的相关条款,比如在《标准合同》附录一的第(六)项中阐明境外接收方可能再向哪些境外第三方提供个人信息,避免重复签订《标准合同》或补充协议以及进行多次备案。
而关于《标准合同》中的“境外接收方与境外第三方之间达成书面协议”,若境外接收方落入我国《个人信息保护法》的管辖范围,理解在符合其他的标准合同适用的条件下,境外接收方可以与境外第三方签订《标准合同》作为境外接收方与境外第三方之间需达成的书面协议;如不符合,境外接收方亦可参考《标准合同》中的条款拟定与境外第三方之间的书面协议。
Q61. 个人信息处理者在何种情况下可以解除《标准合同》,以及需要注意的问题包括哪些?
当个人信息处理者与境外接收方在履行《标准合同》的过程中,根据《标准合同》第七条的规定,个人信息处理者可以在境外接收方严重或持续违反标准合同规定的义务时与境外接收方解除合同。
如果出现以下情况,则个人信息处理者和境外接收方任何一方都可以解除合同:
(1)因境外接收方违反合同规定的义务,且个人信息处理者暂停向境外接收方传输个人信息的时间超过一个月;
(2)境外接收方遵守标准合同将会违反其所在国家或者地区的法律规定;
(3)根据境外接收方的主管法院或监管机构作出的终局性决定,境外接收方或个人信息处理者违反了标准合同约定的义务
需要注意的是,经双方同意解除《标准合同》的,并不能免除双方在个人信息处理过程中的个人信息保护义务。合同解除时,境外接收方应当及时返还或者删除其根据本合同所接收到的个人信息(包括所有备份),并向个人信息处理者提供书面说明。删除个人信息从技术上难以实现的,应当停止除存储和采取必要的安全保护措施之外的处理。
Q62. 《标准合同》的违约救济途径包括哪些?
发生违反《标准合同》的情形时,个人信息处理者、境外接收方、个人信息主体及有关部门都有可采取的救济措施:
(1)个人信息处理者、境外接收方
对于个人信息出境相关的双方而言,任意一方出现违反合同义务情形的,另一方可以要求其承担违约责任,在法定情形下或协商一致的情况下,双方亦可解除合同。
(2)个人信息主体
对于个人信息主体,也即第三方受益人而言,标准合同任意一方侵害第三方受益人权益的,应当对个人信息主体承担法律责任。此外,《标准合同办法》还明确了任何组织和个人发现个人信息处理者违反《标准合同办法》向境外提供个人信息的,都可以向省级以上网信部门举报。
(3)监管部门
省级以上网信部门除通过接收标准合同备案进行监督外,也会对《标准合同》双方当事人的实际处理个人信息的活动进行主动监管。
Q63. 《标准合同》中,“技术措施”、“尽合理地努力”、“尽最大努力”、“尽到合理注意义务”这些不够精准的表达如何理解?
这不仅是实务中企业常有的困惑,同时也是业界颇为关注的问题,对于该问题可以分两个层面进行回答。首先我们可以理解法律中的这些概念表述所希望追求的法律效果,达成的法律目的是什么,这样我们在完成评估的过程中许多内容就可以基于想要追求的效果作为行动标准进行判断,其次,我们可以进一步分析标准细化的规定与方法。
(1)从《标准合同》的内容上判断,保护个人信息权益是重要的规范目标。因此,在判断自己在订立标准合同时的对境外接收方所在国家或地区的个人信息保护政策和法规对标准合同履行的影响、尽合理地努力确保境外接收方采取措施履行标准合同约定的义务等时,应当始终围绕“保护个人信息权益”进行。
(2)我国数据出境法律不断完善的过程实际也是出境标准细化的过程,《标准合同》中的许多技术指标,我国各部门机关是有提供细化规范参考的。
如《信息安全技术—个人信息安全影响评估指南》提供的更细节的流程、事项指引,同时,实践中企业对自评估各事项的经验总结以及有关部门对各评估事项完成度的反馈也是细化这些概述表达的方法。
Q64. 何种情形下需要约定《标准合同》附录2的其他条款?
《标准合同办法》第六条第二款规定,个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。实务中常会出现数据出境的企业双方想要进行更细致的条款补充的情况,约定其他条款并不被《标准合同》所禁止,同时,也符合《标准合同办法》“自主缔约+备案管理”的目的精神,企业如果认为标准合同中已经规定的内容不足以满足双方的需要,可以通过《标准合同》附录2增加双方约定的其他条款。
但需要注意的是,企业增加的其他条款不能与标准合同条款本身相冲突,也不能通过增加其他条款来规避《标准合同办法》的实施和《标准合同》中的义务,以及不能通过增加其他条款来限制和缩小个人信息主体本应享有的个人信息主体权利。
Q65. 《标准合同》签订前已经签订的数据处理相关合同的效力如何?
《标准合同》第九条第一款规定,如本合同与双方订立的任何其他法律文件发生冲突,本合同的条款优先使用。因此,《标准合同》将优先于双方所签订的任何其他法律文件的效力。
《标准合同》签订前已经签订的数据处理相关合同与《标准合同》冲突的条款,以《标准合同》为准,其他不冲突的条款依然有效,不会当然导致原有的数据处理相关合同失效。
Q66. 个人信息处理者是否需要向个人信息主体提供《标准合同》副本文件?在提供时有什么注意事项?
目前未见有法律法规规定强制要求个人信息处理者需要主动向个人信息主体提供《标准合同》的副本文件,但考虑到根据《标准合同》的条款,这是个人信息处理者的义务之一,因此仍然建议企业在签署《标准合同》后及时完成副本文件的准备,因为《标准合同》明确个人信息主体具有要求个人信息处理者提供其所签订的《标准合同》副本的权利,个人信息处理者必须配合。在提供副本的过程中,个人信息处理者可以着重考虑保密以及方便个人理解阅读的问题。
例如:
(1)及时将《标准合同》进行适当处理,包括遮蔽机密信息(如有),避免商业秘密泄露;
(2)提供便于个人信息主体理解合同的摘要内容;
(3)在可行的情况下,提供《标准合同》副本公示入口或其他查看方式。
Q67. 如何理解“自主缔约与备案管理相结合”?
备案制度体现了我国《标准合同办法》的监管规则,是指符合条件的个人信息处理者与境外接收方应当自行订立标准合同,并通过在监管部门备案的方式进行个人信息出境活动。
与欧盟的规定不同的是,欧盟允许数据进出双方在不抵触数据主体基本权利及自由的前提下修订SCCs并由各欧盟成员国的监管机构进行批准,我国《标准合同办法》要求标准合同应当严格按照本办法附件订立,个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。
在实务中不建议修改标准合同,但可以约定在附录二中进行补充,并且不能与标准合同条款相冲突。关于备案的方式以及频率则在下面的问题中进行说明。
Q68. 标准合同的备案是否是标准合同生效要件?
请注意,备案并非是标准合同条款的生效要件。
《标准合同办法》第三条明确个人信息出境标准合同的使用规则是以“自主缔约与备案管理”相结合,个人信息处理者不进行备案并不影响合同的效力,但是如果企业不完成备案,就会可能导致网信部门对企业进行责令改正、停止个人信息出境行为等情况,会对企业业务开展产生不良影响。因此,建议个人信息处理者按要求进行备案。
Q69. 标准合同备案需要提交哪些材料?
根据《标准合同备案指南》的第二版的附件1《个人信息出境标准合同备案材料要求》,个人信息处理者备案标准合同,需要提交如下材料:
(1)统一社会信用代码证件(影印件加盖公章)
(2)法定代表人身份证件(影印件加盖公章)
(3)经办人身份证件(影印件加盖公章)
(4)经办人授权委托书
(5)承诺书
(6)个人信息出境标准合同
(7)个人信息保护影响评估报告(使用中文撰写)
Q70. 个人信息出境标准合同如何进行备案?(流程图)
.png)
Q71. 个人信息保护影响评估中的需要评估内容是什么?
《标准合同备案指南》的第二版的附件5《个人信息保护影响评估指南(模板)(出境版)》列明了需要评估的内容:
| 评估维度 | 评估项目 | 评估细项 |
| 出境活动整体情况 | 个人信息处理者基本情况 | 基本情况简介,包括股权结构、实际控制人、境内外投资情况、组织架构和个人信息保护机构信息等 |
| 整体业务与处理个人信息情况 | ||
| 拟出境个人信息情况: (1)个人信息出境涉及业务、个人信息收集使用、信息系统等情况; (2)个人信息处理者和境外接收方处理个人信息的目的、范围、方式,及其合法性、正当性、必要性; (3)出境个人信息的规模、范围、种类、敏感程度,处理敏感个人信息情况; (4)拟出境个人信息在境内存储的系统平台、数据中心等情况,个人信息出境链路相关情况,计划出境后存储的系统平台、数据中心等; (5)个人信息出境后向境外其他接收方提供的情况。 |
||
| 遵守个人信息保护相关法律法规的情况 | ||
| 境外接收方情况 | 境外接收方基本情况 | |
| 境外接收方处理个人信息的用途、方式等 | ||
| 境外接收方履行责任义务的管理和技术措施、能力等 | ||
| 拟出境活动的影响评估情况及结论 | 对照《个人信息出境标准合同办法》第五条规定事项,说明个人信息保护影响评估情况,重点说明评估发现的问题和整改情况。 综合影响评估情况和相应整改情况,对个人信息出境活动作出客观的影响评估结论,充分说明得出评估结论的理由和论据。 《个人信息出境标准合同办法》第五条 个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估,重点评估以下内容: (一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性; (二)出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险; (三)境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全; (四)个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等; (五)境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响; (六)其他可能影响个人信息出境安全的事项。 |
|
结合王捷律师团队已为不同企业开展的个人信息保护影响评估,以及上述内容判断,评估主要从基于个人信息处理者及境外接收方双方的个体情况、出境个人信息的情况、境外接收方履约能力、可能发生的安全事件情况以及境外接收方所在国家或法律环境等多个维度进行评估,后续企业在进行评估活动时,可以依据上述维度分类,设计类型化的评估环节以及完成有针对性的材料准备。
Q72. 个人信息处理者何种情形下需要补充或者重新签订《标准合同》并重新进行备案?
总结《标准合同办法》内容来看,个人信息跨境传输双方约定的个人信息各项内容、域外个人信息保护政策和法规发生变化都有可能需要补充或者重新签订合同,依据《标准合同办法》第八条规定,在标准合同有效期内出现下列情形之一的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续:
(一)向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;
(二)境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;
(三)可能影响个人信息权益的其他情形。
在法律规定的基础上,以下两种情形也是实务中企业需要考虑到的情况:
(1)向同一个境外接收方持续传输信息
在这种情形下,可能涉及跨境传输的个人信息的种类的变化,依据《标准合同办法》第八条,需要补充或者重新签订标准合同以及重新备案。考虑到企业的成本问题,建议在签署合同前,对协议内容所覆盖的范围和维度进行设计和细化,例如对需要传输的个人信息种类、目的、方式、保存期限等维度进行有效预估,减少重复更新合同以及备案所带来的成本。
(2)向不同的境外接收方传输信息
在这种情形下企业需要与不同的境外接收方分别签订数据传输协议。不管是只将数据传给单个境外数据接收方,还是需同时传给多个境外数据接收方,每多增加一个境外数据接收方,就需要单独签署一份合同,并作一次个人信息保护影响评估。所以,如果企业需要和多个境外接收方签署《标准合同》,可考虑合并同类数据出境的场景,一起进行个人信息保护影响评估与标准合同备案。但建议采取该方案前与属地省级网信办进行沟通,确定属地省级网信办是否接收此种方式。
值得注意的是,当企业补充或者重新签署《标准合同》以及进行备案时,需要重新进行个人信息保护影响评估,并履行相应备案手续(至于是否可以仅对发生变化的部分进行评估,有待在实践中确认)。个人信息处理者在标准合同有效期内补充订立标准合同的,应当向所在地省级网信办提交补充材料;重新订立标准合同的,应当重新备案。需要明确的是并非境外接收方所在国家或地区的数据保护政策有任何变化,企业就需要重新签订合同,还要看具体是否会对数据主体的权益造成影响,但这也是实务中较难判断的一点。
所谓牵一发而动全身,考虑到企业因为补充或者重新签署合同而投入的成本,企业在首次签订《标准合同》时,需要进行更精细化的设计与评估。
Q73. 如何在实务中确定境外接收方的政策法规变化是否影响了个人信息权益或对标准合同履行的影响?
这是实务中企业完成个人信息影响保护评估的难点,受限于跨地域、跨法域会产生信息差的客观原因,企业在进行个人信息保护影响评估时要毫无疏漏地分析境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响颇为困难,实务中要求企业需要更有意识的使用全球法律视角来判断问题,有数据出境业务的企业要对出境国家及地区的法律规定、政策变化保持敏感度,至少需要关注境外接收方所在国家或地区的法律规定及政策关于任何提供个人信息的要求或者授权公共机关访问个人信息等方面的规定。
Q74. 如果出现需补充或者重新订立《标准合同》的情形,个人信息处理者需要在多长时间内进行补充或者重新订立以及备案?
目前《标准合同办法》中尚未有确定补充或者重新订立《标准合同》的期限,但是对于符合条件的个人信息处理者而言,签订《标准合同》及备案是个人信息处理者开展个人信息出境活动的前提。考虑到实现《标准合同办法》保护个人信息权益的目的,且为了降低个人信息处理者的风险,个人信息处理者在得知已达到补充或重新签订《标准合同》的条件后,宜尽早进行补充或者重新订立《标准合同》,并履行相应重新备案手续。
对于重新备案的期限,个人信息处理者应当在补充或重新订立的《标准合同》生效之日起10个工作日内重新备案。
附:《个人信息出境标准合同备案指南》(第一版)和(第二版)对比表
| 注:斜体-新增、加粗-修改、下划线-删除 | |||
| 个人信息出境标准合同备案指南 (第一版) |
个人信息出境标准合同备案指南 (第二版) |
||
| 《个人信息出境标准合同办法》自2023年6月1日起施行。为指导和帮助个人信息处理者规范、有序备案个人信息出境标准合同(以下简称标准合同),特制定本指南。 | 根据《个人信息出境标准合同办法》、《促进和规范数据跨境流动规定》,为指导和帮助个人信息处理者规范有序备案个人信息出境标准合同(以下简称标准合同),特制定本指南。 | ||
| 个人信息处理者通过订立标准合同的方式向境外提供个人信息的,应当同时符合下列情形: (一)非关键信息基础设施运营者; (二)处理个人信息不满100万人的; (三)自上年1月1日起累计向境外提供个人信息不满10万人的; (四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。 法律、行政法规或者国家网信部门另有规定的,从其规定。 个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。 |
个人信息处理者通过订立标准合同的方式向境外提供个人信息,同时符合下列情形的应当向所在地省级网信部门备案: (一)关键信息基础设施运营者以外的数据处理者; (二)自当年1月1日起,累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)的; (三)自当年1月1日起,累计向境外提供不满1万人敏感个人信息的。 属于《促进和规范数据跨境流动规定》第三条、第四条、第五条、第六条规定情形的,从其规定。 个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。 |
||
| 以下情形属于个人信息出境行为: (一)个人信息处理者将在境内运营中收集和产生的个人信息传输、存储至境外; (二)个人信息处理者收集和产生的个人信息存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出; (三)国家网信办规定的其他个人信息出境行为。 |
以下情形属于个人信息出境行为: (一)个人信息处理者将在境内运营中收集和产生的个人信息传输至境外; (二)个人信息处理者收集和产生的个人信息存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出; (三)符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他个人信息处理活动。 |
||
| 个人信息处理者应当在标准合同生效之日起10个工作日内,通过送达书面材料并附带材料电子版的方式,向所在地省级网信办备案。 | 个人信息处理者应当在标准合同生效之日起10个工作日内,通过数据出境申报系统备案,系统网址为https://sjcj.cac.gov.cn。 | ||
| 标准合同备案流程包括材料提交、材料查验及反馈备案结果、补充或者重新备案等环节。 (一)材料提交 个人信息处理者备案标准合同,应当提交如下材料(要求见附件1): 1.统一社会信用代码证件影印件 2.法定代表人身份证件影印件 3.经办人身份证件影印件 4.经办人授权委托书(模板见附件2) 5.承诺书(模板见附件3) 6.标准合同(范本见附件4) 7.《个人信息保护影响评估报告》(模板见附件5) |
|||
| 省级网信办收到材料后,在15个工作日内完成材料查验,并通知个人信息处理者备案结果。 备案结果分为通过、不通过。通过备案的,省级网信办向个人信息处理者发放备案编号;不通过备案的,个人信息处理者将收到备案未成功通知及原因,要求补充完善材料的,个人信息处理者应当补充完善材料并于10个工作日内再次提交。 |
省级网信办应当自个人信息处理者提交备案材料之日起15个工作日内完成材料查验,并向符合备案要求的个人信息处理者发放备案编号。需要补充完善材料的,个人信息处理者应当在10个工作日内提交补充完善材料;逾期未补充完善材料的,可以终止本次备案程序。 | ||
| 在标准合同有效期内出现下列情形之一的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续: 1.向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的; 2.境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的; 3.可能影响个人信息权益的其他情形。 个人信息处理者在标准合同有效期内补充订立标准合同的,应当向所在地省级网信办提交补充材料;重新订立标准合同的,应当重新备案。补充或者重新备案的材料查验时间为15个工作日。 |
|||
| 个人信息处理者对所提交材料的真实性负责,提交虚假材料的,按照备案不通过处理,并依法追究相应法律责任。 | 个人信息处理者对所提交材料的真实性负责,提交虚假材料的,注销备案编号,并依法追究相应法律责任。 | ||
| 四、咨询、举报联系方式 电子邮箱:bzht@cac.gov.cn 联系电话:010-55627565 附件:1.个人信息出境标准合同备案材料要求 2.经办人授权委托书(模板) 3.承诺书(模板) 4.个人信息出境标准合同(范本) 5.个人信息保护影响评估报告(模板) |
|||
| 统一社会信用代码证件 | 影印件加盖公章 | 统一社会信用代码证件 | 影印件加盖公章 |
| 法定代表人身份证件 | 影印件加盖公章 | 法定代表人身份证件 | 影印件加盖公章 |
| 经办人身份证件 | 影印件加盖公章 | 经办人身份证件 | 影印件加盖公章 |
| 经办人授权委托书 | 原件 | 经办人授权委托书 | |
| 承诺书 | 原件 | 承诺书 | |
| 个人信息出境标准合同 | 原件 | 个人信息出境标准合同 | |
| 个人信息保护影响评估报告 | 原件 | 个人信息保护影响评估报告 | 使用中文撰写 |
| 无变动 | |||
第四部分:粤港澳大湾区(内地、香港)个人信息跨境流动标准合同
2023年6月,国家互联网信息办公室与香港特别行政区政府创新科技及工业局签署了《关于促进粤港澳大湾区数据跨境流动的合作备忘录》(以下简称“《备忘录》”),就粤港澳大湾区数据跨境流动建立安全保障规则。
同年12月31日,国家互联网信息办公室、香港特别行政区政府创新科技及工业局共同发布了《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(以下简称为“《大湾区实施指引》”),并以附件形式提供《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》(以下简称为“《大湾区标准合同》”)及《承诺书》模板,本指引文件的出台,为粤港地区企业提供了便捷的数据流动机制,进一步推动粤港地区数字经济的发展。
Q75. 《大湾区实施指引》适用于哪些企业?如何判断自身是否落入适用范围?
依据《大湾区实施指引》第二条的规定,个人信息处理者及接收方应注册于(适用于组织)/位于(适用于个人)粤港澳大湾区内地部分,即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市,或者香港特别行政区,即个人信息处理者或接收方有任何一方不是位于前述列举地区的,则不适用《大湾区实施指引》。需要注意的是,《大湾区实施指引》第二条采取列举的方式明确了适用范围,其中并不包括中国澳门特别行政区。
我们认为该《大湾区实施指引》一方面为内地九市个人信息出境合规减负的同时,对于香港地区企业也属于一定程度上的利好消息,尤其对于跨粤港的集团,《大湾区实施指引》在一定程度能够减轻集团内个人信息流动的合规成本。
Q76. 企业在大湾区内注册的分公司或者分支机构等能否适用《大湾区实施指引》?
根据《个人信息保护法》第七十三条第一款,个人信息处理者是指“在个人信息处理活动中自主决定处理目的、处理方式的组织、个人”。分公司或分支机构并非“组织”,而仅是“组织”的一部分。另外基于我们对《大湾区标准合同》备案规定的观察,其要求备案申请主体提供法定代表人的证明文件影印本,有关部门尚未进一步释明适用范围,如果提交该文件为强制性要求,则不具备法人资格的主体可能难以满足备案要求。因此,根据现有规定,在大湾区内注册的分公司或者分支机构难以适用《大湾区实施指引》。
Q77. 《大湾区实施指引》不适用哪些个人信息类别、不适用那一类主体?
《大湾区实施指引》第二条明确规定,被相关部门、地区告知或者公开发布为重要数据的个人信息不适用《大湾区标准合同》。
该指引的适用范围并未提及处理个人信息条数、累计向境外提供个人信息数量以及关键信息基础设施运营者等条件。对于位于大湾区且落入安全评估范围的主体来说,该指引文件也并未释明个人信息出境路径的适用关系,我们认为目前已落入安全评估范围的主体是否可以采用签订《大湾区标准合同》作为个人信息跨境传输机制的问题,仍有待明确。
Q78. 《大湾区实施指引》和内地《个人信息出境标准合同办法》下的个人信息保护影响评估有什么区别?
从条文看,《大湾区实施指引》中对于个人信息保护影响评估的内容要求,相较《标准合同办法》删去了以下内容:
1. 出境个人信息的规模、范围、种类、敏感程度的说明;
2. 个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
3. 个人信息权益维护的渠道是否通畅的说明;
4. 境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;
5. 兜底条款(其他可能影响个人信息出境安全的事项)。
我们认为,一方面为响应《备忘录》建立粤港澳大湾区数据跨境流动安全规则,促进粤港澳大湾区数据跨境安全有序流动,推动粤港澳大湾区高质量发展的目标,出于在粤港两地加速推进该数据跨境路径,《大湾区实施指引》在较大程度上减缓了企业进行个人信息保护影响评估的负担。另一方面,《大湾区实施指引》由个人信息处理者自愿性质参与,如个人信息保护影响评估太过繁琐,或采取与《个人信息出境标准合同办法》一致的较为严格的做法,并不利于该机制的推广。
第五部分:个人信息保护认证高频问题与适用解读
Q79. 认证机制的适用主体是什么?
从适用主体的角度来看,申请认证的个人信息处理者应当取得合法的法人资格,正常经营且具有良好的信誉、商誉。即企业的分公司或分支机构等不具备法人资格的主体不能申请认证。
跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动可由境内一方申请认证,并承担法律责任。
《个人信息保护法》第三条第二款规定的境外个人信息处理者,可由其在境内设置的专门机构或指定代表申请认证,并承担法律责任。
Q80. 个人信息保护认证有哪些类型?不同个人信息保护认证的认证标准分别是什么?
《个人信息保护认证实施规则》第5.2条规定了两种类型的个人信息保护认证:
不含跨境处理活动的个人信息保护认证为PIP认证;
包含跨境处理活动的个人信息保护认证为PIPCB认证。
PIP认证不适用于跨境处理活动,但可用于证明个人信息处理者的个人信息保护能力,作为企业个人信息保护能力的有效增信手段。取得该认证证书的认证标准为《个人信息安全规范》)。
PIPCB认证则可在证明企业个人信息保护能力的同时作为一种个人信息跨境传输路径,以满足跨境传输个人信息的合规要求。取得该认证证书的认证标准,除了《个人信息安全规范》外,还有TC260-PG-20222A《个人信息跨境处理活动安全认证规范》(以下简称为《跨境处理活动认证规范》)。
另外,全国信息安全标准化技术委员会秘书处于2023年3月16日发布了《关于国家国家标准〈信息安全技术 个人信息跨境传输认证要求〉征求意见稿征求意见的通知》。《信息安全技术 个人信息跨境传输认证要求》若正式发布并生效,我们认为有可能替代《跨境处理活动认证规范》作为PIPCB认证的认证标准之一。
表格1 两种个人信息保护认证标志
.png)
Q81. 个人信息处理者进行个人信息保护认证时,是否需要对个人信息处理者涉及的全部个人信息处理活动进行认证?
不一定。相关法律法规虽未明确规定个人信息处理者需要对哪些个人信息处理活动进行认证,不过根据中国网络安全审查技术与认证中心(CRCC)发布的首批个人信息保护认证证书显示,个人信息保护认证证书中包含“认证范围”,这意味着企业可以根据自身需求,对需要进行认证的业务/产品/服务所涉及的个人信息处理活动进行认证,而不必对企业涉及的全部个人信息处理活动都进行认证。
例如,企业A提供的产品和服务涉及互联网支付、金融服务、电子商务等,其可根据自身需要仅对互联网支付涉及的个人信息处理活动进行认证,而不必对上述全部产品和服务涉及的全部个人信息处理活动进行认证。
Q82. 作出个人信息保护认证的机构是?
《个人信息保护认证实施规则》没有明确列出认证机构的名单,经查询中国网络安全审查技术与认证中心(CCRC)已被国家网信办指定为个人信息保护认证的认证机构。CRCC是国家市场监督管理总局直属事业单位,是第三方公正机构和法人实体,承担网络安全审查技术与方法研究等。
申请人可以通过CCRC的官方网站(网址:https://data.isccc.gov.cn/)的个人信息保护认证申办系统申请认证。
Q83. 个人信息处理者如何选择是通过签订标准合同还是个人信息保护认证进行个人信息出境活动?
我们认为个人信息处理者选择签订标准合同还是个人信息保护认证需要至少考虑以下因素:
1. 出境活动的复杂程度
2. 合规成本
3. 是否存在较多的出境数据再转移
根据《标准合同办法》第六条第一款的规定,标准合同应当按照《标准合同办法》的附件《标准合同》订立。尽管根据该办法第六条第二款,可以约定其他条款(但不得与标准合同相冲突),但实际上标准合同内容的可操作/可调整空间不大。
而相较于采用签订标准合同实现个人信息出境活动,个人信息保护认证相对较为灵活,且具有“定制化”的特点,个人信息处理者可以定制与境外接收方之间的合同,如果个人信息处理者的个人信息出境活动较为复杂或者在商业谈判中具备较大的谈判权利,可以考虑采取个人信息保护认证。
从合规成本的角度来讲,进行安全认证需支付一笔认证费用,相较于单次签订《标准合同》而言,认证机制的成本更高一些。不过完成认证后,认证证书有3年的有效期,在有效期内进行个人信息出境活动不需要对连续性的已认证业务进行重复认证。因此,如果个人信息处理者的个人信息出境行为偶尔发生、频次较低,通过签订《标准合同》成本更低、效率更高。如果个人信息处理者需要经常向境外传输个人信息(比如跨国集团日常、持续性的内部事务),则可在提交认证时,同时认证个人信息处理者将个人信息跨境传输给多个境外接收方的处理活动,个人信息处理者就可以降低合规工作量和成本。
从出境数据再转移的角度来讲,认证机制在一定条件下更加便利。在《标准合同》下,境外接收方将出境数据向境外第三方再传输时,需要满足较为严格的条件,个人信息处理者的合规成本也较高。而通过认证机制向境外传输个人信息时,境外数据接收方可以向其他受到已通过的认证规定的处理规则约束的企业进行数据再传输,流程更为高效。这类似于欧盟GDPR规定的“约束性企业规则”,即要求跨国公司的各个关联公司遵守同一标准的个人信息跨境处理规则。
Q84. 申请个人信息保护认证的流程是怎么样的?
《个人信息保护认证实施规则》规定的认证实施程序为:
1. 认证委托
2. 技术验证
3. 现场审核
4. 认证结果评价和批准
5. 获证后监督
认证委托人按照认证机构的要求提交认证委托资料,认证机构在审查后及时反馈是否受理。认证机构应当根据认证委托资料确定认证方案,包括个人信息类型和数量、涉及的个人信息处理活动范围、技术验证机构信息等,并通知认证委托人。
随后认证机构按顺序开展技术验证、现场审核、事后监督等步骤。具体流程如下:
申请个人信息保护认证流程图
.png)
Q85. 目前认证机制的实施现状是怎样的?申请认证是如何收费的?
2023年12月15日,CRCC向珠海澳科大科技研究院、支付宝(中国)网络技术有限公司、北京华品博睿网络技术有限公司、京东科技信息技术有限公司等5家单位颁发了我国首批个人信息保护认证证书。首批认证证书的颁发,标志着我国个人信息保护认证实施工作迈出了重要一步。但根据公开的证书,截止到2024年1月为止,尚未有取得包含跨境处理活动的个人信息保护认证证书的企业。
截止至2024年2月,根据CRCC发布的数据安全相关认证收费标准,申请费为1.8万,评定注册费为2.4万,审核验证费为6000元/人/日,年金为5万/年;此外,技术验证机构还会收取一笔技术验证费用。初步预估,完成一次认证花费在15万元以上,每年的年审费用在10万元以上。根据CCRC内部的制度,认证通常在受理申请后110个工作日内完成(不含企业整改所花费的时间)。
Q86. 如何理解认证证书的时限制度?
认证证书有3年的有效期。在有效期内,通过认证机构的获证后监督,认证证书持续有效。认证证书到期需延续使用的,认证委托人应当在有效期届满前6个月内提出认证委托。认证机构应当采用获证后监督的方式,对符合认证要求的委托换发新证书。
但如果获得认证的个人信息处理者不再符合认证要求时,在认证有效期间,认证机构会对认证证书予以暂停直至撤销。因此并非取得认证之后便可一劳永逸。
Q87. 获取认证证书需要提交哪些材料、提交的材料需要满足哪些要求?
根据CRCC官网提供的《个人信息保护认证申请书》,申请认证的数据处理者需要准备的文件是比较多而详尽的,特别是在业务流程描述、数据流转情况的表述、数据跨境场景与数据流情况等方面,需要有熟悉数据合规的专家的指导下进行更为妥当。另外,申请人还必须发表一个关于说明其在过去12个月内未发生任何重大个人信息安全事件的声明。
若要获得含跨境处理活动的个人信息保护认证证书,除了需要符合《个人信息安全规范》的要求,还应符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》(以下简称为《跨境处理活动认证规范》)的要求。其中,《跨境处理活动认证规范》包括4项基本要求,包括具有法律约束力的文件、组织管理、个人信息跨境处理规则和个人信息影响评估。
Q88. 具有法律约束力的文件,与标准合同条款之间有什么关系?
《跨境处理活动认证规范》第5.1条,对于开展个人信息跨境处理活动的个人信息处理者和境外接收方之间应当签订的具有法律约束力和可执行的文件的内容作出了规定。我们将该文件内容要求与《个人信息出境标准合同》的内容进行了对比(如下表),发现存在一定的重合度,但《个人信息出境标准合同》存在“境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响”这一特殊点。实践中,申请个人信息保护认证的个人信息处理者,可以考虑参考《个人信息出境标准合同》的内容起草具有法律约束力的文件,但不能直接以《个人信息出境标准合同》作为申请个人信息保护认证需要提交的“具有法律约束力的文件”。
表格 2《跨境处理活动认证规范》中关于“具有法律约束力的文件”的要求与《个人信息出境标准合同》的条款对比
|
《跨境处理活动认证规范》中关于 “具有法律约束力的文件”的要求 |
《个人信息出境标准合同》的条款 |
| 个人信息处理者和境外接收方的基本信息,包括但不限于名称、地址、联系人姓名、联系方式等 | 个人信息处理者和境外接收方的基本信息,包括但不限于名称、地址、联系人姓名、联系方式等 |
| 个人信息跨境处理的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点 | 向境外提供个人信息的处理目的、处理方式、出境个人信息规模、出境个人信息种类、境外接收方只向特定中华人民共和国境外第三方提供个人信息、传输方式、出境后保存期限、出境后保存地点、其他事项 |
| 个人信息处理者和境外接收方保护个人信息的责任与义务,以及为防范个人信息跨境处理可能带来安全风险所采取的技术和管理措施等 | 个人信息处理者的义务(其中包括“尽合理地努力确保境外接收方采取技术和管理措施”)、境外接收方的义务 |
| 个人信息主体的权利,以及保障个人信息主体权利的途径和方式 | 个人信息主体的权利 |
| 救济、合同解除、违约责任、争议解决等 | 救济、合同解除、违约责任、其他(包括争议解决) |
| 境外接收方承诺并遵守同一个人信息跨境处理规则,并确保个人信息保护水平不低于中华人民共和国个人信息保护相关法律、行政法规规定的标准 | |
| 明确在中华人民共和国境内承担法律责任的组织,并承诺履行个人信息保护义务 | |
| 个人信息处理者和境外接收方均承诺对侵害个人信息权益行为承担民事法律责任,并明确约定双方应承担的民事法律责任 | |
| 其他应遵守的法律、行政法规规定的义务 | |
| 境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响 | |
| 双方约定的其他条款 |
Q89. 认证完成后,个人信息处理者还需要注意什么?
根据《网络安全标准实践指南——个人信息跨境处理活动安全认证规范V2.0》,个人信息处理者在完成认证后,还需要履行下列义务:
1. 为个人信息主体提供查阅其个人信息的途径,个人信息主体要求查阅、复制、更正、补充或者删除其个人信息时,应及时予以响应,拒绝其请求的,应说明理由
2. 客观记录开展的个人信息跨境处理活动,保存记录至少3年;按照相关法律法规要求向中华人民共和国履行个人信息保护职责的部门提供相关记录文件
3. 当出现难以保证个人信息安全的情况时,及时停止跨境处理个人信息,并通知境外接收方
4. 发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者及境外接收方应立即采取补救措施,并通知对方,报告中华人民共和国履行个人信息保护职责的部门,按照相关法律法规要求通知个人信息主体,记录并留存所有与个人信息泄露、篡改、丢失有关的事实及其影响,包括采取的所有补救措施
5. 应个人信息主体的请求,提供双方有法律约束力文件中涉及个人信息主体权益部分的副本
6. 接受认证机构对个人信息跨境处理活动的持续监督,包括答复询问、配合检查、服从采取的措施或做出的决定等,并提供已采取必要行动的书面证明。
因此,并不是说完成认证就万事大吉,个人信息处理者还要持续接受认证机构对个人信息跨境活动的监督。处理活动不符合认证要求或者违反相关法律法规时,将会面临处罚或承担一系列法律责任。
Q90. 粤港澳大湾区跨境处理个人信息认证和内地的个人信息保护认证有什么区别?
内地的个人信息保护认证制度适用于内地个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证。
《网络安全标准实践指南——粤港澳大湾区跨境个人信息保护要求(征求意见稿)》(以下简称《指南草案》),规定了粤港澳大湾区跨境处理个人信息应遵守的基本原则和要求,适用于大湾区内个人信息处理者以认证方式开展个人信息跨境处理活动。大湾区认证可能有利于仅在大湾区内的企业,有助于降低其合规成本。目前,大湾区认证制度还存在一些尚未解决的实际困难,例如《指南草案》尚没有提及相关的大湾区认证机构,具体的大湾区认证程序、大湾区认证的有效期等。我们建议位于大湾区的个人信息处理者应当密切关注《指南草案》的进一步澄清。
第六部分:数据出海实践关键问题与海外SCCs要点对比
在专题的前五部分,我们已经基本完成了对境内数据出境相关的重要法律内容进行了解读,除对国内的相关规定进行详细的研究以外,实务及业内同时也关注欧盟与我国境内数据出境规定的比较,由于本专题主要围绕《数据出境安全评估办法》、《标准合同办法》等的内容展开,我们拟在第四部分也针对欧盟地区与之相对应的部分进行分析比较,而在欧盟地区并无国家安全评估的相关要求,因此,我们将会对欧盟SCCs与国内的规定进行比对。
欧盟委员会于2021年6月4日以发布(EU)2021/91号执行决定的[2]方式提供的个人数据跨境传输至第三国的标准合同条款最新版本(Standard Contractual Clauses,下称“SCCs”)。此最新版本的SCCs总共分为4个部分,主要规定了个人数据跨境传输过程中数据输出方与数据接收方与数据保护相关的权利义务、数据主体的利益保护、向第三国传输的相关事项以及法律适用等方面的内容。
Q91. 什么是SCCs?
SCCs全称为Standard Contractual Clauses(标准合同条款)。现行SCCs是一组由欧盟委员会于2021年6月4日通过的标准合同条款,旨在保护离开了EEA(欧洲经济区)的个人数据,确保个人数据在数据接收方处得到GDPR规定的同等保护。
SCCs中包含2套,其中一套适用于数据控制者与数据处理者之间的数据委托处理活动(“委托处理SCCs”);另一套则适用于向第三国传输个人数据的情形(“跨境传输SCCs”或“SCCs”)。
从EEA境内向EEA境外的数据接收方传输个人数据时,必须遵守GDPR及其针对个人数据国际传输制定的规则。跨境传输SCCs是可用于合规的保障措施之一,也是相对高效且节省成本的保障措施之一。跨境传输SCCs有助于统一跨境处理方法,从而确保继续遵守GDPR对个人数据跨境传输的要求,并有助于确保个人数据的自由流动。
Q92. SCCs的适用主体和我国《标准合同》有什么区别?
两份文件中对于主体的划分是有较大差别的,在我国《标准合同》中对双方主体的划分方式主要为境内的个人信息处理者以及境外的数据接收方,而SCCs的主体划分则与我国不同,SCCs在境内及境外场景划分的基础之上,还基于数据跨境传输双方对数据的支配状态进行了角色区分,即数据控制者和数据处理者,二者区别在于,数据控制者决定数据处理的目的和方式,而数据处理者基于数据控制者的委托按照其指示进行数据处理活动。
Q93. SCCs有哪几种类型?每种类型的适用情形如何?
如上问所述,企业依据对数据处理目的以及处理方式是否具有决定能力,可区分为数据控制者(controller)和数据处理者(processor)2种角色。SCCs根据数据输出方以及数据接收方的不同角色定位分为4种类型(Module)。具体为:
第一种类型(Module One:C-C)适用于数据控制者向数据控制者的跨境传输;
第二种类型(Module Two:C-P)适用于数据控制者向数据处理者的跨境传输;
第三种类型(Module Three:P-P)适用于数据处理者向数据处理者的跨境传输;
第四种类型(Module Four:P-C)适用于数据处理者向数据控制者的跨境传输。
企业可以根据具体的业务场景,判断双方的角色,选择相应的类型(Module)进行签署。
Q94. 如何判断企业跨境传输活动是否需要签署SCCs?
该问题下我们首要考虑的是我国境内企业何时可能需要签署SCCs,如果企业是数据输出方,依据欧盟委员会2022年5月公布的新版SCCs问答的第24问规定,在判断是否适合签署SCCs时,需要考虑以下4个问题,
第一,企业(数据输出方)是否受GDPR管辖;
第二,数据跨境传输的双方是否为GDPR规定的数据控制者或者数据处理者;
第三,传输的是否为个人数据;
第四,数据接收方是否不受GDPR管辖。
如果以上四个问题的答案均为是则企业可以考虑使用SCCs作为跨境传输的工具。
Q95. 符合SCCs签署条件的企业必须要签署SCCs吗?
根据欧盟委员会2022年5月发布的官方问答提供的内容,SCCs的条款是在自愿的基础上使用的,各企业并无义务必须签署SCCs,企业也可以选择自行制定一份符合GDPR要求的合同。但是由于已经存在官方的SCCs标准合同模板,出于节省成本和确保合规等因素的考虑,实际场景中,SCCs是许多符合签署条件的企业原意选择的路径。
该问题进一步有讨论价值的内容在于,相比较之下,我国符合《标准合同办法》条件的企业是否必须要签署《标准合同》抑或是允许签署同等保护水平的合同完成数据出境,根据《个人信息保护法》第三十八条的内容,企业通过数据出境的四种路径是确定的,在提及标准合同的出境路径时,并未做额外允许签署同等水平协议的说明且规定“按照国家网信部门制定的标准合同”;同时《标准合同办法》中也未对该部分进行阐述。我们理解我国《个人信息保护法》必须要签署国家网信部分制定的标准合同,从而适用《个人信息保护法》第三十八条第一款第(三)项的路径。
Q96. 跨国集团内部的个人数据传输行为可以签署SCCs吗?
可以。SCCs与BCRs不同,SCCs既可以适用于向欧盟境外第三方进行个人数据传输的场景,也可以适用于跨国集团内部的个人数据传输。实务中,也常有企业会咨询我们SCCs和BCRs哪种方式更推荐使用。
具有约束力的公司规则(BCRs)适用于从事联合经济活动的企业集团或企业集团的每个相关成员,包括其雇员。不过,BCRs不适用于与第三方(例如服务提供商、客户、供应商等)之间的个人数据跨境转移,并且采用BCRs工具要求跨国企业必须在欧洲经济区内有实体以及由主管监管机构批准。由此可以判断,BCRs进行跨境传输的成本较高,建议企业采用签署内部SCC的方式进行集团内部的个人数据跨境传输。
Q97. 企业双方签订完SCCs后,若SCCs的条款与双方之前签订的合同相冲突,企业需要重新签订合同吗?
类似的问题其实我们在本专题第二部分探讨我国《标准合同》的问题时也讨论过,即若曾经签署的条款与生效后的《标准合同》条款冲突时如何处理,此情形下SCCs与《标准合同》的处理结论类似,从效力优先性上判断,SCCs第五条有说明,若SCCs的条款内容与双方存在的或未来订立的协议内容间存在冲突,应以SCCs条款为准。因此,在双方签署SCCs后,一般企业并非必须重新签订合同,后续的个人数据跨境传输活动可以SCCs的条款为准。
Q98. 若欧盟用户可以访问中国境内企业提供的网站,并且企业收集了欧盟用户的个人信息,此种情况是否需要签署SCCs?
不需要。适用SCCs的前提是存在一个数据控制者(或处理者)向另一个数据处理者(或控制者)进行跨境数据传输,在该问题的场景下,则并不存在两个这样的数据传输主体,我们可以通过案例更好理解这个问题,比如欧盟用户A在中国境内公司B的网站中享受服务,填写用户信息,此时由于数据是由用户A自己直接上传给公司B的,而并非由两个数据控制者或处理者之间完成传输,此时无需签署SCCs。但如中国境内公司B涉及使用第三方的数据处理者进行数据存储等,可能存在个人数据跨境传输,需要签署SCCs或采用GDPR规定的其他个人数据跨境传输路径。
Q99. 企业签署了SCCs,需要和中国一样到有关部门进行备案吗?
与我国《规定》里体现的“自主缔约+备案管理”相结合不同,欧盟SCCs无需备案,企业签署SCCs之后,即可将数据依据合同约定的方式进行跨境传输。但是,虽然没有备案的要求,依据SCCs第14条的规定,数据输出方可能也需要对传输的具体情况进行评估(传输影响评估)。
Q100. 延伸——《标准合同》中的个人信息保护影响评估和欧盟SCCs的传输影响评估有何不同?
我们先了解SCCs的传输影响评估的背景,在 Schrems II 案后,欧盟更加强调了未以充分性认定作为个人数据跨境传输路径时(SCCs为非充分性认定的一种个人数据跨境传输路径)对跨境传输的评估,一旦评估的过程中发现传输行为可能出现有悖欧盟规定的最低限度保障措施要求,则可能需要考虑停止数据传输或者采取适当补救措施。而根据SCCs第14条(b)的规定,评估需要考虑的内容,包括处理链条的长度、涉及的传输行为人的数量和使用的传输渠道;预期的再传输;接收者的类型;处理的目的;传输的个人数据的类别和格式;发生传输的经济领域;传输数据的存储位置;目的地第三国与传输的具体情况相关的法律和惯例;为补充本条款下的保障措施而制定的任何相关的合同、技术或组织保障措施,包括在传输过程中采取的措施以及在目的地国家处理个人数据的措施。
完成对传输影响评估的简单介绍后,结合我们本专题第二部分已经提及的个人信息影响评估的内容,我们会发现,两个评估间有许多相似的特点,比如,需要考虑个人数据的类型、方式;对境外接收主体个人信息保护能力的考察;境外接收方所在地区,国家的法律政策影响等,评估的核心目的都在于确保数据安全能够符合文本制定国/区域的要求。
同时,两个评估间当然也有差异性的部分,侧重点上,《标准合同》的PIA的内容会更全面,除了与SCCs一样关注境外风险以外,对境内主体的个人信息处理活动的考量也是评估的重点之一。
Q101. 如果中国企业和位于欧盟境内的企业互相传输数据,双方是否需要同时签署中国标准合同以及签署欧盟SCCs?
我们的建议是在符合各自的适用前提的条件下,中国标准合同以及欧盟SCCs均要签署。《标准合同》以及SCCs规定的适用,都是境内输出方向境外接收方进行数据传输的情况。在问题提及的双向传输的场景内,可以理解为,在国内企业向欧盟企业向传输个人信息时受《标准合同》调整;在欧盟企业向国内企业进行个人数据传输时受SCCs调整。
同时,从数据保护目的上看,为了确保个人数据在第三国能够得到和在境内同等的保护水平,企业可以分别就中国个人数据出境以及欧盟个人数据出境事宜进行约束,可以确保中国个人数据在欧盟能得到充分保护,以及欧盟个人数据在中国能够得到GDPR规定的同等保护水平。
Q102. 我国《标准合同》如何应对欧盟SCCs体现的长臂管辖?
判断该问题的重点在于关注我国对境内企业个人数据出境的保护,在欧盟GDPR的框架下,企业主体间若通过SCCs完成个人数据出境,要求企业必须配合欧盟监管部门各项安全性调查,面对欧盟SCCs的监管要求,我国《标准合同》也做出了相似的回应,同样也要求境外接收方接受并配合我国监管机构采取的各项安全性措施,从制度设计上分析,我国《标准合同》在监管内容上的回应能够很好的保护了我国境内企业及个人信息主体的利益。
Q103. 作为数据接收方且为数据控制者的中国企业如何应对欧盟相关机构的监管?
结合我们过去积累的实务来看,要妥善应对数据出境目的国的监管是一个复杂的实践课题,一方面需要对企业内部、合作方、数据本身等各维度进行颗粒度足够精细的详尽调查研究,另一方面也还需要各方人员的深度配合,才能形成契合每个企业自身情况的定制化建议。因此,我们就该问题部分先提供一个大致的方向,依据SCCs第13(b)条的约定,作为数据接收方的企业有责任服从欧盟相关监管机关的管辖,回应其询问,接受审计。因此,企业应保留在约定职责范围内进行处理活动的适当文件,按照欧盟监管机构的要求提供此类证明文件。
如想了解更详细的定制化应对策略,也欢迎联系我们。
Q104. 延伸——作为数据接收方且为数据处理者的中国企业如何应对欧盟相关机构的监管?
同样,如上问题所述,此部分我们先提供一个大致的应对方向,企业应该保存有关代表数据输出方进行数据处理活动的文件,以及能够证明企业遵守了SCCs条款下约定的义务(包括但不限于采取了技术和组织措施等)的文件。如果企业收到欧盟监管机构的要求,可以提供上述材料用于证明。除此之外,企业在日常经营活动中,也需要配合数据控制者的审计活动以及回应来自监管机构的问询。
综上,不管企业是作为控制者或者是处理者,其对处理活动的记录文件十分必要,可以用于证明企业遵守了SCCs约定的条款义务、回应可能来自监管机构的审查。
Q105. SCCs和《标准合同》的文本是否都可以删减更改?
在涉及合同双方当事人权利义务,第三人权利,责任承担等合同的核心内容时,无论是SCCs还是《标准合同》都不可以删减更改,我国《标准合同》各项内容由国家网信部门官方制定,对双方主体以及受益第三人的各项事项都做出了符合我国对个人数据出境安全要求以及实现个人数据出境安全目的的条款规定,因此,我国《标准合同》除非有特别说明,一般不得删减更改,当然,《标准合同》中个人信息处理者和境外接收方允许自由磋商的部分有可以调整的空间,双方可以在谈判过程中酌情调整,如附件一的个人信息出境说明及附件二的约定其他条款的部分等。
同样,根据2022年5月欧盟委员会的官方问答。SCCs的文本不得更改,除非(1)为了选择模块或文本中提供的选项;(2)为完成文本必要的,例如指明主管法院和监督机构,并制定时间段;(3)为填写附件;(4)为添加额外的保护措施,以提高数据的保护水平。但这些改变并不能视为改变了核心的文本内容。
Q106. 欧盟SCCs与我国《标准合同》适用的管辖规则一样吗?
无论是SCCs或是我国的《标准合同》,在企业双方就合同各事项发生争议纠纷时,原则上都倾向于由本国或本地区的司法机关进行处理,我国《标准合同》第九条第(五)项中就提及个人信息处理者及境外接收方可以选择就争议事项寻求指定仲裁机构提起仲裁或向国内有管辖权的人民法院提起诉讼。
SCCs体现的管辖内容基本与《标准合同》的约定一致,但需要注意的是,在P-C的类型(Module 4)下,SCCs允许数据传输双方约定欧盟境外的法院进行争议的解决。
Q107. 在使用SCCs完成个人数据传输跨境时,企业是否要考虑对第三方受益主体的保护?
SCCs的四个模块中都有较大的篇幅用以规定跨境传输双方如何保护第三方受益主体利益的内容,包括如确认双方责任承担,充分考虑境外接收方国家及地区的法律政策,规定第三方受益主体有权要求企业提供合同副本,以及规定第三方受益主体的救济方法等,这部分内容为我国《标准合同》的规定内容提供了很高的借鉴价值,从内容上比较,两份文件在第三方受益主体的保护上比较相似,也进一步体现了我国对保护个人信息保护主体权益的重视程度。因此,无论是何种场景,企业对个人信息保护的合规性都是数据出境活动中需要着重考虑的部分。
Q108. 在签署SCCs后,如果企业想让额外相关方加入其已签署的SCCs,可以怎么做?
在SCCs合同签订后,如果有第三方想加入,可以根据SCCs第7条(docking clause)的约定,在合同缔约方同意后,以数据输出方或数据接收方的身份填写附录并签署的方式加入,加入之后该第三方就享有SCCs合同约定的权利以及需要承担相应的义务。这与我国《标准合同》的规定存在差别,《标准合同》要求数据出境后再传输到第三方主体的,需要境外接收方与第三方达成书面协议,确保第三方的个人信息处理活动达到我国相关法律法规规定的个人信息保护标准。
Q109. 是否有可能在SCCs中添加其他条款,或将SCCs纳入更广泛的商业合同?
如果合同缔约双方有其他事项需要在合同中约定,只要该合同条款不损害数据主体的权利,同时也不直接或间接地与SCCs合同正文规定的内容冲突,合同缔约双方可以在SCCs中增添额外条款。
除此之外,如若合同缔约双方欲将SCCs置于缔约方之间的其他商业合同之中,也需要满足以上要求,即不损害数据主体的权利,同时也不直接或间接地与SCCs合同正文规定的内容冲突。合同双方应当根据约定的管辖地域的法律要求,应签署并遵守SCCs,并将其纳入他们的其他合同中。
关于将SCCs合同纳入商业合同中,举例如下:SCCs国际数据传输第12(a)条规定了缔约双方的责任,其要求合同双方不得在商业合同(其中包括了SCCs的合同)中制定一般免责条款,因为这将与SCCs的本条款相冲突。故在不违反SCCs正文内容的前提下,可以将其以附件等形式纳入缔约方之间的商业合同中。
第七部分:境外个人信息跨境传输
Q110. 如何判断出海产品个人信息流转场景是否构成目标国家/地区规定的“个人信息跨境传输”?
目前,大部分国家已颁布与个人信息保护相关的法律法规,一般情形下,在该类法律法规中有专章或专条规定个人信息出境相关条款。
依据王捷律师团队为大量出海企业服务的经验,虽然各国家或地区可能存在特殊规定,但是在判断是否构成个人信息跨境传输,以及如何进行判断,存在系统性的逻辑和思路:
第一,要构成“个人信息跨境传输”,需要同时满足各目标国家或地区相关法律项下规定的各项要件,以欧盟GDPR为例,需要同时满足以下条件,缺一不可:
(1)对于某一特定的数据处理行为,数据控制者或者处理者是依法应当遵守GDPR的主体;
(2)该控制者或者处理者(“输出方”)通过传输或以其他方式向另一控制者、联合控制者或者处理者(“输入方”)提供该处理项下的个人数据;
(3)输入方位于第三国或为国际组织,不论该输入方是否根据GDPR第3条的规定就特定处理受GDPR的规制。
第二,在厘清“个人信息跨境传输”的构成要件后,需要对涉及数据流转的业务场景进行逐项判断。在实践中,完全梳理清晰个人信息跨境传输场景有时并非易事,在涉及多个主体、多种传输方式、多种传输数据类型等情况下,需要抽丝剥茧,回归到基础概念的判断:
(1)需要判断数据传出方是否属于落入目标国家或地区数据保护相关法律法规的管辖。
(2)明确跨境传输的数据是否落入目标国家或地区数据保护相关法律法规的管辖范围。
(3)是否同时存在数据传出方和数据接收方。
需要明确的是,现实中发生的数据传输流,并不与法律概念中的“传输”完全对应,法律意义上的“数据传出方”与“数据接收方”也未必与现实中的数据传输流的传出方与接收方完全一致。对于“数据传出方”与“数据接收方”的判断,需要结合个人数据保护立法中“控制者”和“处理者”的概念、个人信息跨境传输的要件等进行判断。
(4)准确理解“个人信息跨境传输”中的“跨境”行为。
如我们在第一部分对“中国数据出境”的“出”的理解,其他国家或地区亦有对“跨境”行为进行了定义。一些在数据保护立法活动较为领先的国家或地区,专门就个人信息跨境传输发布各类指引、指南文件,其中阐述不同个人信息跨境传输的场景,以协助企业更好的理解。
Q111. 海外国家或地区规定了哪些个人数据跨境传输路径?是否每个国家或地区都不一样?
目前,根据我们对全球个人信息跨境传输立法和执法动态的追踪,目前海外较为主流的个人数据跨境传输路径主要存在以下几种:
(1)白名单/充分性认定
(2)传输合同或标准合同
(3)具有约束力的公司规则
(4)认证
(5)豁免/减损
此外,除主流共性规定,各国家或地区的个人信息保护立法中可能存在较为特殊的个人信息跨境传输路径规定或存在个人信息跨境传输的前置要求规定,例如越南的数据跨境传输路径为个人数据传输影响评估,且不存在上述主流路径;再如俄罗斯要求数据处理者应当向俄罗斯通信监督局提交个人数据跨境转移的通知;如产品出海至英国或欧盟,且涉及个人信息跨境传输,若选择使用签署国际数据传输协议或标准合同的路径进行个人信息跨境传输,则需进行数据传输风险评估(Transfer Risk Assessment)或传输影响评估(Transfer Impact Assessment)。
Q112. 出海公司如何确定使用何种路径进行个人数据出境?
一般情形下,公司首先需要调研、梳理目标国家或地区有关个人数据跨境传输的规定,明晰数据跨境传输路径。
部分国家或地区的个人信息跨境传输路径的规定为“递进式”。以欧盟GDPR为例,其个人信息跨境传输路径规定为:充分性认定 - 安全保障措施 - 特定情况下的豁免/减损,三条路径的保障力度实际上是一次递减的,故在能够选择更为强有力的路径(如充分性认定、标准合同、公司规则、认证等)时,我们建议不要选择“特定情况下的豁免/减损”这一路径,如“数据主体的明确同意”这一跨境传输路径可能因数据主体撤回同意而影响个人信息跨境传输,或跨境传输个人数据可能被监管机构认为并非“履行合同所必要”,且GDPR的个人信息跨境传输路径中的“特定情况下的豁免/减损”仅适用于不是重复发生的、涉及有限数量的数据主体的跨境传输。
当然,企业也需要结合自身出海业务实际情况进行选择,W&W国际法律团队已为多家出海企业提供出海产品个人信息跨境传输合规服务,如有任何需求,敬请业界同仁与我们联系。
Q113. 如果出海目标国家或地区众多,均涉及个人数据跨境传输,该如何确定数据出境路径?
在出海目标国家或地区众多的情况下,且有关个人信息跨境传输路径存在不一致规定的情况下,我们认为可以采取“抽取共性 + 特殊规定”的方式进行选择,即就部分存在共性规定的出海目标国家或地区选取一致的个人信息跨境传输路径(当然,对于落入白名单/充分性认定的传输目标国家或地区,应选择白名单/充分性认定),较为特殊的国家或地区则进行特殊处理,在拉平合规基线的同时,就特殊国家或地区进行特殊处理。
作者介绍
本期作者:王捷律师团队
编写组成员:王捷 邱世贸 常孝雯 倪子媛
垦丁W&W国际法律团队致力于帮助各类出海企业,解决企业在逐鹿海内外路上遇到的各类疑难法律问题,致力于成为企业“出海灯塔”,让客户在全球业务上,可以无惧艰难,乘风破浪,让出海成为第二增长曲线
.png) |
王捷 律师 垦丁(广州)律师事务所 邮箱:jie.wang@kindinglaw.com 电话:13650790754 |
个人介绍
垦丁(广州)律师事务所创始合伙人、主任律师、W&W国际法律团队创始人
联合国世界丝绸之路委员会专家
荣登律商联讯(LexisNexis)2023「40位40岁以下的法律精英」榜单
数据合规官、数据安全师、CIPP/E
《生成式人工智能数据应用合规指南》团体标准起草人之一
中南财经政法大学合作指导教师
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了13年+科技型公司实务经验,具备中外律所从业背景;为各类涉互联网企业提供各类综合合规支持,包括数据合规、个人信息保护、产品模式合规等,尤其擅长为企业出海产品提供各类有效的合规解决方案与落地支持。目前已为超过50+头部与知名互联网公司、500强企业、大中型外资企业、独角兽企业提供服务和产品落地解决方案;并发表了超过300多篇的实务文章与专题报告。
专攻领域:个人信息保护与全球数据合规、企业出海合规、互联网产品及业务模式综合合规、网络安全、广告合规、知识产权攻防布局、前沿科技领域实务合规等。专精于移动互联网、智能制造业与物联网、智能网联汽车与车机系统、电子商务及平台、直播与短视频、社交网络平台、AIGC、区块链、云计算、web3.0、NFT等新兴前沿行业。
涉足国家及地区:中国(含港澳台地区)、东南亚国家、印度、日韩、欧盟、英国、美国、阿联酋及沙特等中东国家、巴西及阿根廷等南美洲国家、非洲多国。