您的位置 : 环球研究 / 环球评论 / 新闻详情
数据出境合规指引之二——依规开展数据出境安全评估
2022年07月09日孟洁 | 殷坤 | 鲁裕鑫

【划重点十五问答】

 

2021年10月29日,国家互联网信息办公室(以下简称“网信办”)发布了《数据出境安全评估办法(征求意见稿)》(以下简称“《出境安全评估办法征求意见稿》”)。历时8个月后,2022年7月7日,网信办发布了《数据出境安全评估办法》最终版,该办法将于2022年9月1日生效并实施。为了对《数据出境安全评估办法》的相关要点有更全面地把握,便于数据出境方能够提前做好相关准备,本文将以Q&A的方式对相关问题进行解读和介绍。

 

Q1:我国对于数据出境的立法框架是如何搭建的?

 

A:自2017年6月1日起施行的《中华人民共和国网络安全法》(以下简称“《网络安全法》”)、2021年9月1日起施行的《中华人民共和国数据安全法》(以下简称“《数据安全法》”)和2021年11月1日起施行的《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”),均从法律层面对数据出境进行了规定。中国的数据保护方面立法针对数据出境采用了“分层监管”的方式,即将关键信息基础设施运营者与一般网络运营者(即不属于关键信息基础设施运营者范围的网络运营者)区分进行监管。

 

企业应当根据自身属性和出境数据的类型与性质的不同,判断需要承担不同层次的数据出境合规义务。从企业属性角度看,当企业构成关键信息基础设施运营者时,在境内运营期间收集和产生的个人信息与重要数据存在出境的限制;从数据类型角度看,个人信息、重要数据、国家核心数据、由特别法管辖下的特殊类型数据,其在出境规则上各有不同。

 

若企业属于关键信息基础设施运营者(以下简称“CIIO”),根据《网络安全法》第三十七条,只有因业务需要,确需向境外提供在境内运营中收集和产生的个人信息和重要数据时,在根据国家网信部门会同国务院有关部门制定的办法进行安全评估后方可提供。《数据安全法》第三十一条亦规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《网络安全法》的规定。

 

若企业仅为一般网络运营者,其数据出境合规要求取决于所传输的数据类型,即个人信息、重要数据、核心数据、国家秘密、其他数据(既非个人信息又非重要数据,如企业的一般性经营信息)。因业务需要,确需向境外提供个人信息的,应当根据《个人信息保护法》第三章,除征得相关个人本人(如果是儿童,则为其监护人)的单独同意外,还需要根据《个人信息保护法》第三十八条,满足如下条件之一:(一)通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件。

 

若一般网络运营者拟向境外提供的数据属于重要数据的,则根据《网络数据安全管理条例(征求意见稿)》(以下简称“《网数条例(征求意见稿)》”)第三十七条以及《数据出境安全评估办法》第四条,向境外提供时需要通过国家网信部门组织的安全评估。

 

若一般网络运营者拟向境外提供的数据属于核心数据的,则根据《工业和信息化领域数据安全管理办法(试行)(第二次征求意见稿)》(详见我们的解读文章环球合规与风控 | 《工业和信息化领域数据安全管理办法(试行)(第二次征求意见稿)》要点解读)第二十一条,法律、行政法规有境内存储要求的,应当在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估。

 

若企业拟向境外提供的数据涉及其他特别法或者部门规章明确要求在境内存储的数据,则应根据相关要求将数据存储于境内,换言之,不得向境外提供,除非法律法规另有规定。例如,公司拟传输的数据若涉及国家秘密,则根据《中华人民共和国保守国家秘密法》第三十条只有在报国务院有关主管部门或者省、自治区、直辖市人民政府有关主管部门批准,并与对方签订保密协议后方可提供。又如,涉及健康医疗大数据,则根据《国家健康医疗大数据标准、安全和服务管理办法(试行)》第三十条,应当存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估审核。

 

Q2:对于外国公司在中国投资设立的企业(“FIE”)在中国境内运营所产生的数据可以出境吗,还是必须在中国境内设立数据中心?

 

A:整体而言,外国公司在中国投资设立的企业同样适用我国《网络安全法》《数据安全法》和《个人信息保护法》等相关法律法规。判断其在境内运营所产生的数据是否可以出境以及是否需要在中国境内设立数据中心,如Q1的答复所述,也需要结合FIE企业的自身属性,从企业性质上先判定是否可能被主管机构通知为是CIIO,以及企业拟向境外提供的数据是否涉及其他特别法规明确要求在境内存储或者在境内设立服务器的情况。如以上任何一个回答为是,则应当根据相关法律法规要求将数据存储于境内,换言之,不得向境外提供数据,除非法律法规另有规定。

 

除此之外,也与一般网络运营者一样需要考虑拟出境数据的类型与性质,再判断需要承担的合规义务。若FIE企业向境外提供重要数据、核心数据,则同上方Q1答复中的要求,应判断向境外提供数据是否确属业务经营必需,并依法申请数据出境安全评估。

 

值得注意的是,网信办有关负责人于7月7日就《数据出境安全评估办法》答记者问时提及《数据出境安全评估办法》适用于两种情形,一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。由此来看,向境外提供个人信息不仅限于物理上的传输,还包括境外机构访问或调研境内服务器的情况。如FIE企业的境外母公司可以访问存储于中国服务器中的相关数据,该FIE企业也需要根据《数据出境安全评估办法》的要求进行安全评估后方可被其境外母公司访问或者调取。

 

Q3:如出境数据涉及个人信息,数据处理者在出境前需要履行哪些合规义务?

 

A:对于个人信息而言,其向境外传输需参考《个人信息保护法》《数据出境安全评估办法》《信息安全技术 个人信息安全规范》《信息安全技术 数据出境安全评估指南(征求意见稿)》等。结合以上法律法规和国家标准,数据处理者针对个人信息出境合规应当履行以下义务。换个角度而言,以下义务的履行情况也应当纳入企业开展数据出境自评估的范畴之内。

 

1. 取得个人信息主体的单独同意

 

《个人信息保护法》规定,个人信息处理者向中国境外提供个人信息的,应当向个人告知境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式等事项,并取得个人的单独同意。

 

据此,如果要发生数据跨境传输,企业需要在其相关隐私政策中进行声明。基于《个人信息保护法》数据出境需获取个人的“单独”同意,企业还需要在产品界面上进行特殊设计。

 

2. 事先进行数据出境风险自评估(见下文Q7详细分析)

 

3. 根据情况选取数据出境保护性措施

  • 个人信息出境标准合同:网信办于2022年6月30日发布了《个人信息出境标准合同规定(征求意见稿)》,请参考我们对此进行的解读(详见环球合规与风控 | 个人信息出境合规指引之一——签署“中国版”个人信息出境标准合同)。

  • 个人信息保护认证:全国信息安全标准化技术委员会于2022年6月24日发布了《网络安全标准 个人信息跨境处理活动认证技术规范》(以下简称“《认证技术规范》”,我们也将于近期推出详细解读。

  • 数据出境安全评估:本文重点论述。

《数据出境安全评估办法》《个人信息出境标准合同规定(征求意见稿)》与《认证技术规范》的要求共同组成了《个人信息保护法》第三十八条下提出的个人信息跨境传输须遵守的保护措施,并进一步补足、细化了《个人信息保护法》的要求。《数据出境安全评估办法》与《个人信息出境标准合同规定(征求意见稿)》《认证技术规范》的区别在于,其还包括了对重要数据出境的评估要求。以下为三种数据出境保护措施及其相关依据之间的逻辑关系,以供读者参考。

 

图片

 

4. 数据传输方的安全保护能力

 

出境方企业应当对拟传输的数据采取加密或者其他形式的处理(例如采用去标识化等脱敏处理)并落实相关管理制度(包括安全管理、人员管理、合同约束、审计机制、应急处理等)以及技术手段保障能力(包括传输时的安全措施、针对数据安全事件的预防、检测及响应能力、数据安全技术防护体系、数据传输过程中实施身份鉴别和访问控制的能力、保留数据发送日志的能力、对数据发送、传输、销毁等各阶段进行审计的能力、对数据出境传输的安全措施定期评估等)。

 

5. 记录出境情况并进行保存

 

出境方企业应当对个人信息出境情况进行记录,记录内容包括:

 

(一)向境外提供个人信息的日期时间;

(二)接收者的身份,包括但不限于接收者的名称、地址、联系方式等;

(三)向境外提供的个人信息的类型及数量、敏感程度;

(四)国家网信部门规定的其他内容。

 

《个人信息保护法》第五十五条和第五十六条同样要求对个人信息向境外传输前进行自评估制作的个人信息保护影响评估报告和处理情况记录至少保存三年。

 

Q4:企业应在什么情况下开展数据出境安全评估?

 

A:《数据出境安全评估办法》第四条明确了数据处理者向境外提供数据时符合以下情形的,应当申报数据出境安全评估:(一)数据处理者向境外提供重要数据;(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。

 

从适用主体看,除兜底条款外,包括了CIIO和一般网络运营者/数据处理者;从向境外提供的数据类型看,包括向境外提供个人信息和重要数据两类。下面三问将针对《数据出境安全评估办法》第四条前三款所述的三种主要适用情况分别进行分析。

 

Q5: 如何识别与界定重要数据,以及重要数据出境安全评估有哪些要求?

  • Q5.1: 现阶段识别重要数据的参考依据有哪些?

A:《数据安全法》首先提出了建立国家安全观以及数据安全制度体系,要求国家数据安全工作协调机制统筹协调制定国家重要数据目录,加强对重要数据的保护。随后于2021年11月14日发布的《网数条例(征求意见稿)》,不仅明确了重要数据的定义[1],还提出了一系列重要数据安全监管制度,因此,“什么是重要数据”以及“如何识别重要数据”成为影响当前国家数据安全工作进展的重大议题。《数据出境安全评估办法》第十九条也对重要数据进行了定义,即重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。

 

国家信息安全标准化委员会于2022年1月13日公布了最新调整后的《信息安全技术 重要数据识别指南(征求意见稿)》(以下简称“《重要数据识别指南》”)。2022年4月26日,曾有专家在公众号发布《信息安全技术 重要数据识别规则》,作为《重要数据识别指南》的最新过程稿。《重要数据识别指南》划分了重要数据的定义范围,规定重要数据是指“以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。”。这既说明了重要数据的存在形式,也明确了以造成不利后果为判断重要数据的唯一标准。并且,《重要数据识别指南》指明识别重要数据的基本原则、明确重要数据的识别因素等,不仅为各行业、地区、部门制定本行业、本地区、本部门的重要数据具体目录提供参考,也为企业识别其自身掌握的重要数据提供实践指引,从而进一步为国家重要数据安全保护工作提供支撑。

 

工业和信息化部也于去年底开始开展工业领域数据安全管理试点,其中要求试点企业按照《工业数据分类分级指南(试行)》《工业领域重要数据和核心数据识别规则(草案)》开展数据分类分级,制定重要数据清单,并向主管部门报备。

  • Q5.2:识别重要数据的原则有哪些?

A:相较于历史版本中大篇幅对重要数据采取非穷尽列举的方式,《重要数据识别指南》仅对识别重要数据的基本原则和重要数据的识别因素进行了说明,给企业和各主管机构留有更多权衡和商榷的余地。

 

《重要数据识别指南》明确指出,从原先对各类别数据具体范围的框定到目前只确定原则性的做法,《重要数据识别指南》确定了包括:聚焦安全影响、突出保护重点、衔接既有规定、综合考虑风险、定量定性结合、以及动态识别复评这六大原则 。

  • Q5.3:重要数据的识别因素有哪些?

A:《重要数据识别指南》将所有领域对重点数据的识别维度均放在认定因素上,从本质上介绍重要数据的识别因素。在总原则引领下,重要数据识别判断因素主要包括:

 

(1)反映国家战略储备、应急动员能力;

(2)支撑关键基础设施运行或重点领域工业生产;

(3)反映关键信息基础设施网络安全保护情况,可被利用实施对关键信息基础设施的网络攻击;

(4)关系出口管制物项;

(5)可能被其他国家或组织利用发起对我国的军事打击;

(6)反映重点目标、重要场所物理安全保护情况或未公开地理目标的位置,可能被恐怖分子、犯罪分子利用实施破坏;

(7)可能被利用实施对关键设备、系统组件供应链的破坏,以发起高级持续性威胁等网络攻击;

(8)反映群体健康生理状况、族群特征、遗传信息等的基础数据;

(9)国家自然资源、环境基础数据;

(10)关系科技实力、影响国际竞争力;

(11)关系敏感物项生产交易以及重要装备配备、使用,可能被外国政府对我实施制裁;

(12)在向政府机关、军工企业及其他敏感重要机构提供服务过程中产生的不宜公开的信息;

(13)未公开的政务数据、工作秘密、情报数据和执法司法数据;

(14)其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。

 

具备以上因素之一的,可能被认定为重要数据。

 

结合上述识别因素,《重要数据识别指南》对如下相关场景包含的重要数据进行举例:战略物资产能、储备量;反映关键信息基础设施网络安全方案、系统配置信息、核心软硬件设计信息、系统拓扑、应急预案等情况的数据;描述出口管制物项的设计原理、工艺流程、制作方法等的信息以及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告;反映重点安保单位、重要生产企业、国家重要资产(如铁路、输油管道)的施工图、内部结构、安防等情况的数据,以及未公开的专用公路、未公开的机场等的信息;未公开的水情信息、水文观测数据、气象观测数据、环保监测数据;以及描述与国防、国家安全相关的知识产权的数据等。

  • Q5.4:重要数据出境的评估要求有哪些?

A:《数据安全法》第三十一条规定,除CIIO外,其他数据处理者向境外提供重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。《数据出境安全评估办法》则落实了该条的要求,规定向境外提供重要数据的,需要履行数据出境安全评估的义务。

 

结合上述几个问题的答复,无论是否为CIIO,也无论出境数据数量有多少,只要向境外提供的数据中包含“重要数据”,都应当向国家网信部门申报出境安全评估。因此,建议企业尽快落实重要数据的识别工作,明确出境的数据是否包含重要数据,并根据要求做好合规评估工作。

 

Q6: 如何识别关键信息基础设施(“CII”)和关键信息基础设施的运营者(“CIIO”),以及如何针对CIIO拟出境的数据进行评估?

  • Q6.1:识别关键信息基础设施(“CII”)和关键信息基础设施的运营者(“CIIO”)的法律依据有哪些?

A:根据目前的立法现状,关于识别和认定CII和CIIO方面,企业可以综合参考《网络安全法》、由国务院发布并于2021年9月1日施行的《关键信息基础设施安全保护条例》(以下简称“《保护条例》”)、公安部于2020年发布的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(以下简称“《指导意见》”)、网信办网络安全协调局于2016年6月公布的《国家网络安全检查操作指南》,以及2020年8月发布的国家标准《信息安全技术 关键信息基础设施边界确定方法(征求意见稿)》(以下简称“《CII边界确定方法》”)。

  • Q6.2:判断关键信息基础设施的运营者的思路及方式是什么?

A:一般而言,通过以下三个步骤识别CIIO:

 

(1)判断所涉业务是否涉及重要行业和领域

 

根据《网络安全法》第三十一条,CII所涉的重点行业和领域包括:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的行业和领域。《保护条例》第二条则在《网络安全法》的基础上进一步补充,提出CII范围包括:“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等”。

 

此外,根据公安部发布的《指导意见》,“基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象”有可能会被纳入CII。

 

因此,不难看出,国家针对CII所涉行业和领域的划分采用的是非穷尽列举式抽象定义,并以“视具体情况认定重点行业和领域”的情形留有余地。

 

(2)识别关键业务及具体关键信息基础设施

 

在初步确认所涉业务可能会被认定为属于上方重要行业和领域之后,企业可以依据《CII边界确定方法》进一步评估其是否存在“一旦遭到破坏或者丧失功能,会严重危害国家安全、经济安全、社会稳定、公众健康和安全的”、并且依赖信息化运行的业务,来识别、筛选关键业务。即当一个企业的属性落入到第(1)点所列法规要求的CII所涉及的重点行业时,也不是该企业中的所有信息系统都是CII的范围。只有所列行业中的相关企业其高度支撑信息化运行且该系统的运行如果遭到破坏或者功能丧失有严重危害国家安全、经济安全、社会稳定、公众健康和安全后果的才有可能被纳入CII的范围。

 

在初步判断后,企业可以参考《保护条例》第九条来进一步梳理企业中“对本行业、本领域关键核心业务”“重要的”“一旦遭到破坏、丧失功能或者数据泄露对国家安全、社会稳定带来危害”的网络设施、信息系统;而该网络设施、信息系统则极大可能会被认定为CII。

 

(3)明确CIIO

 

顺接上述第(2)点,需要进一步明确的是,支撑同一关键业务的CII可能属于一个运营者,也可能分属于多个运营者。因此,在识别出关键业务和CII之后,应当根据关键业务对信息化的依赖程度和依赖关系进行系统评估,梳理支撑同一关键业务的CII分布和运营情况,以明确对应到具体的CIIO。

 

需要提醒的是,从《网络安全审查办法》《指导意见》到《保护条例》,均明确了CII及CIIO的认定工作由各自行业的主管部门负责,所以企业是否属于我国认定的CIIO主要取决于主管机构的判定和通知。同时,考虑到CII的定义以及范围均比较宽泛,并且技术以及网络安全的要求会不断地更新迭代,主管机构对于行业内企业所拥有的CII具体情况应该也是在一个持续的了解和动态认定的过程中,所以希望公司时刻保持关注。

  • Q6.3:如果外国公司在中国投资设立的公司(“FIE”)被认定为CIIO,该FIE的个人信息出境活动应如何开展?是否可以直接向境外母公司传输个人信息?

A:首先,应当说明的是,我国现行有效的法律对于CIIO的个人信息出境活动(包括跨境传输员工个人信息的行为)有明确规制。如Q1所述,《网络安全法》第三十七条规定了CIIO向境外提供数据的安全评估义务。《个人信息保护法》第四十条进一步规定,CIIO应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估。因此,若FIE被认定为CIIO,则需要将在中国境内收集的个人信息存储在境内;如FIE确需向位于境外的母公司提供在境内运营中收集产生的个人信息的,应当根据《数据出境评估办法》通过国家网信部门组织的安全评估。 在未履行上述要求的情况下,公司直接向境外母公司传输个人信息是存在合规风险的,可能会被要求承担Q14中所述的相关责任。

 

需要说明的是,无论FIE是否构成CIIO,除上述合规义务以外,向境外母公司提供个人信息前均应当同时履行其他数据出境义务,如开展数据出境风险自评估、向个人主体充分告知境外接收方(如母公司)的情况以及其个人信息出境的目的、方式并取得个人的单独同意。此外,还应当进行个人信息保护影响评估,以确保企业开展个人信息出境活动的合规性。

 

还有一种特殊场景,不是有关FIE被认定为CIIO的问题,而是国内企业属于国外私募基金的被投企业,但属于CIIO,并且其经营信息和财务信息都很敏感,还会涉及到重要数据,那么根据以上分析,该被投企业在境内运营中产生的数据需要存储在中国境内。如果私募基金的投资人是境外主体,其数据存储的服务器在境外,因基金须对投资人履行私募基金监管所要求的信息披露义务,按照基金合同的约定向投资人报告基金及被投企业的基本情况,在实践中,可能需要委托一家中国的中介机构(如律师事务所),对被投企业的情况进行了解、摸底并整理成相关汇报材料后,通过国家网信部门会同国务院有关部门制定的办法进行安全评估,除非遵从证券相关法律法规对于数据出境的另行规定。如果投资人是中国实体,但间接股东有境外主体,与上述答案略不同,不过仍然需要注意被投人信息不被投资人的境外间接投东直接接触。如果基金管理人的股东为境外主体,即,基金管理人为外商投资私募基金管理人,基金决策机构是股东委派产生,完全接触基金管理运营的全部信息。在这种情况下,同样会存在数据出境的风险,则要根据被投企业的性质与出境数据的类型与数量再具体分析。并且,基金管理公司与投资人和被投方不仅通过邮件往来,还会通过微信与境外增收方沟通并向境外发送资料,也需要关注数据出境的合规问题,与上面的思路基本一致。

 

Q7:数据处理者向境外提供个人信息都需要进行安全评估吗?

  • Q7.1: 个人信息出境安全评估与个人信息出境前须开展的个人信息保护影响评估、个人信息出境自评估是一回事吗?

A:对于数据出境风险评估有两类,一类是企业需要实施《个人信息保护法》下的个人信息保护影响评估(即“自评估”);而另一类是根据《数据出境安全评估办法》,在数据出境前完成企业自评估,当满足相应条件时,通过所在地省级网信部门向国家网信部门申报数据出境安全评估。可见,只有当符合《数据出境安全评估办法》第四条规定的任何一种数据出境安全评估适用条件时,数据出境安全评估才触发,进而企业须向网信部门递交评估申请并进入评估流程。因此,在数据出境的场景中,开展数据出境风险自评估通常是数据处理者向网信部门申报数据出境安全评估的前置程序。

 

对于数据出境风险自评估,根据《数据出境安全评估办法》第五条,需要重点评估如下事项:(一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;(二)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;(四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;(五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务;(六)其他可能影响数据出境安全的事项。

 

《数据出境安全评估办法》第八条规定由网信部门开展的数据出境安全评估范围相比于数据出境风险自评估范围更大,多出以下几项评估事项:

  • 境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求(第二项);

  • 数据安全和个人信息权益是否能够得到充分保障(第四项);

  • 遵守中国法律、行政法规、部门规章情况(第六项)。

由此可知,监管机构的安全评估不仅会审查双方合同中关于境外接收方义务的约定,而且会更加全方位地审查数据出境活动对于国家以及行业的整体风险系数与其所采取的相应安全保障措施的充分性。意味着,虽然企业数据出境自评估范围不包括上述三项,但从提前预判是否存在无法通过网信部门评估的风险考虑,还是建议企业在自评估时将以上内容纳入摸底和排查范围,提前整改以提高一次性通过率。

 

此外,《个人信息保护法》第五十五条规定,当触发个人信息出境场景,需要进行个人信息保护影响评估,该评估也属于企业自评估的性质,评估内容包括:①个人信息的处理目的、处理方式等是否合法、正当、必要;②对个人权益的影响及安全风险;③所采取的保护措施是否合法、有效并与风险程度相适应。通过对比,数据出境自评估内容的第1-3点,与个人信息保护影响评估的第1-3点内容基本一致,从实操角度而言,我们认为无须评估两次,可参考补充对于国家安全和公共利益的影响评估,并对数据出境自评估的4-6点进行补充。但根据《个人信息保护法》第五十六条要求,个人信息保护影响评估报告和处理情况记录应当至少保存三年,如果公司对于两个自评估实践中希望合并操作的,则数据出境自评估报告需要保存至少三年。

  • Q7.2: 如何定义出境数据的“境外接收方”?

A:《信息安全技术 数据出境安全评估指南(征求意见稿)》(尚未生效)第3.7条对“数据出境”进行定义,即网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。

 

如Q2所述,即使数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看或调用的(公开信息、网页访问除外),也属于数据出境。同理,国内企业聘用的境外服务供应商通过境外服务器收集产生于中国境内的个人信息,也是属于数据出境。例如,境外人力资源服务供应商或者FIE的母公司均属于境外接收方。

 

结合我们的经验,从跨国企业和其供应商的关系看,一般跨国企业和其聘用的供应商多为委托处理关系,还多为这些境外供应商受跨国公司总部的委托,双方签署了数据处理协议(约定跨国企业及各分以机构均为数据处理者,供应商为受托方)。当从中国境内收集或者产生的数据被传输到境外供应商,如果境外母公司可以自行查阅、浏览存储于境外服务供应商于境外服务器的中国子公司的个人信息,并且境外母公司作为与其境外供应商签署合同的一方主体可以根据自己的目的进行处理(以个人信息处理者的身份对中国境内生成的个人信息进行处理),FIE实质是将个人信息出境传输至其境外母公司(即使出境的数据存储于境外服务供应商于第三国的服务器),境外母公司属于数据处理者角色的数据接收方。

  • Q7.3: 哪些情况下需要开展个人信息出境安全评估?

A:第一,针对处理100万以上个人信息的数据处理者,向境外提供个人信息的。

 

《个人信息保护法》第四十条规定,处理个人信息达到国家网信部门规定数量的个人信息处理者,如确需向境外提供数据,应当进行安全评估义务。《数据出境安全评估办法》与其上位法保持一致,并进一步就《个人信息保护法》第四十条所提及的“数量”进行了明确。

 

如我们在《环球合规与风控 | 个人信息出境合规指引之一——签署“中国版”个人信息出境标准合同》中提到,对于处理100万以上个人信息的处理者,法律法规规制的对象是某一类个人信息处理者,而非某一类处理行为。因此,结合上述第一点,针对处理100万以上个人信息的数据处理者,原则上,在中华人民共和国境内运营中收集和产生的个人信息应当在境内存储。确有需要向境外提供时,不论向境外提供的数据量为多少,都应当事先进行安全评估。

 

第二,针对累计向境外提供10万人个人信息的数据处理者或者1万人敏感个人信息的数据处理者。

 

相较于《出境安全评估办法征求意见稿》,《数据出境安全评估办法》明确了“10万人个人信息或者1万人敏感个人信息”的起算时间,即从上年1月1日起。这一点也与近期的《个人信息出境标准合同规定(征求意见稿)》中的相关要求保持衔接。

 

《数据出境安全评估办法》对符合这两个数量的门槛设置得相对较低,相对较容易满足,这体现了国家对于数据出境的管控日趋严格。建议企业尽快开展自查,充分了解内部涉及已经累计向境外提供的个人信息数据量及流转情况,判断是否达到了上述规定的标准或者还有多少余量将可能需要申请出境安全评估。

 

所述的“10万”“1万”,是指实际累计向境外传输个人信息所对应主体的人数,而非指人次。例如某公司向境外传输员工个人信息,通常需要考虑加上未来新入职的员工人数,以及已经传输过的离职人员的数量,如果从去年1月1日起累计向境外已传输超过10万名员工,或者从去年1月1日起向境外传输1万名员工的敏感个人信息(如身份证号码),则该公司应当在9月1日《数据出境安全评估办法》生效后考虑申报数据出境安全评估。

 

Q8:哪些属于法律、行政法规另有规定,依照其规定进行评估/批准的情况?

 

A:除《网络安全法》《数据安全法》和《个人信息保护法》确立的数据和网络安全整体体系外,企业还应当考虑其他相关法律法规的要求。例如,根据《中华人民共和国保守国家秘密法》第三十条,机关、单位对外交往与合作中需要提供国家秘密事项,或者任用、聘用的境外人员因工作需要知悉国家秘密的,应当报国务院有关主管部门或者省、自治区、直辖市人民政府有关主管部门批准,并与对方签订保密协议。如涉及健康医疗大数据,则根据《国家健康医疗大数据标准、安全和服务管理办法(试行)》第三十条,应当存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估审核。如涉及测绘成果,则根据《中华人民共和国测绘法》第三十四条,属于国家秘密的,适用保密法律、行政法规的规定;需要对外提供的,按照国务院和中央军事委员会规定的审批程序执行。如涉及人类遗传资源信息,则根据《中华人民共和国生物安全法》第五十七条,向境外组织、个人及其设立或者实际控制的机构提供或者开放使用的,应当向国务院科学技术主管部门事先报告并提交信息备份。

 

Q9:符合条件的企业应当向哪个/些机构申请数据出境安全评估?

 

A:《数据出境安全评估办法》第四条明确,数据处理者向境外提供数据,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。

 

根据《数据出境安全评估办法》第十条,国家网信部门受理申报后,根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估。就具体负责评估的部门而言,《出境安全评估办法征求意见稿》规定评估部门还包括行业主管,而《数据出境安全评估办法》则去掉了行业主管部门。对此,有两种理解,一种是出境安全评估将不由行业主管部门评估,另一种理解是此处的删减并不意味着评估过程中将没有行业主管部门的参与。我们的观点更偏向于后者,原因是根据《数据出境安全评估办法》第十条,评估的部门还包括国务院有关部门,此处也包括行业主管部门。因此,《数据出境安全评估办法》保留了一定的灵活性,网信办可以根据实际情况组织相关行业主管部门参与出境安全评估。

 

Q10:符合条件的企业申请数据出境安全评估时,应当准备哪些申请材料?

 

A:如企业符合《数据出境安全评估办法》第四条所规定的情形,则应尽快开始准备相关申请材料。具体而言,根据《数据出境安全评估办法》第六条,申报数据出境安全评估,应当提交以下材料:(一)申报书;(二)数据出境风险自评估报告;(三)数据处理者与境外接收方拟订立的法律文件;(四)安全评估工作需要的其他材料。

 

针对申报书,可参考网络安全审查制度中的相关要求[2],后续监管部门可能会提供统一的格式文本,供企业填写相关基本信息。针对数据出境风险自评估报告,企业在数据出境前需要对拟出境数据进行自评估,根据《数据出境安全评估办法》第五条和第八条的评估重点开展评估并记录。如有需要时,也可以请外部第三方协助评估并制定出境风险自评估报告。针对数据处理者与境外接收方拟订立的法律文件,请参考Q11答复。

 

Q11:数据处理者与境外接收方拟订立的法律文件与个人信息出境标准合同有何区别?与数据处理者在境内签署的数据处理协议有何区别?

 

A:根据《数据出境安全评估办法》第九条,数据处理者与境外接收方拟订立的法律文件,需要至少包括(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;(三)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施;(五)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;(六)出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。

 

通过与《个人信息出境标准合同规定(征求意见稿)》中关于标准合同要求的比对,《数据出境安全评估办法》对于数据处理者与境外接收方拟订立的法律文件的区别如红字所示:

 

 

通过上表可知,与《个人信息出境标准合同规定(征求意见稿)》第六条相比,《数据出境安全评估办法》第九条还额外提及了超出保存时间后的处理、境外接收方再转移数据、接收方实际控制权或者经营范围发生实质性变化、接收方所在地数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形,以及出境数据发生泄露等风险时的应急处置要求。企业在起草与境外接收方拟订立的相关法律文件(如《数据跨境传输协议》)时,一方面可参考《个人信息出境标准合同规定(征求意见稿)》中“个人信息出境标准合同”模板,另一方面应当重点补充如下两种情形下的处理措施:(1)境外接收方实际控制权或者经营范围发生实质性变化的情形;(2)接收方所在地网络安全环境发生变化或发生其他不可抗力的情形。

 

此外,由于目前《个人信息出境标准合同规定(征求意见稿)》中的“个人信息出境标准合同”未明确规定双方角色属于委托处理还是对外提供,为进一步明确双方角色,建议在双方拟订立的法律文件中补充数据接收方的角色属于受托方还是处理者。

 

还应值得关注的是,网信办有关负责人就《数据出境安全评估办法》答记者问时,建议在法律文件中注明此文件须在通过数据安全评估后方可生效,以避免因出境安全评估未通过而造成合同主体的损失。

 

Q12:整个评估流程是什么样的,需要多久可以完成?

 

A:根据《数据出境安全评估办法》第七条、第十一条、第十二条、第十三条的要求,我们制作了如下流程图,供企业参考。

 

图片

 

《数据出境安全评估办法》增加了省级网信部门进行形式审查的时间,即省级网信部门在5天内审核材料是否完毕。从整体评估流程来讲,《出境安全评估办法征求意见稿》中的完整评估流程最长约67天,而根据《数据出境安全评估办法》第十二条,如果涉及情况复杂需要补充材料的情况,网信部门会向企业告知预计时间,但该条并没有明确说明最长时限。因此,《数据出境安全评估办法》中的整体评估时长为57+N天(N代表补充材料审核时间);如涉及复评的,则为72+N天。这将导致在申请安全评估前,企业可能较难准确预估整体的评估周期,因此建议对后续的业务运营安排提前留好余量。

 

在整体评估流程中,《数据出境安全评估办法》第十一条还新增了数据处理者拒不补充或拒不更正材料的后果。即安全评估过程中,国家网信部门可以要求数据处理者补充或者更正材料,如数据处理者无正当理由不补充或者更正的,国家网信部门可以终止安全评估。

 

此外,《数据出境安全评估办法》第十三条为数据处理者提供了救济方式。对评估结果有异议的,数据处理者可以在收到评估结果15个工作日内向国家网信部门申请复评,该复评结果则为最终结论。

 

Q13:完成数据出境评估后,有效期为多久?什么情况下需要再次申请安全评估?

 

A:根据《数据出境安全评估办法》第十四条,数据出境安全评估的结果有效期为2年,自评估结果出具之日起算。换言之,有效期2年是针对同一数据出境目的、方式、范围、类型和境外数据接收方类型不变等情况下,不需要针对这些情况重新申请评估,2年有效期届满,应当在有效期届满60个工作日前重新申报评估。此处不确定的是,2年后的评估人员与评估尺度是否仍然一致,提前60个工作日启动再次申请,是否能够在前一次评估有效期届满前顺利通过。举例来说,如果某家公司出境评估结果于2025年12月31日届满,其恰恰仅提前了60个工作日启动再次评估申报,因为2年后传输数据的情况发生变化,与前次相比数据量增大而且复杂,公司被告知另行准备补充材料,从而使得整体的评估时长可能超出60个工作日并且无法在2025年12月31日前拿到评估结果,此时该公司只能停止传输,待拿到评估结果之后再恢复传输。为了不对实践中的生产运营产生影响,建议企业应当随时掌握自身向境外传输数据的情况、境外接收方情况的变化、境外接收方所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形的可能性,尽可能提早启动重新申报评估的流程。

 

《数据出境安全评估办法》第三条明确,数据出境安全评估坚持事前评估和持续监督相结合。根据《数据出境安全评估办法》第十四条,出现如下情况,则需要重新申报评估:(一)向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的;(二)境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的;(三)出现影响出境数据安全的其他情形。根据上述要求,数据处理者需要对境外接收方处理数据的方式、用途、保存期限、实际控制权等方面进行监督,也需要随时把控数据接收方所在地法规和网络环境的变化,以便在前述因素发生变化时重新申报评估。就持续监督而言,不仅体现在数据处理者对于境外接收方的监督,而且还涉及国家网信部门和其他组织和个人对于出境活动的监督。

 

Q14:应申请安全评估但未申请出境数据,有何罚则?

 

A:国家网信部门也可依职权对数据出境活动进行监督。根据《数据出境安全评估办法》第十七条,国家网信部门一旦发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,则应当书面通知数据处理者终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估。《数据出境安全评估办法》第十六条规定,任何组织和个人发现数据处理者违法向境外提供数据的,可以向省级以上网信部门举报。这也印证了《数据出境安全评估办法》第三条所述的持续监督。

 

需要注意的是,根据《数据出境安全评估办法》第二十条,在2022年9月1日前已经开展的数据出境活动,不符合《数据出境安全评估办法》规定的,应当自2022年9月1日起6个月内完成整改。该法条没有明确起始时间,是否意味着,如果在2022年9月1日前已经开展了出境活动,无论出境活动多么久远,只要符合条件,都应当在2023年3月1日前申请出境安全评估。这将成为企业后续具体实施和网信部门执法过程中需要考量的问题。

 

此外,《数据出境安全评估办法》第十五条与此前《出境安全评估办法征求意见稿》基本一致,也要求参与安全评估工作的相关机构和人员对在履行职责中知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供、非法使用。这条将在一定程度上打消部分企业对于向监管机构提交出境申报材料和与境外增收方签署的相关法律文件(如合同)是否有可能内容会被外泄而产生的顾虑。

 

《数据出境安全评估办法》没有额外规定违规责任与惩罚措施,而是援引了《网络安全法》《数据安全法》《个人信息保护法》的相关罚则。同时,若数据处理者构成犯罪的,将依法追究刑事责任。

 

根据《个人信息保护法》第六十六条,若企业违法处理个人信息,例如未在出境前进行安全评估,则可能面临最高5,000万元以下或者上一年度营业额5%以下罚款、停业整顿、吊销相关业务许可或者吊销营业执照等严厉的处罚措施;同时,针对直接负责的主管人员和其他直接责任人员,也有可能被处以10万元以上100万元以下罚款,并在一定期限内禁止担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

 

根据《网络安全法》第六十六条,关键信息基础设施的运营者违反规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处5万元以上50万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。

 

根据《数据安全法》第四十六条,违反规定向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处10万元以上100万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处1万元以上10万元以下罚款;情节严重的,处100万元以上1,000万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处10万元以上100万元以下罚款。

 

Q15:其他还应当注意哪些具体事项?

 

A:根据《中华人民共和国保守国家秘密法》,违反法律规定存在国家秘密出境行为的,则有可能构成犯罪并依法追究刑事责任。

 

除此之外,企业还应当关注《中华人民共和国刑法》(以下简称“《刑法》”)规定的刑事责任,如《刑法》第一百一十一条规定,为境外窃取、刺探、收买、非法提供国家秘密、情报罪,规定了为境外的机构、组织、人员窃取、刺探、收买、非法提供国家秘密或者情报的,处五年以上十年以下有期徒刑;情节特别严重的,处十年以上有期徒刑或者无期徒刑;情节较轻的,处五年以下有期徒刑、拘役、管制或者剥夺政治权利。

 

若涉及某特定领域或行业,公司还需要根据部门规章以确认是否存在相应的特殊规定以及罚则以及具体的处罚后果。

 

结语

 

随着《数据出境安全评估办法》的出台,数据出境的相关监管要求和框架已逐步明朗和清晰。《数据出境安全评估办法》同时规制了个人信息和重要数据出境的安全评估要求。对于涉及数据出境的企业而言,《数据出境安全评估办法》的适用门槛较低,因而较容易触发数据安全评估义务。同时,出现情况复杂或需要补充更正材料的情况时,无法预判监管部门进行安全评估的时限,可能给出境安全评估带来更多不确定性。因此,《数据出境安全评估办法》的生效可能使涉及数据出境的企业(尤其是外商投资企业)面临较大的合规成本和挑战。为此,我们建议企业充分利用6个月(自2022年9月1日起算)的缓冲期,尽快开展内部数据出境活动的盘典和梳理,判断是否需要申报出境安全评估,如确需适用,则尽快开展自评估并准备相关申报材料,以免延误数据出境业务的开展甚至构成违规。

 

注释:

[1] 重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。包括以下数据:1.未公开的政务数据、工作秘密、情报数据和执法司法数据;2.出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据;3.国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等;4.工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据;5.达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据;.国家基础设施、关键信息基础设施建设运行及其安全数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据;7.其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。

[2] 根据《网络安全审查办法》第八条,申报网络安全审查,应当提交申报书。

 

请点击文末“相关下载”,查看《数据出境安全评估办法》较《出境安全评估办法征求意见稿》的重大修改点。

相关下载