近年来,世界各国均加强了个人信息及数据保护的监管。以欧盟《通用数据保护条例》(“GDPR”)为标志,各国监管的重点之一即为个人数据跨境传输。中国也在近年来逐步推进个人信息和数据跨境传输的立法工作。本文试从GDPR与中国法的比较视角分析个人信息和数据跨境传输制度,希望能为企业个人信息和数据跨境传输的合规运作和制度建设提供参考。
一、个人信息和数据跨境传输总体制度架构
GDPR在第五章“将个人数据转移到第三国或国际组织”就个人数据的跨境传输进行了详细规定,包括充分性认定(Adequacy Decision)、适当的保障措施(Appropriate Safeguards)以及特殊情形下的例外规定(Derogations for Specific Situations)等。我们将在下文第二部分的“个人信息出境要求”部分进行具体介绍。
中国则建立了以《网络安全法》(“《网安法》”)、《数据安全法》(“《数安法》”)、《个人信息保护法》(“《个保法》”)为框架的个人信息和数据保护体系。上述法规就个人信息和数据处理以及跨境传输行为提供了监管框架。
就个人信息和数据跨境传输的具体监管要求,中国陆续发布了以《网络数据安全管理条例(征求意见稿)》(“《数安管理条例(征)》”)为代表的一系列法规征求意见稿。2022年7月7日,国家互联网信息办公室(“国家网信办”)发布了《数据出境安全评估办法》(“《出境评估办法》”),其将于2022年9月1日正式生效。前述法规、征求意见稿和目前发布的相关标准和指南共同构成了中国目前对个人信息和数据跨境传输的细化的立法探索。此外,汽车领域已经有生效的数据安全法规,在金融、工业和信息化(工业数据、电信数据和无线电数据)等特定领域亦发布了针对具体行业的征求意见稿。
二、个人信息和数据跨境传输法规:中国法与GDPR对比
(一)中国法规和GDPR对比总览
(二)个人信息出境要求
GDPR将其保护标的定义为“个人数据”,即任何与已识别或者可识别的自然人(“数据主体”)有关的信息。而在《个保法》项下,其将保护标的定义为“个人信息”,即以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。GDPR及《个保法》都指出,“匿名化”的个人信息/个人数据不在其保护的范围内。与GDPR的定义类似[14],《个保法》指出,“匿名化”是指个人信息经过处理无法识别特定自然人且不能复原的过程。满足这项条件的,不属于《个保法》的保护范围,即不需要遵守《个保法》对于个人信息出境的各项规定(如涉及下文所述的“重要数据”则应遵守相关规定)。
GDPR将数据可以出境的情况分为三个层级进行监管,这与中国有所不同:
- GDPR首先规定了“充分性认定(Adequacy Decision)”[15],即当欧盟委员会决定第三国已经确定达到充分的保护标准时,数据便可以向第三国转移,而无需经过任何特别授权程序(第三国白名单)。中国尚无类似的对特定国家豁免的规定。
- GDPR规定,如不符合(1)所述的情况(即非传输至(1)针对的白名单国家),若数据控制者或处理者提供了适当的保障措施(Appropriate Safeguards),确保存在充分的数据保护,亦可合法进行数据出境传输[16]。中国没有完全一致的规定,但是《个保法》规定的应与境外接收方订立标准合同的要求与GDPR部分适当的保障措施中的采用标准数据保护条款类似。
- 如前两项都不满足,GDPR仍有特殊情形下的例外规定(Derogations for Specific Situations),如数据主体的明确同意、履行合同所必需、为公共利益目的、行使法律诉求等[17]。中国尚无此类规定,且把数据主体的明确同意作为个人信息出境的必备条件。[18]
相较而言,《个保法》提出的个人信息出境的体系较为明确,即:个人信息处理者因业务等需要,确需向中国境外提供个人信息的,应当具备下列条件之一[19]:
- 事先通过国家网信部门组织的安全评估;
- 按照国家网信部门的规定经专业机构进行个人信息保护认证;
- 按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
- 法律、行政法规或者国家网信部门规定的其他条件。
此外,《个保法》也提出,个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到《个保法》规定的个人信息保护标准。
(三)重要数据出境要求—安全评估
中国法律体系除保护个人信息外,也保护数据[20]。实践中,个人信息及数据的具体内容可能存在一定重合。在一些法规的表述中,往往会将二者共同进行规定。对于数据的跨境传输监管中,中国法律尤其强调对于“重要数据”的监管。《数安法》指出,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到泄露等情况,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护,其中就包括对于重要数据的相关保护。对重要数据的跨境传输的监管要求也体现了对重要数据的重点保护。对此,《网安法》及《数安法》均要求跨境传输重要数据须遵守国家网信部门的有关规定。
那么,重要数据的定义是什么呢?《出境评估办法》明确:重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据[21]。此外,《数安法》也规定,重要数据将根据各地区及各部门分别制定的本地区、本部门以及相关行业、领域的重要数据具体目录予以明确。目前,除《汽车数据安全管理若干规定(试行)》等法规对特定行业的重要数据有明确定义外,尚无生效法规对特定行业的重要数据予以较为全面的描述。同时,以《信息安全技术 重要数据识别指南(征求意见稿)》为标志的部分征求意见稿对重要数据的识别作出了一定探索。
在已生效的《网安法》中已提及数据出境安全评估的要求[22],《出境评估办法》进一步提供了具体实施细则(详见第四部分)。
三、数据出境行为
2022年7月7日,在《出境评估办法》正式发布的同日,国家网信办有关负责人就《出境评估办法》相关问题回答了记者提问。其明确表示“数据出境活动主要包括:一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。”此外,我们注意到《信息安全技术 数据出境安全评估指南(征求意见稿)》(“《数据出境安全评估指南(征)》”,2017年8月30日发布)提及,数据出境是指网络运营者通过网络等方式,将其在中国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。[23]尽管这一文件出台的时间早于《个保法》《数安法》及《出境评估办法》,但其仍可向企业提供一定的参考意义。
《数据出境安全评估指南(征)》还列举了如下不同场景:
属于数据出境情形:
-
数据虽未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);
如:跨国公司的境外实体或其境外供应商对境内实体的服务器进行远程访问。 -
网络运营者在境内运营中收集和产生的个人信息(主要指集团内部数据)由境内转移至境外;
如:跨国公司的境内实体将其收集的员工信息、业务信息等转移/备份至境外实体。 - 向境内但不属于我国司法管辖或未在境内注册的主体提供数据。
不属于数据出境情形:
- 非在境内运营中收集和产生的重要数据经中国出境,未经任何变动或加工处理。
- 非在境内运营中收集和产生的重要数据在境内存储、加工处理后出境,不涉及境内数据。
据此,只有该等重要数据不是在境内运营中收集和产生且不涉及境内数据,才不会被认定为数据出境。
此外,根据《数安管理条例(征)》的要求,针对个人信息出境后确需再转移的情况,数据处理者应当事先与个人约定再转移的条件,并明确数据接收方履行的安全保护义务。[24]此外,国家网信办于2022年6月30日发布的《个人信息出境标准合同规定(征求意见稿)》(“《标准合同规定》(征)”)对境外数据接收方向境外第三方再转移个人信息也做出了要求,包括其应确有业务需要、已告知相关个人再转移的相关详细情况并获得其个人/监护人单独同意、境外数据接收方已与该第三方签署书面协议及已向境内个人信息处理者提供该协议副本。
GDPR直接规定数据出境既包括向第三国或国际组织转移个人数据,也包括从第三国或国际组织转移到另一个第三国或国际组织。[25]
四、个人信息和数据出境要求细节分析
(一)安全评估
目前,GDPR未专门规定针对数据跨境传输的安全评估要求,而中国法律已就此作出了要求。即将生效的《出境评估办法》在前述《网安法》以及《个保法》基础上继续细化个人信息及数据出境需安全评估的具体场景,展示了目前主管部门的最新监管姿态。具体而言,数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估[26]:
(一)数据处理者向境外提供重要数据[27];
(二)关键信息基础设施运营者(“CIIO”)和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。
从上述规定来看,并非所有数据或个人信息出境均需要做安全评估,例如不属于CIIO的跨国公司的境内实体将其收集的尚未达到前述数量的员工信息、业务信息等(如非重要数据)转移/备份至境外实体无需进行安全评估。仅当涉及重要数据、CIIO及处理个人信息达到一定数量的数据处理者向境外提供个人信息时,相关数据处理者需要履行其数据出境安全评估义务。
(二)认证
整体来看,中国相关法规以及GDPR均将(第三方)认证作为个人信息出境的合规路径之一,但是中国法规的认证具体内容和GDPR项下认证的内容尚存在明显不同。
就《个保法》提及的专业机构进行个人信息保护认证,中国于2022年6月发布了《网络安全标准实践指南—个人信息跨境处理活动认证技术规范》(“《认证技术规范》”),以指南的形式对认证适用情形、认证主体、认证方式、认证的基本原则和要求及个人信息主体权益保障等进行规定。
具体而言,认证机构对个人信息跨境处理活动进行个人信息保护认证适用于以下情形[28]:
(a)跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动;
(b)《个保法》第3条第2款规定的境外个人信息处理者在境外处理境内自然人个人信息的活动。
我们注意到,在(a)的场景下,集团内部的公司之间具有较为相似的管理体系,故作为集团内部的操作,认证机制具有较强的可操作性,同时也有助于集团内形成相对标准化的个人信息跨境处理操作流程。
但是,该《认证技术规范》对认证机构的要求以及认证具体流程尚未细化。相关细则有待进一步落地实施。
与此不同的是,GDPR要求事先认证机制与第三国数据控制者或处理者具有约束力和执行力的适当的保障措施(Appropriate Safeguards)的承诺结合,即第三国的数据控制者或处理者应当通过合同条款或者其他具有法律约束力的文件做出具有约束力和执行力的承诺,该等承诺为适用适当的安全保障措施的承诺,包括与数据主体的权利相关的安全保障措施。该项认证为跨境传输个人数据需满足的适当的保障措施之一,GDPR在第42条以及第43条就认证的相关要求、有效期限及认证机构等进行了详细规定。此外,在GDPR规定下,认证既可以作为企业日常经营的内部合规性安排,也可以作为提供了适当的保障措施(Appropriate Safeguards)的证明。相较《认证技术规范》,GDPR对于认证提供了更为详细的指引。
(三)标准合同
欧盟已经公布并不时更新其标准合同条款。就中国而言,《出境评估办法》对个人信息处理者与境外接收方签订的合同需涵盖的主要内容进行了列举[29]。此外,根据《个保法》第38条第3款的要求,2022年6月30日,国家网信办发布了《标准合同规定》(征),就标准合同的适用情况、备案要求以及初步的标准合同文本进行明确,主要包括:
(四)数据出境安全评估的具体流程
如前所述,《评估办法》就个人信息及数据出境安全评估规定如下流程安排:
五、数据主体的知情权及同意
GDPR中数据主体在被告知无法满足充分性认定(Adequacy Decision)和适当保障措施可能给其带来的风险后仍明确同意转移的,个人数据即可跨境传输。可见,该等“告知+同意”模式是满足数据跨境传输的要求的途径之一,而非必须的情形。
就个人信息跨境传输,中国则将“告知+同意”作为必须事项而非一种可选择的豁免条件,即这是除了履行本文第四部分要求(安全评估、认证、标准合同等)外的必须履行事项。个人信息处理者和/或数据处理者向中国境外提供个人信息的,应当向个人告知境外数据接收方的名称、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外数据接收方行使个人信息权利的方式和程序等事项,并取得个人的单独同意[30]。目前也仅有尚未生效的征求意见稿对此进行细化,如《数安管理条例(征)》进行了细化规定,即:收集个人信息时已单独就个人信息出境取得个人同意,且按照取得同意的事项出境的,无需再次取得个人单独同意[31]。该等情况下,鉴于相关个人已经做出明确同意,因此,除非在个人信息出境之前相关个人撤回其同意,否则,该等同意在出境时应是有效的。实践中,如若企业在收集个人信息时能够确定将来个人信息出境的相关具体信息(且后续未发生变化),则从节约时间和人力成本的角度出发,企业可以同时就该等出境安排取得个人的单独同意。
六、结语
中国正在日渐完善其个人信息和数据保护体系。个人信息和数据跨境传输是跨国企业在中国个人信息和数据逐渐监管升级的环境下需考虑的主要问题之一。尽管目前部分个人信息和数据跨境传输的法规均在征求意见稿阶段,跨国企业仍需根据业务需要,参考当前已经公布的法规及征求意见稿,尽可能提前完善其个人信息和数据跨境传输合规体系,并不断保持对中国法律更新的关注。
注释:
[1] Article 45 of GDPR
[2] Article 46 of GDPR
[3] Article 49 of GDPR
[4] 欧盟法院针对个人数据跨境传输行为曾做出Schrems II judgment,强调除了采取GDPR第46条的appropriate safeguards中的标准合同外,应同时做出分析个人数据跨境传输影响的评估,以证明数据接收方所在国法律及实践对该等个人数据提供了充足的保护,满足适当的保护措施(appropriate safeguards)的要求。欧盟数据保护委员会(European Data Protection Board)于2021年通过的一项个人数据保护的推荐重申了该等要求。此外,2021年版本标准合同条款(Standard Contractual Clauses, “SCC”)规定,有关各方应完成个人数据跨境影响评估,并在有权监管机关要求时向其提供相关记录。
[5] Article 48 of GDPR
[6] 2022年7月7日发布并将于2022年9月1日正式生效的《出境评估办法》第2条将其适用范围确认为“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息”。同日,国家网信办在《出境评估办法》答记者问中进一步阐明了上述两点数据出境行为的内容。
[7] 《评估办法(征)》第5条规定的此项内容与《个保法》第56条规定的个人信息保护影响评估类似,有待主管部门进一步厘清二者的关系。
[8] 《出境评估办法》第4条
[9] 《数安管理条例(征)》第39条
[10] 《个保法》第66条。此外,《网安法》及《数安法》亦有关于违反数据跨境传输规定的相关罚则。
[11] Article 83, section 5 of GDPR
[12] 同时可采取责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务等措施。
[13] 同时可采取责令改正,没收违法所得;责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照等措施。
[14] Section 26 of Preambles of GDPR, “The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified oridentifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable.”
[15] Article 45 of GDPR
[16] Article 46 of GDPR
[17] Article 49 of GDPR
[18] 《个保法》第39条;《数安管理条例(征)》第36条
[19] 《个保法》第38条
[20] 《数安法》第3条:本法所称数据,是指任何以电子或者其他方式对信息的记录。
[21] 《出境评估办法》第19条
[22] 《网安法》第37条
[23]《信息安全技术 数据出境安全评估指南》(征求意见稿,2017年8月30日发布)第3.7条
[24]《数安管理条例(征)》第39条第9款
[25] Article 44 of GDPR
[26]《评估办法》第4条
[27] 参考《数安管理条例(征)》对重要数据的规定以及《网络安全标准实践指南——网络数据分类分级指引》对数据的分类分级指引。
[28] 《认证技术规范》1适用情形
[29]《出境评估办法》第9条
[30] 《个保法》第39条
[31] 《数安管理条例(征)》第36条