作者:胡鹏
一、背景
立法层面:在国家已经出台《网络安全法》、《数据安全法》和《个人信息保护法》的背景下,2022年又陆续出台了《数据出境安全评估办法》、《数据出境安全评估申报指南(第一版)》和《个人信息出境标准合同规定(征求意见稿)》等法律法规,使得数据出境路径及合规要求进一步明朗。
经营层面:在数字经济飞速发展的大背景下,无论是已经在中国扎根的跨国企业,或是希望进入中国市场的境外企业,都可能面临数据跨境流动的问题。
鉴于相关法律规定复杂繁琐,我们希望站在企业视角,通过以下要点问答,帮助企业初步了解与自身相关的合规要求,并在此基础上采取相应的合规措施。
特别说明:《个人信息出境标准合同规定(征求意见稿)》目前只是征求意见稿,该规定尚未生效,但仍具有很强的参考性,尤其是该规定与已经生效的《数据出境安全评估办法》针对不同数据的出境形成互相补充的关系,因此建议企业参考该规定,提前部署相应的合规措施。
二、相关法律文件梳理
文件名称 | 主要内容 | 发布/实施日期 | 效力 | |
1 | 《中华人民共和国网络安全法》 | 关于重要数据和个人信息的安全保护、出境合规的框架性规定 | 2017年6月1日实施 | 强制性法律 |
2 | 《中华人民共和国数据安全法》 | 关于重要数据和个人信息的安全保护、出境合规的具体操作性规范和指引
| 2021年9月1日实施 | 强制性法律 |
3 | 《中华人民共和国个人信息保护法》 | 2021年11月1日实施 | 强制性法律 | |
4 | 《数据出境安全评估办法》 | 2022年9月1日实施 | 强制性规定 | |
5 | 《数据出境安全评估申报指南(第一版)》 | 2022年9月1日实施 | 有约束力的指导性文件 | |
6 | 国家标准GB/T 35273-2020 《信息安全技术 个人信息安全规范》 | 2020年10月1日实施 | 推荐性国家标准 | |
7 | 国家标准 《信息安全技术 重要数据识别指南》(征求意见稿) | 2022年1月13日发布 | 目前尚未生效,但具有重要参考意义 | |
8 | 个人信息出境标准合同规定(征求意见稿) | 2022年6月30日发布 | 目前尚未生效,但具有重要参考意义 |
三、要点问答
问题1:外商投资企业在中国市场经营时所接触的信息中,哪些数据或者信息的出境受到中国法律的监管?
回答:个人信息、敏感个人信息以及重要数据的出境,都可能受到中国法律的监管。根据信息/数据类型,我们针对企业在实务中遇到的典型场景进行了归纳总结,如下表1:
信息/ | 定义 | 举例 | 适用场景列举 |
个人信息 | 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括非敏感个人信息以及敏感个人信息。 | 姓名、性别、出生日期、身份证件号码、指纹、住址、通信通讯联系方式 | 企业员工信息; |
敏感 | 指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息,包括个人财产信息、个人健康生理信息、个人生物识别信息、个人身份信息等。 | 身份证号码、婚史、指纹、银行账户、交易记录、通讯记录、行踪轨迹、个人因生病医治等产生的相关记录、虚拟财产信息等 | 企业员工信息; |
重要数据 | 以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据,重要数据不包括个人信息和企业内部管理信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。 | (1)统计分析类数据,如经统计分析得到的行业和企业运行情况、用户网络行为习惯分析信息、行业或业务发展预测信息等;(2)重点企业金融交易数据;(3)食品药品和医疗器械相关数据,如医疗机构和健康管理服务机构保管的个人电子病历、健康档案等各类诊疗、健康数据信息 | 奢侈品和零售企业对其收集的消费者信息进行消费者行为的分析和统计数据; |
问题2:我公司的哪些行为属于数据出境行为?
回答:根据数据向境外提供的方式,主要分为数据主动出境行为、数据被动出境行为以及其他数据出境行为,如下表2:
数据出境行为 | 定义 | 适用场景列举 | |
1 | 数据主动出境行为 | 数据处理者将在境内运营中收集和产生的数据传输、存储至境外 | 某外资企业使用国外总部统一采购的办公系统进行人事管理,该系统服务器在境外,国内子公司的员工信息一旦录入该系统,即自动传输至境外服务器,国外总部可以获取相关信息 |
2 | 数据被动出境行为 | 数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出 | 某外资医疗科技企业基于SaaS软件提供在线疾病诊断和治疗服务,该SaaS软件服务器在国内,但国外总部可以访问国内服务器上的患者信息从而提供治疗方案 |
3 | 其他数据出境行为 | 国家网信办规定的其他数据出境行为 | 企业在境外涉诉,境外法院要求调取相关数据和个人信息的 |
问题3:我公司作为外商投资企业向境外总部/关联方或境外交易伙伴提供其在中国境内收集的重要数据或个人信息,需要满足哪些监管要求?
回答:根据出境数据/个人信息的类型,数据处理者处理个人信息规模,和数据处理者累计向境外提供的个人信息/数据量的不同,数据处理者应当不同程度的满足如下监管要求:订立数据出境协议,开展自我评估,向网信部门申报数据出境安全评估,或向网信部门进行备案等手续,具体参见下表3:
注:1. 累计出境个人信息量应当自上年1月1日起计算。
数据/个人信息类型 | 数据处理者处理个人信息的规模,以及累计向境外提供的信息量 | 是否须签署数据出境协议 | 是否须开展 | 是否须向监管部门申报数据出境安全评估 | |
个人 | 累计处理 | <100万人 | ✓ | ✓ | × |
≥100万人 | ✓ | ✓ | ✓ | ||
累计出境 | <10万人 | ✓ | ✓ | × | |
≥10万人 | ✓ | ✓ | ✓ | ||
敏感个人信息 | 累计出境 | <1万人 | ✓ | ✓ | × |
≥1万人 | ✓ | ✓ | ✓ | ||
重要 | ≥0人次 | ✓ | ✓ | ✓ | |
问题4:数据出境协议包含哪些内容?应当如何签署?
回答:根据不同适用情形,应当签订符合要求的数据出境协议,或者签订个人信息出境标准合同,具体参加下表4:
协议类型 | 数据出境协议 | 个人信息出境标准合同 | |
适用情形 | 符合以下任何一种情形时即适用: | 同时满足以下所有情形时才适用: | |
至 | 1 | 数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等 | 个人信息处理者和境外接收方的基本信息,包括但不限于名称、地址、联系人姓名、联系方式等 |
2 | 数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施 | 个人信息出境的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点等 | |
3 | 对于境外接收方将出境数据再转移给其他组织、个人的约束性要求 | 个人信息处理者和境外接收方保护个人信息的责任与义务,以及为防范个人信息出境可能带来安全风险所采取的技术和管理措施等 | |
4 | 境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施 | 境外接收方所在国家或者地区的个人信息保护政策法规对遵守本合同条款的影响 | |
5 | 违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式 | 救济、合同解除、违约责任、争议解决等 | |
6 | 出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式 | 个人信息主体的权利,以及保障个人信息主体权利的途径和方式等 | |
备注 | 标准合同文本由网信部门提供,且个人信息处理者与境外接收方之间签订的个人信息出境活动相关的其他合同,不得与标准合同相冲突。 | ||
问题5:自我评估指的是什么?由哪一方完成?
回答:自我评估分为数据出境风险自评估和个人信息保护影响评估。取决于出境数据或个人信息的具体情况,数据或个人信息处理者应当开展评估,编制评估报告,具体参见下表5:
评估类型 | 数据出境风险自评估 | 个人信息保护 | |
主要适用情形 | 以下任何一种情形: | 向境外提供个人信息前 | |
重点评估内容 | 1 | 数据/个人信息出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性 | |
2 | 出境数据的规模、范围、种类、敏感程度、数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险 | 出境个人信息的数量、范围、类型、敏感程度,个人信息出境可能对个人信息权益带来的风险 | |
3 | 境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据/个人信息的安全 | ||
4 | 数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等 | 个人信息出境后泄露、损毁、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等 | |
5 | 与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等是否充分约定了数据安全保护责任义务 | 境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响 | |
6 | 其他可能影响数据/个人信息出境安全的事项 | ||
问题6:申报数据出境安全评估指的是什么?如何申报?有效期多久?
回答:
1. 如表3所示,对于向境外提供重要数据,自上年1月1日起累计提供1万人敏感个人信息或10万人个人信息,或处理100万人以上个人信息的数据处理者向境外提供个人信息的,应当向有关监管部门申报数据出境安全评估,获得通过后,方能向境外提供相关个人信息或重要数据;
2. 负责接收数据出境安全评估申报材料的监管部门为:省级网信部门
负责数据出境安全评估并出具评估结果的监管部门:国家网信部门
3. 申报需提交的材料包括:(i)申报书,(ii)数据出境风险自评估报告,以及(iiii)数据处理者与境外接收方拟订立的数据出境协议等;
4. 数据出境安全评估所需时间:若申报材料齐全,则自申报起的60个工作日左右可以获得评估结果,因此建议企业在拟数据出境前至少提前3个月开始准备申报材料。
5. 数据出境安全评估结果的有效期:自评估结果出具之日起2年,应在有效期届满前60个工作日(约三个月)前重新申报评估。
问题7:任何个人信息的出境都需要申报数据出境安全评估吗?
回答:不是的。如果个人信息处理者同时满足以下情形,则可以通过签订个人信息出境标准合同的方式向境外提供个人信息,而无需申报数据出境安全评估:
(1)个人信息处理者并非关键信息基础设施(例如,公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的重要网络设施、信息系统等)运营者;
(2)处理个人信息不满100万人的;
(3)自上年1月1日起累计向境外提供未达到10万人个人信息的;
问题8:在不需要申报数据出境安全评估的情况下,我公司还需要履行其他备案义务吗?
回答:在符合通过签订个人信息出境标准合同的方式向境外提供个人信息的情况下(即无需申报数据出境安全评估的情况下),个人信息处理者应当在个人信息出境标准合同生效之日起10个工作日内,向所在地省级网信部门备案。备案应当提交以下材料:(1)标准合同;(2)个人信息保护影响评估报告。
问题9:未完成申报/备案义务时,重要数据/个人信息可以出境吗?违反该项义务的法律后果有哪些?
回答:
如数据/个人信息的出境涉及需要申报数据出境安全评估的情形,则未通过安全评估前不得出境。
如个人信息的出境符合通过签订个人信息出境标准合同的方式出境的条件,则个人信息出境标准合同生效后即可出境。
如数据/个人信息处理者违反数据出境申报/备案义务,将面临的法律后果主要包括:
(1)行政责任:
违法企业将面临警告、罚款(情节严重时五千万元以下或者上一年度营业额百分之五以下)、没收违法所得、责令停产停业、吊销许可证和营业执照等行政处罚措施。违法企业直接负责的主管人员和其他直接责任人员还可能被处以罚款(一万元至一百万元)及一定期限内被禁止担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
(2)刑事责任:
违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,违法企业以及对其直接负责的主管人员和其他直接责任人员,均可能构成侵犯公民个人信息罪,违法企业将被判处罚金,相关责任人员将面临有期徒刑,并处罚金。
如出境数据涉及国家秘密或情报,则违法企业及其相关责任人员还可能构成为境外窃取、刺探、收买、非法提供国家秘密、情报罪。
问题10:我们律所能提供哪些服务?
我们可以为企业提供包括但不限于下列数据合规、出境服务:
(1)代为办理申报数据出境安全评估或个人信息出境备案,具体包括编制撰写数据或个人信息出境的自我评估报告,准备并填写申报表以及其他所需材料;
(2)起草、审核以及修改数据出境协议,包括但不限于个人信息出境合同;
(3)协助企业建立并完善数据出境等合规体系,包括制定企业内部合规制度、为企业开展针对性培训,对企业进行年度合规审计等。
