作者:胡鹏、胡才斌
一、背景
(一)立法层面:
伴随着《中华人民共和国网络安全法》(以下简称“《网络安全法》”)《数据安全法》《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)的陆续出台,我国数据安全及隐私保护领域已于2021年初步形成“三驾马车”并驾齐驱的治理局面。
在此基础上,就数据及个人信息出境问题,国家互联网信息办公室(以下简称“国家网信办”)在2022年出台了《数据出境安全评估办法》、《数据出境安全评估申报指南(第一版)》,2023年2月又出台了《个人信息出境标准合同办法》、《个人信息出境标准合同备案指南(第一版)》等部门规章,使得数据及个人信息出境路径及合规要求进一步明朗。2023年8月3日,国家网信办发布《个人信息保护合规审计管理办法(征求意见稿)》(以下简称《征求意见稿》)。2023年8月8日,国家网信办发布《人脸识别技术应用安全管理规定(试行)(征求意见稿)》,向社会公开征求意见。标志着我国数据及个人信息合规已步入强监管时代。
(二)经营层面:
在数字经济飞速发展的大背景下,无论是已经在中国扎根的跨国企业,或是希望进入中国市场的境外企业,都可能面临数据及个人信息跨境流动的问题。
(三)江浙沪网信办在《个人信息出境标准合同办法》2023年6月1日实施之后关于个人信息出境标准合同备案的动态:
1、江苏:2023年7月7日,江苏省互联网信息办公室根据《个人信息出境标准合同办法》以及《个人信息出境标准合同备案指南(第一版)》,制定《江苏省个人信息出境标准合同备案指引》第一版),并规定自2023年6月1日起,个人信息处理者应当在标准合同生效之日起10个工作日内进行备案。2020年6月1日前已经开展的个人信息出境活动,如适用《个人信息出境标准合同办法》,且未履行相关规定的,应当在12月1日前完成整改。
2、浙江:2023年6月14日,根据《个人信息出境标准合同办法》和国家互联网信息办公室发布的《个人信息出境标准合同备案指南(第一版)》要求,浙江省互联网信息办公室编制了《浙江省个人信息出境标准合同备案指引》,并规定个人信息保护影响评估工作应当在备案之日前3个月内完成,且至备案之日未发生重大变化。企业应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案;省级网信部门收到材料后,在15个工作日内完成材料查验,并通知个人信息处理者备案结果。具体备案结果分为通过、不通过。通过备案的,省级网信办向个人信息处理者发放备案编号;不通过备案的,个人信息处理者将收到备案未成功通知及原因,要求补充完善材料的,个人信息处理者应当补充完善材料并于10个工作日内再次提交。
3、上海:2023年6月7日,上海网信办发布《上海网信办关于个人信息出境标准合同备案的通知》,通知要求个人信息处理者应当在标准合同生效之日起10个工作日内,通过送达书面材料并附带材料电子版的方式,向上海网信办备案。具体为先向上海网信办报送电子版材料以备查验,查验通过后再进行线下提交书面材料并附带材料电子版。
鉴于相关法律规定复杂繁琐,且根据上述数据及个人信息出境的规定,所有涉及数据及个人信息出境的企业,应该进行安全评估或备案。尤其是《个人信息出境标准合同办法》自2023年6月1日起实施后,国家网信办要求涉及数据及个人信息出境的企业在今年年底(2023年12月份前)完成相关的评估、审批或备案。因此,我们希望站在企业视角,通过以下要点问答,帮助企业初步了解与自身相关的合规要求,并在此基础上采取相应的合规措施。
二、相关法律文件梳理
三、要点问答(Q&A)
问题1:外商投资企业在中国市场经营时所接触的信息中,哪些数据或者信息的出境受到中国法律的监管?
回答:个人信息、敏感个人信息以及重要数据的出境,都可能受到中国法律的监管。根据信息/数据类型,我们针对企业在实务中遇到的典型场景进行了归纳总结,如下表1:
问题2:我公司的哪些行为属于数据出境行为?
回答:根据数据向境外提供的方式,主要分为数据主动出境行为、数据被动出境行为以及其他数据出境行为,如下表2:
问题3:我公司作为外商投资企业向境外总部/关联方或境外交易伙伴提供其在中国境内收集的重要数据或个人信息,需要满足哪些监管要求?
回答:根据出境数据/个人信息的类型,数据处理者处理个人信息规模,和数据处理者累计向境外提供的个人信息/数据量的不同,数据处理者应当不同程度的满足如下监管要求:订立数据出境协议,开展自我评估,向网信部门申报数据出境安全评估,或向网信部门进行备案等手续,具体参见下表3:
问题4:数据出境协议包含哪些内容?应当如何签署?
回答:根据不同适用情形,应当签订符合要求的数据出境协议,或者签订个人信息出境标准合同,具体参加下表4:
问题5:自我评估指的是什么?由哪一方完成?
回答:自我评估分为数据出境风险自评估和个人信息保护影响评估。取决于出境数据或个人信息的具体情况,数据或个人信息处理者应当开展评估,编制评估报告,具体参见下表5:
问题6:申报数据出境安全评估指的是什么?如何申报?有效期多久?
回答:
1. 如表3所示,对于数据处理者向境外提供重要数据,自上年1月1日起累计提供1万人敏感个人信息或10万人个人信息,关键信息基础设施运营者和或处理100万人以上个人信息的数据处理者向境外提供个人信息的,应当向有关监管部门申报数据出境安全评估,获得通过后,方能向境外提供相关个人信息或重要数据;
2. 负责接收数据出境安全评估申报材料的监管部门为:所在地省级网信部门
负责数据出境安全评估并出具评估结果的监管部门:国家网信部门
3. 申报需提交的材料包括:(i)申报书,(ii)数据出境风险自评估报告,以及(iiii)数据处理者与境外接收方拟订立的数据出境协议等;(iv)安全评估工作需要的其他材料。
4. 数据出境安全评估所需时间:若申报材料齐全,则自申报起的60个工作日左右可以获得评估结果,因此建议企业在拟数据出境前至少提前3个月开始准备申报材料。
5. 数据出境安全评估结果的有效期:自评估结果出具之日起2年,应在有效期届满前60个工作日(约三个月)前重新申报评估。
问题7:任何个人信息的出境都需要申报数据出境安全评估吗?
回答:不是的。如果个人信息处理者同时满足以下情形,则可以通过签订个人信息出境标准合同的方式向境外提供个人信息,而无需申报数据出境安全评估:
(1)个人信息处理者并非关键信息基础设施(例如,公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的重要网络设施、信息系统等)运营者;
(2)处理个人信息不满100万人的;
(3)自上年1月1日起累计向境外提供未达到10万人个人信息的;
(4)自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。
问题8:在不需要申报数据出境安全评估的情况下,我公司还需要履行其他备案义务吗?
回答:在符合通过签订个人信息出境标准合同的方式向境外提供个人信息的情况下(即无需申报数据出境安全评估的情况下),个人信息处理者应当在个人信息出境标准合同生效之日起10个工作日内,向所在地省级网信部门备案。备案应当提交以下材料:(1)标准合同;(2)个人信息保护影响评估报告。
问题9:未完成申报/备案义务时,重要数据/个人信息可以出境吗?违反该项义务的法律后果有哪些?
回答:
如数据/个人信息的出境涉及需要申报数据出境安全评估的情形,则未通过安全评估前不得出境。
如个人信息的出境符合通过签订个人信息出境标准合同的方式出境的条件,则个人信息出境标准合同生效后即可出境。
如数据/个人信息处理者违反数据出境申报/备案义务,将面临的法律后果主要包括:
(1)行政责任:
违法企业将面临警告、罚款(情节严重时五千万元以下或者上一年度营业额百分之五以下)、没收违法所得、责令停产停业、吊销许可证和营业执照等行政处罚措施。违法企业直接负责的主管人员和其他直接责任人员还可能被处以罚款(一万元至一百万元)及一定期限内被禁止担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
(2)刑事责任:
违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,违法企业以及对其直接负责的主管人员和其他直接责任人员,均可能构成侵犯公民个人信息罪,违法企业将被判处罚金,相关责任人员将面临有期徒刑,并处罚金。
如出境数据涉及国家秘密或情报,则违法企业及其相关责任人员还可能构成为境外窃取、刺探、收买、非法提供国家秘密、情报罪。
问题10:我们律所能提供哪些服务?
我们可以为企业提供包括但不限于下列数据合规、出境服务:
(1)代为办理申报数据出境安全评估或个人信息出境备案,具体包括编制撰写数据或个人信息出境的自我评估报告,准备并填写申报表以及其他所需材料;
(2)起草、审核以及修改数据出境协议,包括但不限于个人信息出境合同;以及
(3)协助企业建立并完善数据出境等合规体系,包括制定企业内部合规制度、为企业开展针对性培训,对企业进行年度合规审计。
