一、前言
近年来,《网络安全法》《数据安全法》和《个人信息保护法》(“《个保法》”)共同构建了我国的网络数据安全治理体系,而数据跨境活动的监管一直是治理体系的重点内容。其中针对个人信息出境,《个保法》第三十八条规定了数据出境安全评估、个人信息保护认证和签订个人信息出境标准合同三种合规路径,但始终没有具体合规指引,直至今年6月底以来陆续出台了《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》(“《安全认证规范》”)、《个人信息出境标准合同规定(征求意见稿)》(“《标准合同规定》”)和即将于9月生效的《数据出境安全评估办法》(“《安全评估办法》”)。随着新规的出台,《个保法》下的个人信息出境合规制度有望落地,重要数据出境的方式也在一定程度上得到了明确,企业数据跨境面临新的合规挑战。
在实践中,不同企业的注册地、业务开展区域以及具体业务场景各有不同,但所涉及的数据跨境流动根据其第一落点不同主要有两种模式:
(1) 第一落点在境内再向境外提供:也即境内企业收集数据后向境外其他数据处理者传输,较为典型的场景如跨国公司或关联公司之间的员工和业务数据共享、境内企业与境外服务提供商在业务合作中的数据传输、跨境电商向境外提供境内用户和订单数据等;
(2) 第一落点在境外:也即《个保法》第三条第二款规定的境外企业直接收集并处理境内数据,较为典型的场景如境外主体直接采集并处理境内自然人个人信息以便为其提供服务或产品、开展用户行为分析、招生或招聘等。
本文将基于新近出台的《安全评估办法》《安全认证规范》和《标准合同规定》,整合并梳理三份新规对于前述常见的数据跨境模式及业务场景的影响。考虑到针对关键个人信息基础设施运营者(“CIIO”),迄今仍未出台清晰的界定规则,本文不多赘述,仅对非CIIO企业在新规下的合规路径选择及合规要求提供一些思路和指引。
二、模式一:境内主体先收集再向境外提供数据
在模式一下,数据的第一落点为境内数据处理者,其在境内经营活动中收集的个人信息首先储存在境内服务器中,再由境内主体转移至境外其他处理者,后续数据还可能在境外继续流转,大致如下图所示:
1. 常见业务场景
在数据跨境模式一下,企业常见的业务场景主要如:
(1) 跨国公司或关联公司间的员工和业务数据传输:境内企业可能会根据管理及业务开展需要,向境外企业提供其在境内处理的员工个人信息、包括客户个人信息的业务信息等。
(2) 境内企业与境外服务提供商合作:境内企业可能出于业务合作需要,委托境外服务提供商进行数据处理或者与境外企业合作或分别处理其在境内收集的数据,例如境内企业与境外保险机构/医疗机构的合作,境内销售方委托境外出口管制筛查机构提供合规服务等。
(3) 境内跨境电商向境外提供境内的用户和订单数据:该等场景下跨境电商可能会向境外接收方提供完成订单所需的用户地址信息和身份信息等,也可能进一步提供用户的购物记录和足迹分析等额外数据。
2. 合规路径选择
在新规搭建的数据出境合规框架下,企业应当首先根据企业定位、出境数据的性质、处理及出境的个人信息所涉个人信息主体的数量等因素,判断应遵循的数据跨境合规路径,具体而言:
(1) 判断出境数据类型
如果出境的数据中包含重要数据,企业应当遵循《安全评估办法》进行数据出境安全评估。根据现行法规,重要数据一般从其泄露造成的后果来进行判断,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。通常而言,重要数据是国防、科学技术、经济运行、自然资源等相关的数据,多出现在医疗、军工、进出口、生物科技、道路运输等重点领域,不包括企业日常经营信息和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。
(2) 判断企业是否为CIIO
如果企业是CIIO,不论其跨境传输的数据量多少,均需要按照《安全评估办法》进行数据出境安全评估。如前所述,本文暂不对CIIO的认定及合规要求多加评述。
(3) 判断企业处理及出境的个人信息所涉及的个人信息主体数量
如果企业非CIIO且出境数据不包含重要数据,则需要判断企业处理及出境的个人信息所涉及的个人信息主体数量是否达到《安全评估办法》规定的标准,也即(i)企业是否是处理100万人以上个人信息的个人信息处理者,(ii)从上一年1月1日起算,企业是否累计向境外提供10万人个人信息,或(iii)从上一年1月1日起算,企业是否累计向境外提供1万人敏感个人信息——这三个条件中,满足其中任意一条就需要进行数据出境安全评估。对于一些规模较大的企业,可能很容易达到前述数量门槛,从而落入安全评估的范围。
需要注意的是,单纯从目前的法条原文来看,前述数量门槛是以个人信息主体的数量来计算,而非个人信息的数量,这排除了特定企业所涉个人信息“人少量大”等情况,如个人信息主体有限但企业向境外提供的个人信息数量和类型包罗万象,该等情况是否也可能被扩大解释而需要进行安全评估还需要后续法规来完善。
(4) 如果不符合前述三条,则判断数据跨境是否为跨国公司或关联公司之间的数据处理活动
如果是,企业可以根据《安全认证规范》进行个人信息保护认证,或根据《标准合同规定》采取订立标准合同(“标准合同”或“SCC”)的路径。如果否,则企业应根据《标准合同规定》与境外接收方订立标准合同。
3. 各合规路径下的合规要求
如上所述,数据跨境模式一下的境内数据处理者可以采取数据出境安全评估、个人信息保护认证或订立标准合同的方式进行数据出境活动,其具体合规要求如下。
(1) 开展安全评估
根据《安全评估办法》,数据出境安全评估应按照以下流程进行:
评估通过的,评估结果在两年内有效;评估不通过的,申请人可在15个工作日内向国家网信部门申请复评,复评结果为最终结果。
境内企业需要格外注意风险自评估和《安全评估办法》中规定的与境外接受者订立法律文件的要求。风险自评估的内容和安全评估的内容多有重合之处,因此安全评估的过程可能会更加重视审查企业的自评估报告,自评估成果也可能成为安全评估的重要依据。另外,对于与境外接受方订立合同或法律文件,《安全评估办法》也提供了最基础的合同条款,与SCC相比,该等合同只需要保障一些较为基础的个人信息保护义务,而SCC作为一种完整的数据出境合规路径,内容更加完备和全面。还需要提示的是,在特定情形下(如数据处理者向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全,或者延长个人信息和重要数据境外保存期限),新规要求数据处理者重新申报评估,但并未规定在重新申报评估期间是否需要暂停或终止数据出境活动,因此对于业务发展变化较快的领域,企业数据传输的稳定性仍面临合规挑战,相关问题还有待后续规则或指引的明确。
(2) 开展个人信息保护认证
在数据跨境模式一下,《安全认证规范》所规定的个人信息保护认证是跨国企业或关联公司可选择的一种合规路径。相比于征求意见稿,正式发布的《安全认证规范》规定以GB/T 35273-2020《信息安全技术 个人信息安全规范》作为处理个人信息的基础合规要求,并将保护认证适用的情形限定得较为明确,只有跨国公司或同一经济、事业实体下属子公司或关联公司之间的数据处理活动,或《个保法》第三条第二款下的境外直接处理个人信息才能够适用。涉及数据跨境业务的跨国公司及关联公司一般指通过投资在多国设立分支机构或子公司从事国际化生产和经营活动的情形。之所以允许其通过保护认证的形式满足出境合规要求,主要是因为该等公司之间关系稳定,更容易完成认证所必须的数据传输协议、负责人设置、保护机构确立、统一的个人信息跨境处理规则、同等保护水平和机制等。个人信息保护认证的具体内容详见后文第三部分第2点。
需要指出的是,对于境内有实体的跨国公司或关联公司而言,开展个人信息保护认证是一种可选的路径,并非强制,境内企业还可以选择签署SCC。SCC相比保护认证的成本更低,可以作为主协议的一部分签署即可,但是否可以概述性地多方签署以实现覆盖跨国公司不同主体之间日常数据传输的场景还有待进一步明确;如果多个主体之间的数据传输无法通过同一份协议签署,且因管理或业务需要而参与数据相互传输的关联企业较多,为避免多次签署协议的繁琐,对于该等偏内部传输需求的情况,保护认证也有其便捷性。
(3) 与境外接收方签署SCC
《标准合同规定》提供了个人信息出境合规路径的另一种方案。对于未达到《安全评估办法》下CIIO、重要数据、100万、10万、1万相关标准的境内处理者,SCC在个人信息出境方面适用范围广泛,且相较于安全评估和保护认证,SCC也是较为简便、成本较低的路径。需要注意的是,SCC不仅只是合同条款的签订和执行,还涉及到个人信息保护影响评估,备案等一系列流程,且要求境内处理者与境外接收方承诺接受监管部门的问询、向监管机构提供审计结果与数据处理记录等,因此企业不应仅将其作为附加的合同条款看待。
SCC的重点在于约定境内外双方跨境传输个人信息的义务,要求详尽描述个人信息出境和处理活动,主要包含:(i)个人信息处理者和境外接收方的基本信息,包括但不限于名称、地址、联系人姓名、联系方式等;(ii)个人信息出境的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点等;(iii)个人信息处理者和境外接收方保护个人信息的责任与义务,以及为防范个人信息出境可能带来安全风险所采取的技术和管理措施等;(iv)境外接收方所在国家或者地区的个人信息保护政策法规对遵守本合同条款的影响;(v)个人信息主体的权利,以及保障个人信息主体权利的途径和方式;(vi)救济、合同解除、违约责任、争议解决等。与《安全评估办法》的规定类似,如出现特定变更情形,需要重新签署SCC并重新备案,因此在境内外双方协商过渡期是否应当暂停数据传输同样有待监管进一步明确。
SCC将境内外企业的部分合规义务转化为合同义务,一方面加强了监管机构对境内外数据处理者处理活动合规性的监督,保障了个人信息主体向境内外双方主张权利的路径,另一方面也强化了境内数据处理者对境外方处理活动的监督和主张境外方违约责任的基础。SCC的条款不宜修改,企业可以将其作为主合作协议中的一部分进行签署,但其他权利义务的约定不得与SCC相抵触——有鉴于此,如果出现SCC和境外主体所处法域的强制性法规相冲突的情形,条款如何兼容处理尚不明确。
此外需要注意的是,个人信息保护影响评估是签署SCC的必备条件,尤其是该评估应包括“境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响”,这一点对企业提出了较高的要求。另外,SCC需要在合同生效10日内向省级网信部门备案。备案虽不是合同生效的前提,但不备案可能会导致网信部门责令改正、责令停止个人信息出境活动等处罚。
4. 此模式下的合规建议
基于前述合规要求,我们针对在数据跨境模式一下进行数据跨境传输的非CIIO企业提出以下合规思路和建议:
(1) 仔细排查企业处理和拟传输的数据类型、性质和数量,优先考虑是否涉及重要数据以及是否达到《安全评估办法》规定的数量门槛,以判断是否需要进行安全评估。如果无需进行安全评估,则可以考虑个人信息保护认证或签订SCC。
(2) 尽早开展个人信息保护影响评估/数据出境风险自评估。鉴于《安全评估办法》《安全认证规范》和《标准合同规定》中均规定企业应当自行开展数据跨境相关的风险评估工作,建议尽快对照各新规中规定的评估内容,准备相应评估材料,以便后续提交,且评估结果建议长期保存。
(3) 通过合同条款避免合规问题带来的违约风险。实践中企业可能会在安全评估结束之前与境外接收方订立合同,但可能面临因为安全评估未通过而无法向境外提供数据的违约风险。建议在合同中格外注意双方在合规方面的陈述保证,还可以约定通过安全评估为合同生效的条件等。
(4) 在与境外接收方签订标准合同时,留意标准合同条款与其他合作协议之间的兼容,尤其是各方权利义务是否冲突、法律适用、监管应对责任等。
(5) 与境外关联公司签订标准合同时,综合考虑集团内部当下和未来需要签订类似标准合同的情形,尽可能在同一份合同中囊括,避免反复签订。
(6) 针对一些具有不确定性的业务场景,如跨境购物场景下,由于境外数据接收方通常为不特定的众多境外商家,境内电商很难逐一与之签署标准协议,该等场景下如何相对便捷地履行数据跨境合规义务仍有待后续法规进行指引。
三、模式二:境外主体直接向境内收集数据
除了境内公司收集数据后向境外主体提供的模式之外,也存在着在境外的主体直接收集境内数据的情形。《个保法》第三条第二款规定:“在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一)以向境内自然人提供产品或者服务为目的;(二)分析、评估境内自然人的行为; (三)法律、行政法规规定的其他情形。” 在模式二下,数据的第一落点为境外服务器,后续境外数据处理者也可能进一步向境内或境外的其他数据处理者提供其收集的数据,大致如下图所示:
1. 主要业务场景
在数据跨境模式二下,企业常见的业务场景主要如:
(1) 以向境内自然人提供产品或者服务为目的的境外公司收集数据:例如注册于境外的企业在境内并未设立分公司或者子公司,也无数据中心或服务器,但是其营业范围包括向境内自然人提供产品或者服务,并且在提供过程中收集个人信息向境外传输。
(2) 境外主体直接收集境内自然人数据以评估分析其行为:例如境外学校在招生时分析境内学生简历、境外企业招聘时分析境内自然人简历,或者境外公司采集用户行为数据以编写行为习惯研究分析报告等。
前述场景下,可能是境外主体收集数据并存储于境外服务器,也可能是境内主体收集数据后存储于境外并在境外服务器中进行处理,如注册在境内的企业在境内并没有服务器,因此需要在境外开展数据处理活动,其可能与境外母公司共用服务器,或者租用境外的云服务器。
2. 合规路径及要求
在数据跨境模式二下,首先需要判断企业的个人信息处理活动是否属于《个保法》的管辖范围,也即是否满足《个保法》第三条第二款域外管辖的条件,然后再行根据《安全认证规范》明确个人信息出境合规义务。
对于《个保法》第三条第二款所述“境内自然人”,目前暂时没有出台相关司法解释或实施细则确定“境内自然人”的界定是以国籍还是自然人所在地为标准。根据一般学界通说和实践中的主流观点,《个保法》遵循与《通用数据保护条例》(“GDPR”)相同的原则,采用属地管辖而不是属人管辖,也即考量的是自然人是否是中国境内居民或在中国境内实际居住的人——对此还有待后续出台《个保法》配套文件予以明确。根据这一规则,如果境外主体直接收集和处理实际居住在中国境内的自然人的个人信息,是以向境内自然人提供产品或者服务为目的,或者为分析、评估境内自然人的行为,则属于《个保法》的域外管辖范围。
在《安全认证规范》将《个保法》第三条第二款纳入开展个人信息保护认证的适用情形之前,该等数据流动方式是否属于《个保法》第三十八条所规制的数据跨境始终存在一定的争议,很多观点认为模式二并不属于数据出境行为。但根据目前的新规,模式二下的个人信息出境可以自愿选择采用个人信息保护认证的合规路径,但如果该等处理者处理和传输的个人信息所涉个人信息主体达到相关数量门槛,是否要通过安全评估,目前仍无定论。此外,也有待法规进一步明确境外个人信息处理者是直接适用《个保法》第三条受到全部条款约束,还是适用第三十八条仅受到出境相关规则的约束。
《个保法》第五十三条规定,境外个人信息处理者应在境内设立专门机构或者指定代表,来负责处理个人信息保护相关事务,并应当将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。《安全认证规范》则进一步规定,模式二下的境外个人信息处理者进行认证的方式,是由其在境内设置的专门机构或指定代表申请认证,并承担法律责任,这就对该等专门机构或者指定代表施加了更高的义务和责任。
开展个人信息保护认证应遵守以下基本要求:(i)提交开展个人信息跨境处理活动的个人信息处理者和境外接收方之间具有法律约束力和执行力的文件,该等协议或文件与SCC不同,整体而言内容可以更加简便。但是鉴于模式二下只有一个数据处理者,该等协议或文件的签署主体目前仍存在争议;(ii)进行组织管理,包括指定个人信息保护负责人、设立个人信息保护机构等;(iii)信息处理者与境外接收方遵守统一的个人信息跨境处理规则,如针对处理目的、方式、范围、存储期限、到期处理、安全措施、安全事件应对等进行同等水平的规制;(iv)个人信息处理者进行事前评估,主要评估向境外提供个人信息活动是否合法、正当、必要,所采取的保护措施是否与风险程度相适应并有效等。针对前述要求中存疑的问题,以及当前条款尚未明确的保护认证有效期和认证机构,不排除今后继续完善的可能性。
3. 此模式下的合规建议
基于前述合规要求,对于数据跨境模式二下进行个人信息跨境传输的立法和相关实施细则还在制定和完善过程中,我们对此模式下进行个人信息跨境传输的非CIIO企业提出以下合规思路和建议:
(1) 目前个人信息保护认证仍遵循“自愿认证原则”,但建议企业在观望之余可以按照《安全认证规范》准备个人信息保护影响评估相关材料,并建议将评估结果长期保存。
(2) 结合《安全认证规范》中关于个人信息保护负责人和个人信息保护机构的规定,尽早设立符合规定的负责人和负责机构。
(3) 对于此模式下涉及的境外企业而言,鉴于跨境收集个人数据导致其适用《个保法》,因此此类境外企业也应注意《个保法》下关于处理个人信息相关的一般性合规义务和规则。
四、小结
基于《网络安全法》《数据安全法》《个保法》以及本文重点评述的三部新规对数据跨境行为的联合防护,企业的当务之急是根据不同业务情况选择适用的合规路径并遵循相应的合规要求。一般而言,企业可以在数据出境安全评估、个人信息保护认证以及签订标准合同三条路径中择一进行,也可以择其二或全部进行(如在进行个人信息保护认证之后再签订标准合同)以求稳妥。考虑到目前《标准合同规定》仍处于征求意见稿阶段,且《安全认证规范》和《安全评估办法》中仍有若干存疑问题有待进一步厘清,建议密切关注国家网信部门出台的各类文件或指引对数据跨境流动和跨境业务的规定和实操下的指导意见。
感谢实习生许松盟和林星成对本文作出的贡献。
.png)
