作者:蔡鹏 胡云浪 苏阳阳

网络安全和数据安全是我国数字经济社会发展的基础和底线要求,而数据出境又是其中最重要的环节之一。2022年7月7日,国家互联网信息办公室(简称"网信办")正式发布了《数据出境安全评估办法》(简称" 办法"),并将于2022年9月1日起正式施行。该办法正式确定了重要数据和个人信息的出境监管机制;同时,为了释明《个人信息保护法》第38条的要求,网信办于2022年6月30日发布了《个人信息出境标准合同规定(征求意见稿)》(简称" 标准合同"),信息安全标准化技术委员会(简称"信安标委")于2022年6月24日发布了《个人信息跨境处理活动安全认证规范》(简称" 规范")。至此,我国数据出境的规则已经基本齐备,对于企业而言,意味着需要立即进行合规应对准备并采取有关措施,及时打下合法合规跨境传输数据的重要基础。

本文旨在通过对"数据出境三法"进行比对,并对企业适用三种数据出境路径进行分析和典型场景解读,试图帮助企业了解在当前法规体系下,如何选择适合本企业的数据跨境之路。

一. 数据跨境路径综合比对

1214864a.jpg

二. 数据跨境路径的比对分析

根据上表,企业数据出境路线已经基本清晰,企业如何选择合适的数据跨境路径,需要评估比对各路径下的优劣。

(一) 安全评估路径:

1. 优势:

(1) 适用范围广。相比于保护认证以及标准合同,安全评估的适用范围更广。从覆盖的数据类型来看,安全评估既适用于特定条件下的个人信息跨境,也适用于重要数据的跨境。从适用情形上来看,安全评估路径虽与标准合同形成了互为补集的关系,但事实上,按照办法的要求,"处理100万人以上个人信息的数据处理者向境外提供个人信息"按照需要进行安全评估,而大中型互联网企业的用户数量早已超过该数字,且数据跨境需求高的多为头部企业,因此跨境评估适用的情形实则更为广泛。

(2) 流程明确。从向省级网信部门提交材料并由省级网信部门查验材料完备性,到国家网性部门决定是否受理,再到具体安全评估及复议程序,最后到上一安全评估有效期满前提前60个工作日重新申报,安全评估的整个流程较为清晰明确。同时,安全评估每一个环节也都明确了主管机关的针对特定事项的最长处理期。

2. 需要关注:

(1) 重要数据规则的进一步落地:办法在第二条中以正式立法的形式首次界定了重要数据的概念:重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。相比于以前的立法征求意见稿,重要数据概念中更加凸显了与"经济运行、公共健康和安全"有关数据利用的重点场景和数据集合。据我们了解,各主管部门正在根据《数据安全法》相继加速制定重要数据目录。待重要数据目录公布并正式施行后,将成为各行业重要数据识别的重要依据。建议待跨境的企业首先对所涉数据进行梳理,在数据跨境前可引入外部律师协助开展重要数据的自我识别与评估工作。企业可先行对于明确不构成重要数据的数据开展跨境工作,对于相对敏感可能被主管部门认定构成重要数据的数据暂时不开展数据跨境活动,并保持与主管部门的沟通,待重要数据目录公布后,再次进行重要数据的认定。

(2) 特殊数据的"双重申报"或"单向申报"的进一步明确:依据办法第二条"数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法。 法律、行政法规另有规定的,依照其规定。"而依据国务院颁布的《人类遗传资源管理条例》第二十八条第二款:"将人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构提供或者开放使用的,应当向国务院科学技术行政部门备案并提交信息备份。"无论从非法处理后的"危害性"还是从"可识别"性角度出发,人类遗传资源都较大可能落入"重要数据"或"个人信息"的定义,那么针对人类遗传资源的跨境前置审批,企业需要向网信办和科技部完成双重申报,还是企业仅按照行政法规,向科技部完成备案即可,目前尚未明确,企业应当对此保持关注。

(3) 整改时间表。办法明确:"本办法施行前已经开展的数据出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改。"对于已经开展数据跨境活动的企业是否应当整改以及如何整改,亦是许多企业所关心的事项,我们理解,在是否应当整改上,并非所有开展数据跨境活动的企业均适用该要求,其适用条件仅限于本安全评估路径下的五种情形,除此之外的其他情形不适用于本办法。

时间要求上,尽管法律给出了6个月的宽限期,但根据我们的经验,整体时间要求对于企业而言还是非常紧张。6个月其实是整改申报完成的时间,因此对于所有适用出境安全评估的企业而言,我们建议在2022年12月1日前完成自我整改工作,即自评估等一系列申报前的合规动作,以留出充分的时间向主管机关申报审批。

(二) 保护认证路径:

1. 优势:

(1) 适用场景及认证主体明确。依据规范,跨国公司内部针对个人信息跨境而申请保护认证的,由境内实体申请认证并承担责任;如果是《个人信息保护法》第三条第二款所列情形,则由境外个人信息处理者在境内设置的专门机构或指定代表申请认证,并承担法律责任。

(2) 认证机构负责监管,承担"合规保护伞"角色。依据规范,制作、签订具有约束力的法律文件时,境外接收方要承诺接受认证机构的监管。同时,境外接收方还需要承诺接受中华人民共和国认证机构对个人信息跨境处理活动的监督,包括答复询问、例行检查等。通过对现有规定的解读,我们初步判定在特定适用场景下,例如跨国公司内部跨境个人信息时,在通过认证机构的认证后,仅需确保个人信息跨境严格遵守经认证的统一规则,并定期接收认证机构的问询和检查,一般情况下无需周期性或反复认证。

(3) 在境外处理境内个人信息的明确适用路径。区别与安全评估路径和标准合同路径,在保护认证路径外,特别明确了在境外处理境内个人信息的活动明确适用于保护认证路径。在另外两个路径适用性不明的情况下,满足《个人信息保护法》第三条第二款的相关主体的数据跨境行为,建议选择本路径进行认证。

2. 保持关注:

(1) 效力层级。相比安全评估及标准合同,《规范》属于信安标委秘书处制定的技术文件,效力层级较低,无法达到国标效力。对于该认证路径下相关内容的进一步细化,究竟会以何种效力层级的文件出台,目前暂不明晰。

(2) 认证机构有待明确。《规范》并未说明个人信息跨境由什么样的机构进行认证。包括认证机构必须为国家机关或事业单位,还是企业或民间组织机构亦可获得认证资格?企业或民间组织机构为取得认证资格需要具备哪些(技术、数据安全与隐私保护等)资质?相关一系列问题都尚未得到答复。在认证路径如何落地尚未可知的情况下,在未来一段时间内,企业可能仅有安全评估及标准合同两个路径可走。

(3) 衔接性有待明确。依据现有法律法规,安全评估路径和标准合同路径在适用范围上互为补集。而保护认证路径如何与其他两个路径在适用范围上衔接,目前仍未清晰。

(三) 标准合同路径

1. 优势

(1) 高效便捷。依据《标准合同》及其附则,合同双方签订标准合同之日起10个工作日内向所在地省级信网部提交必要材料进行备案即可,明显短于安全评估路径的申报审批周期(5+7+45+15)。对于企业而言,标准合同路径是落地性最快、效率最高的路径,一旦标准合同规定及标准合同文本正式施行,待跨境的企业可以清晰、快速、便捷地采用该路径进行个人信息的跨境。

(2) 争议解决方式多样。履行标准合同期间若发生争议的,合同双方可以选择中国法院进行诉讼也可以选择加入《纽约公约》成员国的仲裁机构解决纠纷。一般涉外合同的签订,外国合作方更愿意选择国际知名度高、国内法为普通法背景的仲裁机构(如SIAC)。因此标准合同提供了该境外仲裁选项,无疑有利于标准合同的落地。

(3) 个人信息主体在合同下享有第三方受益人的权利。依据标准合同负责第八条,个人信息主体作为第三方受益人,可以追究违约方的违约责任。因双方违反合同约定共同给个人信息主体造成损害的,应当承担连带责任。相比于另外两种路径,该路径强化了对个人信息主体的民事权益的司法层面的保护。

2. 保持关注

(1) 灵活性。在适用法律上,标准合同采取强制管辖(例如在中华人民共和国境内履行的中外合资经营企业合同、中外合作经营企业合同、中外合作勘探开发自然资源合同,为强制管辖)的方式,仅能适用中国法;在内容约定上,仅能做与标准合同文本不冲突的补充性约定。该标准合同的灵活性在实践操作中究竟有多少空间,仍有待于进一步观望。

(2) 行政管理属性明显。根据标准合同第十二条,未履行备案程序或者提交虚假材料进行备案的、未履行标准合同约定的责任义务,侵害个人信息权益造成损害的、出现影响个人信息权益的其他情形的,将递进式的以整改+行政处罚+刑事责任对标准合同的备案及履行进行监管。

三. 适用场景分析

对于企业而言,安全评估、保护认证及标准合同在不同的场景下存在着不同的优先适用性,我们根据自身经验列出几项典型场景进行简要分析如下。

(一) 中小型企业:可选择适用标准合同

依据标准合同第四条,适用标准合同进行个人信息跨境的,须同时满足法定条件,而这些法定条件除CIIO之外,其他条件并不高。现有大中型企业,尤其是大中型互联网企业很容易触发安全评估。因此标准合同及其高效便捷的备案流程的主要利好的是中小型企业。此类企业往往规模较小,业务上的跨境需求不多,适用既定的标准合同模板进行个人信息跨境,有利于减少合规成本。

(二) 创新型企业/科研合作:难以避免适用安全评估

1. 实践当中,重知识产权、重品牌体系搭建以及重研发的创新型企业,常常为行业头部企业,此类企业的用户量级以及周期性的个人信息跨境量级,基本上都能被纳入适用安全评估的情形。

2. 互联网、汽车、医药医械、高端制造等高研发投入行业,一般为创新型企业集中的行业。实践当中,此类企业在科研合作场景下往往涉及到重要数据(如汽车充电网的运行数据)、大量敏感个人信息(人脸数据)甚至人类遗传数据(疫苗制作时涉及的基因序列数据等)的跨境。按照办法的规定,此类数据一旦被识别为重要数据,则必须适用安全评估机制。

(三) 员工管理场景:可选择适用保护认证

虽然保护认证路径目前尚未落地,但我们认为从保护认证明确的适用范围以及员工管理场景的特点出发,未来在该场景下的个人信息跨境,企业可以选择保护认证机制。理由如下:

1. 员工管理场景下的个人信息跨境需求,往往因跨国公司集团化、集中化进行人力资源管理而产生。跨国公司往往因业务及人员规模大,处理用户、员工个人信息人数会实时发生变化,若适用标准合同会导致需要频繁重新签订合同以及重新备案的情况发生,对于企业而言十分不便。

2. 规范明确了保护认证路径下适用的情形之一就是跨国公司内部的个人信息跨境。另外,完成认证后的企业认证确立的传输规则内进行重复进行个人信息跨境的,只需接收认证主体的监督,无需重复认证,因而较为适用于员工管理场景下的个人信息跨境。

(四) 产品海外落地场景:可选择适用保护认证

部分产品海外落地时,会涉及境内公司将用户的个人信息传输至海外关联公司的研发中心、销售中心等用于产品研发数据支撑和市场调研评估等工作。在这一过程中,会涉及频繁的用户的个人信息的传输,个人信息主体与境外接收方多为同一经济、事业实体的关联公司(含被收购方)。此类信息大多是与产品相关的用户个人信息,构成重要数据的可能性较低。因此,在这一场景下,若用户个人信息的量级未达到安全评估的强制性要求,则建议可以选择适用保护认证路径开展个人信息的跨境传输。

(五) 跨境投资并购交易:可选择适用标准合同

在跨境投资并购交易中,尤其是中国企业被境外企业投资或收购时,往往会涉及大量的数据由中国企业转移至境外企业。在该场景下,若数据量级满足安全评估的要求的,则境内企业无可避免地需要适用安全评估路径;若数据量级不满足安全评估要求的且亦不构成重要数据的,由于投资并购相关的数据跨境往往可通过一次性的交易安排完成,建议境内企业选择适用标准合同路径,将上述交易安排达成标准合同,并及时向监管部门备案。当然,谈判签署标准合同对于交易本身而言增加了一道关卡,故相关条款的谈判磋商亦是该场景下的重点问题。

企业数据出境流程建议图:

对于大多数有数据出境需求的企业,我们制作了一张流程图,供参考:

1214864b.jpg

四. 结语

数据跨境三法齐出,相关企业宜谋定而后动,知止而有得。对于适用数据跨境安全评估路径的企业,应当重点关注办法的具体要求,应当及时完成数据跨境合规评估和合规整改工作,防范数据跨境合规风险;对于适用个人信息保护认证或标准合同路径的企业应当着手准备,亦应当关注后续相关规则的进一步落地,并根据落地的法规针对性地开展个人信息跨境的合规评估与合规整改工作。

[注]

1.《(数据出境安全评估办法)答记者问》第二问:"《办法》所称数据出境活动主要包括:一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。"

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.