前言:

随着全球数据跨境转移对数字经济的重要性的提升,数据的衍生价值不断凸显,逐渐成为企业乃至国家的核心竞争力。当前,在跨境业务和活动中,企业应关注自身环境下的数据跨境流动监管制度,建设自身数据跨境合规框架,以应对数据跨境合规问题。

对此,本文根据我国对于数据出境的规制,结合相关的国家推荐性标准,对数据出境评估制度的流程、数据出境自评估要点进行概要整理,以期为各大数据企业数据跨境合规提供参考。

一、数据出境相关案例与我国的数据出境规制

2020年CFIUS(美国外国投资委员会)基于对用户的数据可能被TikTok母公司字节跳动违规传输出境给中国而影响美国国家安全的担忧,认定字节跳动必须剥离TikTok。而近日,据路透社报道,字节跳动旗下的短视频社交软件国际版TikTok即将与甲骨文达成协议,协议内容涵盖了由甲骨文公司负责存储TikTok的美国用户信息,并将成立一个由数百人组成的美国数据管理团队,字节跳动则没有权限查看这些用户信息。字节跳动希望通过此协议打消CFIUS对应用数据安全的顾虑。 1反观国内,苹果与云上贵州的数据运营合作,事实上,也是苹果在中国监管政策下所做出的选择。 2

在数字经济不断开展的今天,各国对数据跨境的规制已越来越重视,都在建立相应规则以强化数据跨境监管,尤其在数据出境层面。就我国而言,以北京海天瑞声科技股份有限公司(代码688787,以下简称"海天瑞声")的上市审核为例:就海天瑞声数据产品与定制服务的境外销售,发审委重点关注这一行为是否符合国家数据安全和个人信息保护的法律法规,以及是否符合境外出口限制等相关法规。

2021年10月29日,国家互联网信息办公室出台了《数据出境安全评估办法(征求意见稿)》(以下简称"《评估办法》"),对《数据安全管理办法(征求意见稿)》中确立的数据出境评估制度 3提出了的具体要求,并全面和系统地对于企业数据出境风险自评估、申报数据出境安全评估提供了指引。而就数据出境自评估在具体操作上的规范而言,可供参考的文件为全国信息安全标准化技术委员会对外发布的《信息安全技术数据出境安全评估指南(草案)》(征求意见稿,以下简称"《评估指南》")。关于《评估指南》的效力性,尽管《评估指南》作为国家推荐性标准,并不具有法律上的强制效力,但考虑到《评估办法》缺乏操作上的指引性,我们认为《评估指南》在一定程度上体现了监管机构的监管倾向及理念。

二、什么是数据出境?怎样的数据处理活动需要遵守《评估办法》的规制?——数据出境的定义

对于数据出境的定义,《评估办法》中的描述为:"数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据 4和依法应当进行安全评估的个人信息 5"。而对于何为"提供",《评估指南》作出了如下定义:"网络运营者主动向境外机构、组织或个人提供数据,或通过其他途径发布数据的行为,包括其用户使用网络运营者提供的产品或服务的功能,向境外机构、组织或个人提供数据的行为"。

其中值得注意的是,用户向境外的数据提供行为也归属于网络运营者数据出境范畴之内。此外,根据《评估指南》,数据出境排除了如下两种情形:(1)如果数据仅经由我国中转,而未经任何变动或加工处理的,不视为数据出境;(2)网络运营者提供已经被依法公开披露的数据。

三、数据处理者进行数据出境需要经历怎样的评估流程?——数据出境评估制度流程概述

  1. 根据《评估办法》第五条,"数据处理者在向境外提供数据前,应事先开展数据出境风险自评估"。(具体评估步骤及要点见本文"三、风险自评估如何进行?——数据出境风险自评估步骤及要点")
  2. 数据处理者在自评估过程审查其数据出境情况是否属于《评估办法》第四条规定的"应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估"的情形。 6
  3. 若数据处理者在前述环节中确认其数据出境情况属于《评估办法》第四条规定的应当申报安全评估情形,则应当在完成数据出境风险自评估并形成自评估报告后,通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
    根据《评估办法》第六条,申报时应当提交以下材料:(1)申报书;(2)数据出境风险自评估报告;(3)数据处理者与境外接收方拟订立的合同或者其他具有法律效力的文件等(以下统称合同);(4)安全评估工作需要的其他材料。
  4. 数据处理者完成自评估并通过安全评估(如需要)后,则可以进行数据出境。

四、风险自评估如何进行?——数据出境风险自评估步骤及要点

对于数据出境风险自评估要点,《评估办法》仅在第五条对于重点评估事项进行了概括性的规定 7,以下根据《评估指南》的指引内容,对自评估步骤及要点提供更详细的参考。

1. 制定数据出境计划:

数据出境风险自评估是数据处理者主导的针对数据出境处理活动的自我评估,在此之前应当制定数据出境计划,并以此为评估对象。数据出境计划应包括但不限于:

(1)数据出境目的、范围、类型、规模;(2)涉及的信息系统;(3)中转国家和地区(如存在);(4)数据接收方及其所在的国家或地区的基本情况;(5)安全控制措施等。

2. 评估数据出境计划:

在满足数据出境计划合法正当的前提下,对于数据出境风险自评估,主要从风险可控角度出发,由以下五个要点展开:

(1) 个人信息属性:
数据出境活动涉及个人信息的出境,除了单独获得个人同意外 8,针对个人信息属性需要从以下四个要素展开对该要点的评估(1)类型和敏感程度:识别个人信息中所包含的信息类型,并判断其涉及的个人敏感信息的数量;(2)数量:评估所涉及的个人信息主体数量以及所涉及的主要人群的群体特征,并注意需出境的个人信息是否因达到一定量级或涉及特定群体而出现衍生价值;(3)范围:根据个人信息与数据出境目的相关业务功能的关联程度、所需的最低频率、所需的最低数量判断出境个人信息的范围是否满足最小化原则。(4)技术处理情况:评估是否使用技术措施对个人信息进行了脱敏处理,且达到不可逆的效果。

(2) 重要数据属性:
与个人信息出境相同,《评估指南》提供了类型、数量、范围、技术处理情况四个要素。其中,对于重要数据类型,应评估是否包含核设施、化学生物、国防军工、人口健康等领域,大型工程活动、海洋环境以及敏感地理信息、关键信息基础设施的系统漏洞、网络安全信息等出境后出现泄露或滥用等情形,将对国家安全和社会公共利益产生严重的影响的重要数据。

(3) 发送方数据出境的技术和管理能力:
针对该要点中"管理能力"这一方面,《评估指南》提供了七个参考要素,分别为:安全管理制度、人员管理制度、与数据接收方签订合同内容 9、审计机制、应急预案、投诉与处置策略、安全事件上报机制;而对于"技术手段保障能力"方面,《评估指南》强调了立数据出境日志留存机制,留存信息包括但不限于:审计报告、数据出境转移日志、数据被访问日志等。

(4) 数据接收方的安全保护能力:
对于数据接收方,除了管理保障能力、技术保障能力以外,还应当注意主体审查,尤其是针对重要数据,应对数据接收方的背景关系进行评估。此外,与对数据发送方的评估不同,《评估指南》对于接受方的技术保障能力方面提供了更详细的指引,评估者可在接收方安全技术能力、信息系统、自动化工具等要素上评估这一方面。

(5) 数据接收方所在国家或区域的政治法律环境:
在要点上,对于个人信息和重要数据的出境有着不同程度的评估要求。针对个人信息出境,需要考虑到接收方国家或区域个人信息相关法律法规提供的保护水平与我国的差异;加入的区域或全球性的个人信息保护方面的机制以及所作出的有约束力的承诺;落实个人信息保护的机制以及救济渠道。而对于重要数据出境,在参考前述个人信息评估标准的同时,还需要参考该国家或地区在数据安全方面现行的法律、法规、标准情况;落实数据安全的机制;该国家或地区政府,包括执法、国防、国家安全等部门调取数据的法律权力;该国家或地区与其他国家或地区之间有关数据流通、共享等方面的双边或多边协定。

除上述5个要点外,《评估指南》之附录B《个人信息和重要数据出境安全风险评估方法》结合了不同具体情况,对以上要点划分了高、中、低三种保障能力等级,为评估提供了实操参考。

3. 形成评估报告并检查修正(如需要):

企业完成对数据出境计划的自评估后,应形成评估报告,评估报告应至少保存5年。如数据出境计划不满足合法正当要求,或经评估后不满足风险可控的要求,网络运营者可修正数据出境计划,或采用相关措施降低数据出境风险,并重新开展自评估。 10

此外,若按照《评估办法》第四条规定数据处理者需要向国家网信部门申报数据出境安全评估,则该自评估报告也将作为申报材料之一供国家网信部门参考。

五、结语

目前,虽然《评估办法》和《评估指南》都处于意见征求阶段,尚未正式生效,但在数据跨境流动逐渐成为全球经济增长的关键力量的背景下,数据出境评估机制不仅是网信部门对于企业进行数据出境活动的规范制约,更是企业进行数据跨境全周期管理的重要保障。

本文根据《评估办法》梳理了数据出境风险自评估以及申报安全评估的流程,并结合《评估指南》阐述了数据出境风险自评估相应要点,以期为企业数据跨境合规尤其是数据出境评估环节提供参考,帮助企业在全球业务和经营活动中管控数据跨境流动,建设数据合规框架,降低数据跨境流动合规风险。

Footnotes

1. 腾讯网,TikTok的美国用户数据或将由甲骨文存储,字节无权访问?,2022年3月18日,https://new.qq.com/omn/20220318/20220318A01KJJ00.html

2. 人民政协网,苹果云缘何飘落贵州? 中国监管政策下所做的选择,2018年1月17日,http://www.rmzxb.com.cn/c/2018-01-17/1933157.shtml

3. 《数据安全管理办法(征求意见稿)》第二十八条:

网络运营者发布、共享、交易或向境外提供重要数据前,应当评估可能带来的安全风险,并报经行业主管监管部门同意;行业主管监管部门不明确的,应经省级网信部门批准。

4. 根据国家互联网信息办公室出台的《个人信息和重要数据出境安全评估办法(征求意见稿)》第十七条,"重要数据,是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。"此外,《评估指南》提供的《重要数据识别指南》(附录A)列举了27个行业的重要数据及其主管部门供参考,同时规定了兜底条款,指出了其他行业判断重要数据的标准。

5. 根据《个人信息保护法》第四条,"个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。"

6. 《评估办法》第四条:数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。

(一)关键信息基础设施的运营者收集和产生的个人信息和重要数据;

(二)出境数据中包含重要数据;

(三)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;

(四)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;

(五)国家网信部门规定的其他需要申报数据出境安全评估的情形。

7. 《评估办法》第五条:数据处理者在向境外提供数据前,应事先开展数据出境风险自评估,重点评估以下事项:

(一)数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;

(二)出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;

(三)数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险;

(四)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;

(五)数据出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;

(六)与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。

8. 根据《个人信息保护法》第三十九条,"个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。"

9. 对于与数据接收方签订合同内容,《评估办法》第九条有着更详细的规定:

数据处理者与境外接收方订立的合同充分约定数据安全保护责任义务,应当包括但不限于以下内容:

(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;

(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施;

(三)限制境外接收方将出境数据再转移给其他组织、个人的约束条款;

(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区法律环境发生变化导致难以保障数据安全时,应当采取的安全措施;

(五)违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款;

(六)发生数据泄露等风险时,妥善开展应急处置,并保障个人维护个人信息权益的通畅渠道。

10. 《评估指南》4.6注:

可用于降低数据出境安全风险的措施包括但不限于:精简出境数据内容、使用技术措施处理数据降低敏感程度、提升数据发送方安全保障能力、限定数据接收方的处理活动、更换数据保护水平更高的接收方、选择政治法律环境保障能力较高地区的数据接收方等。在进行相应调整后,可重新对数据出境进行安全风险评估。

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.