自2012 年全国人大常委会通过《关于加强网络信息保护的决定》以来,我国个人信息和数据保护的立法与实践已历经十年。这十年中,个人信息等数据出境合规一直是法律实务中的焦点问题。近年来,不仅《网络安全法》(" 《网安法》")、《数据安全法》(" 《数安法》")、《个人信息保护法》(" 《个保法》")对此作了原则性的规定,相关实施细则与指南性文件也密集出台,包括《数据出境安全评估办法》(" 《安全评估办法》")《数据出境安全评估申报指南(第一版)》(" 《安全评估申报指南》")《个人信息出境标准合同规定(征求意见稿)》( "《标准合同规定》")《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》(" 《认证指南》")等。

《安全评估办法》对国内数据出境提出了强制性的申报和评估要求,这一影响广大市场主体的新规于2022年9月1日正式实施;2022年8月31日,国家网信办发布了更具实践指导意义的《安全评估申报指南》。本文将立足《安全评估办法》《安全评估申报指南》等一系列新规,基于个人信息出境的三条路径:安全评估、标准合同、认证,对我国个人信息出境合规作实务解读。

一. 立法背景与历史沿革

与其他司法辖区不同,我国数据出境和个人信息出境规则呈现二元架构,即分属两种不同的出境规则体系。2021年,《个保法》《数安法》相继出台,使个人信息和数据在我国明确成为了两种不同的法律概念。个人信息属于个人权益,重要数据则是国家安全考量的产物。在数据出境和个人信息出境二元架构下,不同的出境对象需要适用不同的法律规则。就个人信息出境来说,其宏观架构是基于一致性保护的出境原则,也即要求境外接收方处理个人信息的活动达到《个保法》规定的个人信息保护标准。

从历史沿革来看,个人信息出境限制大致可以分为三个发展阶段。早在十多年之前,我国就有了关于个人信息出境的限制性规定,例如《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知 (2011)》,但是这些早期规定都散见于各类行业规定中。直至2017年6月1日,《网安法》生效实施,首次从立法层面对个人信息出境作了限制,但仅适用于关键信息基础设施运营者(" CIIO"),要求CIIO因业务需要向境外提供个人信息需先经过安全评估。2021年11月1日,《个保法》生效实施,对个人信息出境作了全面的限制,要求所有个人信息出境必须通过安全评估、标准合同或认证。

二. 个人信息出境路径解读

(一) 概述

从现有法律框架看,我国个人信息出境必须通过以下三条路径之一:(1)安全评估:通过网信部门组织的安全评估;(2)标准合同:按照网信部门制定的标准合同与境外接收方订立合同;(3)认证:按照网信部门规定经专业机构进行个人信息保护认证。其中,安全评估强制适用于CIIO和处理个人信息达到网信办规定数量的公司的个人信息出境活动(详见下文),性质为行政许可。相关主体需要准备好材料提交给省级网信部门并经网信办审查,最终获得许可或禁止。标准合同适用于未达安全评估标准的个人信息出境活动。认证主要适用于未达安全评估标准的、关联公司之间发生的个人信息出境活动。

安全评估涉及两类评估:(1)企业风险自评估(需在申报数据出境安全评估前开展);(2)网信部门安全评估。标准合同涉及一类评估,也即《个保法》规定的个人信息处理者向境外提供个人信息应当事前进行的个人信息保护影响评估(" PIPIA")。

三者评估要点对比如下:

申报数据出境前的

企业风险自评估

网信部门组织的安全评估

标准合同路径下的

个人信息保护影响评估

数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性

数据出境的目的、范围、方式等的合法性、正当性、必要性

个人信息处理者和 境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;

/

境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响

境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响;

境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全

境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求

境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全;

出境数据的规模、范围、种类、敏感程度, 数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险

出境数据的规模、范围、种类、敏感程度

出境个人信息的数量、范围、类型、敏感程度, 个人信息出境可能对个人信息权益带来的风险;

数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险

出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险

个人信息出境后泄露、损毁、篡改、滥用等的风险,

个人信息权益维护的渠道是否通畅等

数据安全和个人信息权益是否能够得到充分有效保障

个人维护个人信息权益的渠道是否通畅等;

与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等是否充分约定了数据安全保护责任义务

数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务

/

/

遵守中国法律、行政法规、部门规章情况

/

其他可能影响数据出境安全的事项

国家网信部门认为需要评估的其他事项

其他可能影响个人信息出境安全的事项。

三种评估本质一致,都是通过对于数据处理活动的梳理来发现潜在的风险,判断所采取的管理措施是否充分,但也存在一定的区别。宏观层面,PIPIA以《个保法》为依据,仅衡量数据处理活动是否会对个人信息主体的权益造成损害或减损,不会涉及重要数据。而企业风险自评估、网信部门组织的安全评估以《网安法》《数安法》《个保法》为依据,会涉及重要数据。微观层面,三者的评估要点整体差别不大,但略有区别,例如网信部门组织的安全评估关注境外接收方所在国家或者地区数据保护安全、个人信息保护政策的影响;境外接收方的数据保护水平是否达到我国法律、行政法规和强制性国家标准的要求;境外接收方遵守我国法律法规的情况。另外两项评估关注数据出境对国家、个人信息权益造成的影响(详见上表斜体内容)。

为指导、规范企业开展申报数据出境前的风险自评估工作,网信办于8月31日发布了《数据出境风险自评估报告(模板)》。模板包括"自评估工作简述"、"出境活动整体情况"、"拟出境活动的风险评估情况"和"出境活动风险自评估结论"四个部分,每一部分都逐项列明了具体内容要求。"拟出境活动的风险评估情况"要求说明的内容与《安全评估办法》中的评估要点一致;"出境活动整体情况"的具体要求或可对企业开展PIPIA提供参考。另外,模板明确,此类自评估活动必须在申报前3个月内完成。

开展上述评估有三个关键的时间节点:2022年9月1日、2022年12月1日、2023年2月28日。具体而言,虽然规定安全评估强制申报义务的《安全评估办法》9月1日生效,并预留了6个月的整改期(即2023年2月28日届满),但是,从实务角度出发,企业至少应在2022年12月1日前,通过自评估对是否需要申报安全评估进行判断。如确实应当提交网信部门进行评估,则应在2023年2月28日前完成各项准备工作,并提交申报。

(二) 强制申报路径:安全评估

不同于标准合同和认证,安全评估强制适用于CIIO和处理个人信息达到网信办规定数量的公司的个人信息出境活动。这里的"网信办规定数量"具体是指:(1)处理100万人以上个人信息;(2)自上年1月1日起累计向境外提供10万人个人信息;或(3)自上年1月1日起累计向境外提供1万人敏感个人信息。后两者为动态标准,累计两年清零。累计的具体计算方法有待进一步解释,例如向多个境外接收方传输同一个人的个人信息是否仍算是向境外提供一个人的个人信息,而非多个人的个人信息。

关于安全评估的实体和程序要求,《安全评估办法》作了详细的规定,流程图示如下:

1227828a.jpg

由于安全评估属于行政许可,申报主体可在收到评估结果后15日内向网信办申请复议,复议结果为最终结论。评估有效期为2年,但在数据目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全,延长个人信息境外保存期限等情况下,仍需要重新申报评估。

为指导、规范企业申报数据出境安全评估,网信办于《安全评估办法》生效的前一天,也即2022年8月31日,发布了《安全评估申报指南》。指南进一步明确了数据出境行为的具体情形(包括境外访问),以及申报材料的具体要求(形式:书面+电子;内容:4项身份/授权文件+申报书+出境合同或其他法律文件+自评估报告+其他),并在附件中提供了包含数据出境安全评估申报表(含填表说明)、风险自评估报告在内的4个模板。另外,指南还提供了申报咨询的电子邮箱和联系方式。

申报表模板的内容包括:数据处理者和境外接收方的基本信息、数据出境业务描述、目的、方式和链路、拟出境数据情况(含数据类型、敏感程度、数据规模、涉及行业/领域、涉及自然人数量和涉及重要数据数量)以及与数据处理、保存、转移、应急处置等相关的6项具体内容对应的法律文件中的条款(实际对于出境合同内容作了基本要求)。

(三) 自主管理路径:标准合同和认证

标准合同和认证是个人信息出境合规的两条自主管理路径,均仅可在未达安全评估申报标准时适用。就认证而言,网信办尚未发布实施细则,认证机构、认证程序尚不明确,落地仍需较长时间;且从信安标委发布的非强制性《认证指南》来看,认证的适用范围主要限于关联公司之间的个人信息出境,因此此处不作详细解读。就标准合同而言,尽管网信办目前仅发布了相关征求意见稿,标准合同文本及规定尚未最终确定;但考虑到该路径在实践中最受欢迎、应用最广(成本及难度低、便捷),且已有较成型的规则,下文对此也作简要介绍。

在适用范围方面,标准合同适用于安全评估强制申报以外的个人信息出境场景。适用企业的具体标准与《安全评估办法》相衔接,也即(1)处理个人信息不满100万人;且(2)自上年1月1日起累计向境外提供未达到10万人个人信息;且(3)自上年1月1日起累计向境外提供未达到1万人敏感个人信息。

在前置程序方面,采用标准合同路径向境外提供个人信息,需要先进行PIPIA。评估要点之一"境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响"或意味着需要境外接收方所在国家或地区的专业机构先对此出具法律意见,再由中国律师结合中国法的要求出具最终意见。

在争议解决适用法律和管辖方面,标准合同要求适用中国法,由中国法院管辖,或由缔约方选择的《承认及执行外国仲裁裁决公约》(纽约公约)成员国的仲裁机构仲裁。我们理解,现实中,大部分的境外接收方可能会选择仲裁,由此产生的实务难题可能包括具体选择哪个司法辖区、适用什么语言、适用何种仲裁程序等。

三. 实务点睛:跨国公司是否有必要单独签署中国版标准合同?

新规的出台意味着存在个人信息出境场景的企业需要进行合规调整。实践中,跨国公司常提出的一个问题是:若跨国公司已根据GDPR的要求,起草了标准合同条款(SCC),并在全球范围内执行数年,那么《标准合同规定》正式颁布后,是否仍有必要重新签署符合中国法要求的标准合同。

对此,我们认为有必要重新签署符合中国法的标准合同,原因主要有两点:从目前的征求意见稿来看,一方面,中国版标准合同并非可融入商业合同的标准合同条款,而是一个订立方不得更改,只能在附录二中新增商业条款的完整合同;另一方面,中国版标准合同虽与欧盟SCC有一定的相似之处,但也有不少差别。

  • 宏观层面:中国版标准合同仅有1个版本,不同场景下传输方、接收方义务基本相同(委托处理场景下略有不同),且原则上只适用于签署标准合同的双方,境外接收方再向境外第三方提供,需取得单独同意并签署新合同;而欧盟SCC有4个版本,区分传输方和接收方可能的不同身份,不同模式下双方义务不同,且虽原则上只适用于签署方,但可通过对接条款使第三方加入。
  • 微观层面,中国版标准合同在"单独同意"要求、PIPIA评估要点、适用法律及管辖、境外接收方的义务等具体内容方面均与欧盟SCC存在较大差别。

另外,提示企业注意,关于采用何种模式签署标准合同,是将中国版标准合同作为跨国公司全球个人信息出境SCC的附件优先适用,以便总部统一管理,还是签署单独的中国版标准合同,需要结合备案要求和企业自身的商业考量进行选择。

四. 总结与展望

综上,当前我国个人信息出境必须通过安全评估、标准合同或认证三条路径之一,方可合法进行。其中,安全评估系强制申报义务,CIIO和处理个人信息达到法定数量的个人信息处理者向境外提供个人信息必须向网信部门提交申报。相关实施细则于2022年9月1日生效,整改过渡期为6个月。标准合同和认证系自主管理路径,前者适用于未达安全评估申报标准的个人信息出境情景,相关实施细则正处于征求意见阶段,有望于不久后出台;后者主要适用于未达安全评估申报标准的、关联公司之间的个人信息出境,相关实施细则尚未出台,实际落地可能还需要较长时间。

考虑到《个保法》严厉的处罚机制(最高罚款可达企业年营业额的5%)以及趋严的执法趋势(例如滴滴近期因违反《个保法》等被罚逾80亿元),建议企业密切关注监管动态、尽早咨询专业律师,至少在今年12月1日前完成自评估工作。如经评估发现相关个人信息出境行为触发强制申报义务,应在2023年2月28日前按照《安全评估申报指南》完成各项准备工作并提交安全评估申报;如经评估发现相关个人信息出境行为未触发强制申报义务,则应按照要求开展个人信息保护影响评估,并在《标准合同规定》正式稿颁布后,按照要求与境外接收方签订标准合同。

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.