目录
引言
一、 我国数据跨境相关的立法现状
二、 我国数据出境的三种路径及路径选择
三、 结合“数据20条”理解我国数据跨境发展趋势
四、 中国企业跨境数据合规的应对之道
引言
随着数字经济时代的到来,数字跨境转移规则设计引起各国重视,但由于各国数字产业发展程度以及价值取向的不同,导致各国制定规则的理念存在差异。因此,在多重数据规则框架内,如何既遵守数据法规,又满足企业发展需要、降低企业经营风险,成为如今我国数字企业走向世界的一道难题。本文将基于现有的数据跨境规则以及“数据20条”的部分解读,探究当下跨境合规监管的本质和趋势,帮助数字企业合规、安全的“走出去”。
一、我国数据跨境相关的立法现状
我国以《网络安全法》、《数据安全法》、《个人信息保护法》为基础,构建了数据本地化存储原则与数据出境安全评估机制的数据跨境治理法律体系。
由于上述三部法律仅对数据出境安全评估进行了原则性规定,并未涉及数据出境安全评估的标准、程序等制度规范,我国先后颁布多部配套规范,具体落实数据出境安全评估机制。目前主要参考的配套规范包括《数据出境安全评估办法》、《数据出境安全评估申报指南(第一版)》、《网络数据安全管理条例(征求意见稿)》(简称《网安条例(征求意见稿)》)等。其中,《数据出境安全评估办法》和《数据出境安全评估申报指南(第一版)》已于2022年9月正式施行,进一步明确了数据出境安全评估的监管主体、评估对象和实施流程等内容。
其他个人信息出境路径,可以参照《个人信息出境标准合同办法》(下称《标准合同办法》)、《网络安全标准实践指南—个人信息跨境处理活动安全认证规范 V2.0》(下称《认证规范 V2.0》)、《个人信息保护认证实施规则》进行。《标准合同办法》是网信办于 2023 年 2 月 24 日发布、将于 2023 年 6 月 1 日施行,该办法对数据出境主体向境外提供个人信息时在何种条件下才应与境外接收方签订标准合同作出了规定,同时也提供了标准合同模板。《认证规范 V2.0》是信安标委在2022 年 12 月 16 日发布的,与2022年11月4日发布并实施的《个人信息保护认证实施规则》形成联动。该认证规范旨在明确该认证机制的适用情况、专业机构认证的依据以及通过认证需要遵守的规则。
二、我国数据出境的三种路径及路径选择
《数据出境安全评估办法》对数据出境明确定义为:“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息”,具体包括三种情形:“一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外;二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;三是国家网信办规定的其他数据出境行为。”
若数据应用场景符合上述定义,则进行下一步数据出境路径对比及选择。数据出境的每条路径都涉及不同的程序和要求,其中,“数据出境安全评估”具有法定强制性,一旦触发评估要求,应优先适用。只有在未触发安全评估的情况下,才可选择“保护认证”或“标准合同”作为出境的合法依据。三种路径具体对比如下:
比对《数据出境安全评估办法》和《标准合同办法》的要求,企业选择数据出境合规路径分两种情况:
(一)如企业存在向境外跨境传输重要数据的情况,则选择申报数据出境安全评估为其唯一安全保护机制;
(二)如涉及个人信息出境的情况,企业选择跨境传输安全保护机制需要重点考虑如下四点因素:
(1)个人信息处理者是否被认定为 CIIO;
(2)处理的个人信息所对应的主体是否超出 100 万人;
(3)累计向境外提供的个人信息所对应的主体是否达到 10 万人以上(自上年 1 月 1 日起);
(4)累计向境外提供的敏感个人信息对应的主体是否达到 1 万人以上(自上年 1 月 1 日起)。
如果上述四点均为否,则企业则可结合实际情况选择“标准合同”或“保护认证”作为出境路径。否则,但凡有一个答案为“是”,则个人信息向境外传输前必须通过申报数据出境安全评估后方能进行。
以上数据出境定义及路径选择涉及的概念解释如下:
1.数据处理者
是指在数据处理活动中自主决定处理目的、处理方式的组织、个人,是否具有自主决定权是判断主体是否为数据处理者的关键要素;受托处理的,不属于数据处理者。
2.境内及跨境
现行法律法规没有明确规定数据处理过程中涉及“境内”的概念,但网信办发布的《网数条例(征求意见稿)》第十三条提出“数据处理者赴香港上市,影响或者可能影响国家安全的”需按有关规定申报网络安全审查。从侧面可以看出国家在数据跨境处理上以保证数据安全为主,对于“境内”的含义也倾向于“关境内”(不包括港澳台地区)的角度进行解释,即由中国大陆向港澳台地区传输的数据的行为属于“跨境”行为。
同时,根据《安全评估指南(征求意见稿)》第 3.7 条注释 1 的规定,向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据,也属于数据出境的情形。由此可以看出对于数据“跨境”的判断,并不仅指跨越“关境”,更着重于强调境外主体是否属于“本国司法管辖”或“境内注册”。其判断标准更偏重“属人原则”而非“属地原则”。因而,实践中境外员工或人员出差到境内,访问境内系统或在境内接收数据属于数据跨境传输的范围。
3.境内运营
对于“境内运营”的概念,根据信安标委于2017年发布的《安全评估指南(征求意见稿)》中规定,指网络运营者在中国境内开展业务,提供产品或服务的活动。其判断依据不以企业是否在境内注册,而关注企业是否向境内开展业务,或向境内提供产品或服务。实践中,境内运营者向境外开展业务、提供商品或服务,但不涉及收集境内数据的,不视为境内运营。
4.重要数据
《数据出境安全评估办法》第十九条对重要数据进行了定义,即重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
5.个人信息及敏感个人信息
《个人信息保护法》规定,个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息;《网络安全法》规定,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。
根据《个人信息保护法》,敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。《信息安全技术 个人信息安全规范》(GB/T 35273—2020)作为推荐性国家标准,在附录 B 中列举了部分敏感个人信息类型。
6.关键信息基础设施(下称“CII”)和关键信息基础设施的运营者(下称“CIIO”)
根据《网络安全法》第三十一条,CII 所涉的重点行业和领域包括:公共通信和信息服务、能源、交通、水利、 金融、公共服务、电子政务,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的行业和领域。《保护条例》第二条则在《网络安全法》的基础上进一步补充,提出 CII 范围包括:“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”
此外,根据公安部发布的《指导意见》,“基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象”有可能会被纳入 CII。
当一个企业的属性落入到上述所列法规要求的 CII 所涉及的重点行业时,只有该企业的关键核心业务一旦遭到破坏、丧失功能或者数据泄露对国家安全、社会稳定带来危害的,相关的网络设施、信息系统极大可能会被认定为 CII。
企业在识别出关键业务和 CII 之后,应当根据关键业务对信息化的依赖程度和依赖关系进行系统评估,梳理支撑同一关键业务的 CII 分布和运营情况,以明确对应到具体的 CIIO。从《网络安全审查办法》《指导意见》到《保护条例》,均明确了 CII 及 CIIO 的认定工作由各自行业的主管部门负责,所以企业是否属于我国认定的 CIIO 主要取决于主管机构的判定和通知。
7.人数计算
100万、10万和1万的数量计算以“人”为单位,而非以“人次”或“条数”为单位。
企业在计算人数时,应在充分识别数据出境场景后,全面考虑数据处理流程中所涉及的相关方,不仅需要计入 C 端用户数量,也应计入内部员工及客户、供应商等 B 端联系人的数量。
另外,统计个人信息数量的时间点为出境时该个人信息传输的数量,即便出境后企业对该信息进行了匿名化处理乃至删除处理,但出境后个人信息的匿名化处理并没有改变其出境时仍为敏感个人信息的事实,依然不减少已经出境的个人信息数量,仍需要在出境前进行安全评估。
8.其他
“提供数据”包括主动提供和被动提供,主动提供是将境内运营收集的数据传输、存储至境外;被动提供是指收集和产生的数据存储在境内,境外机构、组织或/和人员可以查询、调取、下载和导出。公开网页的访问不属于出境。相同的个人信息同时存在主动提供、被动提供的,在统计数据出境人数时不重复计算。
三、结合“数据20条”理解我国数据跨境发展趋势
2022年12月19日,《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》(下称“数据20条”)对外发布。
该意见除了针对数据安全、个人信息保护、数据跨境流动等核心要点提出了要求和意见,还确立了促进数据流动的原则——“深化开放合作,实现互利共赢。积极参与数据跨境流动国际规则制定,探索加入区域性国际数据跨境流动制度安排。推动数据跨境流动双边多边协商,推进建立互利互惠的规则等制度安排。鼓励探索数据跨境流动与合作的新途径新模式”。
同时,在“数据20条”中的实施层面,明确提出“建立合规高效、场内外结合的数据要素流通和交易制度,构建数据安全合规有序跨境流通机制”。
由此可见,我国接下来的数据跨境流动立法和监管执法的工作重点在于探索更适用全球化的数据跨境框架,加强国际合作。
实践方面,我国在加强跨境数据国际合作,推动数字经济健康发展方面也做了很多工作。
首先,我国通过加入国际组织,与其他国家一道解决跨境数据问题,促进合作与发展。我国现已加入世界贸易组织(WTO)、联合国贸易和发展会议(UNCTAD)、亚太经合组织(APEC)等多个与跨境数据相关的国际组织。
其次,我国通过双边和多边会谈、磋商、谈判等多种渠道,积极推动国际跨境数据对话与合作,并签署了一系列包含数字经济规则的国际经贸协定。例如,中国和欧盟就数据保护和跨境数据流动举行了多轮会谈、加入了《区域全面经济伙伴协定》(RCEP)、签署了《中国-澳大利亚自由贸易协定》《中国-韩国自由贸易协定》等、于2021年9月16日正式申请加入《全面与进步跨太平洋伙伴关系协定》(CPTPP)、于2021年11月1日正式申请加入《数字经济伙伴关系协定》(DEPA)等。
最后,粤港澳大湾区借助“一个国家、两种制度、三个关税区、三种货币”的特殊制度,以及庞大的数据跨境流动应用场景和基础设施,开展数据跨境流动测试平台,以率先探索制定数据跨境流动规则。
四、中国企业跨境数据合规的应对之道
当前,数据跨境合规既是数字企业应当履行的社会责任,也是打造企业核心竞争力、开拓海外市场的重要保障。如何规避风险、把握机遇,是值得每一个数字企业深入思考的问题。结合上文,数字企业应坚持规范与发展并重,多维度多层次推行数字企业数据跨境合规治理。
(一)根据当前法律规定,有效落实数据出境的合规工作
面对日趋严格的数据监管形势,数字企业必须充分认识数据合规的重要性和必要性,以实际问题为导向建立数据合规工作制度,并立足于数据合规风险和特定业务场景进行针对性制度设计。例如,对企业内部涉及数据跨境流程的相关人员的分工、职责及具体业务操作方式提供明确指引,细化数据使用的权限审批及管理控制,或建立常态化数据合规自评估制度,定期开展数据合规风险自我审查,保障数据合规工作制度的有效实施。
(二)树立科学系统的合规理念,密切关注国内国外数据合规监管动态
数字企业应密切关注数据合规监管动态。国内方面,除了参照目前已施行的《数据出境安全评估办法》等文件开展内部合规自查,还需重点关注行业主管部门结合本行业实际出台的网络安全和数据合规监管新规。
国际方面,如上文所述,我国目前越发强调跨境数据国际合作,近年来我国积极参与全球数字经济治理,签署了一系列包含数字经济规则的国际经贸协定,加入或申请加入数据跨境相关的区域协定。故此,数字企业既要根据我国已签订的国际双边或多边协定加强合规管理,又要密切关注CPTPP、DEPA等我国尚未加入的国际协定的谈判进展,提前把握国际规则环境变化。
另外,我国数字企业面临外国政府歧视性贸易待遇和不正当打压风险,例如:特朗普政府封禁TikTok事件、美国白宫国家安全委员会发布《临时国家安全战略方针》把应对中国的挑战列为八大战略优先事项之一。此外,国内国外监管法律规则冲突也会导致企业陷入困境,例如:多家中概股企业(京东、网易、中通快递等)因中美法律冲突及上市公司信息安全责任等原因被迫赴港二次上市。我国数字企业尤需关注各国行政监管和诉讼程序,避免因国家间法律规则冲突造成企业数据合规困境。
(三)建立复合型合规人才队伍
由于数据合规治理具有显著的多学科跨领域特征,数字企业既需要法律专业人才强化风险导向、降低法律风险,又需要技术人才从事数据合规技术研发,提升数据合规智能化水平。为此,复合型数据合规人才队伍建设尤其必要。实践课可参考以中兴通讯为代表的法律专业模式,即合规团队主要为法律专业背景人员;或者以华为为代表的技术专业模式,即合规团队主要为通信、计算机等技术专业背景人员。
数据合规部门有必要定期召集各个职能部门,共同了解企业当前的数据安全与合规现状,从业务战略与目标出发,明确整理出数据合规的关键需求;在整体的信息化规划下进行数据合规体系、架构等具体制度的设计规划,并在落实数据合规的相关制度时,注重实施情况的反馈与制度的持续性改进。
作者简介
张琬琳
北京德和衡(上海)律师事务所执业律师
张琬琳律师,北京德和衡(上海)律师事务所国际业务部执业律师,有中、美两国法学院双学位,曾任职上市公司法务。
专注于研究数据跨境、企业合规、国际贸易与金融等领域,熟悉中美两国的法律制度,致力于为客户提供优质的国际业务法律服务。