菲律宾太阳集团33138a_太阳城33138._

申搏太阳城官网

导航

中伦观点

数据出境,企业应该怎么做 作者:高俊 杨瑾煜舟 2018-05-02

 

 

 

引言

 
 
 

近期,有不少企业就数据合规出境提出相关问题,希望寻求法律建议。虽然《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称“《评估办法》”)和《信息安全技术 数据出境安全评估指南(征求意见稿)》(以下简称“《评估指南》”)已经公开近一年,但鉴于我国过去关于数据跨境流动的“底层”法律较为零散,而上述两个文件又未正式实施,导致企业对数据合规出境的问题重视度不高,不少企业对相关规定及流程的认识仍处于相对空白的阶段。

 

从总体趋势上看,当今世界网络安全形势的日趋严峻,各国各地区对数据流动的监管诉求日益上升,这将使得数据合规出境成为企业(特别是涉外企业)未来合规运营的重要方面。从实践上看,欧盟方面,今年5月GDPR将正式生效,美国方面,《数据泄露预防和赔偿法案2018》、《小型企业促进网络安全增强法案2017》(草案)等一系列有关规定也相继被提上议程,这说明,在可预见的将来,企业在数据出境方面可能将面临多重(多国)监管的压力。

 

因此,本着未雨绸缪,帮助企业为将来合规运营打下坚实基础的目的,本文拟就《评估办法》和《评估指南》中涉及的主要问题为企业进行梳理与明确,以期对企业提出的关于中国法下数据出境的有关问题进行解答与回应。

 
 

 

适用范围

 

 

 

1

 
 

     数据持有者的适用范围

《网络安全法》第37条将适用范围限定于“关键信息基础设施的运营者”。但随后出台的《评估办法》与《评估指南》均将第2条将适用范围明确扩展为“网络运营者”,《评估指南》在范围的说明中保持了与《评估办法》的一致。需要注意的是,《评估办法》还规定“其他个人和组织在中华人民共和国境内收集和产生的个人信息和重要数据出境的安全评估工作参照本办法执行”,这也意味着,尽管适用《评估办法》的主体是网络运营者,但涉及其他个人和组织数据出境的安全评估工作,也应参照《评估办法》的有关内容。

 

 

2

 
 

数据本身的适用范围

根据《评估办法》,网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据属于被规制的数据。根据《评估指南》,个人信息(Personal Date)是指以电子方式或其他方式记录的能够单独或与其他信息结合识别自然人身份的各种信息,如姓名、出生日期、身份证号、个人账号信息、住址、电话号码、指纹、虹膜等(关于个人信息的范围和类别可参考《个人信息安全技术 个人信息安全法规范》)。重要数据(Important Data)是指相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据,包括原始数据和衍生数据(重要数据的具体范围可以参见《评估指南》附件A)。需要注意的是,经政府信息公开渠道合法公开的数据,不再属于重要数据。

 

 

3

 
 

     数据出境含义

根据《评估指南》,数据出境(Data Cross-border Transfer)是指网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外机构、组织或个人的一次性活动或连续性活动。

 

 
 

企业需要注意,以下三种情况,同样属于数据出境:

 

1) 向本国境内,但不属于本国司法管辖或为在境内注册的主体提供个人信息和重要数据(有疑问,但又不能给出确定性修改意见);

 

2) 数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息,网页访问除外);

 

3)网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。

 
 
 
 

另外,企业同样需要注意,以下两种情况,不属于数据出境:

 

1) 非在境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动或加工处理的,不属于数据出境;

 

2) 非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的,不属于数据出境。

 

最后,值得注意的是《评估指南》第一次征求意见中,关于数据出境的定义为“将在中华人民共和国境内收集和产生的电子形式的个人信息和重要数据,提供给境外机构、组织、个人的一次性活动或连续性活动。”而《评估指南》第二次征求意见中,受规制的数据不再局限于电子形式的个人信息和重要数据,出境的行为方式也被扩大为“通过网络等方式”。

 

 

4

 
 

     境内运营的含义

根据

《评估指南》

境内运营(Domestic Operation)是指网络运营者在中华人民共和国境内开展业务,提供产品或服务的活动。

 

需要注意

1) 未在中华人民共和国境内注册的网络运营者,但在中华人民共和国境内开展业务,或向中华人民共和国境内提供产品或服务的,属于境内运营。判断网络运营者是否在中华人民共和国境内开展业务,或向中华人民共和国境内提供产品或服务的参考因素包括但不限于:使用中文;以人民币作为结算货币;向中国境内配送物流等;

 

2) 中华人民共和国境内的网络运营者仅向境外机构、组织或个人开展业务、提供商品服务,且不涉及境内公民个人信息和重要数据的,不视为境内运营。

通过对适用范围的明确,不难发现,现阶段国家对数据出境的监管成趋严趋紧态势。具体来说:

 

(1)受规制主体广泛,“网络运营者”、“进给运营”、“个人信息和重要数据”的概念几乎可以实现各类在华企业及数据的全覆盖;

 

(2)受规制行为广泛,从条文本身上看,受规制的“数据出境”行为既包括了企业主动提供数据的行为,也包括了被动提供数据的行为(数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的)。

 

同时,除线上传输外,线下以物理携带等方式转移数据的行为同样可能受到规制。

 

 

评估流程

 

网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当进行安全评估。数据出境安全评估首先应当评估数据出境的目的;数据出境目的不具有合法性、正当性和必要性,不得出境。在此基础上数据出境安全评估应当评估数据出境的安全风险,将数据出境及再转移后被泄露、损毁、篡改、滥用等风险有效降低至最低限度。

 

数据出境安全评估分为两种,一种是安全自评估,另一种是主管部门评估。

 

 

1

 
 

安全自评估

 

网络运营者应当每年开展安全自评估,满足以下条件之一时应当启动评估:

 

1) 涉及数据出境的;

 

2) 关键信息基础设施运营者进行数据出境之前的;

 

3) 已完成数据出境安全自评估的产品或业务所涉及的个人信息和重要数据出境,在目的、范围、类型、数量等方面发生较大变化、数据接收方变更或发生重大安全事件的;

 

按照行业主管或者监管部门要求启动的。

 
 

在数据出境安全自评估启动后,数据出境安全自评估工作组[1]审查数据出境计划,对个人信息与重要数据依照流程进行评估,并形成评估报告。数据出境满足上报要求的,评估报告应按照要求报送国家网信部门、行业主管部门。数据出境需获得国家网信部门、行业主管部门同意的,应在数据出境前将评估报告按要求报送国家网信部门、行业主管部门,并获得其同意。对评估结果为可以出境的,依照出境计划进行出境,对评估结果禁止出境的,提出出境计划修改建议,业务部门修改出境计划,降低数据出境安全风险后,重新进行评估。 

 

2

 
 

主管部门评估

 

国家网信部门、行业主管部门根据数据出境类型、数量、范围、重要程度等,酌情组织开展主管部门评估。具有下列情形之一的,国家网信部门、行业主管部门可启动主管部门评估:

 

1)      一年内出境的个人信息数量达到国家网信部门、行业部门上报要求的[2]

 

2)      包含核设施、生物化学、国防军工、人口健康等领域数据,大型工程活动、还有环境、敏感地理信息数据,以及其他重要数据的;

 

3)      涉及关键信息基础设施的安全缺陷、具体安全防护措施等网络安全信息的;

 

4)      关键基础设施运营者数据出境的;

 

5)      其他可能影响国家安全、经济发展和社会公共利益的;

 

6)      大量用户投诉、举报的;

 

7)      全国行业协会建议的;

 

其他经国家网信部门、行业主管部门认定有必要启动主管部门评估的。 

 
 

在数据出境主管部门评估启动之后,国家网信部门、行业主管部门确定主管部门评估范围,制定主管部门评估方案,并成立主管部门评估工作组。网络运营者按要求向主管部门评估工作组提交相关材料,材料包括安全自评估报告以及相关证明资料等。主管部门评估工作组根据主管部门评估方案,通过远程监测、现场检查等方式进行主管部门评估并形成主管部门评估报告。专家委员会对主管部门评估工作组做出的主管部门评估报告、安全自评估报告进行审议并给出是否同意数据出境的建议。国家网信部门、行业主管部门根据专家委员会建议做出决定。

 

关于数据出境安全自评估/主管部门评估中的数据出境计划制定/主管部门评估方案制定、自评估方法、评估报告以及评估的检查与修正等具体要求及内容,企业可以参考《信息安全技术 数据出境安全评估指南》及其他相关法律法规、国家标准等的规定进行参照。

 

 

评估要点

 

 

 

1

 
 

出境目的评估

数据出境计划中出境目的应同时满足合法性、正当性和必要性的要求。

 

合法性包括数据出境目的不属于法律法规明令禁止的,不属于国家网信部门、公安部门、安全部门等有关部门认定不能出境的。

 

正当性包括个人信息主体已经同意,且不违反相关主管部门规定的情况。

 

必要性主要包括履行合同义务所必需的、同一机构、组织内部开展业务所必需的、我国政府部门履行公务所必需的、履行我国政府与其他国家地区、国际组织签署的条约、协议所必需的、其他维护网络空间主权和国家安全、经济发展、社会公共利益和保护公民合法利益需要的。

 

 

2

 
 

安全风险评估

评估数据出境的安全风险,应综合考虑出境数据的属性和数据出境发生安全事件的可能性及影响程度。

 

从数据属性来看,个人信息数据应从数据类型、数量、范围、敏感程度和技术处理等角度进行评估。重要数据应从数据类型、数量、范围和技术处理等角度进行评估。

 

从数据出境安全事件的可能来看,应从发送方数据出境的技术和管理能力、数据接收方的安全保护能力、采取的措施,以及数据接收方所在国家或区域的政治法律环境等角度进行评估。

 

关于数据出境评估中个人信息、重要数据、数据出境的技术和管理能力、数据接收方的安全保护能力、采取的措施,以及数据接收方所在国家或区域的政治法律环境等内容的具体评估要求及细节,企业可以参考《信息安全技术 数据出境安全评估指南》及其他相关法律法规、国家标准等的规定。

 

 

企业面临的挑战

 

尽管随着科技的发展与信息共享需求的增加,数据的价值日益被得到认可,数据在全球范围内的跨境流动增长迅速也日渐频繁。但与这个趋势相反,各国政府出于国家和社会安全等考虑,更多倾向于对数据出境进行规制与掌控。因此,尽管《评估办法》和《评估指南》还未正式生效,且经过有关机关和部门的斟酌后,不排除现有内容会有所变更可能,但是国家对数据合规的监管趋势不会改变,甚至在监管初期,监管要求与内容大概率是趋严趋紧的。

 

有鉴于此,企业在数据合规方向,特别是跨国企业,应当开始逐渐筹划与组建属于自己的数据合规团队。合规团队应该根据国内外相关法律法规及要求,结合企业自身技术条件、业务需求等内容,系统化、全面化地对企业数据及数据资源进行管理。否则,对数据合规的轻视,不但会使企业陷入合规的泥潭,更可能导致企业错失数据时代的发展机遇。

注:

[1] 网络运营者应建立数据出境安全自评估工作组,工作组主要包含法务、政策、安全、技术、管理相关专业人员。数据安全自评估工作组应负责审查业务部门提交的数据出境计划,并定期对数据出境开展检查、抽查。

 

[2]根据《个人信息和重要数据出境安全评估办法(征求意见稿)》出境数据含有或累计含有50万人以上的个人信息,或数据量超过1000GB的,网络运营者应报请行业主管或监管部门组织安全评估。

 

参考文献

 

  1. 《中华人民共和国网络安全法》

  2. 《个人信息和重要数据出境安全评估办法(征求意见稿)》

  3. 《信息安全技术 数据出境安全评估指南(征求意见稿)》

  4. 《羌笛何须怨杨柳,春风“已”度玉门关—<网络安全法>元年纪要及展望》,

  5. 《你的数据,能不能走出国门》《浅析跨境运营企业的服务器部署及个人信息数据出境》

  6. 《浅析跨境运营企业的服务器部署及个人信息数据出境》

  7. 《<数据出境安全评估指南>(草案)解读》

  8. 《管窥<个人信息和重要数据出境安全评估办法(征求意见稿)>:规范的梳理与探讨》

  9. 《<个人信息和重要数据出境安全评估办法(征求意见稿)>实现了安全和发展的平衡》

  10. 《数据出境监管新规正在酝酿,跨国企业将迎来多少挑战》

  11. 《数据出境“安检”指南渐行渐近:<信息安全技术 数据出境安全评估指南(草案)>简析》