随着我国数据治理规范的慢慢地增加,对于有数据跨境需求的企业而言,在面对各类繁复的规则与冗长的法律条文时常有困惑,哪些信息是真正意义上的个人隐私信息?哪些信息的跨境流动属于被监管的范畴?企业跨境数据传输应如何明智的选择合规方案?哪一些原因是在业务过程中抉择和权衡时作为重点考量?等等。
本文以个人隐私信息和跨境行为的法律内涵作为起点,对最新公布的《个人隐私信息出境标准合同办法》进行要点解读和梳理,形成对三种数据跨境传输方案的梳理和适用要点分析,希望对有了解跨境传输需求的数据企业及机构起到一定的帮助,为企业此类业务规范发展提供更好的安全保障。
2023年2月底,国家互联网信息办公室公布《个人隐私信息出境标准合同办法》(以下简称“办法”),明确了个人隐私信息出境标准合同的订立、参与方基本权利义务等细节要求,为《个人隐私信息保护法》下的个人隐私信息跨境方式之一的标准合同提供了中国方案。
按照《个人隐私信息保护法》第三十八条的规定,个人隐私信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备以下条件之一:
(三)依照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
简而言之,个人隐私信息跨境传输目前可适用的主要是三种方式,即通过网信部门组织的安全评估,或者经专业机构进行个人隐私信息保护认证,或者签署标准合同,而本次国家互联网信息办公室公布的《个人隐私信息出境标准合同办法》即为上述第三种方案。
个人隐私信息,顾名思义,应是与个人相关的信息,但在法律层面个人隐私信息的界定则更为细致严谨,尤其是涉及到区分个人隐私信息和个人敏感信息的相关概念时。《个人隐私信息保护法》中对“个人隐私信息”的定义是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。以上概念强调了信息对特定自然人的识别程度,包含了能够反映出特定自然人相关特征和活动情况的各种信息。
参照《信息安全技术与个人信息安全规范》的国家标准,通常判定某项信息是否属于个人信息时,应主要参考两种因素;
第一是识别,即从信息到个人,根据信息本身的特殊性来判断能否识别出特定自然人,个人隐私信息应有助于识别出特定个人。
第二是关联,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、通话记录、浏览记录等)即为个人信息。
个人姓名、生日、性别、民族、国籍、家庭关系、住址、个人电话号码、电子邮件地址等
个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等,以及与个人身体健康情况相关的信息,如体重、身高、肺活量等
个人职业、职位、工作单位、学历、学位、教育经历、工作经历、培训记录、成绩单等
银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息
通信记录和内容、短信、彩信、电子邮件,以及描述个人通信的数据(通常称为元数据)等
指通过日志储存的个人隐私信息主体操作记录,包括网站浏览记录、软件使用记录、点击记录、收藏列表等
指包括硬件序列号、设备地址、软件列表、唯一设备识别码等在内的描述个人常用设备基本情况的信息
在明确了个人隐私信息的法律概念后,接下来我们应该考虑的一个问题是,是否所有个人隐私信息有关数据的出境均会被认定为个人隐私信息的出境行为?
《个人隐私信息出境安全评估办法》对此作出明确规定,个人信息出境是指网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息。
“境内运营”是指网络运营者在中华人民共和国境内开展业务,提供产品或服务的活动。无论是不是为注册在中华人民共和国境内的网络运营者,如在中华人民共和国境内开展业务,或向中华人民共和境内提供产品或服务的,即属于境内运营。个人隐私信息以地理边境作为范围划定标准也与欧盟、日本等国家或国际组织对数据出境的行为认定的核心内涵一致。
判断网络运营者是否在中华人民共和国境内开展业务,或向中华人民共和境内提供产品或服务的参考因素包括但不限于:使用中文;以人民币作为结算货币;向中国境内配送物流等。
(1)对于产生和收集于境外的个人隐私信息,只是在我国中转出境,并不涉及在境内运营、未经过任何变动和加工处理的;
(2)非在境内运营中收集和产生的个人隐私信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人隐私信息和重要数据的;
(3)在境内的网络运营者仅向境外机构、组织或个人开展业务、提供商品或服务,且不涉及境内公民个人隐私信息和重要数据的,不视为境内运营。
(2)数据出境给国家政治、经济、科技、国防等安全带来风险,可能会影响国家安全、损害社会公共利益;
办法提供的个人隐私信息出境标准合同模版共计18页,包含九条主要条款,通过模版化的合同明确各方权利义务,核心内容包括:
包括个人隐私信息的处理目的、解决方法、出境个人隐私信息的规模、出境个人隐私信息种类、出境敏感个人隐私信息种类、传输方式、储存期限、保存地点等
个人隐私信息处理者的义务,包括完成个人隐私信息保护影响评估和确保境外接收方采取的合同中列举的具体技术和管理措施等,以履行合同义务
境外接收方的义务,包括保障个人隐私信息处理的方式、对个人隐私信息发生篡改、破坏、泄露、丢失、非法利用等情形下具体开展的工作内容等;
境外接收方应指定一个联系人,授权答复有关个人隐私信息处理的询问或投诉,并及时处理;
个人隐私信息主体享有的权利,要求行使相关权利的主张方式,主张被拒绝后的主要救济途径等
● 处理原则:坚持自主缔约与备案管理相结合、保护权益与防范风险相结合,保障个人隐私信息跨境安全、自由流动。
个人隐私信息处理者向境外提供个人隐私信息前,应当开展个人隐私信息保护影响评估,重点评估以下内容:
(一)个人隐私信息处理者和境外接收方处理个人隐私信息的目的、范围、方式等的合法性、正当性、必要性;
(二)出境个人隐私信息的规模、范围、种类、敏感程度,个人隐私信息出境可能对个人隐私信息权益带来的风险;
(三)境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人隐私信息的安全;
(四)个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
(五)境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;
关于个人信息保护影响评估,这里的相关规定也是对《个人信息保护法》第五十五条和第五十六条的细化,个保法中对个人信息保护影响评估最重要的包含个人隐私信息的处理目的、解决方法等是不是合乎法律、正当、必要;对个人权益的影响及安全风险;以及所采取的保护的方法是不是合乎法律、有效并与风险程度相适应。而在个人隐私信息出境标准合同的范畴下,除了以上内容,还对于境外接收方的义务、当地法规政策对合同履行的影响以及个人隐私信息维权渠道的相关事宜进行了约定。
(一)出境的详细情况,包括个人隐私信息处理目的、传输个人隐私信息的种类、规模、范围及敏感程度、传输的规模和频率、个人隐私信息传输及境外接收方的保存期限、境外接收方此前类似的个人隐私信息跨境传输和处理相关经验、境外接收方是否曾发生个人信息安全相关事件及要不要进行了及时有效地处置、境外接收方是否曾收到其所在国家或者地区公共机关要求其提供个人隐私信息的请求及境外接收方应对的情况。
(二)境外接收方所在国家或者地区的个人隐私信息保护政策和法规,包括该国家或者地区现行的个人隐私信息保护法律和法规及普遍适用的标准;该国家或者地区加入的区域性或者全球性的个人隐私信息保护方面的组织,以及所作出的具有约束力的国际承诺;该国家或者地区落实个人隐私信息保护的机制,如是不是具备个人隐私信息保护的监督执法机构和相关司法机构等。
基于合同的评估义务与个人隐私信息保护影响评估既一脉相承又更为细化,在对出境的详细情况评估时,除了考察境外接收方履行义务的管理和技术措施、能力,还要求考察其个人隐私信息安全相关事件的处置历史,由此更全面地评估境外接收方的个人隐私信息保护领域的信用和能力。而对于当地个人隐私信息保护相关的政策法规的评估也列举了非常清晰、全面、明确的评估内容,个人信息处理者需要在信息跨境传输前做好充足的合规背景调查和评估工作。
● 境外接收方所在国家或地区个人隐私信息保护政策和法规发生明显的变化会对合同产生怎样的影响?
(一)在标准合同有效期内出现该情形的,个人隐私信息处理者应当重新开展个人隐私信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续;
(二)境外接收方所在国家或地区个人信息保护政策和法规发生明显的变化导致境外接收方无法履行该合同的,个人隐私信息处理者可以暂停向境外接收方提供个人隐私信息,直至违约行为被改正,或者合同被解除。
注:上述情形下如暂停超过1个月,个人信息者有权解除合同,并在必要时通知监督管理的机构,并且境外接收方也可以解除合同。
因此,目前来看如果境外接收方所在国家或地区个人隐私信息保护政策和法规发生明显的变化可能会影响个人隐私信息权益的,个人隐私信息处理者首先要重新完成个人信息保护影响评估,如有必要的话需修改合同并重新完成备案手续。如果相关变化影响程度较高,导致境外接收方无法继续履约,则有1个月的暂停期用于纠正违约行为,如仍无法继续履约则双方均有权解除合同,个人信息处理者还需“在必要时通知监督管理的机构”,具体必要的程度需结合具体情形及相关法律和法规综合研判。
有效期届满需要继续开展数据出境的,需要在到期前60个工作日前重新申报评估
(二)关键信息基础设施运营者和处理100万人以上个人隐私信息的数据处理者向境外提供个人隐私信息;
(三)自上年1月1日起累计向境外提供10万人个人隐私信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(二)申请认证的个人信息处理者应取得合法的法人资格,正常经营且拥有非常良好的信誉、商誉。
(三)跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人隐私信息跨境处理活动可由境内一方申请认证,并承担法律责任。
(四)《中华人民共和国个人隐私信息保护法》第三条第二款规定的境外个人隐私信息处理者,可由其在境内设置的专门机构或指定代表申请认证,并承担法律责任。
个人隐私信息处理者通过订立标准合同的方式向境外提供个人隐私信息的,应当同时符合下列情形:
个人隐私信息处理者应对拟向境外接收方提供个人隐私信息的活动开展个人信息保护影响评估,并形成个人信息保护影响评估报告,评估报告至少保存3 年。
(一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
(二)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
(四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
(五)与境外接收方拟订立的数据出境相关合同或者其他具有法律上的约束力的文件等(以下统称法律文件)是否充分
(一)个人隐私信息处理者和境外接收方处理个人隐私信息的目的、范围、方式等的合法性、正当性、必要性;
(二)跨境处理个人隐私信息的规模、范围、类型、敏感程度、频率,个人隐私信息跨境处理可能对个人隐私信息权益带来的风险;
(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障跨境处理个人隐私信息的安全;
(四)个人隐私信息跨境处理存在的泄露、损毁、篡改、滥用等的风险,个人维护个人隐私信息权益的渠道是否通畅等;
(五)境外接收方所在国家或者地区的个人隐私信息保护政策法规对履行个人隐私信息保护义务和保障个人隐私信息权益的影响;
(一)个人隐私信息处理者和境外接收方处理个人隐私信息的目的、范围、方式等的合法性、正当性、必要性;
(二)出境个人隐私信息的规模、范围、种类、敏感程度,个人隐私信息出境可能对个人隐私信息权益带来的风险;
(三)境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人隐私信息的安全;
(四)个人隐私信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
(五)境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;
(一)出境的详细情况,包括境外接收方此前类似的个人隐私信息跨境传输和处理相关经验、境外接收方是否曾发生个人隐私信息安全相关事件及要不要进行了及时有效地处置、境外接收方是否曾收到其所在国家或者地区公共机关要求其提供个人隐私信息的请求及境外接收方应对的情况等;
(一)应签订具有法律约束力和可执行的文件,确保个人隐私信息主体权益得到充分的保障;【此处可与标准合同衔接】
个人隐私信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。备案应
4、自出具书面受理通知之日起45个工作日内由网信部门组织国务院有关部门、省级网信部门、专门机构开展安全评估(情况复杂的可适当延长)
有效期届满需要继续开展数据出境的,需要在到期前60个工作日前重新申报评估
(二)关键信息基础设施运营者和处理100万人以上个人隐私信息的数据处理者向境外提供个人隐私信息;
(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(二)申请认证的个人信息处理者应取得合法的法人资格,正常经营且拥有非常良好的信誉、商誉。
(三)跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人隐私信息跨境处理活动可由境内一方申请认证,并承担法律责任。
(四)《中华人民共和国个人隐私信息保护法》第三条第二款规定的境外个人隐私信息处理者,可由其在境内设置的专门机构或指定代表申请认证,并承担法律责任。
个人隐私信息处理者通过订立标准合同的方式向境外提供个人隐私信息的,应当同时符合下列情形:
个人隐私信息处理者应对拟向境外接收方提供个人隐私信息的活动开展个人信息保护影响评估,并形成个人信息保护影响评估报告,评估报告至少保存3 年。
(一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
(二)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
(四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
(五)与境外接收方拟订立的数据出境相关合同或者其他具有法律上的约束力的文件等(以下统称法律文件)是否充分
(一)个人隐私信息处理者和境外接收方处理个人隐私信息的目的、范围、方式等的合法性、正当性、必要性;
(二)跨境处理个人隐私信息的规模、范围、类型、敏感程度、频率,个人隐私信息跨境处理可能对个人隐私信息权益带来的风险;
(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障跨境处理个人隐私信息的安全;
(四)个人隐私信息跨境处理存在的泄露、损毁、篡改、滥用等的风险,个人维护个人隐私信息权益的渠道是否通畅等;
(五)境外接收方所在国家或者地区的个人隐私信息保护政策法规对履行个人隐私信息保护义务和保障个人隐私信息权益的影响;
(一)个人隐私信息处理者和境外接收方处理个人隐私信息的目的、范围、方式等的合法性、正当性、必要性;
(二)出境个人隐私信息的规模、范围、种类、敏感程度,个人隐私信息出境可能对个人隐私信息权益带来的风险;
(三)境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人隐私信息的安全;
(四)个人隐私信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
(五)境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;
(一)出境的详细情况,包括境外接收方此前类似的个人隐私信息跨境传输和处理相关经验、境外接收方是否曾发生个人隐私信息安全相关事件及要不要进行了及时有效地处置、境外接收方是否曾收到其所在国家或者地区公共机关要求其提供个人隐私信息的请求及境外接收方应对的情况等;
(一)应签订具有法律约束力和可执行的文件,确保个人隐私信息主体权益得到充分的保障;【此处可与标准合同衔接】
个人隐私信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。备案应
4、自出具书面受理通知之日起45个工作日内由网信部门组织国务院有关部门、省级网信部门、专门机构开展安全评估(情况复杂的可适当延长)
在三种方案中,毋庸置疑数据出境安全评估的标准作为考量的首要因素,只要符合以下任意一种情形,都不能选择认证或者标准合同的方式,只能进行安全评估:
安全评估不仅包括个人信息出境还包括了重要数据出境。那么何为重要数据?企业如何区分数据的重要程度?《网络数据安全管理条例(征求意见稿)》中提到“重要数据”是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。这一定义从其受损可能会产生的影响出发来辨别数据的重要程度,而在《数据安全管理办法(征求意见稿)》中将“重要数据”定义为是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括公司制作经营和内部管理信息、个人隐私信息等。这一定义对重要数据的常见种类进行了列举,并且特别说明了常见除外情形。
因此,在处理企业数据出境需求时,首先要对数据来进行初步识别,判断其是否属于重要数据,这是所有信息跨境传输合规工作的起点,尤其是医疗、汽车等相对敏感的行业与领域。建议在此阶段可由专业外部数据合规律师团队介入,对数据重要程度进行梳理判断,可选择明确不构成重要数据的内容优先安排出境活动,而对相对敏感和可能构成重要数据的内容暂缓出境。由于我国目前尚未出台明确的重要数据名录,相关联的内容仍需持续观察并结合具体情形作出研判。
(二)关键信息基础设施运营者和处理100万人以上个人隐私信息的数据处理者向境外提供个人信息;
何为关键信息基础设施?根据我们国家《关键信息基础设施安全保护条例》的规定,关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。该定义也与《网络安全法》第三十一条所列举的关键行业基本一致。在判断是否有可能会被纳入关键信息基础设施运营者问题上,可以借鉴《关键信息基础设施安全保护条例》第九条中对于相关具体认定规则的参考因素:(1)重要程度因素,即网络设施、信息系统对本行业、本领域关键核心业务的重要程度;(2)危害程度因素,即网络设施、信息系统一旦破坏、丧失功能或者数据泄漏可能带来的危害程度;(3)关联程度因素,即对别的行业和领域的关联性影响。因此,可根据具体行业及业务特点,从上述三个维度出发进行初步判断是不是属于关键信息基础设施运营者。
(三)自上年1月1日起累计向境外提供10万人个人隐私信息或者1万人敏感个人隐私信息的数据处理者向境外提供个人隐私信息;
在计算个人信息数量时,应当注意时间节点,该种计算方式选用跨年清零的方式每年重新计算。
2023年1月全国首个获批数据出境安全评估案例落地北京,由首都医科大学附属北京友谊医院与荷兰阿姆斯特丹大学医学中心合作研究项目成为全国首个数据合规安全评估出境案例,该项目的成功也为医疗健康领域数据跨境传输安全评估提供了最新的实践指引。
《网络安全标准实践指南—个人隐私信息跨境处理活动安全认证规范V2.0》中明确提到认证主体包括“《中华人民共和国个人隐私信息保护法》第三条第二款规定的境外个人隐私信息处理者”即在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有以下情形之一的:(一)以向境内自然人提供产品或服务为目的;(二)分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形。
因此,若企业属于在境外处理境内自然人信息的满足上述明确规定的认证主体要求,建议选择保护认证的路径进行个人隐私信息出境方案的安排。
该方案目前主要的问题是,所依据的相关文件层级较低,文件属于全国信息安全标准化技术委员会秘书处所制定的技术文件,效力层级较低。对于能够直接进行认证工作机构的指定也暂未完成,相关认证机构要不要具备一定的资质等问题也尚未明晰。
但从长远来看,自愿认证并且由相关认证机构负责监管,这一方式对企业而言更高效,在确保个人隐私信息跨境符合认证的相关规则后,只需按期接受监管,即可正常进行有关跨境信息传输,这一模式也相对适合数据体量较大,但并不会达到触发安全评估标准的企业。在认证和标准合同两者间抉择时,如果签署标准合同可能会引起频繁修改合同、反复备案的情况,会对企业造成不便,则可采用认证方式。
标准合同则更适合数据体量较小,业务相对来说比较稳定,跨境需求比较小,合同改变可能性较低的企业类型。首先其不属于一定要进行安全评估的类型,其次其同时满足不是关键信息基础设施运营者,处理个人隐私信息不满100万人,自上年1月1日起累计向境外提供个人隐私信息不满10万人,自上年1月1日起累计向境外提供敏感个人隐私信息不满1万人。使用标准合同的方式,合规成本也能控制在比较小的规模。
需要注意的是,个人隐私信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。比如大规模的公司将其个人隐私信息业务拆分给若干子(分)公司试图采取标准合同的方式从而逃避出境安全评估将会违反规定。
随着《数据安全法》《个人隐私信息保护法》《网络安全法》相关配套之法律和法规的逐渐完备,我国的数据安全和个人隐私信息的法律体系逐渐清晰,合规要求逐渐细化,跨境传输路径也逐渐明确。在这样的背景下,企业要及时全面完成数据合规评估与整改工作,落实数据合规风险防范举措,持续关注有关规定法律法规及政策规则的不断落地,并根据最新要求做好个人隐私信息跨境传输的合规梳理与全面应对。返回搜狐,查看更加多