2022年6月30日,国家互联网信息办公室(以下简称“网信办”)发布《个人隐私信息出境标准合同规定(征求意见稿)》及个人隐私信息出境标准合同;2022年7月7日,网信办公布《数据出境安全评估办法》(以下简称《评估办法》),自2022年9月1日起施行,个人隐私信息出境达到评估办法规定的数量和标准的,应该要申报数据出境安全评估;2022年11月18日,国家市场监督管理总局、网信办发布《关于实施个人隐私信息保护认证的公告》,同时公布了附件《个人隐私信息保护认证实施规则》。结合《网络安全法》、《数据安全法》、《个人隐私信息保护法》以及个人隐私信息出境的相关认证规范、标准合同的规定,个人隐私信息出境路径逐渐清晰。
2017年6月1日《网络安全法》(以下简称《网安法》)的颁布后, 数据出境合规成为了被广泛关注的问题,然而该法中对于个人隐私信息出境评估的要求仅针对关键信息基础设施的运营者(“CIIO”)¹,并未对非CIIO向境外提供个人隐私信息提出监管要求。
此后, 国家互联网信息办公室于2021年依次发布的《数据出境安全评估办法(征求意见稿)》以及《网络数据安全管理条例(征求意见稿)》²中, 逐步扩大了数据出境有必要进行安全评估的范围, 将出境数据中包含重要数据或者处理个人隐私信息达到一百万人的个人信息处理者纳入了安全评估的范围,尽管当时这两个文件还是征求意见稿,但足见监管部门对于数据出境的监管范围在逐步扩大。
2021年施行的《数据安全法》对于CIIO在境内存收集和产生的重要数据的出境安全管理提出监督管理要求,由于该法在立法层面更多的是维护国家主权、安全和发展的利益,因此更侧重对涉及国家安全、社会稳定的重要数据提出监管要求。
《个人隐私信息保护法》(以下简称《个保法》)于2021年8月正式出台。其中第38条规定,个人信息处理者因业务需要, 向境外提供个人信息的需要具备以下条件之一:
(3)依照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
而在《个保法》第55条, 进一步将个人隐私信息出境规定为必须事前进行个人隐私信息保护影响评估的情形之一。
尽管《个保法》明白准确地提出了个人隐私信息出境的三条路径,即安全评估、保护认证和标准合同,但在《个保法》出台的时候, 国家网信部门尚未发布正式的安全评估办法,怎么样做个人隐私信息保护认证以及标准合同模板也都没明确。而《信息安全技术 个人隐私信息安全规范》中对于个人隐私信息跨境传输,也仅仅规定了“在中华人民共和国境内运营中收集和产生的个人隐私信息向境外提供的,个人信息控制者应遵循国家相关规定和有关标准的要求”。在此阶段,尽管监管部门对个人隐私信息出境的合规义务已经建立了法律层面的依据,但企业的实务操作还存在很多不明确的地方。
此后,在《个保法》的基础上,三条个人隐私信息出境路径具体的合规要求逐渐明确:2022年6月24日, 全国信息安全标准技术委员会(以下简称“信标委”)发布了《网络安全标准实践指南—个人隐私信息跨境处理活动安全认证规范》(以下简称《认证规范1.0》),为企业采取认证途径进行个人隐私信息出境的提供了相关认证合规要求的依据。在发布《认证规范1.0》正式稿不到五个月时间,信安标委又将1.0版本升级到了2.0版本,2022年11月8日,再次发布《网络安全标准实践指南 个人隐私信息跨境处理活动安全认证规范(征求意见稿)》(以下简称《认证规范2.0(征求意见稿)》)。
在标准合同方面,6月30日, 网信办发布《个人隐私信息出境标准合同规定(征求意见稿)》(以下简称《标准合同规定》),并通过附件公布了个人信息处理者和境外数据接收方签订的标准合同模板。
2022年7月7日,网信办进一步发布了《数据出境安全评估办法》(《评估办法》),明确了数据处理者向境外提供数据时适用国家网信部门评估的情形、内容、流程等,其中明确规定了CIIO和处理100万以上个人隐私信息处理者向境外提供个人隐私信息,以及自上年1月1日起累计向境外提供10万人个人隐私信息或者1万人敏感个人隐私信息的数据处理者向境外提供个人信息的,应该要申报数据出境安全评估。
从个人隐私信息出境监管规制的历程来看,自《网安法》出台以来,立法机构及有关监管部门也在逐步在建立和个人隐私信息出境相关的法律、法规和监管规则及标准。至今,以《网安法》、《数安法》和《个保法》“三驾马车”为基础的个人信息出境监督管理体系已形成,企业应当结合自己的业务情况、数据传输情况,按照相关规定履行个人隐私信息出境的合规要求。
其中,安全评估强制适用于CIIO和处理个人隐私信息达到规定数量的公司的个人隐私信息出境活动;标准合同及认证都仅适用于未达安全评估标准的个人隐私信息出境活动。
对于个人信息处理者而言,无论采取那种路径出境,以下三个工作都是一定要进行的:
根据《个保法》第39条的规定,个人隐私信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、解决方法、个人隐私信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。因此,无论采取何种方式出境,个人隐私信息处理者都需要获得个人信息主体的单独同意。
与境外数据接收方签署法律文件,这里所指的法律文件,包括但不限于标准合同。合乎条件的个人信息处理者通过网信办申报安全评估进行数据出境的,其中申报材料中就应包括“与境外接收方拟定的数据出境相关合同或者其他具有法律上的约束力的文件”;采取标准合同出境的,则必然需要签署标准合同:而采取认证方式出境的,《认证规范2.0(征求意见稿)》第5.1条明确要签署具有法律约束力的协议。
尽管目前监管部门只有公布《标准合同》,其他两种出境方式中并未明确所签署的法律文件模板,但我们大家都认为《标准合同》应当是与境外接收方签署数据出境相关合同的基本规范和基本合规标准。尤其是通过申报网信办安全评估进行出境的方式,由于适用数据出境安全评估的主体,所掌握的数据量更大,数据类型也更重要,因而对于这部分主体的合规标准应当是更高的,相关的合同内容设置的合规义务也应该更严格。
开展评估活动。针对不同的出境路径,评估活动的叫法略有不同:在通过网信办安全评估进行出境的方式中,其中涉及了两种评估,第一种是国家网信办进行的“安全评估”,是国家网信办对拟申报数据出境企业的评估,但在此之前,拟申报数据出境的企业应当对自己开展“自评估”;根据《标准合同规定》第5条的规定, 个人隐私信息处理者向境外提供个人隐私信息前, 应当事前开展个人隐私信息保护影响评估;根据《认证规范2.0(征求意见稿)》第5.4条的规定, 开展个人隐私信息跨境活动的个人信息处理者应当事前进行个人信息保护影响评估;由此可见,标准合同及认证方式的出境路径都有必要进行“个人隐私信息保护影响评估”,公司进行该评估可具体参考《信息安全技术 个人隐私信息安全影响评估指南》。
我们理解,个人隐私信息保护影响评估主要以《个保法》为依据,衡量数据处理活动是否会对个人隐私信息主体的权益造成影响,而企业申请安全评估方式出境的数据不仅仅包括个人信息,也包括重要数据;此外,企业是否开展个人保护影响评估应当是自评估的范围,用以说明数据处理者数据安全保障能力情况。
企业应当核查自身的业务情况,是不是真的存在个人隐私信息出境的情况,比如存储个人隐私信息的数据库或系统是否设置在境外,境外的组织和个人是不是能够对存储在境内的个人隐私信息进行访问,或者是否通过邮件、传真,甚至是硬件设备等方式向境外传输个人隐私信息等。如果存在上述数据出境的场景,则应当识别为存在个人隐私信息出境活动;
如存在个人隐私信息出境活动,则要进一步识别,应当采取哪种出境路径,考虑企业是不是达到强制安全评估的标准,如达到该标准则一定要进行申报安全评估;
选择合适的出境路径,按照监管的有关要求执行相关的合规要求,履行有关数据安全保障等义务,如完成评估工作、对境外接收方做出详细的调查、签署相关合同等;
个人隐私信息保护影响评估在一定条件下应重新进行,此外数据出境安全评估结果的有效期也只有2年,并且发生一定情形时还应当重新申报等等,企业应持续关注这些合规义务,注意识别是否发生相应应重新评估或申报的条件,也应持续监督境外接收方的个人信息处理活动,以及监管部门是否提出个人信息出境的补充合规要求。
如个人信息处理者一定要通过国家网信部门的安全评估进行出境的,应当在申报数据出境安全评估前,应当开展数据出境风险自评估,自评估重点评估内容如下:
数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
即出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人隐私信息权益维护的渠道是否通畅等;
与境外接收方拟订立的数据出境相关合同或者其他具有法律上的约束力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务。
通过对比评估范围,网信部门所组织的安全评估相比自评估而言,安全评估还会对“境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响”,我们理解,网信部门还将从宏观角度考虑境外接收方的国家的法律政策环境和该国的网络安全环境对数据安全、国家安全的影响。尽管这一评估要点并没有在《认证规范》第5条中明确,但《数据出境安全评估申报指南》自评估报告模板中,对于境外接收方情况的描述要求中第4点就是“境外接收方所在国家或地区数据安全保护政策法规和网络安全环境情况”。因此,我们大家都认为在公司进行自评估的时候还是应当将境外接收方宏观的法律及网络安全环境纳入评估范围中。
2022年6月5日国家市场监督管理总局、国家互联网信息办公室颁布《数据安全管理认证规则》,主要是依据GB/T 41479《信息安全技术 网络数据处理安全要求》及有关标准规范对数据安全管理体系进行认证,而本次发布的《个人隐私信息保护认证实施规则》的认证依据有两个,包括GB/T 35273《信息安全技术个人隐私信息安全规范》以及TC260-PG-20222A《个人隐私信息跨境处理活动安全认证规范》,前者是国家标准,而后者是由全国信息安全标准化技术委员会组织制定和发布。
事实上,在实践中很多企业为履行《个保法》的合规义务,在个人隐私信息保护合规体系具体的搭建过程中,参考最多的也是GB/T 35273《信息安全技术个人隐私信息安全规范》,因此发布的认证规则,相当于建立了通用的个人隐私信息保护认证制度。而由于《个保法》中对于个人隐私信息出境另外提出了认证途径,我们理解,个人隐私信息出境的认证活动是通用个人隐私信息保护认证制度的补充,也为企业个人信息出境认证活动的开展提供了明确的规则依据。
具体到个人信息跨境认证要求来看,结合《认证规范1.0》和《认证规范2.0(征求意见稿)》来看,认证的适合使用的范围的表述有所变化:在1.0版中,第1条适用情形有两种,一种是跨国公司或同一经济、事业实体内部的个人隐私信息跨境处理活动,比如跨国企业内部的员工个人隐私信息跨境传输,而第二种是境外主体向境内自然人提供服务的情形;而在2.0版本中,适用情形放宽到适用于个人隐私信息处理者开展个人信息跨境处理活动,并没有具体约束仅限上述两种情况。但在第二条的认证主体中,第一款规定具有法人资格的主体均可以;第二款和第三款则是针对之前适合使用的范围的两类对象,进一步明确了申请认证的主体,这种特别提示足见其特殊性。
(一)具有法律约束力的协议,尽管并未明确签署的法律合同必须是《标准合同》模板,文件内容所应包含的内容中增加了不少标准合同涉及的主要内容;
(二)组织管理,明确要求开展个人隐私信息跨境处理活动的个人隐私信息处理者和境外接收方均需要既指定个人隐私信息保护负责人,又要设立个人隐私信息保护机构;
(三)处理规则:在处理规则方面,《认证规范2.0(征求意见稿)》较《认证规范1.0》,仅调整了一些措辞,把原来的“统一”个人隐私信息跨境处理规则,修改为规“同一”个人隐私信息跨境处理规则,我们理解,“同一”表达的更多是要求境内和境外接收方遵循相同的处理规则,参考所列举的处理规则的内容来看,其中主要是跨境处理个人隐私信息的基本内容、目的、方式、范围、存储时间、中转、保障资源、赔偿和处置规则等,都是对个人隐私信息主体有直接影响的规则,也是个人信息处理的具体客观事实,因此,为进行更好实现出境行为的管理,境内外双方均应遵循相同的规则。
(四)个人信息保护影响评估,相较于《认证规范1.0》,《认证规范2.0(征求意见稿)》中新增了多项评估报告应包括的事项,并强调评估后需形成评估报告,且评估报告至少保存3年,与《个保法》的要求做了衔接。
2022年6月30日,网信办发布《个人隐私信息出境标准合同规定(征求意见稿)》及个人隐私信息出境标准合同。
(一)个人信息处理者和境外接收方的基础信息,包括但不限于名称、地址、联系人姓名、联系方式等;
(二)个人隐私信息出境的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点等;
(三)个人隐私信息处理者和境外接收方保护个人隐私信息的责任与义务,以及为防范个人隐私信息出境可能带来安全风险所采取的技术和管理措施等;
(四)境外接收方所在国家或者地区的个人信息保护政策法规对遵守本合同条款的影响;
尽管采取标准合同进行出境无须向网信部门申请安全评估,但个人信息处理者的合规义务并不会因此而降低,仍然需要履行《标准合同》中明确规定的义务,比如履行告知同意的义务、确保境外接收方采取对应的技术和管理措施履行合规义务、开展个人隐私信息保护影响评估等。根据《标准合同规定征求意见稿》第7条,个人信息处理者应当在标准合同生效之日起10个工作日内,对所在地省级网信部门提交标准合同和个人隐私信息保护影响评估报告,以进行备案。除备案以外,监管部门仍然会持续关注境外个人信息处理活动的情况,个人信息处理者也应及时答复来自监督管理的机构关于境外接收方的个人隐私信息处理活动的询问。
1.根据《网络安全法》第三十七条, 关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储, 因业务需要确需向境外提供的, 应当依照国家网信部门会同国务院有关部门制定的办法进行安全评估。
2.第三十七条 数据处理者向境外提供在中华人民共和国境内收集和产生的数据,属于以下情形的,应当通过国家网信部门组织的数据出境安全评估:
(二)关键信息基础设施运营者和处理一百万人以上个人隐私信息的数据处理者向境外提供个人信息;
企业合规、数据合规及信息安全保护、金融行业法律风险防控及流动性危机处置、跨境电子商务平台运营及合规体系构建、私募基金投融资及商业并购等法律服务
证券从业资格证、基金从业资格证、CFA-LEVEL3 CANDITATE、德国TUV莱茵学院数据合规官DPO
樊律师先后就职于第一创业股份有限公司、安信证券股份有限公司、广发银行股份有限公司深圳分行,长期从事资产管理、投融资并购、资产证券化业务,具有法律和金融复核背景知识。主体业务领域为企业合规、数据合规、投融资并购。