这两年,在个人信息保护方面被咨询频率最高的问题之一,一定有个人信息出境合规。
“如果公司把个人信息存储在境内不对外传输,但给予法国总部访问权限,算不算个人信息出境?”“如果公司把境内收集的个人信息存储在香港,由香港关联公司处理这些个人信息算不算个人信息出境?”“如果外国关联公司收集的外国个人信息跨境传输给中国境内公司,中国境内公司再传输给其他外国关联公司,是不是中国个保法管辖的个人信息出境行为?”极致细分的应用场景,针对不同场景下对个人信息出境字段的合法、正当和必要性论证,对境外接收方安全保障能力的评估和证明…… 个人信息合规出境需要解决的问题纷繁复杂,无论企业、组织还是监管机构,都在实践中不断摸索着适合我们国家个人信息出境的合规之道。2023年9月28日,国家互联网信息办公室(以下简称“国家网信办”)发布《规范和促进数据跨境流动规定(征求意见稿)》(以下简称“《数据跨境流动新规征求意见稿》”),释放个人信息出境新政的重要信号,掀起业界极大关注。2023年12月10日,国家互联网信息办公室与香港创新科技及工业局共同发布《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(以下简称“《大湾区标准合同指引》”),发布即生效,施行速度令人惊叹。值此共同期待数据跨境流动新规之际,特此总结梳理我国个人信息合规出境不同路径的相关规定演变以及若干实务难点,以期为个人信息处理者落实个人信息出境合规义务提供参考。
根据国家网信办发布的《数据出境安全评估申报指南(第一版)》,个人信息出境行为,主要包括主动出境(即个人信息处理者将在境内运营中收集和产生的个人信息传输、存储至境外)、被动出境(即个人信息处理者收集和产生的个人信息存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出)及其他出境行为(即国家网信办另行规定)。
《中华人民共和国个人信息保护法》(以下简称“我国个保法”)第三十八条规定了个人信息处理者向境外提供个人信息的四条合规出境路径,分别是:
(1) 通过国家网信部门组织的安全评估(以下简称“出境安全评估”);(2) 按照国家网信部门的规定经专业机构进行个人信息保护认证(以下简称“出境个保认证”);(3) 与境外接收方签订国家网信部门制定的标准合同(以下简称“出境标准合同”);(4) 法律、行政法规或者国家网信部门规定的其他条件(以下简称“法定其他路径”)。相对应的,为推进四条合规出境路径的落地实施,每条路径都对应着不同的执行依据、流程标准、申报文件、主管部门等。截至本文,大致汇总如下:
出境安全评估,是指满足特定情形时,个人信息处理者向境外提供个人信息应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估,通过评估后个人信息方可出境。截至本文,出境安全评估的主要规定(含征求意见稿)汇总如下:根据现行标准,有下列情形之一的,数据处理者应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。
2022年9月1日《数据出境安全评估办法》施行至今,通过实践中积累经验,国家网信办在发布的《数据跨境流动新规征求意见稿》中,引入了无需申报出境安全评估的“白名单”情形(例如“国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的”,以及“为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的”等列举情形),同时对个人信息的计算标准从“过往累计”变化为“预计一年内”,都是对规范和促进数据跨境流动的积极探索。根据《数据出境安全评估办法》,出境安全评估的操作大致流程如下图:
通过出境安全评估路径实现个人信息合规出境的首例是北京友谊医院(隶属于首都医科大学)与荷兰阿姆斯特丹大学医学中心的联合研究项目[1]。其后,陆续有各地省级网信办、相关申报单位以及中介服务机构通过相关微信公众号等方式披露成功案例,但并无官方途径可供统一查询国内申报出境安全评估的申报单位、申报场景、申报数量、通过数量以及未能获得通过的原因。自出境安全评估申报通道开启至今,从各省级网信办以及其他发布公布的成功案例汇总如下(不完全统计):1. 北京地区申报出境安全评估成功案例有(不完全统计):
2. 上海地区申报出境安全评估成功案例有(不完全统计):
3. 江苏地区申报出境安全评估成功案例有(不完全统计):
4. 浙江地区申报出境安全评估成功案例有(不完全统计):
5. 广东地区申报出境安全评估成功案例有(不完全统计):
6. 山东地区申报出境安全评估成功案例有(不完全统计):
7. 海南地区申报出境安全评估成功案例有(不完全统计):
根据“网信中国”发布的信息[21],各地省级网信部门受理数据出境安全评估申报、个人信息出境标准合同备案工作的联系方式如下:
在现实应用场景下,企业申报出境安全评估所遇到的疑难杂症是丰富多样的。大多数企业在确认申报场景时,会尝试先以员工管理场景下相关个人信息出境作为申报场景进行申报。虽然涉及业务场景项下的出境安全评估亦有成功案例[22],但由于无法像证券市场公开问询及意见反馈的方式了解监管机构关注的细节以及反馈意见中所提供的解决方案,故实践中缺乏可供参考的实务先例。并且,由于企业所属行业、所涉个人信息数量、企业规模体量、管理体系架构、出境场景、境外接收方国别等各有不同,存在很多需要去梳理、论证、规范和解决的细节问题。抛砖引玉,罗列若干:数据盘点,是出境安全评估申报项目的起点。基于现行规定,是否需要申报出境安全评估,就得首先判断个人信息处理者是否为重要数据处理者(仅针对出境数据为重要数据)、关键信息基础设施运营者、达量处理者(处理100万人以上个人信息的处理者),或者累计处理量是否达量(自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息),这些硬性标准是整体数据盘点以及出境数据盘点需要解答的重要问题。是否去重,亦或累计,达量还是未达量,将产生不同的法律后果。对数据体量、对应业务、涉及系统、应用场景等做整体全面的数据资产盘点,需要判别是否属于个人信息,亦或一般数据,需要关注个人信息的分类分级、敏感个人信息标注和加强管理,重要数据的筛选,还需要了解数据流向,既要关注某个时点、某个时段的静态值,又要管控动态趋势(是否即将达量)。往往在数据盘点阶段,就需耗费大量的时间、人力与财力(如采购数据治理相关的技术产品或服务辅助数据盘点),需要协调法务合规部门、人力资源部门、IT信息部门、业务运营部门的共同参与,是万事开头难的第一步。最简洁的项目背景,是一家无任何关联方的境内公司,作为个人信息处理者,将其基于单一应用场景的的个人信息传输至境外接收方,并且境外接收方不存在再次传输给其他第三方的情形。然而,现实一直很骨感,遇到的实务案例,往往是跨国公司要求在我国境内的多家关联企业采用境外统一管理的相关系统,多家关联企业可能通过同一系统实现不同应用场景下的个人信息出境,或者通过统一管理的不同系统实现同一或者不同应用场景下的个人信息出境,而且可能这些系统不但实现了境内与境外之间的互联互通,还实现了境内关联公司之间在特定范围内彼此的访问权限。那么,关联企业之间开放访问权限,是否会被要求在相关数量统计时应累计计算,从而成为满足申报要求的达量处理者?那届时是选择境内某家企业作为代表进行统一申报,亦或相关企业分别申报?如果关联企业之间并无彼此访问权限,但使用同一系统基于同一应用场景(例如跨国公司员工管理目的)向境外总部提供个人信息,是应由不同主体分别申报,还是可以因为使用的是同一系统而可选择其中一家企业作为代表进行统一申报?关于申报主体的困惑,在浙江省网信办关于数据出境安全评估申报工作相关问答中也可以发现现实存在的问题。《浙江省数据出境安全评估申报工作问答(三)》中提及,“10. 跨境电商平台有许多商家,如何申报数据出境安全评估?跨境电商场景下平台方与品牌方谁来发起安全评估?”相应的回答是“需要区分场景,根据数据实际由平台还是品牌方传输出境,品牌方自行传输出境的场景下,品牌方申报;平台传输出境的场景下,平台统一申报”。可以发现,在实践中践行的是“谁出境谁申报”原则,即相关企业如果分别直接向境外提供个人信息的,应当分别向当地省级网信部门递交申报材料,这一点我们从现有披露案例中可以得到印证,例如绿点科技(苏州)有限公司系向江苏省网信办申报,而绿点科技(深圳)有限公司系向广东省网信办申报)。当然,现实场景是复杂的、个性化的,问题的最优解,一定是通过与当地省级网信部分的充分沟通,言明事实与理由,得到监管部门的理解与认可。《数据出境安全评估办法》第八条规定“数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项:(一)数据出境的目的、范围、方式等的合法性、正当性、必要性;……”。相较而言,在论证合法性、正当性和必要性时,必要性论证更为严格,需要论证目的本身是明确、合理的,处理的数据范围与实现目的直接相关,是实现业务功能或其他合法目的所必需的最低数量和必要字段(尤其涉及敏感个人信息时)。以基于境外总部对我国境内公司进行人力资源管理拟将员工个人信息出境为例,在满足“为订立、履行个人作为一方当事人的合同所必需”、“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”或“为履行法定义务所必需”(例如履行社保缴纳义务)的情形下,我国境内公司可以基于前述合法性基础收集员工的姓名、身份证件、出生日期、电话号码、家庭住址、银行账户等个人信息,但并不意味着境外总部有权基于我国境内公司所依据的合法性基础获得这些个人信息。尤其是当以人力资源管理为目的,境外总部拟收集、存储、使用境内公司员工的婚姻状况、家庭成员、存款详情、交易记录等敏感个人信息字段的,该等个人信息跨境提供的必要性论证将受到监管挑战。境外合规性评估主要包括针对境外接收方的评估和境外法律环境的评估。与境外接收方相关的评估项有:说明数据出境及境外接收方处理数据的目的、范围、方式,及其合法性、正当性、必要性;境外接收方基本情况;境外接收方的数据安全保障能力;境外接收方处理数据的全生命周期过程描述等等。与境外法律环境(即境外接收方所在国家或地区的网络和数据安全法律法规情况)相关的评估项有:该国家或者地区现行的个人信息保护法律法规及普遍适用的标准;该国家或者地区加入的区域性或者全球性的个人信息保护方面的组织,以及所作出的具有约束力的国际承诺;该国家或者地区落实个人信息保护的机制,是否具备个人信息保护的监督执法机构和相关司法机构等[23]。实务中,境外合规评估亦是项目推进难点。例如,由于语言习惯、沟通方式等方面的差异,境内方需要花费更多的时间与精力向境外接收方解释自评估问卷清单的内容,而且由于对信息反馈和资料提供的颗粒度要求并不明晰,而不少收集工作又有赖于境外接收方诸多部门的协调配合、汇集整理,因此很有可能在反馈信息和提供资料的过程中产生不顺畅的互动。此外,关于境外链路等情况以及数据安全保障能力的证明资料,不少情况下有赖于境外接收方的相关技术产品供应商或服务供应商的积极配合,但相关技术产品及服务供应商可能出于各种原因不愿或无法提供与数据出境链路、出境后存储的系统平台、数据中心等相关信息,或者不愿配合提供能够体现境外接收方数据安全保障能力的证明文件,然而又基于跨国公司全球统一采购确定的供应商不能随意更换,因此可能造成自评估的停滞不前。而关于境外法律环境评估问题,遇到的困惑也不少。通常情形下,如果申报主体委托中国律师作为出境安全评估项目的法律服务机构,会要求中国律师对项目中所涉及的法律解读、法律分析及法律判断的内容全部包揽负责。然而,作为中国执业律师,是否有能力和资格对境外法律环境的相关内容作出梳理,最终得出相应的法律判断,是存疑的。最为稳妥的方式,是建议客户委托境外当地律师另行出具相关法律意见,但客户不可避免的将为此花费额外的财务成本和时间成本,这必然不是客户所愿意接受的。折中的解决方案是境外接收方的DPO(数据保护官)或者法务合规人员负责该部分的梳理和撰写,但实务中,并不是每个境外接收方都有类似的人员配置。此外,如果同时向多个国家或地区提供个人信息,则境外法律环境评估的工作量和评估成本也是自评估阶段推进的负担。总言之,出境安全评估的实务难点远非前述几项,虽为管中窥豹,但可感受到出境安全评估项目的复杂性和挑战性。
[1] 《全国首个获批数据出境安全评估案例落地北京》,来源:“网信北京”微信公众号(https://mp.weixin.qq.com/s/mCS7dZIuqs7LCevDUnd58g),发布日期:2023年1月18日。
[2] 《全国首个获批数据出境安全评估案例落地北京》,来源:“网信北京”微信公众号(https://mp.weixin.qq.com/s/mCS7dZIuqs7LCevDUnd58g),发布日期:2023年1月18日。
[3] 《我国首例汽车企业全业务场景数据出境安全评估获批》,来源:腾讯网,发布日期:2023年5月24日。
[4] 来源:“网信北京”微信公众号(https://mp.weixin.qq.com/s/PCJluMb_6hdpB5BbMCsz5g),发布日期:2023年1月18日。
[5] 《去哪儿完成数据出境申报 标志旅游场景数据出境获批》,来源:中国新闻网,发布日期:2023年8月25日。
[6] 来源:https://mp.weixin.qq.com/s/ZuuGiPT_fPpDybGyeo-XMw,发布日期:2023年9月25日。
[7]《北京率先实现数据跨境安全便捷流动》,来源:“网信北京”微信公众号( https://mp.weixin.qq.com/s/846OMbKdpvEfKkdrIJKLOQ),发布日期:2024年1月9日。
[8] 《上海首批两家企业通过数据出境安全评估》,来源:“网信上海”微信公众号(https://mp.weixin.qq.com/s/wsTpDrGBhwlux2fd9Zq5rw),发布日期:2023年5月5日。
[9] 《数据出境安全评估政策系列宣讲会(要点指导专场)召开》,来源:“网信上海”微信公众号(https://finance.sina.com.cn/tech/roll/2023-07-06/doc-imyztyfi1982337.shtml),发布日期:2023年7月6日。
[10]《行业首批!国泰君安通过国家网信办数据出境安全评估》,来源:“国泰君安发布”微信公众号(https://mp.weixin.qq.com/s/pXEE1SydKneIQYJOfbNFCw),发布日期:2023年8月9日。
[11] 《江苏数据出境安全评估工作取得突破性进展》,来源:“网信江苏”微信公众号(https://mp.weixin.qq.com/s/gQ6HcHb4d2eKcSIkITkXWg),发布日期:2023年5月9日。
[12] 《全市首个数据出境安全评估案例落地园区》,来源:苏州工业园区管委会官网(https://www.sipac.gov.cn/szgyyq/202301sgjsgsc/202308/076607187a00472ab951581d814d8dac.shtml),发布日期:2023年8月11日。
[13] 《2个数据出境安全评估案例落地无锡》,来源:“无锡商务”公众号(https://mp.weixin.qq.com/s/NJ-pwc-wRjC4tQXaKtr6LQ),发布日期:2023年8月17日。
[14] 《“企业信用信息境外查询平台”通过安全评估 企查查摘下首张国际版牌照》,来源::苏州工业园区管委会官网(https://www.sipac.gov.cn/szgyyq/mtjj/202311/ba22c56b64194b2493ffb2c9ae112dfa.shtml),发布日期:2023年11月13日。
[15] 《浙江首批两家企业通过数据出境安全评估》,来源:“网信浙江”微信公众号(https://mp.weixin.qq.com/s/41GorMq_MhAA9sn7MhMXEw),发布日期:2023年5月24日。
[16] 《浙江省数据出境安全评估工作取得新进展》,来源:“网信浙江”微信公众号(https://mp.weixin.qq.com/s/qgF5a8AktSnXniV9s1vTwA),发布日期:2023年6月19日。
[17] 《广东首批三家企业通过数据出境安全评估》,来源:“网信广东”微信公众号(https://mp.weixin.qq.com/s/LaF9KvMmCxj3lOKiRiED-g),发布日期:2023年6月19日。
[18] 《山东首家企业通过数据出境安全评估》,来源:“网信山东”微信公众号(https://mp.weixin.qq.com/s/a5KPPVZ38JFhgp5wubqlcA),发布日期:2023年6月9日。
[19]《海南首家企业通过数据出境安全评估》,来源:网信海南(https://mp.weixin.qq.com/s/s_yPEeNd0EM_3kJLlCGLbQ),发布日期:2023年11月14日。
[20] 《海南航空通过国家互联网信息办公室数据出境安全评估》,来源:网信海南(https://mp.weixin.qq.com/s/jr9NTv-Zp6XO7SGiJtaNYg),发布日期:2023年11月17日。
[21] 《各地省级网信部门受理数据出境安全评估申报、个人信息出境标准合同备案工作的联系方式》,来源:“网信北京”微信公众号(https://mp.weixin.qq.com/s/E_dvwEUOD75yknpNV9R6MA),发布日期:2023年11月3日。
[22] 例如据报道,北京现代汽车有限公司系我国汽车领域首个全系统盘点、全业务申报、且全场景获批的数据出境安全评估案例,包括生产采购、索赔管理、全球质量反馈等300多个数据项准予出境;再如,去哪儿平台数据出境申报获得国家网信办批准,标志着旅游场景下包括机票、酒店、度假、门票等业务形态在内的用户相关个人数据出境获得认可。
[23] 《个人信息出境标准合同办法》附件《个人信息出境标准合同》第四条。
发布时间:2024.01.11
来源:
浏览量:2501
