跨境合规观察|我国数据出境制度2.0时代下的企业合规应对【走出去智库】
走出去智库官方账号
走出去智库(CGGT)观察
根据国家互联网信息办公室3月底公布的《促进和规范数据跨境流动规定》(“数据跨境新规”),明确了重要数据出境安全评估申报标准,以及免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件。
走出去智库 (CGGT) 特约法律专家、北京德恒律师事务所合伙人王一楠认为,《数据跨境新规》及其配套文件对现有数据出境制度的实施和衔接作出进一步明确,放宽了数据跨境流动条件,标志着我国数据出境安全管理制度正式步入2.0时代。对于企业来说,虽然在数据出境制度2.0时代更多情况下无需通过事前监管机制来完成跨境传输,但是也失去了事前监管机制给企业合规工作带来的确定性。
新形势下企业数据出境合规可采取哪些措施?今天,走出去智库(CGGT)刊发王一楠律师的文章,供关注跨境数据合规的读者参考。
要点
1、《数据跨境新规》的核心条款是第五至八条,其实质是增加和调整了现有的三条数据出境路径。
2、企业在判断是否适用数据出境事前监管机制时,其中重要数据的认定是重中之重。《数据跨境新规》第二条免除了数据处理者的重要数据认定义务,但是其有一个前提条件,即处理者需要履行重要数据的“识别申报”义务。
3、数据出境安全管理制度2.0版本,就是监管部门将适当减少事前监管机制的适用情形,同时增加事中事后监管机制的适用情形,进而将部分有限的行政资源从“事前”海量的申报和备案工作中解放出来,转而投入到“事中事后”全链条全领域监管工作中去。
正文
一、我国数据出境安全管理制度的发展历程
数据出境作为安全风险较高的数据处理活动之一,近年来受到越来越多国家的重视。在2016年至2021年期间,我国网络和数据安全法律体系的“三大基本法”——《网络安全法》(“网安法”)、《数据安全法》(“数安法”)、《个人信息保护法》(“个保法”)对数据出境活动做出了框架性的安全管理规定,主要围绕关键信息基础设施运营者、重要数据、个人信息三个主要要素进行制度设计。
为了具体落实上述框架性规定,国家互联网信息办公室(“国家网信办”)在2022年至2023年期间先后公布了《数据出境安全评估办法》(“安评办法”)和《个人信息出境标准合同办法》(“备案办法”),联合国家市场监督管理总局公布了《关于实施个人信息保护认证的公告》,完成数据出境安全管理制度的初步搭建。同时,国家网信办也公布了配套文件《数据出境安全评估申报指南》和《个人信息出境标准合同备案指南》(合称“第一版指南”),对安全评估申报和标准合同备案的具体操作要求进行了说明。随后,安全评估申报和标准合同备案等工作陆续实施落地,通过的案例不断增多,标志着我国数据出境安全管理制度步入1.0时代。
2024年3月22日,国家互联网信息办公室公布《促进和规范数据跨境流动规定》(“数据跨境新规”)并于公布之日施行,同日也公布了《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》(合称“第二版指南”)。在结合前期制度落地的实践基础上,《数据跨境新规》及其配套文件《第二版指南》对现有数据出境制度的实施和衔接作出进一步明确,放宽了数据跨境流动条件,标志着我国数据出境安全管理制度正式步入2.0时代。
二、数据出境制度2.0的主要变化
《数据跨境新规》及《第二版指南》对《安评办法》、《备案办法》、《第一版指南》的部分内容进行了删除、修改、增补,实际上构成了对后者的修订。为了方便企业准确理解数据出境安全管理制度2.0版本的主要变化,我们将选取修订内容中几个比较主要的方面进行解读和分析。
(一)“数据出境”范围的“一增两减”
关于具体哪些行为构成“数据出境”,无论是在“三大基本法”,还是在《安评办法》和《备案办法》中都未明确,而仅概括性地描述为“境内处理者向境外提供”。直到《第一版指南》的发布,“境内处理者向境外提供”行为才被细化为如下两个具体情形:
(1)数据处理者将在境内运营中收集和产生的数据传输、存储至境外;
(2)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
对于以上范围,《数据跨境新规》及其配套文件进行一个“增加”和两个“减少”:(1)《第二版指南》增加了一个场景,即《个保法》第三条第二款情形;(2)《第二版指南》减少了一个“存储至境外”的情形;(3)《数据跨境新规》第四条将“数据过境”情形排除在外。
1.增加的《个保法》第三条第二款情形
《个保法》第三条第二款规定:“……在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一)以向境内自然人提供产品或者服务为目的;(二)分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形。”
该条款的法理逻辑系国内法域外适用,即一国在其行使域外管辖权之时,将其具有域外效力的法律适用于其管辖领域之外的人、物或行为的过程。《个保法》第三条第二款在数据合规领域的主要场景之一是某境外电商为了吸引中国消费者采取了一系列措施,如将其网站增加中文版本、在中国境内投放线上推广、将人民币作为支付货币或者接入我国境内支付工具等,将中国设定为目标市场。其因此在境外处理中国消费者个人信息的行为因该条款受中国法律管辖,即使其在中国没有任何商业存在(参见杨合庆著《个人信息保护法释义》第17页)。
但如果将这种行为纳入“数据出境”范围,将面临如下几个问题:(1)在条文上,中国境内处理者缺位,因为这里的个人信息由中国消费者自己直接向境外接收方提供,因而不符合“三大基本法”、《安评办法》、《备案办法》中所要求的“境内处理者向境外提供”;(2)在实践中,如果境内处理者缺位,无论是安全评估申报还是标准合同备案或认证的合规义务,都缺少相对应的履行主体,甚至标准合同的签署都因此无法完成;(3)在理论上,我国“数据出境”的监管逻辑是“通过直接监管境内主体来间接实现本来管不到的境外主体”,而《个保法》第三条第二款的逻辑是“在境外主体与中国已经建立起足够的连结前提下,我国法律据此可以直接适用境外主体”。
当然,有一种说法是《个保法》第五十三条要求境外处理者在“境内设立专门机构或者指定代表”,而上文所缺位的“境内处理者”可以由这个“专门机构或者指定代表”来担任。不过,《个保法》第五十三条将“专门机构或者指定代表”的职责定位为“负责处理个人信息保护相关事务”,即协助境外处理者承担与境内个人信息主体或监管部门之间沟通对接等工作,因此为了配合该项职责,《个保法》第五十三条进一步要求境外处理者“将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门”。而且实践中这些“专门机构或者指定代表”在大多数情况下不经手向境外传输的个人信息,所以也无法构成实际的境内处理者;当然,如果他们的确经手了个人信息,则也无需由《第二版指南》将其纳入“数据出境”范围,可以直接适用“数据出境”的最原始定义“境内处理者向境外提供”。
还有另外一种说法是上文所缺位的“境内处理者”可以由境外处理者在境内设立的子公司或代表处来担任。同上,这些境内子公司或代表处大多数情况下不经手向境外传输的个人信息,即使经手也可以直接适用“境内处理者向境外提供”。
2.减少的“存储至境外”的情形
《第二版指南》将《第一版指南》项下细化的一个数据出境情形“数据处理者将在境内运营中收集和产生的数据传输、存储至境外”中的“存储”删除,意味着境内处理者如果将数据存储在境外自己管理的存储空间将不再视为“数据出境”。
虽然在理论上数据存储在境外也会面临境外政府调取等风险,但是不涉及境外处理者滥用、泄露、盗取等情况,所以主观因素导致的风险大大降低。《第二版指南》将这种情形剔除“数据出境”范围体现了促进数据自由流动的价值判断。
不过,在实践中并非所有境内处理者都有能力或意愿完全独立管理境外的存储空间,可能雇佣境外承包商来管理自己购买的服务器,也可能租用境外供应商的服务器,或者直接使用境外云服务商提供的存储空间等等。这些是否都能构成境外“存储”,进而无需“数据出境”制度制约,有待监管部门进一步明确。
3.减少的“数据过境”的情形
《数据跨境新规》第四条明确“数据过境”情形无需通过“数据出境”的事前监管机制(安全评估、标准合同、认证“三条路径”),即“数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。”这样可以使监管手段与目的具有更高的的匹配度,因为这些数据并非在境内收集和产生,不涉及境内任何数据,不构成对我国国家、社会、个人的安全威胁。
实际上,《安评办法》第二条和《第一版指南》已经将需要规制的出境数据限定在“境内运营中收集和产生的”,因此引发对“数据过境”情形所对应合规义务的两种不同理解:
(1)一种理解是《数据跨境新规》第四条仅是将“数据过境”情形从“数据出境”范围中排除的进一步明确,并未对原有制度进行实质性调整。但是该排除规定被归类在《数据跨境新规》的豁免情形之一,而非《第二版指南》下“数据出境”范围,这与该理解存在一定出入。事实上,以上两个归类并非没有区别:《数据跨境新规》的豁免情形是指该情形虽然已经构成“数据出境”,但出于某种考虑然后将其排除在事前监管机制之外;而如果该情形未纳入《第二版指南》的“数据出境”范围,则其从根本上不构成“数据出境”,不仅无需通过事前监管机制,而且无需满足一般数据出境的最低线要求(以个人信息为例,如果构成“数据出境”,即使豁免评估或备案也需要满足单独同意等条件)。简而言之,前者是“先进门,再出门”,后者是“未进门”,虽然两者都在“门外”但法律项下的合规义务有所不同。因此,按照该种理解,“数据过境”情形下境内处理者无需履行任何与数据出境相关任何义务,甚至单独同意(下文将详述)。
(2)另外一种理解是,基于《数据跨境新规》和《第二版指南》的现有行文逻辑,“数据过境”属于事前监管机制的豁免情形,即“先进门,再出门”。按照该种理解,“数据过境”情形下境内处理者则需要履行数据出境相关的最低义务,例如国内某大数据服务商在对境外非敏感个人信息(十万以下)进行加工处理后再出境则需要满足告知、单独同意、个人信息影响评估报告等义务。
从实践角度来看,我们认为以上第一种理解更加有利于促进我国数字产业的发展。
(二)数据出境路径的增加和调整
《数据跨境新规》的核心条款是第五至八条,其实质是增加和调整了现有的三条数据出境路径。
1.第五条创建了第四条数据出境路径
根据《个保法》第三十八条,个人信息处理者向境外提供个人信息必须在如下四个路径中择一:“(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件。”而《数据跨境新规》第五条规定某几个向境外提供个人信息的情形可以不走安全评估、标准合同、认证这“三条路径”,由此推导出《数据跨境新规》第五条走的是《个保法》第三十八条的第四条路径,即“法律、行政法规或者国家网信部门规定的其他条件”。需要强调的是个人信息处理者在走这第四条路径时并非无需履行任何合规义务,而仍然需要满足《个保法》对数据出境的最基本义务,如告知、单独同意、个人信息保护影响评估报告等,《数据跨境新规》第十条和第十一条也强调了这一点。《数据跨境新规》第五条创建的这第四条路径与安全评估、标准合同、认证这“三条路径”的区别是:前者主要关注的是事中事后监管,而“三条路径”是出境行为的前置程序,属于事前监管机制。因此,《数据跨境新规》第五条情形与前文讨论的“存储至境外”不同,后者不受数据出境制度约束,因为其根本不构成数据出境行为。
2.第六条也创建了第四条数据出境路径
《数据跨境新规》第六条赋予了自由贸易试验区设立数据出境负面清单的权利。同第五条一样,其间接创建了第四条数据出境路径,且也属于事中事后监管机制。
3.第七条适度收窄数据出境安全评估范围
《数据跨境新规》第七条通过重新起草《安评办法》第四条将安全评估的适用范围缩小:(1)删除“处理100万人以上个人信息的数据处理者向境外提供个人信息”情形,(2)将非敏感个人信息触发安全评估的门槛从“十万”提高到一百万,(3)将个人信息数量门槛的起算点从“自上年”缩短到“自当年”。
4.第八条适度收窄标准合同备案范围
同七条一样,《数据跨境新规》第八条通过重新起草《备案办法》第四条将个人信息出境标准合同备案的适用范围缩小:(1)将非敏感个人信息触发标准合同备案的门槛从“十万以下”提高到“十万至一百万”,(2)将个人信息数量门槛的起算点从“自上年”缩短到“自当年”。
三、企业的合规应对
(一)理清数据出境制度适用的三个层次
如前文所述,《数据跨境新规》及其配套文件不仅创建了数据出境的第四条路径,而且将某些情形直接从源头排除在“数据出境”适用范围之外。为了方便企业设计合规方案,我们根据所对应法律义务的不同将所有数据跨境传输行为归纳为如下三个层次。
▲图一:数据出境制度2.0适用的三个层次
1.数据出境事前监管机制(“三条路径”)
如果企业的数据跨境传输行为符合《数据跨境新规》第七条和第八条所述范围,该企业需要履行数据出境事前监管机制下的义务,即安全评估、标准合同、认证“三条路径”。
2.数据出境事中事后监管机制(“第四条路径”)
如果企业的数据跨境传输行为符合《数据跨境新规》第五条和第六条所述范围,该企业无需履行任何前置的行政监管手续,但是仍然需要履行“三大基本法”下对数据跨境传输这一个处理行为的基本义务,如个人信息的单独同意、一般数据的技术等必要措施(参见《数据跨境新规》第十条和第十一条)。企业需要注意的是,上述基本义务还包括《个保法》第三十八条规定:“个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准”。
3.不构成“数据出境”的跨境传输
如果企业将数据传输至境外,但是未落入我国数据出境安全管理制度的监管范畴,即不属《第二版指南》第一条中规定的“数据出境行为”,则企业理论上无需履行对应数据跨境传输这一个处理行为的基本义务,例如,某企业将几十个客户的非敏感个人信息存在境外自己服务器上,无需取得这些客户的单独同意。当然,如上文所述,《数据跨境新规》第四条的“数据过境”情形是否应划归属于这个层次值得讨论。
(二)分析影响层次归类的几个重要因素
在实务中,企业在判断其数据跨境传输行为具体应被归类到如上三个层次中具体哪一个时,会面临几个重要因素的理解,我们逐一分析如下。
1.重要数据的认定
企业在判断是否适用数据出境事前监管机制时,其中重要数据的认定是重中之重。《数据跨境新规》第二条免除了数据处理者的重要数据认定义务,但是其有一个前提条件,即处理者需要履行重要数据的“识别申报”义务。例如,2024年2月7日天津市商务局、中国(天津)自由贸易试验区管委会联合发布的《中国(天津)自由贸易试验区企业数据分类分级标准规范》中便要求“企业根据本规范开展内部数据分类分级工作,形成企业数据目录,明确本企业重要数据,并向天津自贸试验区网络数据安全工作主管部门报送重要数据目录”。如果企业疏于履行该义务,导致相关数据未能被相关部门或地区获悉,进而也可能无法告知或者公布其为重要数据,以至于是否会造成其无法享受《数据跨境新规》第二条赋予的“举证责任倒置”的风险,值得企业关注。
2.豁免条件的适用
如上文所述,《数据跨境新规》第五条创建了第四条数据出境路径,即对之前三条路径的豁免。其所列的四个情形可以分为两大类:场景豁免(为合同所必需、为人力资源管理所必需、为生命财产所必需)和数量豁免(十万以下)。
(1)场景豁免中的“确需”的认定
我们建议企业在评估其出境行为是否满足场景豁免中的“确需”时,与数据出境的“必要性”评估进行一定区分,因为前者的门槛相对于后者稍高一些。场景豁免中的“确需”与《个保法》十三条“取得个人的同意”以外的合法性基础类似,仅限于“客观必需”,且与其所对应的三个具体场景(合同、人力资源管理、生命财产)构成紧密且不可或缺的一部分。而数据出境的“合法性、正当性、必要性”中“必要性”评估则是向境外提供数据的基本要求。这一点从《个保法》第三十八条表述体现:“个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一……”可见,“必要性”评估不仅是该条款项下前三条路径(数据出境事前监管机制),而且是第四条路径(场景豁免)的适用前提条件。如果将场景豁免中的“确需”门槛下调至与数据出境的“必要性”评估一致,那么在未达到场景豁免中的“确需”门槛时,则意味着数据出境的“必要性”评估也无法满足,最终导致《个保法》第三十八条项下的四条路径都无法走通。这显然不符合《个保法》第三十八条与场景豁免制度设计的本意。这也可以从数据出境安全评估申报的实践中看出,《安评办法》要求处理者在开展数据出境风险自评估时应当评估数据出境的“合法性、正当性、必要性”,如果未取得个人的单独同意,需要处理者满足《个保法》十三条第(二)至(七)款的同意豁免条件。在安全评估申报的成功案例中,就存在通过了“必要性”审查但因未满足《个保法》十三条的同意豁免条件而通过单独同意取得合法性基础的情况。
(2)数量豁免中的“敏感个人信息”认定
数量豁免条款,即《数据跨境新规》第五条第(四)款,的关键在于“敏感个人信息”的认定,因为如果企业出境的个人信息虽然在十万人以下,但只要其中含有敏感个人信息,则无法适用数量豁免,而必需走数据出境事前监管机制。然而,虽然《个保法》和《GB/T 35273-2020《信息安全技术 个人信息安全规范》以列举方式来明确“敏感个人信息”的范围,但是在实践中,特别是不同行业和领域中,“敏感个人信息”的名称和字段纷繁复杂。鉴于《数据跨境新规》并未给予“敏感个人信息”与“重要数据”一样的“举证责任倒置”待遇,企业在分析其出境数据时不要忽视“敏感个人信息”的认定,滥用数量豁免。
理清上述几个重要因素有助于企业准确将其出境情形归类到三个不同的制度层次。但是,在数据出境制度2.0版本下,准确归类仍然面临各类条件多维度交叉适用的复杂情况,即在主体方面处理者是否构成关键信息基础设施运营者;在数据种类方面数据是否构成重要数据、个人信息、敏感个人信息;出境情形是否适用场景豁免;出境情形是否适用数量门槛等等。为了方便企业准确适用数据出境制度2.0下的四条路径,我们上述所有条件体现在一张分析流程图上(如下)。
▲图二:数据出境四条路径分析流程图
注1:图中红色六边形图标系数据出境事前监管机制
注2:图中绿色圆形图标系系数据出境事中事后监管机制
(三)履行所对应层次的合规义务
企业将其跨境传输行为准确归类到三个不同的制度层次之后,就需要考虑并履行其所适用的合规义务。
如果企业适用数据出境事前监管机制,应尽快按照法规要求启动安全评估或标准合同/认证的相关专项工作,摒弃观望态度,因为我国数据出境制度从1.0过渡到2.0,已经完成了初步探索阶段,正式步入全面实施阶段,监管部门将会“强化事前事中事后全链条全领域监管“。
如果企业适用数据出境事中事后监管机制,应注意其虽然无需通过事前监管机制,但仍需履行一些合规义务,准备一些法律文件,如告知、单独同意、个人信息影响评估报告等。另外,我们建议企业在准备个人信息影响评估报告时应当充分论证和分析其《数据跨境新规》第五条的适用,特别是上文中几个重要因素,为今后可能面临的监管检查或合规审计做好举证准备。为了帮助企业更好地理解该机制下需要履行的合规义务,我们将数据出境四条路径主要合规文件列表如下。
▲表一:数据出境四条路径主要合规文件一览表
最后,如果企业的数据跨境传输行为不属于《第二版指南》第一条中规定的“数据出境行为”,则无需履行与“出境”这一处理活动相关的任何合规义务,仅需关注其他处理活动(如收集、存储、加工、删除、公开等)项下义务即可。
四、结语
数据跨境流动的法律规制一直是各个国家网络安全和数据保护的重点关注领域。其因繁杂的业务场景、变化的地缘政治、诸多的利益平衡等因素,也给各国的制度设计带来巨大挑战。我国数据出境安全管理制度建设自《网安法》出台以来一直稳步推进,经历了一个从理论研究、立法规制、实践探索、优化调整的过程,逐渐走向完善和成熟。
对于监管部门来说,在此过程中一个贯穿始终的核心问题是,如何能在有限的行政资源情况下找到发展与安全之间最佳平衡点。数据出境安全管理制度2.0版本给了我们一个阶段性答案,就是监管部门将适当减少事前监管机制的适用情形,同时增加事中事后监管机制的适用情形,进而将部分有限的行政资源从“事前”海量的申报和备案工作中解放出来,转而投入到“事中事后”全链条全领域监管工作中去,形成审批与处罚并重、发展和安全兼顾的监管态势,最终在全社会营造一个长期可持续的合规环境。
对于企业来说,虽然在数据出境制度2.0时代更多情况下无需通过事前监管机制来完成跨境传输,但是也失去了事前监管机制给企业合规工作带来的确定性。如果说现阶段“重要数据”的识别需要企业与相关部门地区相互配合、共同努力,那么事中事后监管机制的适用及其后果则将完全由企业自身来完成和承担。将来企业在数据跨境传输场景中,不仅要接受网信部门的监管,还可能要面对境内外上市、合规审计、投资并购、数据资源入表等等多个场景下的相关方(如证券监管机构、审计机构等)提出的一系列“灵魂拷问”:该行为是否构成“数据出境”?如果构成,是否适用数据出境事前监管机制?如果不适用,所依据的理由是否充分准确?如果充分准确,是否完成了事中事后监管机制的合规义务等等?这将是企业在我国数据出境安全管理制度2.0时代下需要面临和应对的新挑战。
来源:CNCERT国家工程研究中心
