数据前沿 | 拟上市企业数据合规问询分析及建议（五） - 新鲜讯息

发行人在处理数据时是否存在境外储存、使用数据的情况？

问题五

一、询问目的

企业在拓展海外业务时，往往需要将数据存储在境外，以便更好地满足当地客户的需求，提升服务质量。虽然在拟上市审核问询中关于数据出境的问题暂时未受到重视，但是随着数据出境监管体系的建立及企业业务的全球化发展，数据出境安全问题将会很快成为IPO审核中的高频、关键问题，亦应当引起拟上市公司的关注与重视。拟上市公司在处理数据的过程中涉及境外储存、使用数据的情况时，可能增加数据安全、网络安全及隐私泄漏的风险，对国家安全和个人隐私造成威胁。同时，《网络安全法》《数据安全法》《个人信息保护法》等法律规定了严格保护数据安全的要求，证监会问询发行人在处理数据时是否存在境外储存、使用数据的情况，不仅是遵守法律法规监管要求的体现，也是评估拟上市公司合规性和经营风险的必要举措，以保护多方合法权益。

二、法律依据

01《中华人民共和国网络安全法》

第五条 国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序。

第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

02《中华人民共和国数据安全法》

第二条 在中华人民共和国境内开展数据处理活动及其安全监管，适用本法。

在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。

第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。

第三十六条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

03《中华人民共和国个人信息保护法》

第三十八条 个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：

（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；

（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；

（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

（四）法律、行政法规或者国家网信部门规定的其他条件。

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。

个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

第四十一条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准，个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。

04《个人信息出境标准合同办法》

第四条 个人信息处理者通过订立标准合同的方式向境外提供个人信息的，应当同时符合下列情形：

（一）非关键信息基础设施运营者；

（二）处理个人信息不满100万人的；

（三）自上年1月1日起累计向境外提供个人信息不满10万人的；

（四）自上年1月1日起累计向境外提供敏感个人信息不满1万人的。

法律、行政法规或者国家网信部门另有规定的，从其规定。

个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。

05《数据出境安全评估办法》

第四条 数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：

（一）数据处理者向境外提供重要数据；　　

（二）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；　　

（三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；　　

（四）国家网信部门规定的其他需要申报数据出境安全评估的情形。

第五条 数据处理者在申报数据出境安全评估前，应当开展数据出境风险自评估，重点评估以下事项：　　

（一）数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；　　

（二）出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；　　

（三）境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；　　

（四）数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险，个人信息权益维护的渠道是否通畅等；　　

（五）与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等（以下统称法律文件）是否充分约定了数据安全保护责任义务；　　

（六）其他可能影响数据出境安全的事项。

06《数据出境安全评估申报指南（第一版）》

以下情形属于数据出境行为：　　

（一）数据处理者将在境内运营中收集和产生的数据传输、存储至境外；　　

（二）数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；　　

（三）国家网信办规定的其他数据出境行为。

三、回复要点

针对发行人在处理数据时是否存在境外存储、使用数据的问题，发行人首先应当了解数据在境外存储、使用的场景，进而针对此问题做出回复。例如，在使用Google、Cloud等提供商的云服务来存储数据时，应注意其服务器、数据中心是否存在境外设立的情形，存储在这些云中的数据有可能会分布在境外的数据中心；跨国公司或境外母公司、子公司在运营期间，为满足各地的法规和性能要求，通常会在当地数据中心存储数据等。

其次，发行人应当判断其行为是否涉及“向境外提供”，或被境外“访问或调用”的情况。参考《数据出境安全评估申报指南(第一版)》第一条的规定，数据出境行为包括两种情形：一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外；二是数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出。结合拟上市公司的回复，企业主要是依据数据存储设备是否在境外、企业是否为境外客户提供了查询、调取、下载、导出境内数据的业务来进行判断。

最后，发行人应当根据其提供的产品及服务进行详细分析论证，明确做出存在或不存在的答复。对于这两种情形，答复要点各有不同：

1、不存在的情形：发行人必须根据自身实际情况，对产品的目标、功能、受众、业务情况等做出详尽的无境外储存、使用数据的声明。并且，鉴于不同行业数据特性的差异，发行人须根据自身行业特性，参照相关行业标准，阐明数据处理合规性。以以萨技术股份有限公司为实例，该公司在客户内网布置产品时，严格按照所属行业的国家标准（GB/T28181—2016《公共安全视频监控联网系统信息传输、交换、控制技术要求》、GA_T1399《公安视频图像分析系统》、GA_T1400《公安视频图像信息应用系统》等）和现有数据接口进行对接和传输，确保数据信息不会外泄。

2、存在的情形：如果存在境外存储、使用数据的情况，发行人应当结合数据出境管制规定详细阐述公司在各个地区的具体业务情况，包括但不限于业务功能和数据类型、产品使用/服务提供方式和流程、数据存放地域、储存期限、使用目的、数据量以及数据安全措施等，论证发行人数据出境合规。例如，上海合合信息科技股份有限公司在回复中，通过详细介绍其产品名片全能王（海外版）和扫描全能王（海外版）的产品类型、功能以及产品配套的《隐私政策》，说明了其在境外储存和使用数据是符合数据安全的相关规定的。

四、律师建议

当发行人的业务过程中存在境外存储、使用数据的情况时，应当重点关注可能涉及的数据出境安全问题，可以从以下角度进行合规自查：

1、公司应对经营业务内容中的数据收集、处理、储存、传输部分进行全面梳理、自查，包括但不限于外资持股、境外投资、对外业务、跨境⽀付、中外合作、涉外诉讼与仲裁等具体情形中，确认是否存在数据出境的情形；

2、在公司存在数据出境情形，或拟开展涉及数据出境的相关业务时，应根据出境数据的数量和其重要程度，对照数据出境路径要求，根据法律规定申报数据出境安全评估或通过个人信息保护认证，与境外接收方签订个人信息标准合同，明确境外接收方在数据处理过程中的权利、义务，并审核境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响以及境外接收方的技术措施、能力等能否保障跨境处理重要数据和个人信息的安全，在完成法定的数据出境程序前，不得将数据传输至境外；

3、公司应针对数据出境问题建立完善的内部控制体系，对员工进行相关培训，严格遵守国家关于数据出境的法律法规及技术标准，降低数据出境安全风险；对公司可能涉及的数据出境安全问题存在不确定情形时，应及时咨询主管机构及专业人士的建议，确保业务合规性，以避免对未来上市造成不利影响。

天唯科技专注于大型组织信息安全领域及IT基础设施解决方案的规划、建设与持续运维服务。帮助客户提高IT基础设施及信息安全管控水平和安全运营能力，使客户在激烈的市场环境中保持竞争力。

我们一直秉承“精兵强将，专业专注”的发展理念。先后在江门、深圳成立分公司，在武汉、长沙成立办事处以及成立广州的服务支撑中心。公司已获得高新技术企业认证、已通过IS09001、IS027001、CCRC信息安全集成服务、CCRC信息安全风险评估、CCRC信息安全应急处理等认证。

END

往期推荐: