数据出境100问分为以下七部分。
第一部分:数据出境关键概念剖析
第二部分:数据出境安全评估高频问题与适用解读
第三部分:标准合同高频问题与适用解读
第四部分:粤港澳大湾区(内地、香港)个人信息跨境流动标准合同
第五部分:个人信息保护认证高频问题与适用解读
第六部分:数据出海实践关键问题与海外SCCS要点对比
第七部分:境外个人信息跨境传输
以下为部分内容的梳理和解读,详细内容请查阅电子版材料。
第一部分:数据出境关键概念剖析
很多看似非常难解答和处理的问题,并非问题本身,更多是基础概念没有真正理解到位。在日常为各大企业提供数据合规法律服务的过程中,我们经常遇到各项要素交织在一起的复杂情况,解决问题的关键之一,是对基础概念进行准确理解,并识别出待解决问题的真正核心。下面主要就部分数据出境的关键概念进行梳理和解读。
Q1
我国的数据出境制度包含哪些法律文件?
在法律层面,涉及数据出境制度的法律文件有《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等。
为了进一步落实上述法律中规定的数据出境制度,国家网信办于2022年7月7日公布了《数据出境安全评估办法》,自2022年9月1日起施行。2022年11月4日,国家网信办联合国家市场监督管理总局公布了《关于实施个人信息保护认证的公告》。2023年2月22日,国家网信办公布了《个人信息出境标准合同办法》,自2023年6月1日起施行。2024年3月22日,国家网信办公布《促进和规范数据跨境流动规定》,对数据出境安全评估、个人信息保护认证、个人信息出境标准合同等数据出境制度做出了调整,旨在进一步促进数据有序跨境流动,释放数据价值。
伴随着《促进和规范数据跨境流动规定的发布》,国家网信办还公布了《数据出境安全评估申报指南(第二版)》《个人信息出境标准合同备案指南(第二版)》等文件,对申报安全评估以及标准合同备案进行了具体规定。
除此之外,为了促进粤港澳大湾区个人信息跨境安全有序流动,国家互联网信息办公室联合香港特区政府创新科技及工业局于2023年12月10日发布了《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》,对粤港澳大湾区通过标准合同的方式进行个人信息跨境传输做出了特别规定。
除了以上规定,部分场景下或部分行业的数据出境有特别的规定,如依据《数据安全法》第三十六条和《个人信息保护法》第四十一条规定的所有向外国司法或者执法机构提供境内存储的包括个人信息在内的数据的行为(司法协助场景),应当经国内主管机关批准;根据《中华人民共和国人类遗传资源管理条例》规定的对外提供人类遗传资源信息时的安全审查或备案;以及《保守国家秘密法》规定国家秘密以及国际秘密载体的受到严格出境限制;特殊行业的数据出境限制及禁止性规定。
Q2
“数据出境”对什么类型的“数据”进行出境监管?
根据《中华人民共和国数据安全法》的定义,数据是指任何以电子或者其他方式对信息的记录。但是,在“数据出境”监管场景下,并非所有数据出境都会落入有关数据出境的法律法规的监管范围中,故识别数据出境场景,首先需要明确目前我国对什么类型的数据进行出境监管。目前受到出境监管的数据类型包括以下类别:
01
依据《安全评估办法》第二条的规定,适用数据出境安全评估的数据包括重要数据以及个人信息。根据《个人信息出境标准合同办法》第二条的规定,适用个人信息出境标准合同的数据为个人信息。根据《认证实施规则》中的“适用范围”,适用于个人信息保护认证的数据为个人信息。
02
此外依据《数据安全法》第三十六条和《个人信息保护法》第四十一条规定,所有向外国司法或者执法机构提供境内存储的包括个人信息在内的数据的行为(司法协助场景),应当经国内主管机关批准;依据《人类遗传资源管理条例》第二十八条的对人类遗传资源信息对外提供的安全审查或备案的要求;以及《保守国家秘密法》规定国家秘密以及国际秘密载体的受到严格出境限制等等。
03
此外,依据部分行业(如汽车、金融、医疗等行业)的特殊规定,也存在数据出境限制或禁止规定。
Q3
如何判断是否涉及处理“个人信息”?
根据《个人信息保护法》第四条,“个人信息”指“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”,一般情形下对于何为“个人信息”是比较明确的,依据国家标准《个人信息安全规范》的“附录A(资料性附录)个人信息示例”,识别个人信息应当考虑两种方式,一是“识别”,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人。二是“关联”,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。
识别个人信息的场景中,较为困难的是何为“匿名化处理后的信息”,实务中有较多的企业会认为自身已经对个人信息进行了所谓的脱敏或匿名化处理,从而认为该类数据不再属于“个人信息”的范畴,实则我国监管对于“个人信息”的定义是比较宽泛的,当该类数据能够与任何其他数据结合识别出特定自然人,则其仍然属于个人信息的范畴,只有真正被匿名化处理过的数据,才不属于个人信息。
此外,在实务中,会经常出现有大量看似不是“个人信息”的业务数据,在判断此类数据是否属于“个人信息”时候需要特别注意识别,在出现有可能识别到特定个人的情况下,建议倾向按“个人信息”的标准对待和处理。
Q4
何种数据属于“重要数据”,以及如何判断自身业务涉及“重要数据”?
根据《安全评估办法》、《数据分类分级规则》,重要数据包含以下定义:
01
特定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。(《数据分类分级规则》)
02
一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。(《数据出境安全评估办法》)
以上可总结“重要数据”的特点是:一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全,即,重要数据的安全将对整个社会或国家的利益和福祉产生重大影响,此外“重要数据”的识别需结合具体场景、时间、行业规模等要素,同一种数据在不同时间节点、规模以及场景维度下会发生定性变化。
在实践中,诸多企业对于自身向境外提供的数据是否落入“重要数据”的范畴是比较模糊的,这为企业判断自身是否需要申报安全评估带来了困难。于2024年3月发布的《数据跨境流动规定》很大程度解决了企业的这一难题,根据该规定,未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。我们理解,重要数据的认定工作,未来将会由相关部门、地区等的主管(监管)部门承担,这将很大程度为企业降低负担,但企业仍需要关注相关部门或地区公布的重要数据目录。
Q5
如何判断公司业务行为与场景是否属于“数据出境”?
数据出境的概念早在2017年版的《个人信息和重要数据出境安全评估办法(征求意见稿)》曾给出过解析:网络运营者将在中国境内运营中收集和产生的个人信息与重要数据,提供给位于境外的机构、组织、个人。后根据2022年9月施行的《数据出境评估办法》第二条,“数据出境”是指“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息”。
《安全评估办法申报指南》中对于“数据出境行为”进行了罗列:
01
数据处理者将在境内运营中收集和产生的数据传输、存储至境外。
02
是数据处理者收集和产生的数据存储在境内,但境外的机构、组织或者个人可以查询、调取、下载、导出。
03
符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他数据处理活动。
实践中较为常见的数据出境行为,根据过往的项目经验,至少包括以下几种常见的数据出境行为:
01
数据传输至境外
场景示例:某境内在线零售平台与境外支付服务提供商合作,境内消费者在该平台购物后选择使用国际信用卡支付。在交易过程中,消费者的支付信息和交易数据被传输至境外支付服务提供商进行处理和结算,以完成跨境支付。
02
数据存储至境外
场景示例:一家境内企业采用境外的SaaS(SoftwareasaService)软件来管理其销售业务。该SaaS软件提供商位于境外,境内企业在SaaS软件上上传或提交销售数据和客户信息等,销售数据和客户信息将传输至位于境外的SaaS软件提供商进行处理(包括但不限于存储),以实现该境内公司的销售业务的管理和分析。
03
境外查询、调取、下载、导出境内数据
场景示例:一项国际性的医学研究项目中,中国的大学作为合作方之一,收集了大量的患者医疗数据,在项目合作过程中,境外的科研机构需要通过特定系统访问或查询这些数据进行进一步的分析和研究。
企业在判断公司业务行为是否属于“数据出境”的时候,需要注意以下内容:
01
判断自己是否是我国《数据安全法》中的“数据处理者”(以及判断是否是我国《个人信息保护法》中的“个人信息处理者”);
02
该等数据是否是在“境内运营过程中”收集和产生的;
03
企业的行为是否有涉及“向境外提供”,或被境外“查询、调取、下载、导出”的情形,或者符合《个人信息保护法》第三条第二款情形,存在在境外处理境内自然人个人信息等其他数据处理活动。
Q6
如何理解《个人信息保护法》第三条第二款的情形,在境外处理境内自然人个人信息等其他处理活动,构成个人信息出境行为?
《安全评估申报指南》和《标准合同备案指南》两份文件的第二版出台之前,业内有观点认为《个人信息保护法》第三条第二款的行为不适用数据出境路径,原因在于落入该情形的境外个人信息处理者直接受《个保法》管辖,若境外个人信息处理者未向中国境外的其他个人信息处理者提供个人信息,那么并不涉及“个人信息出境”。
但目前,根据2024年3月发布的《安全评估申报指南》第二版及《标准合同备案指南》第二版,“符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他个人信息处理活动”已被明确为个人信息出境行为,若未落入豁免数据出境前置程序的情形,则境外个人信息处理者需根据具体情形申报安全评估、签订标准合同或通过保护认证。
Q7
如何准确识别企业行为是否涉及“境内运营”?
“境内运营”是一个经常出现在各个规定、办法、指南中的常见概念,也是我们研究“数据出境”行为的常见概念。根据《2017年信息安全技术数据出境安全评估指南(征求意见稿)》中的规定,“境内运营(domesticoperation)”是指,网络运营者在中华人民共和国境内开展业务,提供产品或服务的活动。
Q8
没有在中国境内注册,但是在境内开展业务,或向境内提供产品或服务的,是否属于境内运营?
解决难题的关键点在要看到问题的实质。结合前问,判断是否属于“境内运营”,不以是否在境内注册为判断依据,如果没有在我国境内注册的网络运营者,但在我国境内开展业务,或向中华人民共和境内提供产品或服务的,仍然属于境内运营。
判断是否“在我国境内开展业务,或向我国境内提供产品或服务的实务因素”,则包括但不限于:是否以为我国境内居民提供产品或服务为目的,提供产品和服务的过程中是否使用了中文;是否提供了可以用人民币作为结算货币的选项;是否提供了有向中国境内配送物流的服务等等。
Q9
如何正确识别“数据出境”中“出”的动作含义?
数据同一般有形实物不同,存在多种“出”的方式,包括将数据存储在U盘中携带出境;通过电子邮件发送数据;数据在云服务器之间传输;境外人员远程访问境内服务器查看、处理数据。
在实务中,存在较多疑问的场景集中在“境外人员远程访问境内服务器查看、处理数据”是否属于数据出境场景上,我们可以通过对“出境”这一基础概念的剖析和理解进行解答:虽然在本场景中,数据并没有实质发生物理转移出境的动作,但是,基于数据与有形实物的区别,数据本就以可观察的、电子形式进行存储,当数据受到境外机构或人员的查看、处理甚至导出时,已经属于实质上的数据出境行为。《安全评估申报指南(第二版)》中对于数据出境行为的规定亦确认了“远程访问”属于数据出境行为。
Q10
如何理解数据出境的“境”?
我们常说的“出境”和“跨境”,不仅是指数据存在物理上跨越国境的行为,更是指从一个司法管辖区域到另一个司法管辖区域的行为,而其中司法管辖区域是既包括独立主权的国家,也包括具有司法独立主权的地区。
经常有客户咨询,中国大陆企业向香港、澳门、台湾地区传输数据,是否属于出境的行为。当我们对“境”有一个更准确的理解时,该问题便能轻松解决。
01
中国大陆与香港、澳门、台湾地区分别属于不同的司法管辖区域;
02
在《中华人民共和国出境入境管理法》第八十九条中曾有对“出境”进行定义,根据规定,出境是指中国内地前往其他国家或者地区,由中国内地前往香港特别行政区、澳门特别行政区,由中国大陆前往台湾地区;
03
当企业将中国内地/大陆境内收集和产生的重要数据和个人信息向香港、澳门、台湾地区传输时,属于数据出境行为。
Q11
如何理解“境外机构、组织、个人”?
实务中跨国集团、外资企业等存在很多看似疑难或模糊的数据出境场景,要想理清各类数据流转场景下是否涉及“向境外提供”数据,或数据被境外“访问或调用”的情况,需要进一步对“对境外机构、组织、个人”进行理解。
根据现行法律法规的定义,“境外机构、组织”包括境外机构、组织在中华人民共和国境内设立的分支(代表)机构和分支组织;“境外个人”包括居住在中华人民共和国境内不具有中华人民共和国国籍的人。
即境外的机构、组织是指没有在我国境内注册的主体,境外的个人是指持有外国国籍的自然人以及不受我国(内地/大陆)司法管辖的香港、澳门、台湾地区的自然人。
Q12
境内主体向另一个位于境内的外资企业的办事处传输数据,是否属于“数据出境”?
在实务中,有很多看似不是数据出境,但实质上属于数据出境的“迷惑性”情况。判断这些问题的关键,主要看该业务场景是否落入“数据出境”的范围。
如前所述,出境的“境”是指跨越了司法管辖区域的边界,如果是向在我国境内,但不属于我国司法管辖的另一主体,或没有在我国境内注册的另一主体提供了数据,且该数据涉及个人信息和重要数据的,则仍然属于“数据出境”。
Q13
跨国集团内部的数据传输行为,是否属于“数据出境”?
同样是如何理解“境”的问题,即便是跨境集团内部的数据传输行为,由于数据是通过境内的网络运营者从境内转移至境外的,如果该等数据也是属于其在境内运营中收集和产生的个人信息和重要数据的,则仍然属于“数据出境”。
因此,在实务中,当涉及跨国集团常发的集团统一采购、人事管理、OA系统、财务管理、文档管理、供应商管理、远程运维等情况时,将可能经常发生企业内部数据流动,并向境外关联主体提供数据的情况,从而可能会落入“数据出境”的范畴,需要特别注意。
Q14
如何识别哪些情况不构成数据出境?
简而言之,排除了所有属于“数据出境”的情况,则属于不构成数据出境的情况。
我们认为,没有进行任何加工和处理的“过境中转数据”,即该等数据只是经由我国境内中转,但没有经过任何的变动或加工处理,不属于“数据出境”。
但对于“并非在我国境内收集和产生的数据,但处理过程中没有引入境内个人信息或重要数据”的情形,我们认为根据《数据跨境流动规定》第四条的规定,该情形仍然属于数据出境,但“免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”。但如在处理非我国境内收集和产生的数据过程中引入了境内个人信息或重要数据,我们理解需要根据引入数据及具体数据出境情况等,确定具体应适用的数据出境路径。
Q15
什么是“数据出境安全评估”?
数据出境安全评估是符合要求的企业需要向境外提供重要数据和个人信息时,由企业申报,由国家网信部门进行安全性审查的过程。
安全评估最初在2017年我国《网络安全法》第三十七条出现,此后,《数据安全法》《个人信息保护法》《安全评估办法》等相继在重要数据及个人信息出境中提出了安全评估的要求。
《安全评估办法》是对数据出境安全评估进行了内容的细化。根据《安全评估办法》,数据处理者在申报数据出境安全评估前,应当先开展数据出境风险自评估。在后续部分,我们将会对安全评估的相关问题进行深化解读。
Q16
什么是“个人信息出境标准合同”?
《个人信息出境标准合同》是国家网信部门制定的一项标准合同,是《个人信息出境标准合同办法》的配套文件。《个人信息出境标准合同》为个人信息处理者和境外接收方设定了一系列权利和义务,通过合同义务的方式约束双方的个人信息保护义务。
《个人信息出境标准合同》虽然是合同性质,但并不是说双方完成了签署就完事,它仍然会涉及到我国法律及原则的适用,以及我国的监管机构也对标准合同条款的实施了对应的监管要求,例如要求进行事前的个人信息影响保护评估、采取保护措施、要求进行备案等。
Q17
什么是“个人信息保护认证”?
国家网信办联合国家市场监督管理总局发布的《关于实施个人信息保护认证的公告》落实了个人信息保护认证制度。个人信息保护认证是《个人信息保护法》规定的个人信息出境合规路径之一。具体而言,个人信息保护认证是由第三方机构通过评估对企业个人信息保护的能力给予信任背书。个人信息保护认证有两种类型,分别为不含跨境处理活动的个人信息保护认证和包含跨境处理活动的个人信息保护认证。
Q18
《数据跨境流动规定》出台后,适用不同数据出境路径的条件是什么?
根据《数据跨境流动规定》第十三条的规定,《数据跨境流动规定》与《安全评估办法》及《标准合同办法》规定不一致的,适用《数据跨境流动规定》。而《数据跨境流动规定》的第三至八条对于不同数据跨境传输路径的适用条件进行了大幅调整,且增加了豁免情形。故本专题在阐述后续部分各数据跨境传输路径的相关问题之前,对各路径的豁免情形和适用条件予以阐述。
第一,是“免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”的情形,即所谓的豁免情形。根据《数据跨境流动规定》第三至六条,包括:
01
数据处理者跨境传输的数据不包括个人信息或重要数据;
02
数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的;
03
数据处理者向境外提供个人信息,符合下列情形之一,且向境外提供的个人信息不包括重要数据的:
1)为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的;
2)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;
3)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;
4)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。
04
自由贸易试验区内数据处理者向境外提供自由贸易试验区制定的负面清单外的数据。
第二,是适用各数据跨境传输路径的条件:
01
符合下列条件之一,需申报数据出境安全评估:
1)关键信息基础设施运营者向境外提供个人信息或者重要数据;
2)关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。
02
同时符合下列条件的,需订立个人信息出境标准合同或者通过个人信息保护认证:
1)非关键信息基础设施运营者;
2)自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的。
第三,另外,值得关注的问题包括:
01
关键信息基础设施运营者的特定数据出境场景落入《数据跨境流动规定》第三至六条的情形时,无需申报数据出境安全评估,亦无需订立个人信息出境标准合同或通过个人信息保护认证。
02
即使落入“免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”的情形,但数据处理者向境外提供个人信息的,仍需按照法律、行政法规的规定履行告知、取得个人单独同意(若适用)、进行个人信息保护影响评估等义务;数据处理者向境外提供数据(包括个人信息)的,仍需遵守法律、法规的规定,履行数据安全保护义务,采取技术措施和其他必要措施,保障数据出境安全,如发生或者可能发生数据安全事件的,应当采取补救措施,及时向省级以上网信部门和其他有关主管部门报告。
03
当年1月1日起累计向境外提供不满10万人个人信息(但不包括敏感个人信息),无需申报数据出境安全评估,亦无需订立个人信息出境标准合同或通过个人信息保护认证,但仍需要履行上述(2)的义务。
Q19
如何判断企业是否属于“关键信息基础设施运营者(CIIO)”?
自《网络安全法》公布以来,“关键信息基础设施运营者”的概念就持续在各种规定中被使用,后续各项法律规定不断完善后,该概念也逐渐清晰起来。
《关键信息基础设施安全保护条例》第二条为CIIO给出了明确的定义,关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
关键信息基础设施的确定,通常包括三个步骤,
01
确定关键业务
02
确定支撑关键业务的信息系统或工业控制系统
03
根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施
同时,条例第九条规定,保护工作部门会结合本行业、本领域实际,制定关键信息基础设施认定规则,并报国务院公安部门备案。制定认定规则考虑的因素包括:
01
网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;
02
网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;
03
对其他行业和领域的关联性影响。
目前,企业是否为“关键信息基础设施运营者”是由保护工作部门根据其制定的相应规则组织认定的,认定结果工作部门会通知给运营者,并通报国务院公安部门。可见,如果企业并没有收到主管部门的认定通知的话,可以认为企业暂时不属于CIIO。
Q20
如何计算“1万、10万、100万人个人信息”、如何理解“自当年1月1日起累计”?
(1)计算标准为个人信息主体数量,即人数,而不是条数。若企业涉及将一个个人的个人信息以多条的形式向境外提供,如企业同时将某个自然人的个人信息以“手机号+性别+所在城市”、“手机号+年龄+性别”的方式向境外提供,应计算为向境外提供了一个自然人的个人信息,对此企业在计算时需要以特定的方式进行去重后确定出境个人信息所对应的人数。
需要注意的是,根据《数据跨境流动规定》答记者问,符合《数据跨境流动规定》第三条、第四条、第五条第一款第一项至第三项、第六条规定情形的,不计入累计数量。
另外,请注意,数量应按照个人信息处理者的全部出境场景的个人信息所对应的个人信息主体数量计算,并非以单一业务线或单一产品来进行计算。
(2)10万人及1万人指的是自当年1月1日起出境的个人信息所对应的个人信息主体数量(人数)的累计计算。假设个人信息处理者于2024年4月2日评估是否可适用标准合同作为个人信息跨境传输路径,则计算范围为该个人信息处理者自2024年1月1日至2024年12月31日之间出境个人信息所对应的个人信息主体数量,因此个人信息处理者需要预估2024年整年出境个人信息所对应的个人信息主体数量。
为避免出现出境个人信息所对应的个人信息主体数量(人数)超过100万或1万敏感个人信息的阈值导致需申报安全评估,且考虑到完成整个安全评估的周期较长,我们建议企业根据过往两年的已出境个人信息所对应的个人信息主体数量、未来一年内的业务增长量预判等因素预估本年度的出境个人信息所对应的人数,如可能落入申报安全评估的范围,提前安排安全评估的相关工作。
Q21
什么是“敏感个人信息”?
同样,我国《个人信息保护法》,就何谓“敏感个人信息”也给出了具体的定义,敏感个人信息是指,一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
实务中企业想要判断其处理的信息是否涉及“敏感个人信息”时,可以结合该等信息被泄漏或被非法使用时对数据主体权益的影响程度、是否属于特殊类型数据以及结合《个人信息安全规范》的“附录B(资料性附录)个人敏感信息”等进行综合判断。
Q22
如何理解《数据跨境流动规定》第四条,即“在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的”?
适用该情形需要满足两个条件,即:
01
出境的个人信息是在境外收集和产生的;
02
在境内处理个人信息时没有引入境内个人信息或重要数据。
举例来说,中国互联网企业在出海过程中,收集海外自然人的数据,并将其传输至境内自有的数据中心进行处理,处理完成后向境外机构、组织或个人提供,且企业在境内处理的过程中没有引入境内的个人信息或者重要数据。
又如出海语音识别SaaS服务提供商,收集海外的B端客户传输的自然人语音信息,在境内识别分析后向境外机构、组织或个人返回语音识别后的结果,且该服务提供商在境内进行语音识别分析的过程中没有引入境内的个人信息或者重要数据。
Q23
如何理解《数据跨境流动规定》第五条第一款的“订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的”?
该情形需要满足以下的条件:
01
合同的一方当事人为个人(该个人的个人信息将向境外提供);
02
个人信息处理者向境外提供个人信息,是为了订立、履行其与个人之间的合同;
03
个人信息处理者为订立、履行其与个人之间的合同,确需向境外提供个人信息。
企业在确定适用该情形之前,需要就向境外提供的各个人信息字段进行必要性评估,对于企业来说,评估是否为“确需”是较难把握的问题。目前监管部门尚未公布进一步的明确标准,评估是否可适用该情形的负担很大程度上归于企业,企业也可能担心若“错误”适用是否可能被监管部门事后处罚。如企业希望寻求协助的,欢迎随时联系王捷律师团队。
Q24
如何理解《数据跨境流动规定》第五条第二款的“按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的”?
针对该豁免情形,我们需要注意以下要点:
01
关于劳动规章制度和集体合同
依法制定的劳动规章制度:是指企业与本单位职工根据法律、法规、规章的规定有关劳动报酬、工作时间、休息休假、劳动安全卫生、保险福利、职工培训、劳动记录以及劳动定额管理等直接涉及劳动者切身利益的规章制度,例如员工手册、绩效管理办法等文件。
依法签订的集体合同是指企业与本单位职工根据法律、法规、规章的规定,就劳动报酬、工作时间、休息休假、劳动安全卫生、职业培训、保险福利等事项,通过集体协商签订的书面协议,也可就集体协商的某项内容签订专项书面协议。就我国而言签订该合同的企业为少数。
02
跨境人力资源管理场景不仅局限于入职阶段,我们理解此场景包含入职阶段(文件签订、体检、培训等)、在职阶段(考勤、社保、绩效等)、离职阶段(竞业限制、离职关怀等)。
03
“确需”的必要性评估
例如跨国企业需要将境内员工相关信息传输至境外统一的人力资源系统进行绩效分析时,境内公司向境外母公司传输员工的全部个人信息不具备必要性,实践中需就各个字段进行充分、必要的论证。
Q25
如何理解《数据跨境流动规定》第六条第二款的“自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免于申报安全评估、订立标准合同、通过保护认证”?
《数据跨境流动规定》规定自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。
注册于自由贸易试验区(“自贸区”)的企业可持续关注所属自贸区发布的负面清单,若经核对后,出境数据(包括个人信息)属于负面清单之外的数据,则可免于安全评估、订立标准合同或通过保护认证;但如出境数据落入负面清单的范围,则仍需根据适用条件,申报安全评估、订立标准合同或通过保护认证。
实践中,上海和天津的自贸区均对区域内数据分类分级的流程进行了规定。上海也已基本编制完成智能网联汽车车辆远程诊断、公募基金市场投研信息、跨国公司集团管理、生物医药临床试验和研发等20个场景的跨境流动分级分类的首批清单目录,在完成论证后将于近期对外发布。
Q26
自贸区若尚未发布负面清单,是否可以等负面清单落地再进行相关申报、备案?
根据《数据跨境流动规定》答记者问,负面清单出台前,自由贸易试验区内的数据出境活动按照国家数据出境安全管理有关规定执行。我们理解,在负面清单出台前,企业仍需按照现有的数据出境制度、自身向境外提供数据的情况申报数据出境安全评估、签署《标准合同》并备案、通过个人信息保护认证等,但若落入《数据跨境流动规定》中的其他豁免情形,则免于数据出境前置程序。
Q27
CIIO可否适用豁免情形?
《数据跨境流动规定》第七条也规定了“属于本规定第三条、第四条、第五条、第六条规定情形的,从其规定。”因此,若CIIO数据出境场景符合《数据跨境流动规定》第三至五条的情形,亦可适用豁免情形。
Q28
若出境场景属于豁免数据出境前置程序的情形,还需要做什么?
《数据跨境流动规定》设置了一系列免予申报安全评估、订立标准合同、通过保护认证的数据出境场景,但这不意味着,落入豁免情形的数据出境活动可以不受限制地进行。
根据《个人信息保护法》的规定,在豁免数据出境前置程序的条件下,在个人信息出境方面,个人信息处理者仍需履行包括但不限于以下义务:
(1)向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项;
(2)取得个人的单独同意;
(3)进行个人信息保护影响评估;
(4)采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
对于个人信息之外的数据,如果豁免数据出境前置程序,根据《数据跨境流动规定》第十一条的规定,数据处理者仍需遵守法律、法规的规定,包括履行数据安全保护义务,采取技术措施和必要措施;发生或者可能发生数据安全事件的,应当采取补救措施,及时向省级以上网信部门和其他有关主管部门报告。
Q29
《数据跨境流动规定》发布的背景下,企业如何合规地进行数据出境活动?
针对不同情况的企业,我们建议:
对于那些已经根据原有规定进行申报和备案的企业,应当根据申报的进展和结果,评估自身的数据出境活动是否符合《数据跨境流动规定》中的豁免情况。同时,与监管部门保持紧密的沟通,为接下来的应对措施和最终的收尾工作做好准备。
对于之前处于观望状态的企业,现在数据出境监管的不确定性已经有所缓解。企业应当开始对数据处理(其中包括数据出境)的情况进行彻底的排查,并采取相应的合规措施。鉴于当前政策强调行业监管和事前事中事后的监管检查,即便企业可能符合豁免情况,也应当加强内部的合规工作,并确保其他的义务得到有效履行,以实现业务长远稳定的发展。
Q30
什么是“单独同意”?
“单独同意”是指个人针对其个人信息进行特定处理而专门作出具体、明确授权的行为,不包括一次性针对多种目的或方式的个人信息处理活动作出的同意。与“单独同意”相对的是所谓的“一揽子同意”,比如一款AI产品在用户交互界面向用户提供了一个勾选同意的选项,同意的内容包括将个人信息向境外主体提供、利用个人信息优化AIGC产品、对个人信息向境内主体共享等,这种一揽子的同意就不属于单独同意。关于单独同意的实施,在《GB/T42574–2023信息安全技术个人信息处理中告知和处理的实施指南》的第9.3点有更为详细、区分不同情形的说明。
如个人信息处理者以“同意”为合法性基础向境外提供个人信息、不具备《个人信息保护法》第十三条第一款第(二)至(七)项的合法性基础,则需要取得个人的单独同意;这意味着,如个人信息处理者具备“同意”之外的合法性基础,则无需取得个人的单独同意,常见的如“为履行个人作为一方当事人的合同所必需”。
Q31
什么是“数据出境风险自评估”?
数据出境风险自评估是申报数据出境安全评估的前置程序,《安全评估办法》规定,企业在申报数据出境安全评估前,需要开展数据出境风险的自评估。在要求提交的申报安全评估材料中,自评估报告是提交的材料之一。
虽然数据出境风险自评估与个人信息影响保护评估一样都是由企业自主进行的,但是自评估的内容呈现会关系到后续国家网信办的安全评估结果,企业在进行自评估时可以关注配合《安全评估申报指南》的要求。本专题的后续部分也会详细解读自评估值得重点关注的内容事项。此外,许多企业困惑于“数据出境风险自评估”、“数据出境安全评估”以及“个人信息保护影响评估”的关系区别,在了解分别是何种程序,由谁负责进行后,我们也将会在后文为大家继续做出详细对比分析。
Q32
什么是“个人信息保护影响评估”?
个人信息保护影响评估是企业对其个人信息处理活动进行合法合规程度检查、判断企业的个人信息处理活动是否对个人信息主体合法权益造成损害及相关风险、以及评估保护个人信息主体的各项措施有效性的过程。我国《个人信息保护法》中明确规定,在几大特别情形下,企业应当在开展个人信息处理活动之前,先进行个人信息保护影响评估,并且评估报告和处理记录应当至少保存三年。《个人信息保护法》第五十五条则规定了企业需要进行个人信息保护影响评估的适用范围,包括:
(1)处理敏感个人信息
(2)利用个人信息进行自动化决策
(3)委托处理个人信息
(4)向其他处理者提供个人信息
(5)公开个人信息
(6)向境外提供个人信息
(7)其他对个人权益有重大影响的个人信息处理活动
个人信息保护影响评估应当包括下列内容:
01
个人信息的处理目的、处理方式等是否合法、正当、必要;
02
对个人权益的影响及安全风险;
03
所采取的保护措施是否合法、有效并与风险程度相适应。
在确定数据出境中需要个人信息保护影响评估的前提下,《标准合同办法》《标准合同备案指南》进一步的对出境个人信息保护影响评估的适用条件、程序、内容进行了细化扩充,在本专题的后续部分将会对问题进行深化解读。
Q33
如果落入《数据跨境流动规定》规定的豁免情形,仍需开展的个人信息保护影响评估需要参照哪个版本进行?
目前我国有两种个人信息保护影响评估,一种为参照《GB/T39335-2020信息安全技术个人信息安全影响评估指南》开展的个人信息保护影响评估,另一种为《标准合同备案指南》附件5《个人信息保护影响评估报告(模板)(出境版)》。
我们理解,特定个人信息出境活动,即使根据《数据跨境流动规定》豁免数据出境前置程序,其仍然属于个人信息出境,因此建议按照《个人信息保护影响评估报告(模板)(出境版)》开展个人信息保护影响评估,当然企业可在条件允许的情况下融入《个人信息安全影响评估指南》的相关要求。
全部内容请到帮会中下载,感谢支持!!
来源: 出海互联网法律观察
垦丁律师事务所 王捷律师团队
帮会简介
「一起聊安全」公众号及帮会致力于网络安全材料汇总与分享,围绕网络安全标准、安全政策法规、安全报告及白皮书、安全会议、安全方案、新技术等方向,与FREEBUF知识大陆共建【一起聊安全】帮会,目前相关内容已有3000+,安全标准涵盖国标、行标、团标等,包括等保、关基、商密、数据安全、云计算、物联网、工业互联网、移动安全、风险评估、安全攻防等30+方向内容,覆盖最新安全政策法规、安全报告及白皮书等,为网安人提供最新最全资料。
点分享
点收藏
点在看
点点赞
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...