前言
2022年6月30日,国家互联网信息办公室(以下简称“网信办”)发布《个人信息出境标准协议规定(征求意见稿)》及个人信息出境标准协议;2022年7月7日,网信办公布《数据出境安全评估办法》(以下简称《评估办法》),自2022年9月1日起实施,个人信息出境达到评估办法规定的数目和标准的,应当申报数据出境安全评估;2022年11月18日,国家市场监督管理总局、网信办发布《关于施行个人信息保护认证的公告》,同时公布了附件《个人信息保护认证施行规则》。结合《网络安全法》、《数据安全法》、《个人信息保护法》以及个人信息出境的相关认证规范、标准协议的规定,个人信息出境路径渐渐清晰。
01
监管体系
2017年6月1日《网络安全法》(以下简称《网安法》)的施行后, 数据出境合规成为了被广泛关注的问题,然而该法中对于个人信息出境评估的要求仅针对关键信息基础设施的运营者(“CIIO”),并未对非CIIO向境外提供个人信息提出监管要求。
此后, 国家互联网信息办公室于2021年依次发布的《数据出境安全评估办法(征求意见稿)》以及《网络数据安全管理细则(征求意见稿)》中, 进一步扩大了数据出境须要进行安全评估的范围, 将出境数据中包含重要数据或则处理个人信息达到一百万人的个人信息处理者列入了安全评估的范围,尽管当时这两个文件还是征询意见稿,但足见监管部门对于数据出境的监管范围在稳步扩大。
2021年实施的《数据安全法》对于CIIO在境内存搜集和形成的重要数据的出境安全管理提出监管要求,由于该法在立法层面更多的是维护国家主权、安全和发展的利益,因此更注重对涉及国家安全、社会稳定的重要数据提出监管要求。
《个人信息保护法》(以下简称《个保法》)于2021年8月即将颁布。其中第38条规定,个人信息处理者因业务须要, 向境外提供个人信息的须要具备以下条件之一:
(1)通过国家网信部门组织的安全评估;
(2)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(3)按照国家网信部门制订的标准协议与境外接收方签订协议,约定双方的权力和义务;
(4)其他条件。
而在《个保法》第55条, 进一步将个人信息出境规定为必须事前进行个人信息保护影响评估的情形之一。
尽管《个保法》明确提出了个人信息出境的三条路径,即安全评估、保护认证和标准协议,但在《个保法》出台的时侯, 国家网信部门仍未发布即将的安全评估办法,如何进行个人信息保护认证以及标准协议模板也都没有明晰。而《信息安全技术 个人信息安全规范》中对于个人信息跨境传输,也仅仅规定了“在中华人民共和国境内营运中搜集和形成的个人信息向境外提供的,个人信息控制者应遵守国家相关规定和相关标准的要求”。在这个阶段,尽管监管部门对个人信息出境的合规义务早已完善了法律层面的根据,但企业的实务操作还存在好多不明晰的地方。
此后,在《个保法》的基础上,三条个人信息出境路径具体的合规要求渐渐明晰:2022年6月24日, 全国信息安全标准技术委员会(以下简称“信标委”)发布了《网络安全标准实践手册—个人信息跨境处理活动安全认证规范》(以下简称《认证规范1.0》),为企业采取认证途径进行个人信息出境的提供了相关认证合规要求的根据。在发布《认证规范1.0》正式稿不到五个月时间,信安标委又将1.0版本升级到了2.0版本,2022年11月8日,再次发布《网络安全标准实践手册 个人信息跨境处理活动安全认证规范(征求意见稿)》(以下简称《认证规范2.0(征求意见稿)》)。
在标准协议方面,6月30日, 网信办发布《个人信息出境标准协议规定(征求意见稿)》(以下简称《标准合同规定》),并通过附件公布了个人信息处理者和境外数据接收方订立的标准协议模板。
2022年7月7日,网信办进一步发布了《数据出境安全评估办法》(《评估办法》),明确了数据处理者向境外提供数据时适用国家网信部门评估的情形、内容、流程等,其中明晰规定了CIIO以及处理100万以上个人信息处理者向境外提供个人信息,以及自上年1月1日起累计向境外提供10万人个人信息或则1万人敏感个人信息的数据处理者向境外提供个人信息的,应当申报数据出境安全评估。
从个人信息出境监管规制的历程来看,自《网安法》出台以来,立法机构及有关监管部门也在逐渐在构建和个人信息出境相关的法律、法规和监管规则及标准。至今,以《网安法》、《数安法》和《个保法》“三驾马车”为基础的个人信息出境监管体系早已产生,企业应该结合自身的业务情况、数据传输情况,按照相关规定履行个人信息出境的合规要求。
02
三条出境路径
从现有法律框架看,我国个人信息有三条出境途径:
安全评估:
通过网信部门组织的安全评估;
标准协议:
按照网信部门制订的标准协议与境外接收方签署协议;
认证:
按照网信部门规定经专业机构进行个人信息保护认证。
其中,安全评估强制适用于CIIO和处理个人信息达到规定数目的公司的个人信息出境活动;标准协议及认证都仅适用于未达安全评估标准的个人信息出境活动。
对于个人信息处理者而言,无论采取那个路径出境,以下三个工作都是必须进行的:
第一
根据《个保法》第39条的规定,个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或则姓名、联系方法、处理目的、处理方法、个人信息的种类以及个人向境外接收方行使本法规定权力的方法和程序等事项,并取得个人的单独同意。因此,无论采取何种形式出境,个人信息处理者都须要获得个人信息主体的单独同意。
第二
与境外数据接收方签订法律文件,这里所指的法律文件,包括但不限于标准协议。符合条件的个人信息处理者通过网信办申报安全评估进行数据出境的,其中申报材料中就应包括“与境外接收方制定的数据出境相关协议或则其他具有法律效力的文件”;采取标准协议出境的,则必然须要签订标准协议:而采取认证方法出境的,《认证规范2.0(征求意见稿)》第5.1条明晰要签订具有法律约束力的合同。
尽管目前监管部门只有公布《标准合同》,其他两种出境形式中并未明晰所订立的法律文件模板,但我们觉得《标准合同》应当是与境外接收方签订数据出境相关协议的基本规范和基本合规标准。尤其是通过申报网信办安全评估进行出境的方法,由于适用数据出境安全评估的主体,所把握的数据量更大,数据类型也愈发重要,因而对于这部份主体的合规标准应该是更高的,相关的协议内容设置的合规义务也应当更严格。
第三
开展评估活动。针对不同的出境路径,评估活动的别称略有不同:在通过网信办安全评估进行出境的方法中,其中涉及了两种评估,第一种是国家网信办进行的“安全评估”,是国家网信办对拟申报数据出境企业的评估,但在此之前,拟申报数据出境的企业应该对自己举办“自评估”;根据《标准合同规定》第5条的规定, 个人信息处理者向境外提供个人信息前, 应当事前举办个人信息保护影响评估;根据《认证规范2.0(征求意见稿)》第5.4条的规定, 开展个人信息跨境活动的个人信息处理者应该事前进行个人信息保护影响评估;由此可见,标准协议及认证方法的出境路径都须要进行“个人信息保护影响评估”,企业进行该评估可具体参考《信息安全技术 个人信息安全影响评估手册》。
我们理解,个人信息保护影响评估主要以《个保法》为根据,衡量数据处理活动是否会对个人信息主体的权益导致影响,而企业申请安全评估方法出境的数据不仅仅包括个人信息,也包括重要数据;此外,企业是否举办个人保护影响评估应该是自评估的范围,用以说明数据处理者数据安全保障能力情况。
对于企业而言,在举办个人信息出境活动时,应当参考以下合规流程:
首先
企业应该核查自身的业务情况,是否存在个人信息出境的情况,比如储存个人信息的数据库或系统是否设置在境外,境外的组织和个人是否可以对储存在境内的个人信息进行访问,或者是否通过电邮、传真,甚至是硬件设备等形式向境外传输个人信息等。如果存在上述数据出境的场景,则应该辨识为存在个人信息出境活动;
第二
如存在个人信息出境活动,则须要进一步辨识,应当采取哪种出境路径,考虑企业是否达到强制安全评估的标准,如达到该标准则必须进行申报安全评估;
第三
选择合适的出境路径,按照监管的相关要求执行相关的合规要求,履行相关数据安全保障等义务,如完成评估工作、对境外接收方进行调查、签署相关协议等;
第四
持续跟踪。
个人信息保护影响评估在一定条件下应重新进行,此外数据出境安全评估结果的有效期也只有2年,并且发生一定情形时还应该重新申报等等,企业应持续关注那些合规义务,注意辨识是否发生相应应重新评估或申报的条件,也应持续监督境外接收方的个人信息处理活动,以及监管部门是否提出个人信息出境的补充合规要求。
03
合规要求
数据出境风险自评估
如个人信息处理者须要通过国家网信部门的安全评估进行出境的,应当在申报数据出境安全评估前,应当举办数据出境风险自评估,自评估重点评估内容如下:
合法正当必要性
数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
行为的风险性
即出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或则组织合法权益带来的风险;
境外的安全性
境外接收方承诺承当的责任义务,以及履行责任义务的管理和技术举措、能力等能够保障出境数据的安全;
权益的保障性
数据出境中和出境后受到篡改、破坏、泄露、丢失、转移或则被非法获取、非法借助等的风险,个人信息权益维护的渠道是否通畅等;
合同的完善性
按照网信部门规定经专业机构进行个人信息保护认证;
其他
与境外接收方拟订立的数据出境相关协议或则其他具有法律效力的文件等(以下合称法律文件)是否充分约定了数据安全保护责任义务。
通过对比评估范围,网信部门所组织的安全评估相比自评估而言,安全评估就会对“境外接收方所在国家或则地区的数据安全保护新政法规和网路安全环境对出境数据安全的影响”,我们理解,网信部门还将从宏观角度考虑境外接收方的国家的法律新政环境以及该国的网路安全环境对数据安全、国家安全的影响。尽管这一评估要点并没有在《认证规范》第5条中明晰,但《数据出境安全评估申报手册》自评估报告模板中,对于境外接收方情况的描述要求中第4点就是“境外接收方所在国家或地区数据安全保护新政法规和网路安全环境情况”。因此,我们觉得在企业进行自评估的时侯还是应该将境外接收方宏观的法律及网路安全环境列入评估范围中。
认证
2022年6月5日国家市场监督管理总局、国家互联网信息办公室出台《数据安全管理认证规则》,主要是根据GB/T 41479《信息安全技术 网络数据处理安全要求》及相关标准规范对数据安全管理体系进行认证,而本次发布的《个人信息保护认证施行规则》的认证根据有两个,包括GB/T 35273《信息安全技术个人信息安全规范》以及TC260-PG-20222A《个人信息跨境处理活动安全认证规范》,前者是国家标准,而后者是由全省信息安全标准化技术委员会组织制订和发布。
事实上,在实践中好多企业为履行《个保法》的合规义务,在个人信息保护合规体系具体的搭建过程中,参考最多的也是GB/T 35273《信息安全技术个人信息安全规范》,因此发布的认证规则,相当于构建了通用的个人信息保护认证制度。而因为《个保法》中对于个人信息出境另外提出了认证途径,我们理解,个人信息出境的认证活动是通用个人信息保护认证制度的补充,也为企业个人信息出境认证活动的举办提供了明晰的规则根据。
具体到个人信息跨境认证要求来看,结合《认证规范1.0》和《认证规范2.0(征求意见稿)》来看,认证的适用范围的叙述有所变化:在1.0版中,第1条适用情形有两种,一种是跨国公司或同一经济、事业实体内部的个人信息跨境处理活动,比如跨国公司内部的职工个人信息跨境传输,而第二种是境外主体向境内自然人提供服务的情形;而在2.0版本中,适用情形放宽到适用于个人信息处理者举办个人信息跨境处理活动,并没有具体约束仅限上述两种情况。但在第二条的认证主体中,第一款规定具有法人资格的主体均可以;第二款和第三款则是针对之前适用范围的两类对象,进一步明晰了申请认证的主体,这种非常提示足见其特殊性。
主要的认证要求包括以下几个方面:
(一)具有法律约束力的合同,尽管并未明晰签订的法律协议必须是《标准合同》模板,文件内容所应包含的内容中降低了不少标准协议涉及的主要内容;
(二)组织管理,明确要求举办个人信息跨境处理活动的个人信息处理者和境外接收方均须要既指定个人信息保护负责人,又要筹建个人信息保护机构;
(三)处理规则:在处理规则方面,《认证规范2.0(征求意见稿)》较《认证规范1.0》,仅调整了一些措词,把原先的“统一”个人信息跨境处理规则,修改为规“同一”个人信息跨境处理规则,我们理解,“同一”表达的更多是要求境内和境外接收方遵守相同的处理规则,参考所列出的处理规则的内容来看,其中主要是跨境处理个人信息的基本内容、目的、方式、范围、存储时间、中转、保障资源、赔偿和处置规则等,都是对个人信息主体有直接影响的规则,也是个人信息处理的具体客观事实,因此,为进行更好实现出境行为的管理,境内外双方均应遵守相同的规则。
(四)个人信息保护影响评估,相较于《认证规范1.0》,《认证规范2.0(征求意见稿)》中新增了多项评估报告应包括的事项,并指出评估后需产生评估报告,且评估报告起码保存3年,与《个保法》的要求进行了衔接。
标准协议
2022年6月30日,网信办发布《个人信息出境标准协议规定(征求意见稿)》及个人信息出境标准协议。
标准协议应包括以下主要内容:
