你的浏览器版本过低,可能导致网站不能正常访问!为了你能正常使用网站功能,请使用这些浏览器。
第三部分跨境传输的数据合规
张燕王冰洋
一、识别
1.《个人信息保护法》中“长臂管辖”是什么,有何意义?
律师解答:“长臂管辖”起源于美国民事诉讼领域,本质属司法管辖权。《个人信息保护法》明确了该法的域外适用效力即所谓的“长臂管辖”。根据《个人信息保护法》的规定,在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用该法:一是以向境内自然人提供产品或者服务为目的;二是分析、评估境内自然人的行为;三是法律、行政法规规定的其他情形。
《个人信息保护法》就该法的域外适用效力作出规定,有利于维护我国的数据主权,充分保护我国境内个人的权益。但值得注意的是,《个人信息保护法》等法律虽然明确了域外适用效力,为中国在立法领域构建长臂管辖机制提供国内法依据,但是中国法院对外行使长臂管辖权的态度仍然过于谨慎,依靠司法管辖权和执法管辖权保证长臂管辖权得以实施仍然任重道远。
2.境外个人信息处理者直接向境内个人信息主体收集个人信息的行为是否属于数据跨境?
3.如何识别“数据出境”?
(1)境内主体向另一个位于境内的外资企业的办事处传输数据的行为,能否纳入“数据出境”范畴?
律师解答:根据国家互联网信息办公室(以下简称“国家网信办”)发布的《数据出境安全评估申报指南(第一版)》的规定,以下情形属于数据出境行为:一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外;二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出。
在境内主体向另一个位于境内的外资企业的办事处传输数据的情况下,因作为数据接收方的外资企业的办事处位于境内,并且该办事处在性质上属于境内的机构。因此,此情况下既不存在数据处理者将在境内运营中收集和产生的数据传输、存储至境外的数据出境情形,也不存在数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用的数据出境情形,不属于数据出境。
(2)跨国集团内部的数据传输行为,能否纳入“数据出境”范畴?
(3)外资企业既没有传输数据,又没有将其存储到中国境外,但是境外的主体可以访问、查看该数据,此种情形能否纳入“数据出境”范畴?
律师解答:根据国家网信办的前述规定,数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出的,属于数据出境。因此,数据没有传输也没有存储到中国境外的任何地方,但外资企业在境外的主体可以访问、查看到这些数据,属于数据出境。
(4)向位于本国境内的未在境内注册的主体(如使领馆、外国常驻新闻机构和外国记者)提供个人信息和重要数据的行为,能否纳入“数据出境”范畴
律师解答:根据国家网信办的前述规定,同时参照全国信息安全标准化技术委员会(以下简称“信标委”)发布的《信息安全技术数据出境安全评估指南(征求意见稿)》有关“以下情形属于数据出境:a)向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据……”的规定,向位于本国境内的未在境内注册的主体(如使领馆、外国常驻新闻机构和外国记者)提供个人信息和重要数据的行为,属于数据出境。
4.数据出境的“境”应如何理解?
律师解答:数据出境中的“境”,应作广义理解,不仅是指物理上跨越国境的行为,而且指从一个司法管辖区域到另一个司法管辖区域的行为。其中司法管辖区域是既包括具有独立主权的国家,又包括具有司法独立主权的地区。值得注意的是,中国大陆与香港、澳门、台湾地区分别属于不同的司法管辖区域,故当企业将中国大陆境内收集和产生的重要数据和个人信息向香港、澳门、台湾地区传输时,属于数据出境行为。
5.企业行为是否涉及“境内运营”的识别问题
(1)某企业未在中国境内注册,但是在境内开展业务,或向境内提供产品或服务的,是否属于“境内运营”?
律师解答:《信息安全技术数据出境安全评估指南(征求意见稿)》将“境内运营”定义为“网络运营者在中华人民共和国境内开展业务,提供产品或服务的活动”。该评估指南同时规定,未在中华人民共和国境内注册的网络运营者,但在中华人民共和国境内开展业务,或向中华人民共和国境内提供产品或服务的,属于境内运营。参照上述定义和规定,没有在中国境内注册,但是在境内开展业务,或向境内提供产品或服务的,属于境内运营。
(2)出海企业运营的App仅向境外提供服务,但并不涉及境内数据的收集,此种情形是否属于“境内运营”?
律师解答:《信息安全技术数据出境安全评估指南(征求意见稿)》规定,中华人民共和国境内的网络运营者仅向境外机构、组织或个人开展业务、提供商品或服务,且不涉及境内公民个人信息和重要数据的,不视为境内运营。参照这一规定,出海企业运营的App仅向境外提供服务,不涉及收集境内数据的,不属于境内运营。
6.如何判断企业是否涉及了处理重要数据,以及重要数据和个人信息能否一同申报?
根据《数据出境安全评估办法》的规定,重要数据和个人信息可以一同申报数据出境安全评估。
7.“核心数据”和“重要数据”有何区别?
律师解答:《数据安全法》第21条第2款对“核心数据”的概念进行了定义,指的是关系国家安全、国民经济命脉、重要民生、重大公共利益等的数据;《数据出境安全评估办法》第19条对“重要数据”的概念进行了定义,指的是一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
首先,从重要程度来看,《数据安全法》提出国家建立数据分类分级保护制度,《网络数据安全管理条例(征求意见稿)》延续了《数据安全法》的数据分级分类保护制度,并在此基础上依照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据三类。可见,相较于重要数据,核心数据的重要程度更高。
其次,从管理制度来看,核心数据的管理制度比重要数据的管理制度更严格。《网络数据安全管理条例(征求意见稿)》提出对重要数据和核心数据采取不同的保护措施,对个人信息和重要数据进行重点保护,对核心数据实行严格保护。
再次,从处罚措施来看,相较于重要数据,违反国家核心数据管理制度的,罚款金额更高,处罚措施更为严厉,且有可能被依法追究刑事责任。
8.如何判断企业是否属于“关键信息基础设施运营者(CIIO)”
律师解答:根据《网络安全法》《关键信息基础设施安全保护条例》的规定,关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。关键信息基础设施由负责关键信息基础设施安全保护工作的部门(以下简称“保护工作部门”)进行认定,并将认定结果通知运营者。
因此,判断企业是否属于关键信息基础设施运营者,关键在于审查该企业是否收到保护工作部门的认定通知。如果企业收到此类通知,则可以认为企业属于关键信息基础设施运营者;如果企业没有收到此类通知,则可以认为企业暂时不属于关键信息基础设施运营者。
二、一般义务
9.数据出境所要履行的一般义务有哪些?
律师解答:首先,就个人信息而言,根据《个人信息保护法》的规定,个人信息处理者向境外提供个人信息的,应当履行以下一般义务:
二是个人信息处理者须获得用户的单独同意。具体而言,《个人信息保护法》第39条规定,个人信息处理者向境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使法定权利的方式和程序等事项,并取得个人的单独同意。
三是个人信息处理者须履行评估义务。具体而言,《个人信息保护法》第55条规定,个人信息处理者向境外提供个人信息的,应当事前进行个人信息保护影响评估,并对处理情况进行记录。
此外,个人信息处理者还应履行《个人信息保护法》“个人信息处理者的义务”一章规定的义务,即合规保障义务、合规审计义务、安全事件补救义务以及通知义务等。
其次,就重要数据而言,根据《网络安全法》《数据安全法》的规定,数据处理者向境外提供重要数据的,应当履行以下一般义务:
一是重要数据处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
二是重要数据处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
10.在数据出境的场景下,能否适用《个人信息保护法》下第十三条同意豁免的情况
律师解答:《个人信息保护法》第13条第2款明确规定了同意豁免的情况,即依照本法其他有关规定,处理个人信息应当取得个人同意,但是有以下情形的,不需取得个人同意:一是为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;二是为履行法定职责或者法定义务所必需;三是为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;四是为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;五是依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;六是法律、行政法规规定的其他情形。
基于该款规定的“依照本法其他有关规定,处理个人信息应当取得个人同意”的情形,涵括《个人信息保护法》第39条规定的个人信息处理者向境外提供个人信息,应当取得个人单独同意的情形。因此,个人信息处理者向境外提供个人信息,适用《个人信息保护法》第13条规定的同意豁免的情况。
三、出境路径
11.数据出境的合规路径有哪些?
律师解答:首先,就个人信息而言,根据《个人信息保护法》的规定,目前个人信息出境合规路径有以下几种:
一是通过国家网信部门组织的数据出境安全评估;
二是经专业机构进行个人信息保护认证;
三是按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
四是法律、行政法规或者国家网信部门规定的其他路径。
其次,就重要数据而言,根据《网络安全法》《数据安全法》的规定,目前重要数据出境的主要路径,是通过国家网信部门组织的数据出境安全评估。
12.数据出境的各合规路径分别适用何种情形?
律师解答:首先,数据处理者通过国家网信部门组织的数据出境安全评估,向境外提供重要数据和个人信息的,依照《数据出境安全评估办法》的规定,适用情形如下:一是数据处理者向境外提供重要数据;二是关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;三是自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;四是国家网信部门规定的其他需要申报数据出境安全评估的情形。
其次,个人信息处理者通过个人信息保护认证,向境外提供个人信息的,依照《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》的规定,适用情形如下:一是跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动;二是《个人信息保护法》第三条第二款适用的个人信息处理活动。
四、安全评估
13.数据出境安全评估的最长申报时长需要多久,是否存在延长的情形?
14.何谓“数据出境风险自评估”,该报告需要涉及哪些内容,应当于何时完成?
15.“个人信息保护影响评估”与“数据出境风险自评估”有何区别?
律师解答:首先,二者的启动条件不同。根据《个人信息保护法》第55条的规定,个人信息处理者应当事前进行个人信息保护影响评估的情形包括:一是处理敏感个人信息;二是利用个人信息进行自动化决策;三是委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;四是向境外提供个人信息;五是其他对个人权益有重大影响的个人信息处理活动。而根据《数据出境安全评估办法》第5条的规定,数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估。
再次,二者的报告保存期限不同。个人信息保护影响评估报告和处理情况记录应当至少保存3年,而数据出境风险自评估报告则至少应保存2年。
16.何谓“数据出境链路”?
律师解答:数据出境的链路包括链路提供商、链路数量与带宽、境内外落地数据中心名称及机房物理位置、IP地址等。
17.数据出境中重要数据的识别
第一,从定义上看,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、经济运行、社会稳定、公共健康和安全的数据。
第二,从范围上看,可通过数据遭到篡改、破坏、泄露或者非法获取、非法利用对“国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海”等维度的影响程度加以判断。
18.“100万人以上个人信息的数据处理”中“100万”量级如何认定?
律师解答:“100万”指的是个人信息主体的人数,而非个人信息的条数。即根据《数据安全评估办法》第4条的规定,数据处理者处理的个人信息主体人数达到100万人及以上的,无论其向境外接收方提供的数据条数为多少,都应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
19.“自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的”中“10万”和“1万”量级如何认定?
律师解答:“10万”和“1万”同样指数据处理者处理个人信息主体的人数。
20.安全评估的流程是如何的?
律师解答:根据《数据安全评估办法》的规定,现将数据出境安全评估的流程以图表方式列示如下:
21.安全评估的有效期是多久?
律师解答:根据《数据出境安全评估办法》的规定,通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算。在有效期内出现以下情形之一的,数据处理者应当重新申报评估:
一是向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的;
二是境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的;
三是出现影响出境数据安全的其他情形。
有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。
国家网信办:010-55627135
北京市网信办:010-67676912
天津市网信办:022-88355322
上海市网信办:021-64743030-2711
重庆市网信办:023-63151805
山东省网信办:0531-51773249
海南省网信办:0898-65314756
河北省网信办:0311-87909716
江苏省网信办:025-63090914
浙江省网信办:0571-81051250
福建省网信办:0591-86300613
贵州省网信办:0851-82995001
内蒙古自治区网信办:0471-4821277
23.《数据出境评估办法》第20条规定的“本办法施行前已经开展的数据出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改”,该条中的整改追溯期应是多久?是从《个人信息保护法》生效之日开始追溯,还是区分情形,分别对应《个人信息保护法》《数据安全法》《网络安全法》的生效日期分别进行追溯?
律师解答:该条中的整改追溯期应区分情形,分别追溯至《个人信息保护法》《数据安全法》《网络安全法》的生效日期。
五、标准合同与认证
24.目前标准合同可以作为数据跨境的合规路径吗?
律师解答:可以。《个人信息保护法》第38条规定了个人信息处理者因业务需要向境外提供个人信息应具备的条件,其中包括:按照国家网信部门规定的标准合同与境外接收方订立合同,约定双方的权利和义务。
25.标准合同与安全评估中境内外主体签订的合同有什么区别?
律师解答:首先,二者适用的场景不同,标准合同适用于个人信息处理者在以下情形下向境外提供个人信息:一是非关键信息基础设施运营者;二是处理个人信息不满100万人的;三是自上年1月1日起累计向境外提供未达到10万人个人信息的;四是自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。而安全评估中境内外主体签订的合同则适用于数据处理者在以下情形下向境外提供重要数据和个人信息:一是数据处理者向境外提供重要数据;二是关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;三是自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;四是国家网信部门规定的其他需要申报数据出境安全评估的情形。
其次,二者的内容范围有所不同,标准合同涉及的是境内外主体双方对个人信息的处理,而安全评估中境内外主体签订的合同可能还包括双方对非个人信息的处理,故标准合同的涉及范围更小。
26.标准合同签订后还有何种强制性流程?
律师解答:根据《个人信息出境标准合同规定(征求意见稿)》第7条的规定,标准合同签订后的强制性流程包括:首先,个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估;其次,个人信息处理者应当在标准合同生效之日起10个工作日内,向所在地省级网信部门备案,并提供标准合同和个人信息保护影响评估报告。
律师解答:目前,数据出境保护认证方面可参考的法律规范及技术文件主要包括:《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《数据出境安全评估办法》《个人信息出境标准合同规定(征求意见稿)》《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》《数据出境安全评估申报指南(第一版)》等。
六、网络安全审查
28.网络安全审查的适用主体有哪些?
律师解答:网络安全审查的适用主体包括:关键信息基础设施运营者、网络平台运营者等,具体适用情形请参考下问。
29.出现哪些情形,企业必须主动申请网络安全审查?
律师解答:根据《网络安全审查办法》,出现以下情形,企业必须主动申请网络安全审查:一是关键信息基础设施运营者采购网络产品和服务的情形。其中,网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。二是网络平台运营者开展数据处理活动,影响或者可能影响国家安全的情形。其中,数据处理活动包括数据的收集、存储、使用、加工、阐述、提供、公开等;三是掌握超过100万用户个人信息的运营者赴国外上市的情形。