2024年企業數據合規業務展望:數據跨境流動、重要數據識別、個人信息保護合規審計,還有三座沒有翻越的山!
作者:王良 全開明 袁葦 謝美山 2024-02-22關切一:一只沒有落地的靴子
《規范和促進數據跨境流動規定》何時正式實施?
中國數據治理的頂層架構是從國家安全的角度進行設計,把數據安全視為國家安全,并以數據出境安全評估申報和個人信息標準合同備案作為主要監管手段,對企業的數據出境采取較為嚴格的管控。這一數據治理理念集中體現在《數據安全法》《個人信息保護法》以及與之相配套的《數據出境安全評估辦法》《個人信息出境標準合同辦法》等規范性文件中。然而,在2021年8月20日《個人信息保護法》通過后,中國隨即于2021年9月和11月分別申請加入《全面與進步跨太平洋伙伴關系協定》(CPTPP)和《數字經濟伙伴關系協定》(DEPA)。這兩部協定均要求締約國允許并盡可能推進數據跨境流動,減少數據本地化存儲的要求,在促進數據自由流動與提高數據保護、鼓勵數據創新與風險防范中實現雙重治理平衡。
而根據中國現行法律法規的要求,具有數據跨境傳輸需求的企業特別是跨國企業,需要依法向國家網信辦進行數據出境安全申報,或者向省級以上地方網信部門申請個人信息出境標準合同備案。國家網信辦專門發布《數據出境安全評估辦法》,為數據出境安全申報設定六個月的整改期并于2023年2月28日結束。此后,國家網信辦又發布《個人信息出境標準合規規定》,為個人信息出境標準合同備案也設定六個月的整改期并于2023年12月1日結束。在上述整改期內,很多企業啟動數據合規管理體系建設,相當一部分企業也完成了數據出境安全評估申報或合同備案,涵蓋航空、醫療、電子商務、信息軟件、汽車、快速消費品等多個行業,且以歐美外資企業居多。
為優化外商投資環境,加大吸引外商投資力度,也是為避免與我國將要加入的兩部協定所要履行的國際義務相抵觸,國家網信辦在對標國際高標準經貿規則的基礎上,于2023年9月28日公布《規范和促進數據跨境流動規定(征求意見稿)》。該征求意見稿體現了新的國家數據安全觀,進一步貫徹了《數據安全法》所確立的“安全、自由流動原則”,也符合《個人信息保護法》中關于“中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息的條件等有規定的,可以按照其規定執行”的規定,從而為企業的數據跨境便利化傳輸提供了新的可能。該征求意見稿實質性地調整了個人信息出境標準合同備案和數據出境安全評估的觸發條件,放寬了個人信息流動的目的限定和規模限制, 同時對企業多個數據出境場景進行申報豁免,降低了企業合規成本,減輕了企業負擔。該征求意見稿的導向作用非常明顯,很多企業審時度勢立即變更數據跨境傳輸的申報策略和路徑,甚至做出暫停或不予申報的決定,同時也在觀望新規的出臺。在地方層面,2023年12月13日,國家網信辦聯合香港創新科技及工業局發布《粵港澳大灣區(內地、香港)個人信息跨境流動標準合同實施指引》,免除了粵港間個人信息出境安全評估要求、簡化了個人信息保護影響評估的內容、降低了境外接收方的義務等。大灣區創新的監管模式促進了粵港間數據自由流動,同時也給大灣區之外的企業在個人信息出境便捷化方面帶來了新的期待。
目前,企業亟需更加確定的政策和指引,在可預期、合法、正當、必要的條件下實現正常的數據跨境自由流動,滿足企業日常管理和業務發展的基本需求。然而迄今為止,出臺該征求意見稿還沒有明確的時間表,懸而未決的法規讓一些企業的數據跨境傳輸項目進退維谷,合規風險仍然存在。在此背景下,建議企業仍應繼續夯實數據合規基礎,分場景做好個人信息影響評估、內部數據安全與隱私政策的優化、數據安全管理方案的整改等工作。數據密集型技術類企業或處于敏感行業的公司,應繼續推進數據出境安全評估申報或個人信息標準合同備案;處于非敏感行業的公司且未達到該征求意見稿規定的申報或備案觸發條件的,可以繼續觀望,靜待花開。
關切二:深藏不露的殺手锏
如何破解“重要數據”的識別與保護難題?
“重要數據”的概念最早出現在《網絡安全法》,其規定網絡運營者在針對重要數據的安全層面需要進行備份,針對在境內收集和產生的重要數據原則上需要在境內進行存儲。其后的《數據安全法》進一步要求國家建立數據分類分級保護制度,各地區、各部門負責確定重要數據具體目錄。而《數據出境安全評估辦法》則要求如果存在向境外提供重要數據情形,需要通過所在地省級網信部門向國家網信部門申報數據出境安全評估。但《數據出境評估辦法》第十九條僅對“重要數據”做了原則性規定,即“一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等,可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據”。對于重要數據的識別,盡管各部門之間達成初步的共識,擯棄了以數據規模、個人信息數量為參數的判斷標準,把對國家安全、經濟運行等影響后果作為基本原則,但在現實層面欠缺可操作性的標準,重要數據的識別與保護成為難題。
在此背景下,2022年1月《信息安全技術 重要數據識別指南(征求意見稿)》出臺,列舉了重要數據的主要分布場所,包括政務部門、關鍵信息基礎設施運營者在內的重點行業企業、公共服務機構、權威專業機構、科研機構、互聯網企業以及實體經濟企業等。之后,前述標準更名為《信息安全技術 重要數據識別規則(征求意見稿)》,指出重要數據識別因素側重于從后果角度,而不是從數據類型角度。識別重要數據應遵循的原則,包括聚焦安全影響、突出保護重點、銜接既有規定、綜合考慮風險、定量定性結合、動態識別復評,并明確了重要數據應具備的因素等。而《網絡安全標準實踐指南——網絡數據分類分級指引》規定了與重要數據相關的國家安全、公共安全的危害標準。以上國家標準或指南,對重要數據的界定進行了有益的嘗試,但仍未形成可操作性的具體標準,導致重要數據的識別仍存在較大不確定性。
基于《數據安全法》確立的部門管轄分配原則,即由各主管部門負責本行業、本領域數據安全監管職責,工業和信息化部2023年1月1日實施《工業和信息化領域數據安全管理辦法(試行)》,開始組織制定工業和信息化領域數據分類分級、重要數據和核心數據識別認定、數據分級防護等標準規范,制定行業重要數據和核心數據具體目錄。中國人民銀行2023年7月發布《中國人民銀行業務領域數據安全管理辦法(征求意見稿)》,指導數據處理者開展數據分類分級各項工作,統籌確定重要數據具體目錄。中國(上海)自由貿易試驗區臨港新片區2024年2月制定《數據跨境流動分類分級管理辦法(試行)》,規定在數據跨境流動、跨境離岸金融等領域,臨港新片區管委會負責制定納入數據出境安全評估管理范圍的重要數據目錄,適用于臨港新片區范圍內登記注冊的或開展數據跨境流動相關活動數據處理者。數據處理者對重要數據目錄內的數據,可通過臨港新片區數據跨境服務中心申報數據出境安全評估。但對于企業來說,數據的加工和利用等處理活動不局限在特定領域,也不受限于特定領域,需要在國家層面“自上而下”統一重要數據目錄編制的標準,預防各部門、各行業間出現重要數據識別標準的差異和保護水準的失衡。
面對重要數據識別標準的不統一,以及對跨境數據傳輸造成的困擾等窘境,我國需要盡快在重要數據識別與保護方面出臺相關法規和國家標準,讓重要數據的識別更加具有可操作性,讓企業所擔負的重要數據保護義務更好地與企業日常合規管理相融合。與個人信息保護相比,對重要數據的保護更加事關國家安全,未來幾年將成為執法監管部門關注的重點,企業也將擔負起更多的合規義務,包括但不限于備案義務、培訓義務、定期風險評估與提交報告義務等,逐步把企業數據合規管理的重心向重要數據的保護轉移。結合《網絡數據安全管理條例(征求意見稿)》,本文梳理了重要數據處理者的合規義務,企業可以參考合規要點進行查漏補缺,未雨綢繆。
關切三:懸在頭上的達摩克利斯之劍
個人信息保護合規審計會成為企業數據合規新的緊箍咒嗎?
個人信息保護合規審計是基于企業數據處理活動的風險評估,是對個人信息處理者的個人信息處理活動是否遵守法律、行政法規的情況進行審查和評價的監督活動。一方面,合規審計作為企業數據合規“三道防線”的第三道防線,讓企業自我發現風險并自我完善,從而檢驗企業數據合規管理體系的有效性,形成企業合規管理的閉環。另一方面,合規審計作為執法部門的監管手段,使未合規的企業向公眾暴露其合規風險,并在外部壓力下整改合規漏洞并承擔相應法律責任。
我國《個人信息保護法》對個人信息保護的“自主審計”和“外部強制審計”做出了明確規定。該法第54條要求,個人信息處理者定期對其處理個人信息遵守法律、行政法規的情況進行合規審計;第64條規定,履行個人信息保護職責的部門在履行職責中,發現“個人信息處理活動存在較大風險”或者“發生個人信息安全事件”的,可以要求個人信息處理者委托專業機構對其個人信息處理活動進行合規審計。2023年8月3日,為指導、規范個人信息保護合規審計活動,國家網信辦起草并發布了《個人信息保護合規審計管理辦法(征求意見稿)》及配套的《個人信息保護合規審計參考要點》,落實《個人信息保護法》第54條和第64條項下的個人信息保護合規審計要求。根據該征求意見稿的規定,處理超過100萬人信息的個人信息處理者,至少1年開展1次合規審計(自主審計),其他個人信息處理者至少2年開展1次合規審計。
“自主審計”的范圍應包括制度建設、組織架構設置、安全能力、數字產品與服務、個人信息全生命周期管理各個環節等。“外部強制審計”由執法部門根據《個人信息保護法》第64條依職權觸發,執法部門可以依照發現的風險因素或個人信息安全事件的影響來確定審計范圍。執法部門依據《網信部門行政執法程序規定》等部門規章,在監督檢查中發現案件線索、收到投訴、申訴、舉報、企業網絡和信息系統遭受攻擊或發送數據泄露、出現重大個人信息保護問題的輿情事件、個人信息權益保護公益訴訟等,均會觸發對企業進行數據合規審計。《個人信息保護合規審計參考要點》中明確的141個審計要點作為審計基準,也可以作為企業數據合規有效性的測試和合規建設指引。具體包括:個人信息處理活動的合法性基礎條件、個人信息處理規則、告知義務履行、利用自動化決策處理個人信息的透明度和結果的公平性、公正性、處理敏感個人信息、處理不滿十四周歲未成年人個人信息、向境外提供個人信息、個人信息刪除權保障情況、保障個人行使個人信息權益的權利、個人信息保護影響評估、個人信息安全事件應急響應處置情況等等。
個人信息保護合規審計無疑將會給企業的經營管理帶來影響,特別是觸發外部強行審計時,執法部門除了調查企業個人信息處理活動中的不合規事件外,也會向企業提出相應的合規整改要求。為滿足監管與合規要求,企業可能需要通過調整業務模式和IT技術架構、變更業務流程、刪除相關數據甚至停止數據跨境傳輸等,這會給企業帶來合規成本的增加,也會給經營活動帶來困擾,甚至還存在中止經營活動的風險。為此,建議企業應當在完善數據合規管理體系的基礎上,建立起一套企業內部的個人信息合規審計制度,實現常規化的個人信息自主審計,更加主動承擔數據合規責任,履行個人信息保護義務。在企業的個人信息審計制度中,明確個人信息保護合規審計的方式、流程和要求,明確審計部門和相關部門的工作職責,確定第三方審計機構的選擇標準,以及配合外部強制審計的工作分工等。借助制度化的管理措施和自主審計,企業可以主動識別和評估個人信息處理過程中存在的風險,完善內部管措施,在面對外部強制性審計時,可以從容應對,更好地化解由此對業務經營帶來的挑戰和影響。
余論
2024年,中國在數據立法和監管創新方面將會有新的突破。毫無疑問,數據跨境流動、重要數據保護、個人信息合規審計將成為企業數據合規領域三大課題。在立法方面,《規范和促進數據跨境流動規定》經過多種利益平衡考量和博弈后,這只靴子將會很快在上半年正式落地。“重要數據”的識別與保護難題,待國家標準《信息安全技術 重要數據識別規則》出臺,以及各地區、各部門重要數據具體目錄競相發布后,將會得到一定程度的破解,但對企業來說重要數據合規的挑戰才剛剛拉開序幕,成為深藏不漏的殺手锏。而個人信息保護合規審計作為執法部門新的監管工具,各方面的意見比較統一,預計《個人信息保護合規審計管理辦法》會很快出臺,也將成為企業懸在頭上的達摩克利斯之劍。另外,新設立的國家數據局在統籌協調數字中國、數字經濟、數字社會規劃和建設方面會出臺更多引領性的政策,有助于推動數據安全與數據利用的再平衡。在監管方面,預計在數據合規、數據出境、重要數據保護等領域,將出現更多執法案例,地方網信部門將在事中、事后監管方面發揮更大作用,企業將迎來常態化的數據執法與監管。
