企業(yè)數(shù)據(jù)出境合規(guī)管理體系建設(shè)若干重點(diǎn)問(wèn)題研究
作者:吳衛(wèi)明 2022-07-112022年7月7日,《數(shù)據(jù)出境安全評(píng)估辦法》(以下簡(jiǎn)稱《辦法》)公布,并將于2022年9月1日起正式施行。《辦法》共包含二十條,規(guī)定了數(shù)據(jù)出境安全評(píng)估的適用情形、評(píng)估事項(xiàng)、程序等,為數(shù)據(jù)出境安全評(píng)估工作提供了具體指引。《辦法》是落實(shí)《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》有關(guān)數(shù)據(jù)出境規(guī)定的重要舉措,其出臺(tái)有助于進(jìn)一步規(guī)范數(shù)據(jù)出境活動(dòng),保護(hù)個(gè)人信息權(quán)益,維護(hù)國(guó)家安全和社會(huì)公共利益,促進(jìn)數(shù)據(jù)跨境安全、自由流動(dòng)。
企業(yè)作為數(shù)據(jù)出境活動(dòng)的主要實(shí)施者,其跨境貿(mào)易、跨境服務(wù)、跨境管理活動(dòng)中,或多或少都會(huì)涉及到數(shù)據(jù)出境。特別是對(duì)于跨國(guó)公司而言,其總部與分支機(jī)構(gòu)之間、不同國(guó)家的分支機(jī)構(gòu)相互之間,數(shù)據(jù)交互都處于常態(tài)化。隨著《辦法》的通過(guò)與施行,數(shù)據(jù)出境過(guò)程中的合規(guī)管理,將成為企業(yè)一項(xiàng)重要的合規(guī)管理內(nèi)容。本文,對(duì)于數(shù)據(jù)出境合規(guī)管理的若干重要問(wèn)題進(jìn)行分析,希望可以幫助企業(yè)建立、優(yōu)化圍繞數(shù)據(jù)出境的合規(guī)管理制度。
一、數(shù)據(jù)出境場(chǎng)景梳理
根據(jù)《辦法》第四條的規(guī)定,滿足如下任一情形的,即應(yīng)通過(guò)所在地省級(jí)網(wǎng)信部門向國(guó)家網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評(píng)估:一是數(shù)據(jù)處理者向境外提供重要數(shù)據(jù);二是關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理100萬(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息;三是自上年1月1日起累計(jì)向境外提供10萬(wàn)人個(gè)人信息或者1萬(wàn)人敏感個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息;四是國(guó)家網(wǎng)信部門規(guī)定的其他需要申報(bào)數(shù)據(jù)出境安全評(píng)估的情形。上述規(guī)定,雖然規(guī)定了應(yīng)該申請(qǐng)數(shù)據(jù)出境評(píng)估的四種情形,但由于企業(yè)的經(jīng)營(yíng)活動(dòng)是動(dòng)態(tài)的,且有一定的復(fù)雜性。因此,對(duì)于數(shù)據(jù)出境評(píng)估情形的判斷,應(yīng)從出境場(chǎng)景的梳理開(kāi)始。 筆者認(rèn)為,常見(jiàn)的數(shù)據(jù)出境場(chǎng)景主要包括: 1、基于信息系統(tǒng)融合而導(dǎo)致數(shù)據(jù)直接存儲(chǔ)至境外服務(wù)器 對(duì)于部分總部在中國(guó)以外的跨國(guó)公司而言,將服務(wù)器設(shè)置在總部所在國(guó),并通過(guò)全球一體化的信息系統(tǒng),實(shí)現(xiàn)統(tǒng)一的跨境信息化管理、數(shù)據(jù)統(tǒng)一存儲(chǔ)、統(tǒng)一調(diào)用和分析,是跨國(guó)公司將為常見(jiàn)的IT管理架構(gòu)。按照數(shù)據(jù)出境的基本判斷規(guī)則,這一場(chǎng)景下,數(shù)據(jù)甚至不經(jīng)過(guò)境內(nèi)的存儲(chǔ),而直接被傳輸至境外。此種場(chǎng)景,在非特許經(jīng)營(yíng)的行業(yè)中,較為常見(jiàn)。 2、境內(nèi)信息系統(tǒng)按照一定規(guī)則將數(shù)據(jù)傳輸至境外系統(tǒng) 部分跨國(guó)企業(yè),雖然在境內(nèi)設(shè)置了獨(dú)立的服務(wù)器和信息系統(tǒng),但此類信息系統(tǒng)與境外總部的系統(tǒng)之間按照一定的規(guī)則可以相互傳輸和調(diào)用數(shù)據(jù)。其中,包括業(yè)務(wù)數(shù)據(jù)的傳輸和管理數(shù)據(jù)的傳輸。此種設(shè)置方式,在金融等特許經(jīng)營(yíng)行業(yè)中較為常見(jiàn)。因?yàn)榘凑战鹑谛袠I(yè)的監(jiān)管規(guī)則,網(wǎng)絡(luò)安全和信息安全通常會(huì)作為行業(yè)主管部門核發(fā)許可證和進(jìn)行開(kāi)業(yè)驗(yàn)收的前提。 3、郵件外發(fā)方式將數(shù)據(jù)傳輸至境外 不同于通過(guò)信息系統(tǒng)接口實(shí)現(xiàn)的自動(dòng)傳輸,郵件外發(fā)也是數(shù)據(jù)出境的常見(jiàn)場(chǎng)景。特別是對(duì)于管理過(guò)程中的數(shù)據(jù),以及線下業(yè)務(wù)活動(dòng)中的數(shù)據(jù),郵件外發(fā)是較為常見(jiàn)的方式。并且,由于郵件系統(tǒng)與公司的數(shù)據(jù)庫(kù)系統(tǒng)是相互獨(dú)立的兩套系統(tǒng),如何將不同場(chǎng)景和系統(tǒng)下的數(shù)據(jù)出境統(tǒng)一管理,對(duì)于企業(yè)而言,也是需要考慮的問(wèn)題。 4、境外訪問(wèn)境內(nèi)數(shù)據(jù)的場(chǎng)景 部分情況下,數(shù)據(jù)存儲(chǔ)在境內(nèi),并未發(fā)生數(shù)據(jù)直接傳輸至境外的情況。但是,境外總部出于管理需要,能夠?qū)硟?nèi)服務(wù)器存儲(chǔ)的數(shù)據(jù)實(shí)施訪問(wèn)或者調(diào)用,也被視為數(shù)據(jù)出境。在國(guó)家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人就《數(shù)據(jù)出境安全評(píng)估辦法》答記者問(wèn)中,明確了《辦法》所稱“數(shù)據(jù)出境活動(dòng)”主要包括:一是數(shù)據(jù)處理者將在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲(chǔ)至境外;二是數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲(chǔ)在境內(nèi),境外的機(jī)構(gòu)、組織或者個(gè)人可以訪問(wèn)或者調(diào)用。因此,訪問(wèn)場(chǎng)景也被視為數(shù)據(jù)出境。 在境外對(duì)境內(nèi)數(shù)據(jù)實(shí)施訪問(wèn)的場(chǎng)景下,如何確定數(shù)據(jù)出境數(shù)量,也是數(shù)據(jù)出境管理中需要考慮的問(wèn)題。 筆者認(rèn)為,在遵照?qǐng)?zhí)行《辦法》的過(guò)程中,企業(yè)應(yīng)首先進(jìn)行出境場(chǎng)景的梳理,并結(jié)合本行業(yè)的業(yè)務(wù)流程、出境業(yè)務(wù)環(huán)節(jié)等因素,整理出業(yè)務(wù)中可能涉及的出境數(shù)據(jù)種類、目的、方式、數(shù)量等要素,從而為數(shù)據(jù)出境管理體系奠定基礎(chǔ)。
二、數(shù)據(jù)出境的適用條件梳理
在梳理了數(shù)據(jù)出境的場(chǎng)景后,對(duì)于企業(yè)適用何種出境規(guī)則,適用何種條件?則是企業(yè)進(jìn)行合規(guī)架構(gòu)搭建的另一個(gè)重要問(wèn)題。 《辦法》第四條,結(jié)合《個(gè)人信息保護(hù)法》第三十八條、《數(shù)據(jù)安全法》第三十一條、《網(wǎng)絡(luò)安全法》第三十七條之規(guī)定,可以看出,我國(guó)對(duì)于數(shù)據(jù)出境有四個(gè)層級(jí)的制度設(shè)置,其原則存在差異。 首先:對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的重要數(shù)據(jù)和個(gè)人信息,采取的是“不出境為普遍原則,出境為特殊情況”。即,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要,確需向境外提供的,應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估。 其次:對(duì)于重要數(shù)據(jù)處理,采取的是“不出境為普遍原則,出境為特殊情況”。即,重要數(shù)據(jù)出境,應(yīng)進(jìn)行數(shù)據(jù)出境安全評(píng)估。 再次:對(duì)于個(gè)人信息處理者處理的個(gè)人信息數(shù)據(jù),采取的是“出境管理為普遍原則,出境評(píng)估為特殊情況”。即一般情況下,通過(guò)專業(yè)機(jī)構(gòu)的個(gè)人信息保護(hù)認(rèn)證,以及按照國(guó)家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同即可出境,達(dá)到一定數(shù)量標(biāo)準(zhǔn),則應(yīng)通過(guò)網(wǎng)信部門的安全評(píng)估。 最后:對(duì)于不符合上述三項(xiàng)條件的一般數(shù)據(jù),一般不干預(yù),但如果符合國(guó)家網(wǎng)信部門規(guī)定的其他需要申報(bào)數(shù)據(jù)出境安全評(píng)估的情形時(shí),按照規(guī)定申請(qǐng)?jiān)u估。 上述出境管理的分類及適用條件區(qū)分,如下表所示:
從上述條件的梳理可以看出,對(duì)于個(gè)人信息出境的規(guī)則最為復(fù)雜。《個(gè)人信息保護(hù)法》規(guī)定了四種條件:(1)通過(guò)國(guó)家網(wǎng)信部門組織的安全評(píng)估;(2)通過(guò)專業(yè)機(jī)構(gòu)的個(gè)人信息保護(hù)認(rèn)證;(3)按照國(guó)家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同,明確雙方權(quán)利義務(wù);(4)法律、 行政法規(guī)或者國(guó)家網(wǎng)信部門規(guī)定的其他條件。其中,對(duì)于《辦法》第四條規(guī)定情形之外的個(gè)人信息,企業(yè)可以選擇采用個(gè)人信息保護(hù)認(rèn)證的方式,或者采用與境外接收方簽訂標(biāo)準(zhǔn)合同的方式實(shí)現(xiàn)個(gè)人信息數(shù)據(jù)出境。 筆者認(rèn)為,適用條件的梳理,是企業(yè)判斷自身適用何種出境規(guī)則的基礎(chǔ)。企業(yè)應(yīng)從《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》的角度,綜合評(píng)判自身的法律屬性,從而判定適用數(shù)據(jù)出境的條件。
三、與出境管理相匹配的數(shù)據(jù)分類分級(jí)體系建設(shè)
數(shù)據(jù)分級(jí)分類保護(hù)制度,是我國(guó)《數(shù)據(jù)安全法》確定的一項(xiàng)制度。立法的本意在于通過(guò)對(duì)數(shù)據(jù)進(jìn)行分級(jí)分類,達(dá)到數(shù)據(jù)保護(hù)與數(shù)據(jù)利用之間的平衡。 筆者認(rèn)為,數(shù)據(jù)分類分級(jí)體系是一項(xiàng)數(shù)據(jù)治理與合規(guī)管理的基礎(chǔ)制度,在數(shù)據(jù)出境管理語(yǔ)境下,數(shù)據(jù)分類分級(jí)體系具有如下的作用: 其一、通過(guò)分級(jí)分類保護(hù)制度,區(qū)分出重要數(shù)據(jù)、一般數(shù)據(jù)和個(gè)人信息數(shù)據(jù)、敏感個(gè)人信息數(shù)據(jù)。從而為數(shù)據(jù)出境的場(chǎng)景劃分、適用規(guī)則的判斷打好基礎(chǔ)。但是,除了按照常規(guī)的數(shù)據(jù)分類分級(jí)管理原則實(shí)施分類分級(jí)外,還應(yīng)在分類分級(jí)體系中考慮到數(shù)據(jù)出境管理的特殊要求。 其二、通過(guò)分級(jí)分類保護(hù)制度,可以確定境外接收方的數(shù)據(jù)安全管理義務(wù)及安全管理措施的匹配性。比如,在《辦法》第八條規(guī)定,“數(shù)據(jù)處理者與境外接收方擬訂立的法律文件中是否充分約定了數(shù)據(jù)安全保護(hù)責(zé)任義務(wù);”而對(duì)于如何判定是否充分約定了數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)?應(yīng)從國(guó)內(nèi)法的規(guī)定尋找依據(jù),即,首先應(yīng)判定出境數(shù)據(jù)的分類分級(jí)狀況,然后根據(jù)國(guó)內(nèi)法規(guī)與本企業(yè)已經(jīng)采取的合規(guī)技術(shù)措施,對(duì)境外接收方進(jìn)行法律文件的約束。約定境外接收方采用諸如加密存儲(chǔ)、去標(biāo)識(shí)化存儲(chǔ)等安全措施,以及采用嚴(yán)格的訪問(wèn)控制策略,對(duì)不同類別和級(jí)別的數(shù)據(jù)實(shí)施保護(hù)。 因此,筆者認(rèn)為,“是否充分約定了數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)”?并非是一個(gè)抽象的判斷標(biāo)準(zhǔn),而是應(yīng)該基于國(guó)內(nèi)法的要求和技術(shù)標(biāo)準(zhǔn)去進(jìn)行判斷。
四、動(dòng)態(tài)的數(shù)據(jù)治理體系建設(shè)
1、計(jì)數(shù)與監(jiān)測(cè)體系的建立 與分類分級(jí)更為關(guān)注區(qū)分重要數(shù)據(jù)、一般數(shù)據(jù)、個(gè)人信息數(shù)據(jù)及敏感個(gè)人信息數(shù)據(jù)不同的是,計(jì)數(shù)與監(jiān)測(cè)體系主要關(guān)注處理個(gè)人信息和敏感個(gè)人信息涉及的人數(shù)。 按照《辦法》第四條規(guī)定,涉及個(gè)人信息出境問(wèn)題,如果處理個(gè)人信息所涉的人數(shù)達(dá)到一定數(shù)量標(biāo)準(zhǔn),則應(yīng)當(dāng)進(jìn)行數(shù)據(jù)出境安全評(píng)估。這一規(guī)定包含如下數(shù)據(jù)管理的意義: 其一、余額總量控制原則。 即在某個(gè)時(shí)間點(diǎn),處理個(gè)人信息數(shù)據(jù)涉及的人數(shù)余額超過(guò)100萬(wàn)人。余額的計(jì)數(shù)方法并不包含歷史上曾經(jīng)處理過(guò),但是已經(jīng)被刪除或者匿名化處理后的個(gè)人信息。舉例說(shuō)明,如果某企業(yè)歷史上累計(jì)處理過(guò)的個(gè)人信息所涉及的人數(shù)超過(guò)100萬(wàn),但其同時(shí)處理的個(gè)人信息人數(shù)未超過(guò)100萬(wàn)人,則并不適用出境安全評(píng)估。 其二、累計(jì)數(shù)量控制原則。 與余額總量控制不同的是,累積計(jì)數(shù)指的是在某個(gè)時(shí)間段內(nèi),累計(jì)向境外提供10萬(wàn)人個(gè)人信息或者1萬(wàn)人敏感個(gè)人信息。即,在上一年度1月1日至評(píng)估基準(zhǔn)日,如果累計(jì)數(shù)量達(dá)到上述標(biāo)準(zhǔn),則應(yīng)申報(bào)數(shù)據(jù)出境安全評(píng)估。 其三、累計(jì)數(shù)動(dòng)態(tài)調(diào)整監(jiān)測(cè)原則。 由于適用累計(jì)向境外提供10萬(wàn)人個(gè)人信息或者1萬(wàn)人敏感個(gè)人信息的標(biāo)準(zhǔn)時(shí),起始的時(shí)間點(diǎn)是上一年度的1月1日,因此,本年度一旦屆滿并進(jìn)入下一年度,意味著累計(jì)數(shù)量的起算時(shí)間也將向后推延一年。而上一年度的出境個(gè)人信息數(shù)量也將不再納入累計(jì)數(shù)量,從而讓企業(yè)的累計(jì)數(shù)量突然減少,從而獲得了新的“額度”。 上述余額總量控制、累計(jì)數(shù)量控制、數(shù)據(jù)動(dòng)態(tài)調(diào)整,都關(guān)系到企業(yè)的重大利益,因而需要建立系統(tǒng)化的監(jiān)測(cè)體系予以監(jiān)測(cè)。 筆者認(rèn)為,針對(duì)上述的數(shù)量監(jiān)測(cè)需求,企業(yè)可在建立體系的同時(shí),引入市場(chǎng)上成熟的監(jiān)測(cè)軟件或訂制開(kāi)發(fā)相應(yīng)的軟件,從而保持監(jiān)測(cè)的準(zhǔn)確性。 2、出境數(shù)量與數(shù)據(jù)戰(zhàn)略的匹配 正是因?yàn)榇嬖谏鲜龅挠囝~總量控制、累計(jì)數(shù)量控制、數(shù)據(jù)動(dòng)態(tài)調(diào)整問(wèn)題,對(duì)企業(yè)而言,數(shù)據(jù)治理體系和數(shù)據(jù)戰(zhàn)略中,應(yīng)將出境安全評(píng)估作為重要內(nèi)容予以考慮。 處理100萬(wàn)人以上個(gè)人信息的個(gè)人信息處理者,如果需要實(shí)施個(gè)人信息出境,應(yīng)該申請(qǐng)數(shù)據(jù)出境安全評(píng)估。對(duì)于企業(yè)而言,可以綜合考慮,現(xiàn)有的存量數(shù)據(jù)是否都是必要的,如果這些個(gè)人信息數(shù)據(jù)對(duì)于企業(yè)而言商業(yè)價(jià)值有限,是否可以通過(guò)匿名化或者刪除的方式降低數(shù)據(jù)個(gè)人信息的數(shù)量? 對(duì)于累計(jì)向境外提供10萬(wàn)人個(gè)人信息或者1萬(wàn)人敏感個(gè)人信息的標(biāo)準(zhǔn),企業(yè)則可以考慮在兩個(gè)年份中如何合理規(guī)劃每年的個(gè)人信息出境數(shù)量,減少不必要的個(gè)人信息出境?
五、常態(tài)化的管控體系
根據(jù)《辦法》第五條、第六條、第七條、第十條、第十一條、第十二條、第十三條、第十四條、第十七條,涉及數(shù)據(jù)出境評(píng)估主要環(huán)節(jié)包括:事前自評(píng)估、申報(bào)評(píng)估、結(jié)果復(fù)評(píng)、重新評(píng)估、終止出境。 按照上述規(guī)定,企業(yè)的數(shù)據(jù)出境管理是一個(gè)持續(xù)管控的過(guò)程,應(yīng)在內(nèi)部構(gòu)建常態(tài)化的管控體系。 1、關(guān)于自評(píng)估與個(gè)人信息保護(hù)影響評(píng)估的銜接 從合理規(guī)劃企業(yè)的合規(guī)措施與成本角度看,個(gè)人信息的出境自評(píng)估,需要考慮與個(gè)人信息保護(hù)影響評(píng)估的銜接問(wèn)題。 《個(gè)人信息保護(hù)法》第五十五條規(guī)定:有下列情形之一的,個(gè)人信息處理者應(yīng)當(dāng)事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估,并對(duì)處理情況進(jìn)行記錄(一)處理敏感個(gè)人信息;(二)利用個(gè)人信息進(jìn)行自動(dòng)化決策;(三)委托處理個(gè)人信息、向其他個(gè)人信息處理者提供個(gè)人信息、公開(kāi)個(gè)人信息;(四)向境外提供個(gè)人信息;(五)其他對(duì)個(gè)人權(quán)益有重大影響的個(gè)人信息處理活動(dòng)。 《個(gè)人信息保護(hù)法》所規(guī)定的個(gè)人信息保護(hù)影響評(píng)估的觸發(fā)條件也包含“向境外提供個(gè)人信息”,這與數(shù)據(jù)出境安全評(píng)估的觸發(fā)條件有一定的重合。 筆者認(rèn)為,個(gè)人信息保護(hù)影響評(píng)估與數(shù)據(jù)出境評(píng)估的差異主要包括:其一、影響評(píng)估適用于所有的數(shù)據(jù)出境活動(dòng),而出境安全評(píng)估僅適用于達(dá)到一定人數(shù)的個(gè)人信息處理者的出境活動(dòng)。其次,影響評(píng)估關(guān)注的內(nèi)容比出境安全評(píng)估少。 同時(shí),影響評(píng)估作為一種更為基礎(chǔ)性的制度安排,其中部分內(nèi)容也可以為數(shù)據(jù)出境安全評(píng)估提供一定的支撐。比如,影響評(píng)估的內(nèi)容包括:個(gè)人信息的處理目的、處理方式等是否合法、正當(dāng)、必要;對(duì)個(gè)人權(quán)益的影響及安全風(fēng)險(xiǎn);所采取的保護(hù)措施是否合法、有效并與風(fēng)險(xiǎn)程度相適應(yīng)。而這些內(nèi)容,在進(jìn)行出境自評(píng)估過(guò)程中,也可以有一定程度的借鑒。[1] 2、重新評(píng)估的監(jiān)測(cè)與申報(bào) 按照《辦法》規(guī)定,數(shù)據(jù)出境安全評(píng)估結(jié)果的有效期(2年)屆滿或者在有效期內(nèi)出現(xiàn)需要重新評(píng)估情形的,包括向境外提供數(shù)據(jù)的目的、方式、范圍、種類和境外接收方處理數(shù)據(jù)的用途、方式發(fā)生變化影響出境數(shù)據(jù)安全的,或者延長(zhǎng)個(gè)人信息和重要數(shù)據(jù)境外保存期限的;境外接收方所在國(guó)家或者地區(qū)數(shù)據(jù)安全保護(hù)政策法規(guī)和網(wǎng)絡(luò)安全環(huán)境發(fā)生變化以及發(fā)生其他不可抗力情形、數(shù)據(jù)處理者或者境外接收方實(shí)際控制權(quán)發(fā)生變化、數(shù)據(jù)處理者與境外接收方法律文件變更等影響出境數(shù)據(jù)安全的情形,數(shù)據(jù)處理者應(yīng)當(dāng)在有效期屆滿60個(gè)工作日前或者相關(guān)情形發(fā)生時(shí)(數(shù)據(jù)出境前)重新申報(bào)數(shù)據(jù)出境安全評(píng)估。 這一規(guī)定,對(duì)于企業(yè)的常態(tài)化數(shù)據(jù)出境管控體系提出了要求。企業(yè)不僅要按照規(guī)定申報(bào)數(shù)據(jù)出境安全評(píng)估,還需要建立內(nèi)部的監(jiān)測(cè)體系。對(duì)于評(píng)估所涉事項(xiàng)發(fā)生的變化能夠及時(shí)發(fā)現(xiàn),并及時(shí)重新申請(qǐng)出境安全評(píng)估。
六、如何應(yīng)對(duì)整改期
值得一提的是,《辦法》明確在施行前已經(jīng)開(kāi)展的數(shù)據(jù)出境活動(dòng),不符合《辦法》規(guī)定的,應(yīng)當(dāng)自《辦法》施行之日起6個(gè)月內(nèi)完成整改。對(duì)于整改期,有如下兩種情況: 1、未達(dá)到應(yīng)申報(bào)數(shù)據(jù)出境安全評(píng)估條件的情形 在《辦法》施行之前已經(jīng)進(jìn)行數(shù)據(jù)出境活動(dòng),如未達(dá)到應(yīng)當(dāng)進(jìn)行數(shù)據(jù)出境安全評(píng)估申報(bào)情形的,且自評(píng)估后不存在給國(guó)家安全、公共利益、個(gè)人或者組織合法權(quán)益帶來(lái)的風(fēng)險(xiǎn),可以不用中斷。 2、不符合《辦法》規(guī)定的情形 如果構(gòu)成了應(yīng)進(jìn)行數(shù)據(jù)出境安全評(píng)估的情形或有其他違反《辦法》的情形,則應(yīng)停止數(shù)據(jù)出境活動(dòng),并應(yīng)當(dāng)在2023年2月底之前完成整改。如未完成整改,將面臨相應(yīng)的法律責(zé)任。此外,對(duì)于《辦法》施行后才開(kāi)展的滿足申報(bào)情形的數(shù)據(jù)出境活動(dòng),應(yīng)當(dāng)按照《辦法》規(guī)定事先完成安全評(píng)估。 3、整改路徑 對(duì)于是否能夠繼續(xù)出境或者進(jìn)行整改,應(yīng)以相關(guān)事實(shí)的排查為基礎(chǔ)。筆者認(rèn)為,是否整改,以及如何整改,可以按照如下建議路徑實(shí)施: (1)出境數(shù)據(jù)自查 自查的主要內(nèi)容包括:出境數(shù)據(jù)中是否涉及重要數(shù)據(jù);公司處理的個(gè)人信息是否達(dá)到100萬(wàn)人的個(gè)人信息并實(shí)施了個(gè)人信息出境;公司自2021年1月1日起至自查基準(zhǔn)日累計(jì)出境的個(gè)人信息是否達(dá)到10萬(wàn)人;公司自2021年1月1日起至自查基準(zhǔn)日累計(jì)出境的敏感個(gè)人信息是否達(dá)到1萬(wàn)人。 (2)如果達(dá)到了上述標(biāo)準(zhǔn),則應(yīng)立即啟動(dòng)數(shù)據(jù)出境自評(píng)估,并按照規(guī)定在整改期屆滿之前申報(bào)數(shù)據(jù)出境安全評(píng)估。如果在2023年2月底之前能夠通過(guò)安全評(píng)估,則可以繼續(xù)實(shí)施數(shù)據(jù)出境。如果未能完成,則應(yīng)停止數(shù)據(jù)出境,直至安全評(píng)估通過(guò)。 (3)對(duì)于公司自2021年1月1日起至自查基準(zhǔn)日,累計(jì)出境的個(gè)人信息達(dá)到10萬(wàn)人或累計(jì)出境的敏感個(gè)人信息達(dá)到1萬(wàn)人的情形,如果在2023年2月28日的時(shí)點(diǎn),通過(guò)扣減2021年1月1日至2021年12月31日的人數(shù),可以讓累計(jì)出境個(gè)人信息降低至應(yīng)申報(bào)數(shù)據(jù)出境安全審查的人數(shù)限額以下,則人數(shù)降低后的出境不違反《辦法》的規(guī)定。 筆者認(rèn)為,《辦法》對(duì)于個(gè)人信息出境采取的累計(jì)數(shù)量管理辦法,實(shí)際上是對(duì)個(gè)人信息出境采取了相對(duì)寬容的態(tài)度。通過(guò)動(dòng)態(tài)的時(shí)間遞進(jìn)管理,使得企業(yè)可以根據(jù)業(yè)務(wù)需要,在一定的限制范圍內(nèi)持續(xù)實(shí)施個(gè)人信息出境。 上述管理方式,一方面是監(jiān)管給與的出境便利措施;另一方面,也對(duì)企業(yè)的數(shù)據(jù)治理和數(shù)據(jù)合規(guī)體系提出了更為精細(xì)化的管理要求。 企業(yè)不僅僅應(yīng)熟悉法規(guī),還應(yīng)結(jié)合自身的業(yè)務(wù)屬性、業(yè)務(wù)場(chǎng)景、數(shù)據(jù)類型、數(shù)據(jù)出境數(shù)量、業(yè)務(wù)數(shù)據(jù)戰(zhàn)略等方面的要求,合理規(guī)劃數(shù)據(jù)出境的治理體系。
