外商投資企業(yè)數(shù)據(jù)出境安全評估申報實操指南
作者:吳鵬飛 吳金冬 2023-03-15近期,數(shù)據(jù)出境安全評估申報成為很多企業(yè)關(guān)注的熱點。依據(jù)法規(guī)今年二月底更是一個重要的時間點,截至三月初有一些企業(yè)已經(jīng)提交了申報[1],很多企業(yè)還在準備申報或者是觀望中。我們團隊協(xié)助客戶向上海,福建,江蘇等地的網(wǎng)信辦提交了申報材料及進行相關(guān)咨詢,注意到有實際申報需求的企業(yè)包括消費、互聯(lián)網(wǎng)、跨境電商、汽車等特定行業(yè)企業(yè),也不乏制造業(yè)的外商投資企業(yè)。本文擬結(jié)合我們的經(jīng)驗,針對企業(yè)在數(shù)據(jù)出境安全評估申報方面的需求和疑問,進行初步的介紹。
一、外商投資企業(yè)數(shù)據(jù)出境的場景比較常見
——何為出境?
《數(shù)據(jù)安全法》和《個人信息保護法》語境下的數(shù)據(jù)出境的范圍比較寬泛。根據(jù)國家互聯(lián)網(wǎng)信息辦公室編制的《數(shù)據(jù)出境安全評估申報指南(第一版)》,以下情形屬于數(shù)據(jù)出境行為:
(一)數(shù)據(jù)處理者將在境內(nèi)運營中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲至境外;
(二)數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲在境內(nèi),境外的機構(gòu)、組織或者個人可以查詢、調(diào)取、下載、導出;
(三)國家網(wǎng)信辦規(guī)定的其他數(shù)據(jù)出境行為。
外商投資企業(yè)因為其境外總部集中管理的需求,導致其數(shù)據(jù)出境的場景更為常見,比如說境外總部可能要求國內(nèi)的子公司使用統(tǒng)一的人力資源管理系統(tǒng),會導致國內(nèi)員工的個人信息傳輸或存儲到境外。如果外資企業(yè)存在法律和申報指南中規(guī)定的上述數(shù)據(jù)出境行為,就應該根據(jù)《數(shù)據(jù)安全法》和《個人信息保護法》對相關(guān)行為進行梳理和自查,以判斷企業(yè)應采取何種措施:(一)通過國家網(wǎng)信部門組織的安全評估;(二)經(jīng)專業(yè)機構(gòu)進行個人信息保護認證;(三)按照國家網(wǎng)信部門制定的標準合同與境外接收方訂立合同。
二、企業(yè)如何梳理出境的數(shù)據(jù)
——摸清家底
實踐中,企業(yè)應如何自行對出境數(shù)據(jù)和出境行為進行梳理和評估呢?根據(jù)我們的服務經(jīng)驗,一般企業(yè)會組織內(nèi)部不同的部門,通常會有IT部門、法務及合規(guī)部門、人力資源部門、業(yè)務部門,以及涉及到的其他部門,并且有總部及國內(nèi)子公司相關(guān)部門的同事共同參與,由管理層進行牽頭協(xié)調(diào)。相關(guān)團隊對企業(yè)數(shù)據(jù)出境所涉及到的場景、業(yè)務系統(tǒng)、內(nèi)容進行系統(tǒng)的梳理,盤點企業(yè)數(shù)據(jù)、數(shù)據(jù)系統(tǒng)、數(shù)據(jù)出境的目的和場景、出境數(shù)據(jù)的類型和數(shù)量,以及企業(yè)的相關(guān)制度和技術(shù)措施。
其實,相關(guān)梳理的工作不僅僅針對數(shù)據(jù)出境合規(guī)這一單一目的,往往都是針對建立企業(yè)數(shù)據(jù)合規(guī)體系這一更大的目標。所以,借此機會,企業(yè)和相關(guān)團隊可以完善建設數(shù)據(jù)合規(guī)制度、梳理數(shù)據(jù)資產(chǎn)(包括分級分類、篩選重要數(shù)據(jù))、理順數(shù)據(jù)流程、完善數(shù)據(jù)安全保障措施等工作。
此外,相關(guān)梳理的工作并不等同于法律規(guī)定的個人信息保護影響評估[2]或者是申報數(shù)據(jù)出境安全評估前的自評估工作,應該說更加復雜,或者是包含了法律規(guī)定的相關(guān)評估工作。
三、企業(yè)數(shù)據(jù)出境情況滿足一定條件,應辦理數(shù)據(jù)出境安全評估申報
——是否要申報?
根據(jù)《數(shù)據(jù)安全評估辦法》第四條,數(shù)據(jù)處理者向境外提供數(shù)據(jù),有下列情形之一的,應當通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估:
(一)數(shù)據(jù)處理者向境外提供重要數(shù)據(jù);
(二)關(guān)鍵信息基礎設施運營者和處理100萬人以上個人信息的數(shù)據(jù)處理者向境外提供個人信息;
(三)自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數(shù)據(jù)處理者向境外提供個人信息;
(四)國家網(wǎng)信部門規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形。
一般來說,首先要考慮是否有重要數(shù)據(jù)的情況[3],我們在下一部分具體討論。
更常見的是個人信息的出境。通常來說,企業(yè)如果經(jīng)營to C的業(yè)務比較容易滿足上述第(二)、(三)款所列的條件,比如說某知名的運動服裝品牌自有app儲存了百萬級消費者的個人信息,同時在企業(yè)內(nèi)部管理過程中,國內(nèi)子公司會把相關(guān)信息提供給境外的總部,很容易就觸發(fā)申報條件。
是否制造業(yè)或者是說經(jīng)營to B業(yè)務的企業(yè)就不會有評估申報的需求呢?并不是。前已述及,外商投資企業(yè)因為其境外總部集中管理的需求,其數(shù)據(jù)出境的場景較為常見,可能會觸發(fā)申報條件,比如說員工個人信息通過人力資源管理系統(tǒng)的出境,或者業(yè)務過程中收集的客戶或者供應商的聯(lián)系人的個人信息通過ERP系統(tǒng)或CRM系統(tǒng)出境,由于很可能包含個人敏感信息(比如身份證號碼、差旅相關(guān)的部分信息、為員工辦理商業(yè)保險所需的部分信息),如果達到一定數(shù)量(比如1萬人),就會觸發(fā)個人敏感信息出境的申報條件。
滿足條件不去申報,《數(shù)據(jù)安全評估辦法》未直接規(guī)定法律責任,但是該等行為可能會被認定為《個人信息保護法》規(guī)定的企業(yè)違法處理個人信息,情節(jié)嚴重的,可能面臨最高5,000萬元以下或者上一年度營業(yè)額5%以下罰款、停業(yè)整頓、吊銷相關(guān)業(yè)務許可或者吊銷營業(yè)執(zhí)照等嚴厲的處罰措施;同時,直接負責的主管人員和其他直接責任人員有可能被處以10萬元以上100萬元以下罰款,并在一定期限內(nèi)禁止擔任相關(guān)企業(yè)的董事、監(jiān)事、高級管理人員和個人信息保護負責人。
四、在判斷的過程中經(jīng)常會碰到的問題
——這些情況如何判斷?
1、重要數(shù)據(jù)
根據(jù)《數(shù)據(jù)出境安全評估辦法》,重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等,可能危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全等的數(shù)據(jù)。企業(yè)如何識別重要數(shù)據(jù)呢,可以優(yōu)先參照相關(guān)行業(yè)的重要數(shù)據(jù)目錄進行識別,比如基礎電信行業(yè)和汽車行業(yè)。當行業(yè)重要數(shù)據(jù)目錄不明確時,可以參考重要數(shù)據(jù)認定的一般規(guī)則或者標準,比如2017年有個國家標準的征求意見稿,專門對各行各業(yè)的重要數(shù)據(jù)做了大致的列舉。
2、個人敏感信息
2020年10月1日施行的推薦性國家標準GT/B 35273《信息安全技術(shù)個人信息安全規(guī)范》附錄B個人敏感信息判定可以參考。此外,《網(wǎng)絡安全標準實踐指南——網(wǎng)絡數(shù)據(jù)分類分級指引》附錄B的個人信息分類示例,也提供了個人信息分類及敏感個人信息的參考示例,值得參考。前面提到,跨國公司在總部集中管理過程中收集到的個人信息,很可能是包含敏感個人信息的。
3、國內(nèi)的多家子公司數(shù)據(jù)是否要合并計算
跨國公司經(jīng)常會存在這樣一種情況,就是國內(nèi)有多家子公司,每家子公司都有數(shù)據(jù)或者個人信息要通過公司統(tǒng)一的管理系統(tǒng)提交到境外總部。如果部分子公司處理個人敏感信息不足1萬,但是有的子公司處理個人敏感信息已經(jīng)達到1萬,其他的申報情形都不滿足,這些公司是否需要申報?關(guān)于這一點,上海網(wǎng)信辦的理解是需要判斷國內(nèi)的子公司之間是否存在數(shù)據(jù)共享和交互:如果存在,則應根據(jù)國內(nèi)子公司處理個人敏感信息的總和來判斷,應進行安全評估申報;如果不存在,就要充分證明不存在數(shù)據(jù)共享交互這樣的一個情形。而根據(jù)我們的觀察,事實上更常見的情況可能是各家子公司分別在系統(tǒng)中上傳個人信息。即使這樣,如果各家分別不達標,但總量達標,我們建議以其中一家子公司的名義進行申報,并且在申報的過程中披露國內(nèi)所有子公司跨境傳輸個人信息的情況,實現(xiàn)跨國公司所有實體在中國法下的數(shù)據(jù)出境合規(guī)。
4、數(shù)據(jù)的統(tǒng)計口徑
根據(jù)上海網(wǎng)信辦的答復,《數(shù)據(jù)出境安全評估辦法》第四條申報情形中提到的100萬、10萬、1萬這類數(shù)據(jù)均是按照人口計算的,而非人次。同時,處理100萬以上個人信息,累計向境外提供10萬人個人信息或者1萬人敏感個人信息,都是針對數(shù)據(jù)處理者的主體在各場景下處理的數(shù)據(jù)量累計計算,而不是要求具體的業(yè)務場景達到這個數(shù)量級。
還有一些特殊問題適用于特定行業(yè)的企業(yè),比如如何定義境內(nèi)運營、是否考慮外國人的個人信息,并不適用于多數(shù)企業(yè),我們在這里就不贅述。
五、準備數(shù)據(jù)出境安全評估申報材料的常見問題
——如何準備申報材料?
如果確定要申報的話,就需要考慮如何準備申報材料。國家網(wǎng)信辦編制的《數(shù)據(jù)出境安全評估申報指南(第一版)》、各地網(wǎng)信辦出的實務問答、工作指引都很有參考意義。以下介紹下我們在協(xié)助客戶準備申報材料時的一些經(jīng)驗:
1、盡量不要去更改申報指南中提供的申報表、承諾書、自評估報告的格式。
2、自評估報告前后表述保持一致,不同申報材料之間的內(nèi)容保持一致。比如自評估報告里寫到的擬出境數(shù)據(jù)的數(shù)量,肯定要與申報表里填寫的數(shù)量一致。
3、自評估報告。
根據(jù)我們的經(jīng)驗,報告中的一些部分主要是事實的描述和介紹,比如數(shù)據(jù)處理者基本情況、數(shù)據(jù)出境涉及業(yè)務和信息系統(tǒng)情況、擬出境數(shù)據(jù)情況。有些部分則是需要展開論述的,也是網(wǎng)信辦審查的重點,比如數(shù)據(jù)處理者(和境外接收方)的數(shù)據(jù)安全保障能力情況,既包括制度建設、管理體系,也包括技術(shù)能力;法律文件約定數(shù)據(jù)安全保護責任義務的情況,要將申報指南這部分要求的所有相關(guān)條款在法律文件中一一找到并顯著標識。
4、申報表。
最常見的一個問題是表格中擬出境數(shù)據(jù)情況,因為數(shù)據(jù)處理者申報的出境數(shù)據(jù),應為未來兩年的擬出境數(shù)據(jù)(而非自評估報告中所統(tǒng)計的從上年度1月1日起累計的已出境數(shù)據(jù)),所以,企業(yè)應該根據(jù)歷史出境的數(shù)據(jù)數(shù)量和企業(yè)未來的需要,做合理的預測。還有一個常見的問題是針對不同的出境場景,同一家企業(yè)可能要準備幾份申報表。
最近另外一個相關(guān)新聞也是熱點:國務院擬組建數(shù)據(jù)管理局,網(wǎng)信辦承擔的部分職責劃入數(shù)據(jù)管理局。目前來看,數(shù)據(jù)出境安全評估申報的工作還是在網(wǎng)信辦。在與網(wǎng)信辦交流的過程中,他們的反饋都是應該有更多的企業(yè)滿足了申報條件但還未及時進行申報。今后是否會有企業(yè)因為未辦理申報而承擔法律責任,需要我們持續(xù)密切關(guān)注,但這個問題放在現(xiàn)今對數(shù)據(jù)安全、個人信息保護日益關(guān)注的大環(huán)境下,其實我們可能已經(jīng)有答案了。
注釋
[1] 根據(jù)上海網(wǎng)信辦的數(shù)據(jù),截至2023年3月9日,上海市網(wǎng)信辦接收正式申報材料270余件。北京網(wǎng)信辦沒有最新的數(shù)據(jù),但截至2月底,已經(jīng)有200家左右的企業(yè)表達了申報意愿。根據(jù)我們的交流,其他省份的網(wǎng)信辦接收、審核申報材料的經(jīng)驗相對較少。
[2] 向境外提供個人信息的,應進行個人信息保護影響評估,包括下列內(nèi)容:
(一)個人信息的處理目的、處理方式等是否合法、正當、必要;
(二)對個人權(quán)益的影響及安全風險;
(三)所采取的保護措施是否合法、有效并與風險程度相適應。
[3]本文暫不討論關(guān)鍵信息基礎設施運營者的情況。
