配合數據跨境新規適用——安全評估申報和SCC備案指南(第二版)解析
作者:吳衛明 劉芷均 2024-03-233月22日,為了配套最新發布的《促進和規范數據跨境流動規定》(“《數據跨境新規》”),國家網信辦發布更新版本的指南文件,通過《數據出境安全評估申報指南(第二版)》(“《安全評估指南(第二版)》”)和《個人信息出境標準合同備案指南(第二版)》(“《SCC備案指南(第二版)》”,與《安全評估指南(第二版)》合稱為“《指南(第二版)》”)向涉及數據/個人信息出境活動的處理者提供符合《數據跨境新規》要求的數據出境安全評估申報(“安全評估申報”或“申報”)/個人信息出境標準合同備案(“SCC備案”或“備案”)指引。
以下就兩份指南更新的核心內容以及對擬申報/備案的處理者帶來的影響進行簡要說明:
一、適用范圍更新,境外處理者需要予以關注
1. 應申報/備案情形
應申報/備案情形的更新是同步于《數據跨境新規》的,內容與《數據跨境新規》中提供的最新標準一致。
相關內容的變化可以參考我們另外發布的新規解讀文章:《促進和規范數據跨境流動規定》生效后需要關注的八大問題。
2. 數據出境行為囊括了境外處理者的處理活動
數據出境行為新增了第(三)種,即“符合《個人信息保護法》第三條第二款情形,在境外處理境內自然人個人信息等其他數據處理活動。”《指南(第二版)》對于“數據出境行為”的定義與此前全國信安標委發布的《TC260-PG-20222A 個人信息跨境處理活動安全認證規范V2.0》中給出的定義基本一致。至此,三種數據出境合規路徑下對于“數據出境行為”的定義達成統一。
在境外處理境內自然人個人信息的處理者明確成為了數據跨境傳輸監管主體之一。對于在境外處理境內自然人個人信息,不涉及其他境內主體(如境內受托方、境內處理者等)的情況,是否也屬于需要履行相關申報/備案程序,《指南(第二版)》未提供明確的說明;但境外處理者涉及個人信息跨境傳輸活動的已明確屬于監管范圍。
針對這項定義的更新,境外數據處理者應謹慎對待,盡快展開涉及中國個人信息的處理情況盤點并分析是否符合需要申報/備案的情形,具體可以參考如下步驟進行:
(1) 處理中國境內自然人個人信息的原因是否涉及如下之一:1) 以向境內自然人提供產品或者服務為目的;2) 分析、評估境內自然人的行為;3) 中國法律、行政法規規定的其他情形。
(2) 相關數據流中是否涉及境內外交互或境外向第三國傳輸的情形,比如:1) 境外處理者委托境內受托方處理個人信息;2) 境內與境外處理者共同處理;3)境外處理者提供給第三國處理者或委托第三國受托方處理個人信息。(在境外處理境內自然人個人信息,不涉及其他境內主體(如境內受托方、境內處理者等)的處理者,建議進一步咨詢或委托境內專業機構咨詢網信辦并進行適用性分析。)
(3) 具體符合申報/備案條件的場景下涉及的個人信息數量在各維度的統計數據是否達到申報/備案門檻。
二、安全評估申報和SCC備案以及保護認證開放線上平臺
根據《指南(第二版)》和國家網信辦在《促進和規范數據跨境流動規定》答記者問中提供的信息,三種數據出境路徑均開放了專門的線上平臺,接收處理者的申請。但CIIO和其他不適合通過平臺申報的數據處理者不可以通過線上進行安全評估申報,只能按原先的程序通過所在地省級網信辦向國家網信辦提交紙質材料。以下是我們整理的線上提交和線下提交分別適用的情況和具體要求:
處理者如通過線上提交的,需注意線上平臺相較于線下方式多了一個角色“系統注冊人”,該系統注冊人并不等同于經辦人,可以由兩個人員負責;但系統注冊人的聯系電話將成為線上平臺所有通知的接收途徑,務必要注意該人員要經公司授權、要熟悉項目、且與項目上相關人員(第三方專業機構人員)有高效的溝通機制,以便于線上提交申請時能不遺漏消息、快速推進程序。
三、優化了網信部門的審核流程,明確了與處理者妥善溝通的要求
1. 《安全評估指南(第二版)》明確了省級網信辦在完成完備性查驗時要向處理者告知查驗結果;未通過查驗的,還要告知未通過完備性查驗的原因。從書面上明確這一要求,有助于保障查驗和審核流程的透明、公正,也能夠在網信部門與處理者之間搭建良好溝通的橋梁。
2. 《安全評估指南(第二版)》新增了一種可以延長評估時間的情形:除了“情況復雜的”外,新增“需要補充、更正材料的”情形下,國家網信辦也可以適當延長評估時間,并告知處理者預計延長的時間。
四、明確申報或備案文件的格式要求
1. 再次明確專用語言為中文
除了此前已經明確的出境相關合同或法律文件以中文為準且須提交中文版外,《指南(第二版)》中特別強調《數據出境安全評估申報表》《數據出境風險自評估報告》《個人信息保護影響評估報告(出境版)》須使用中文進行撰寫。根據我們過往的項目經驗,報告等申報材料中涉及英文詞匯的,比如數據種類等,建議在英文旁提供中文翻譯內容,可以一定程度上減少反饋、加快流程。
2. 明確申報書、自評估報告的字體、字號、段落設置、頁面設置要求
為了避免接收格式不一、五花八門的申報文件,《指南(第二版)》除了提出中文語言要求外,還明確規定了中文、數字和字母的字體、字號以及段落設置、頁面設置要求,具體可參考《指南(第二版)》(不同文件的格式要求略有不同,請注意分別比對)。
五、為多場景申報和多接收方申報的特殊情形提供特殊申報方案
1. 同一處理者涉及多場景只須填寫一份申報表
《安全評估指南(第二版)》中提供了更新的申報表,要求擬申報的處理者以場景為維度來描述數據出境情況,而不同場景的分開單獨填報每個場景的擬出境情況、涉及的境外接收方等情況即可。這一更新項說明,同一處理者涉及多個場景存在跨境數據傳輸活動的,只需要填報一份申報表(參考線上平臺提供的使用手冊可以看出,線上流程也是提交一次即可)。
2. 接收方多、不確定、無法列舉的,可以填寫統計數據
針對境外接收方數量眾多、范圍不確定、無法逐一列舉的,境外接收方情況可以只填寫統計數據。具體關于數量眾多的認定標準暫未明確,而統計數據如何填寫,按何種標準來填寫也并未在本次更新的指南中提供。
根據我們以往的項目經驗,統計數據可以考慮從過去年度的接收方數量、分布國家或地區情況、接收方涉及行業/領域分布情況、接收方類型等維度出發進行統計。
六、《安全評估指南(第二版)》更新了申報表模板,線上平臺已將申報表內容進行拆分并流程化
1. 減少填空題,增加選擇題
基于前一階段審核工作的經驗基礎,網信辦優化了申報表中部分字段,從開放式填空題改為了選擇題,一定程度上提供了更為明確的填表要求,相信在今后的申報工作中能夠節省大量審核工作量。
2. 新增必要填報內容,刪去非必要填報項
(1) 關于“數據處理者情況”:
新增要求填寫“單位類型”,可選擇為內資、外資、中外合資、港澳臺資或其他(另填);
新增要求填寫“是否為關鍵信息基礎設施運營者” “處理個人信息規模”,便于在申報開始就對該項目是否適用于線上流程進行判斷;
刪去“營業有效期”“郵政編碼”“注冊資金”“主營業務”。
(2) 關于“境外接收方情況”:
刪去“注冊登記號碼”“注冊資金”“員工數量”“負責人證件類型”“負責人證件號碼”等項目,對接收方負責人的聯系方式也僅要求提供電話或郵箱中的一種;但我們提請處理者注意,在填寫時仍需關注聯系方式是否有效、可供有關部門聯系。
3. 明確重要數據須經有關部門認定,并須提交認定主管部門名稱。涉及重要數據的,我們建議將重要數據認定依據作為補充材料提交。
4. 確定出境個人信息數量要提供兩種數據并說明關系
涉及出境自然人數量的,不僅要去重,還要提供當年已出境數量、未來三年出境數量這兩類統計或預估數量,并說明兩個數據之間的關系。處理者在統計和填寫時要注意兩個數據之間的計算關系以及統計口徑是否合理。
七、優化自評估報告和PIA報告(出境版)的結構,避免篇幅冗長影響審核
《指南(第二版)》對《數據出境風險自評估報告(模板)》和《個人信息保護影響評估報告(出境版)(模板)》的結構都進行了優化和調整,兩份報告模板都將“數據/個人信息出境涉及業務和信息系統情況”中的內容融合至“擬出境數據/個人信息情況”中,使得報告中對于擬出境情況的描述更富有邏輯性、整體性,避免報告中出現大量重復內容,提高報告描述擬出境事實情況的效率,提升報告的可讀性。在整體結構調整的基礎上,兩份報告分別有一些優化的重點值得關注。
1.自評估報告結構的優化重點:列表呈現出境數據項并逐一說明必要性
更新后的自評估報告嚴格要求擬申報的處理者在描述擬出境數據情況時,通過列表的形式呈現數據項,并逐一確認出境必要性。在每個出境申報業務場景下,都需要列表提供數據項清單并逐一說明具體內容、出境必要性、提供示例。涉及出境必要性存在瑕疵的數據項,需要在申報前及時作出整改,不能和同一場景下的其他數據項混合在一起予以申報。
2. PIA報告(出境版)的優化重點:修正不符合《個人信息出境標準合同辦法》評估要求的內容
更新的PIA報告(出境版)中刪去了“個人信息處理者個人信息保護能力情況”章節,不再需要作為事實情況在報告中大篇幅進行說明。查看整份更新后的報告模板,不難看出這一更新項主要考慮的是,在《個人信息出境標準合同辦法》第五條規定的評估依據和要求中沒有提及相關內容。從過往項目經驗出發,如果在PIA報告撰寫過程中涉及相關事項需要充分說明出境個人信息安全的,我們建議可以考慮參照第一版指南的相關內容在“(三)個人信息處理者認為需要說明的其他情況”部分對個人信息處理者自身的個人信息保護能力情況進行補充說明。
除了以上所述本次《指南(第二版)》的重點更新內容外,還有其他關于報告、材料的更新要求,比如《安全評估指南(第二版)》更新的自評估報告中要求涉及個人信息出境的處理者要提供履行《個人信息保護法》第三十九條規定的情況說明及佐證材料,包括告知義務和取得個人的單獨同意等(不適用同意合法性基礎的除外)。此外,《個人信息出境標準合同(模板)》本次沒有任何修改,仍維持原有版本。
從以上更新和調整的內容不難看出,《指南(第二版)》的發布是網信辦前期審核經驗的轉化和體現,其中的各項優化內容體現了對于材料的精簡、程序的電子化和便利化。
