2024年企業(yè)數(shù)據(jù)合規(guī)業(yè)務展望:數(shù)據(jù)跨境流動、重要數(shù)據(jù)識別、個人信息保護合規(guī)審計,還有三座沒有翻越的山!
作者:王良 全開明 袁葦 謝美山 2024-02-22關切一:一只沒有落地的靴子
《規(guī)范和促進數(shù)據(jù)跨境流動規(guī)定》何時正式實施?
中國數(shù)據(jù)治理的頂層架構是從國家安全的角度進行設計,把數(shù)據(jù)安全視為國家安全,并以數(shù)據(jù)出境安全評估申報和個人信息標準合同備案作為主要監(jiān)管手段,對企業(yè)的數(shù)據(jù)出境采取較為嚴格的管控。這一數(shù)據(jù)治理理念集中體現(xiàn)在《數(shù)據(jù)安全法》《個人信息保護法》以及與之相配套的《數(shù)據(jù)出境安全評估辦法》《個人信息出境標準合同辦法》等規(guī)范性文件中。然而,在2021年8月20日《個人信息保護法》通過后,中國隨即于2021年9月和11月分別申請加入《全面與進步跨太平洋伙伴關系協(xié)定》(CPTPP)和《數(shù)字經濟伙伴關系協(xié)定》(DEPA)。這兩部協(xié)定均要求締約國允許并盡可能推進數(shù)據(jù)跨境流動,減少數(shù)據(jù)本地化存儲的要求,在促進數(shù)據(jù)自由流動與提高數(shù)據(jù)保護、鼓勵數(shù)據(jù)創(chuàng)新與風險防范中實現(xiàn)雙重治理平衡。
而根據(jù)中國現(xiàn)行法律法規(guī)的要求,具有數(shù)據(jù)跨境傳輸需求的企業(yè)特別是跨國企業(yè),需要依法向國家網信辦進行數(shù)據(jù)出境安全申報,或者向省級以上地方網信部門申請個人信息出境標準合同備案。國家網信辦專門發(fā)布《數(shù)據(jù)出境安全評估辦法》,為數(shù)據(jù)出境安全申報設定六個月的整改期并于2023年2月28日結束。此后,國家網信辦又發(fā)布《個人信息出境標準合規(guī)規(guī)定》,為個人信息出境標準合同備案也設定六個月的整改期并于2023年12月1日結束。在上述整改期內,很多企業(yè)啟動數(shù)據(jù)合規(guī)管理體系建設,相當一部分企業(yè)也完成了數(shù)據(jù)出境安全評估申報或合同備案,涵蓋航空、醫(yī)療、電子商務、信息軟件、汽車、快速消費品等多個行業(yè),且以歐美外資企業(yè)居多。
為優(yōu)化外商投資環(huán)境,加大吸引外商投資力度,也是為避免與我國將要加入的兩部協(xié)定所要履行的國際義務相抵觸,國家網信辦在對標國際高標準經貿規(guī)則的基礎上,于2023年9月28日公布《規(guī)范和促進數(shù)據(jù)跨境流動規(guī)定(征求意見稿)》。該征求意見稿體現(xiàn)了新的國家數(shù)據(jù)安全觀,進一步貫徹了《數(shù)據(jù)安全法》所確立的“安全、自由流動原則”,也符合《個人信息保護法》中關于“中華人民共和國締結或者參加的國際條約、協(xié)定對向中華人民共和國境外提供個人信息的條件等有規(guī)定的,可以按照其規(guī)定執(zhí)行”的規(guī)定,從而為企業(yè)的數(shù)據(jù)跨境便利化傳輸提供了新的可能。該征求意見稿實質性地調整了個人信息出境標準合同備案和數(shù)據(jù)出境安全評估的觸發(fā)條件,放寬了個人信息流動的目的限定和規(guī)模限制, 同時對企業(yè)多個數(shù)據(jù)出境場景進行申報豁免,降低了企業(yè)合規(guī)成本,減輕了企業(yè)負擔。該征求意見稿的導向作用非常明顯,很多企業(yè)審時度勢立即變更數(shù)據(jù)跨境傳輸?shù)纳陥蟛呗院吐窂剑踔磷龀鰰和;虿挥枭陥蟮臎Q定,同時也在觀望新規(guī)的出臺。在地方層面,2023年12月13日,國家網信辦聯(lián)合香港創(chuàng)新科技及工業(yè)局發(fā)布《粵港澳大灣區(qū)(內地、香港)個人信息跨境流動標準合同實施指引》,免除了粵港間個人信息出境安全評估要求、簡化了個人信息保護影響評估的內容、降低了境外接收方的義務等。大灣區(qū)創(chuàng)新的監(jiān)管模式促進了粵港間數(shù)據(jù)自由流動,同時也給大灣區(qū)之外的企業(yè)在個人信息出境便捷化方面帶來了新的期待。
目前,企業(yè)亟需更加確定的政策和指引,在可預期、合法、正當、必要的條件下實現(xiàn)正常的數(shù)據(jù)跨境自由流動,滿足企業(yè)日常管理和業(yè)務發(fā)展的基本需求。然而迄今為止,出臺該征求意見稿還沒有明確的時間表,懸而未決的法規(guī)讓一些企業(yè)的數(shù)據(jù)跨境傳輸項目進退維谷,合規(guī)風險仍然存在。在此背景下,建議企業(yè)仍應繼續(xù)夯實數(shù)據(jù)合規(guī)基礎,分場景做好個人信息影響評估、內部數(shù)據(jù)安全與隱私政策的優(yōu)化、數(shù)據(jù)安全管理方案的整改等工作。數(shù)據(jù)密集型技術類企業(yè)或處于敏感行業(yè)的公司,應繼續(xù)推進數(shù)據(jù)出境安全評估申報或個人信息標準合同備案;處于非敏感行業(yè)的公司且未達到該征求意見稿規(guī)定的申報或備案觸發(fā)條件的,可以繼續(xù)觀望,靜待花開。
關切二:深藏不露的殺手锏
如何破解“重要數(shù)據(jù)”的識別與保護難題?
“重要數(shù)據(jù)”的概念最早出現(xiàn)在《網絡安全法》,其規(guī)定網絡運營者在針對重要數(shù)據(jù)的安全層面需要進行備份,針對在境內收集和產生的重要數(shù)據(jù)原則上需要在境內進行存儲。其后的《數(shù)據(jù)安全法》進一步要求國家建立數(shù)據(jù)分類分級保護制度,各地區(qū)、各部門負責確定重要數(shù)據(jù)具體目錄。而《數(shù)據(jù)出境安全評估辦法》則要求如果存在向境外提供重要數(shù)據(jù)情形,需要通過所在地省級網信部門向國家網信部門申報數(shù)據(jù)出境安全評估。但《數(shù)據(jù)出境評估辦法》第十九條僅對“重要數(shù)據(jù)”做了原則性規(guī)定,即“一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等,可能危害國家安全、經濟運行、社會穩(wěn)定、公共健康和安全等的數(shù)據(jù)”。對于重要數(shù)據(jù)的識別,盡管各部門之間達成初步的共識,擯棄了以數(shù)據(jù)規(guī)模、個人信息數(shù)量為參數(shù)的判斷標準,把對國家安全、經濟運行等影響后果作為基本原則,但在現(xiàn)實層面欠缺可操作性的標準,重要數(shù)據(jù)的識別與保護成為難題。
在此背景下,2022年1月《信息安全技術 重要數(shù)據(jù)識別指南(征求意見稿)》出臺,列舉了重要數(shù)據(jù)的主要分布場所,包括政務部門、關鍵信息基礎設施運營者在內的重點行業(yè)企業(yè)、公共服務機構、權威專業(yè)機構、科研機構、互聯(lián)網企業(yè)以及實體經濟企業(yè)等。之后,前述標準更名為《信息安全技術 重要數(shù)據(jù)識別規(guī)則(征求意見稿)》,指出重要數(shù)據(jù)識別因素側重于從后果角度,而不是從數(shù)據(jù)類型角度。識別重要數(shù)據(jù)應遵循的原則,包括聚焦安全影響、突出保護重點、銜接既有規(guī)定、綜合考慮風險、定量定性結合、動態(tài)識別復評,并明確了重要數(shù)據(jù)應具備的因素等。而《網絡安全標準實踐指南——網絡數(shù)據(jù)分類分級指引》規(guī)定了與重要數(shù)據(jù)相關的國家安全、公共安全的危害標準。以上國家標準或指南,對重要數(shù)據(jù)的界定進行了有益的嘗試,但仍未形成可操作性的具體標準,導致重要數(shù)據(jù)的識別仍存在較大不確定性。
基于《數(shù)據(jù)安全法》確立的部門管轄分配原則,即由各主管部門負責本行業(yè)、本領域數(shù)據(jù)安全監(jiān)管職責,工業(yè)和信息化部2023年1月1日實施《工業(yè)和信息化領域數(shù)據(jù)安全管理辦法(試行)》,開始組織制定工業(yè)和信息化領域數(shù)據(jù)分類分級、重要數(shù)據(jù)和核心數(shù)據(jù)識別認定、數(shù)據(jù)分級防護等標準規(guī)范,制定行業(yè)重要數(shù)據(jù)和核心數(shù)據(jù)具體目錄。中國人民銀行2023年7月發(fā)布《中國人民銀行業(yè)務領域數(shù)據(jù)安全管理辦法(征求意見稿)》,指導數(shù)據(jù)處理者開展數(shù)據(jù)分類分級各項工作,統(tǒng)籌確定重要數(shù)據(jù)具體目錄。中國(上海)自由貿易試驗區(qū)臨港新片區(qū)2024年2月制定《數(shù)據(jù)跨境流動分類分級管理辦法(試行)》,規(guī)定在數(shù)據(jù)跨境流動、跨境離岸金融等領域,臨港新片區(qū)管委會負責制定納入數(shù)據(jù)出境安全評估管理范圍的重要數(shù)據(jù)目錄,適用于臨港新片區(qū)范圍內登記注冊的或開展數(shù)據(jù)跨境流動相關活動數(shù)據(jù)處理者。數(shù)據(jù)處理者對重要數(shù)據(jù)目錄內的數(shù)據(jù),可通過臨港新片區(qū)數(shù)據(jù)跨境服務中心申報數(shù)據(jù)出境安全評估。但對于企業(yè)來說,數(shù)據(jù)的加工和利用等處理活動不局限在特定領域,也不受限于特定領域,需要在國家層面“自上而下”統(tǒng)一重要數(shù)據(jù)目錄編制的標準,預防各部門、各行業(yè)間出現(xiàn)重要數(shù)據(jù)識別標準的差異和保護水準的失衡。
面對重要數(shù)據(jù)識別標準的不統(tǒng)一,以及對跨境數(shù)據(jù)傳輸造成的困擾等窘境,我國需要盡快在重要數(shù)據(jù)識別與保護方面出臺相關法規(guī)和國家標準,讓重要數(shù)據(jù)的識別更加具有可操作性,讓企業(yè)所擔負的重要數(shù)據(jù)保護義務更好地與企業(yè)日常合規(guī)管理相融合。與個人信息保護相比,對重要數(shù)據(jù)的保護更加事關國家安全,未來幾年將成為執(zhí)法監(jiān)管部門關注的重點,企業(yè)也將擔負起更多的合規(guī)義務,包括但不限于備案義務、培訓義務、定期風險評估與提交報告義務等,逐步把企業(yè)數(shù)據(jù)合規(guī)管理的重心向重要數(shù)據(jù)的保護轉移。結合《網絡數(shù)據(jù)安全管理條例(征求意見稿)》,本文梳理了重要數(shù)據(jù)處理者的合規(guī)義務,企業(yè)可以參考合規(guī)要點進行查漏補缺,未雨綢繆。
關切三:懸在頭上的達摩克利斯之劍
個人信息保護合規(guī)審計會成為企業(yè)數(shù)據(jù)合規(guī)新的緊箍咒嗎?
個人信息保護合規(guī)審計是基于企業(yè)數(shù)據(jù)處理活動的風險評估,是對個人信息處理者的個人信息處理活動是否遵守法律、行政法規(guī)的情況進行審查和評價的監(jiān)督活動。一方面,合規(guī)審計作為企業(yè)數(shù)據(jù)合規(guī)“三道防線”的第三道防線,讓企業(yè)自我發(fā)現(xiàn)風險并自我完善,從而檢驗企業(yè)數(shù)據(jù)合規(guī)管理體系的有效性,形成企業(yè)合規(guī)管理的閉環(huán)。另一方面,合規(guī)審計作為執(zhí)法部門的監(jiān)管手段,使未合規(guī)的企業(yè)向公眾暴露其合規(guī)風險,并在外部壓力下整改合規(guī)漏洞并承擔相應法律責任。
我國《個人信息保護法》對個人信息保護的“自主審計”和“外部強制審計”做出了明確規(guī)定。該法第54條要求,個人信息處理者定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計;第64條規(guī)定,履行個人信息保護職責的部門在履行職責中,發(fā)現(xiàn)“個人信息處理活動存在較大風險”或者“發(fā)生個人信息安全事件”的,可以要求個人信息處理者委托專業(yè)機構對其個人信息處理活動進行合規(guī)審計。2023年8月3日,為指導、規(guī)范個人信息保護合規(guī)審計活動,國家網信辦起草并發(fā)布了《個人信息保護合規(guī)審計管理辦法(征求意見稿)》及配套的《個人信息保護合規(guī)審計參考要點》,落實《個人信息保護法》第54條和第64條項下的個人信息保護合規(guī)審計要求。根據(jù)該征求意見稿的規(guī)定,處理超過100萬人信息的個人信息處理者,至少1年開展1次合規(guī)審計(自主審計),其他個人信息處理者至少2年開展1次合規(guī)審計。
“自主審計”的范圍應包括制度建設、組織架構設置、安全能力、數(shù)字產品與服務、個人信息全生命周期管理各個環(huán)節(jié)等。“外部強制審計”由執(zhí)法部門根據(jù)《個人信息保護法》第64條依職權觸發(fā),執(zhí)法部門可以依照發(fā)現(xiàn)的風險因素或個人信息安全事件的影響來確定審計范圍。執(zhí)法部門依據(jù)《網信部門行政執(zhí)法程序規(guī)定》等部門規(guī)章,在監(jiān)督檢查中發(fā)現(xiàn)案件線索、收到投訴、申訴、舉報、企業(yè)網絡和信息系統(tǒng)遭受攻擊或發(fā)送數(shù)據(jù)泄露、出現(xiàn)重大個人信息保護問題的輿情事件、個人信息權益保護公益訴訟等,均會觸發(fā)對企業(yè)進行數(shù)據(jù)合規(guī)審計。《個人信息保護合規(guī)審計參考要點》中明確的141個審計要點作為審計基準,也可以作為企業(yè)數(shù)據(jù)合規(guī)有效性的測試和合規(guī)建設指引。具體包括:個人信息處理活動的合法性基礎條件、個人信息處理規(guī)則、告知義務履行、利用自動化決策處理個人信息的透明度和結果的公平性、公正性、處理敏感個人信息、處理不滿十四周歲未成年人個人信息、向境外提供個人信息、個人信息刪除權保障情況、保障個人行使個人信息權益的權利、個人信息保護影響評估、個人信息安全事件應急響應處置情況等等。
個人信息保護合規(guī)審計無疑將會給企業(yè)的經營管理帶來影響,特別是觸發(fā)外部強行審計時,執(zhí)法部門除了調查企業(yè)個人信息處理活動中的不合規(guī)事件外,也會向企業(yè)提出相應的合規(guī)整改要求。為滿足監(jiān)管與合規(guī)要求,企業(yè)可能需要通過調整業(yè)務模式和IT技術架構、變更業(yè)務流程、刪除相關數(shù)據(jù)甚至停止數(shù)據(jù)跨境傳輸?shù)龋@會給企業(yè)帶來合規(guī)成本的增加,也會給經營活動帶來困擾,甚至還存在中止經營活動的風險。為此,建議企業(yè)應當在完善數(shù)據(jù)合規(guī)管理體系的基礎上,建立起一套企業(yè)內部的個人信息合規(guī)審計制度,實現(xiàn)常規(guī)化的個人信息自主審計,更加主動承擔數(shù)據(jù)合規(guī)責任,履行個人信息保護義務。在企業(yè)的個人信息審計制度中,明確個人信息保護合規(guī)審計的方式、流程和要求,明確審計部門和相關部門的工作職責,確定第三方審計機構的選擇標準,以及配合外部強制審計的工作分工等。借助制度化的管理措施和自主審計,企業(yè)可以主動識別和評估個人信息處理過程中存在的風險,完善內部管措施,在面對外部強制性審計時,可以從容應對,更好地化解由此對業(yè)務經營帶來的挑戰(zhàn)和影響。
余論
2024年,中國在數(shù)據(jù)立法和監(jiān)管創(chuàng)新方面將會有新的突破。毫無疑問,數(shù)據(jù)跨境流動、重要數(shù)據(jù)保護、個人信息合規(guī)審計將成為企業(yè)數(shù)據(jù)合規(guī)領域三大課題。在立法方面,《規(guī)范和促進數(shù)據(jù)跨境流動規(guī)定》經過多種利益平衡考量和博弈后,這只靴子將會很快在上半年正式落地。“重要數(shù)據(jù)”的識別與保護難題,待國家標準《信息安全技術 重要數(shù)據(jù)識別規(guī)則》出臺,以及各地區(qū)、各部門重要數(shù)據(jù)具體目錄競相發(fā)布后,將會得到一定程度的破解,但對企業(yè)來說重要數(shù)據(jù)合規(guī)的挑戰(zhàn)才剛剛拉開序幕,成為深藏不漏的殺手锏。而個人信息保護合規(guī)審計作為執(zhí)法部門新的監(jiān)管工具,各方面的意見比較統(tǒng)一,預計《個人信息保護合規(guī)審計管理辦法》會很快出臺,也將成為企業(yè)懸在頭上的達摩克利斯之劍。另外,新設立的國家數(shù)據(jù)局在統(tǒng)籌協(xié)調數(shù)字中國、數(shù)字經濟、數(shù)字社會規(guī)劃和建設方面會出臺更多引領性的政策,有助于推動數(shù)據(jù)安全與數(shù)據(jù)利用的再平衡。在監(jiān)管方面,預計在數(shù)據(jù)合規(guī)、數(shù)據(jù)出境、重要數(shù)據(jù)保護等領域,將出現(xiàn)更多執(zhí)法案例,地方網信部門將在事中、事后監(jiān)管方面發(fā)揮更大作用,企業(yè)將迎來常態(tài)化的數(shù)據(jù)執(zhí)法與監(jiān)管。
