企業數據出境合規管理體系建設若干重點問題研究
作者:吳衛明 2022-07-112022年7月7日,《數據出境安全評估辦法》(以下簡稱《辦法》)公布,并將于2022年9月1日起正式施行。《辦法》共包含二十條,規定了數據出境安全評估的適用情形、評估事項、程序等,為數據出境安全評估工作提供了具體指引。《辦法》是落實《網絡安全法》、《數據安全法》、《個人信息保護法》有關數據出境規定的重要舉措,其出臺有助于進一步規范數據出境活動,保護個人信息權益,維護國家安全和社會公共利益,促進數據跨境安全、自由流動。
企業作為數據出境活動的主要實施者,其跨境貿易、跨境服務、跨境管理活動中,或多或少都會涉及到數據出境。特別是對于跨國公司而言,其總部與分支機構之間、不同國家的分支機構相互之間,數據交互都處于常態化。隨著《辦法》的通過與施行,數據出境過程中的合規管理,將成為企業一項重要的合規管理內容。本文,對于數據出境合規管理的若干重要問題進行分析,希望可以幫助企業建立、優化圍繞數據出境的合規管理制度。
一、數據出境場景梳理
根據《辦法》第四條的規定,滿足如下任一情形的,即應通過所在地省級網信部門向國家網信部門申報數據出境安全評估:一是數據處理者向境外提供重要數據;二是關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息;三是自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息;四是國家網信部門規定的其他需要申報數據出境安全評估的情形。上述規定,雖然規定了應該申請數據出境評估的四種情形,但由于企業的經營活動是動態的,且有一定的復雜性。因此,對于數據出境評估情形的判斷,應從出境場景的梳理開始。 筆者認為,常見的數據出境場景主要包括: 1、基于信息系統融合而導致數據直接存儲至境外服務器 對于部分總部在中國以外的跨國公司而言,將服務器設置在總部所在國,并通過全球一體化的信息系統,實現統一的跨境信息化管理、數據統一存儲、統一調用和分析,是跨國公司將為常見的IT管理架構。按照數據出境的基本判斷規則,這一場景下,數據甚至不經過境內的存儲,而直接被傳輸至境外。此種場景,在非特許經營的行業中,較為常見。 2、境內信息系統按照一定規則將數據傳輸至境外系統 部分跨國企業,雖然在境內設置了獨立的服務器和信息系統,但此類信息系統與境外總部的系統之間按照一定的規則可以相互傳輸和調用數據。其中,包括業務數據的傳輸和管理數據的傳輸。此種設置方式,在金融等特許經營行業中較為常見。因為按照金融行業的監管規則,網絡安全和信息安全通常會作為行業主管部門核發許可證和進行開業驗收的前提。 3、郵件外發方式將數據傳輸至境外 不同于通過信息系統接口實現的自動傳輸,郵件外發也是數據出境的常見場景。特別是對于管理過程中的數據,以及線下業務活動中的數據,郵件外發是較為常見的方式。并且,由于郵件系統與公司的數據庫系統是相互獨立的兩套系統,如何將不同場景和系統下的數據出境統一管理,對于企業而言,也是需要考慮的問題。 4、境外訪問境內數據的場景 部分情況下,數據存儲在境內,并未發生數據直接傳輸至境外的情況。但是,境外總部出于管理需要,能夠對境內服務器存儲的數據實施訪問或者調用,也被視為數據出境。在國家互聯網信息辦公室有關負責人就《數據出境安全評估辦法》答記者問中,明確了《辦法》所稱“數據出境活動”主要包括:一是數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外;二是數據處理者收集和產生的數據存儲在境內,境外的機構、組織或者個人可以訪問或者調用。因此,訪問場景也被視為數據出境。 在境外對境內數據實施訪問的場景下,如何確定數據出境數量,也是數據出境管理中需要考慮的問題。 筆者認為,在遵照執行《辦法》的過程中,企業應首先進行出境場景的梳理,并結合本行業的業務流程、出境業務環節等因素,整理出業務中可能涉及的出境數據種類、目的、方式、數量等要素,從而為數據出境管理體系奠定基礎。
二、數據出境的適用條件梳理
在梳理了數據出境的場景后,對于企業適用何種出境規則,適用何種條件?則是企業進行合規架構搭建的另一個重要問題。 《辦法》第四條,結合《個人信息保護法》第三十八條、《數據安全法》第三十一條、《網絡安全法》第三十七條之規定,可以看出,我國對于數據出境有四個層級的制度設置,其原則存在差異。 首先:對于關鍵信息基礎設施運營者的重要數據和個人信息,采取的是“不出境為普遍原則,出境為特殊情況”。即,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。 其次:對于重要數據處理,采取的是“不出境為普遍原則,出境為特殊情況”。即,重要數據出境,應進行數據出境安全評估。 再次:對于個人信息處理者處理的個人信息數據,采取的是“出境管理為普遍原則,出境評估為特殊情況”。即一般情況下,通過專業機構的個人信息保護認證,以及按照國家網信部門制定的標準合同與境外接收方訂立合同即可出境,達到一定數量標準,則應通過網信部門的安全評估。 最后:對于不符合上述三項條件的一般數據,一般不干預,但如果符合國家網信部門規定的其他需要申報數據出境安全評估的情形時,按照規定申請評估。 上述出境管理的分類及適用條件區分,如下表所示:
從上述條件的梳理可以看出,對于個人信息出境的規則最為復雜。《個人信息保護法》規定了四種條件:(1)通過國家網信部門組織的安全評估;(2)通過專業機構的個人信息保護認證;(3)按照國家網信部門制定的標準合同與境外接收方訂立合同,明確雙方權利義務;(4)法律、 行政法規或者國家網信部門規定的其他條件。其中,對于《辦法》第四條規定情形之外的個人信息,企業可以選擇采用個人信息保護認證的方式,或者采用與境外接收方簽訂標準合同的方式實現個人信息數據出境。 筆者認為,適用條件的梳理,是企業判斷自身適用何種出境規則的基礎。企業應從《網絡安全法》、《數據安全法》、《個人信息保護法》的角度,綜合評判自身的法律屬性,從而判定適用數據出境的條件。
三、與出境管理相匹配的數據分類分級體系建設
數據分級分類保護制度,是我國《數據安全法》確定的一項制度。立法的本意在于通過對數據進行分級分類,達到數據保護與數據利用之間的平衡。 筆者認為,數據分類分級體系是一項數據治理與合規管理的基礎制度,在數據出境管理語境下,數據分類分級體系具有如下的作用: 其一、通過分級分類保護制度,區分出重要數據、一般數據和個人信息數據、敏感個人信息數據。從而為數據出境的場景劃分、適用規則的判斷打好基礎。但是,除了按照常規的數據分類分級管理原則實施分類分級外,還應在分類分級體系中考慮到數據出境管理的特殊要求。 其二、通過分級分類保護制度,可以確定境外接收方的數據安全管理義務及安全管理措施的匹配性。比如,在《辦法》第八條規定,“數據處理者與境外接收方擬訂立的法律文件中是否充分約定了數據安全保護責任義務;”而對于如何判定是否充分約定了數據安全保護責任義務?應從國內法的規定尋找依據,即,首先應判定出境數據的分類分級狀況,然后根據國內法規與本企業已經采取的合規技術措施,對境外接收方進行法律文件的約束。約定境外接收方采用諸如加密存儲、去標識化存儲等安全措施,以及采用嚴格的訪問控制策略,對不同類別和級別的數據實施保護。 因此,筆者認為,“是否充分約定了數據安全保護責任義務”?并非是一個抽象的判斷標準,而是應該基于國內法的要求和技術標準去進行判斷。
四、動態的數據治理體系建設
1、計數與監測體系的建立 與分類分級更為關注區分重要數據、一般數據、個人信息數據及敏感個人信息數據不同的是,計數與監測體系主要關注處理個人信息和敏感個人信息涉及的人數。 按照《辦法》第四條規定,涉及個人信息出境問題,如果處理個人信息所涉的人數達到一定數量標準,則應當進行數據出境安全評估。這一規定包含如下數據管理的意義: 其一、余額總量控制原則。 即在某個時間點,處理個人信息數據涉及的人數余額超過100萬人。余額的計數方法并不包含歷史上曾經處理過,但是已經被刪除或者匿名化處理后的個人信息。舉例說明,如果某企業歷史上累計處理過的個人信息所涉及的人數超過100萬,但其同時處理的個人信息人數未超過100萬人,則并不適用出境安全評估。 其二、累計數量控制原則。 與余額總量控制不同的是,累積計數指的是在某個時間段內,累計向境外提供10萬人個人信息或者1萬人敏感個人信息。即,在上一年度1月1日至評估基準日,如果累計數量達到上述標準,則應申報數據出境安全評估。 其三、累計數動態調整監測原則。 由于適用累計向境外提供10萬人個人信息或者1萬人敏感個人信息的標準時,起始的時間點是上一年度的1月1日,因此,本年度一旦屆滿并進入下一年度,意味著累計數量的起算時間也將向后推延一年。而上一年度的出境個人信息數量也將不再納入累計數量,從而讓企業的累計數量突然減少,從而獲得了新的“額度”。 上述余額總量控制、累計數量控制、數據動態調整,都關系到企業的重大利益,因而需要建立系統化的監測體系予以監測。 筆者認為,針對上述的數量監測需求,企業可在建立體系的同時,引入市場上成熟的監測軟件或訂制開發相應的軟件,從而保持監測的準確性。 2、出境數量與數據戰略的匹配 正是因為存在上述的余額總量控制、累計數量控制、數據動態調整問題,對企業而言,數據治理體系和數據戰略中,應將出境安全評估作為重要內容予以考慮。 處理100萬人以上個人信息的個人信息處理者,如果需要實施個人信息出境,應該申請數據出境安全評估。對于企業而言,可以綜合考慮,現有的存量數據是否都是必要的,如果這些個人信息數據對于企業而言商業價值有限,是否可以通過匿名化或者刪除的方式降低數據個人信息的數量? 對于累計向境外提供10萬人個人信息或者1萬人敏感個人信息的標準,企業則可以考慮在兩個年份中如何合理規劃每年的個人信息出境數量,減少不必要的個人信息出境?
五、常態化的管控體系
根據《辦法》第五條、第六條、第七條、第十條、第十一條、第十二條、第十三條、第十四條、第十七條,涉及數據出境評估主要環節包括:事前自評估、申報評估、結果復評、重新評估、終止出境。 按照上述規定,企業的數據出境管理是一個持續管控的過程,應在內部構建常態化的管控體系。 1、關于自評估與個人信息保護影響評估的銜接 從合理規劃企業的合規措施與成本角度看,個人信息的出境自評估,需要考慮與個人信息保護影響評估的銜接問題。 《個人信息保護法》第五十五條規定:有下列情形之一的,個人信息處理者應當事前進行個人信息保護影響評估,并對處理情況進行記錄(一)處理敏感個人信息;(二)利用個人信息進行自動化決策;(三)委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息;(四)向境外提供個人信息;(五)其他對個人權益有重大影響的個人信息處理活動。 《個人信息保護法》所規定的個人信息保護影響評估的觸發條件也包含“向境外提供個人信息”,這與數據出境安全評估的觸發條件有一定的重合。 筆者認為,個人信息保護影響評估與數據出境評估的差異主要包括:其一、影響評估適用于所有的數據出境活動,而出境安全評估僅適用于達到一定人數的個人信息處理者的出境活動。其次,影響評估關注的內容比出境安全評估少。 同時,影響評估作為一種更為基礎性的制度安排,其中部分內容也可以為數據出境安全評估提供一定的支撐。比如,影響評估的內容包括:個人信息的處理目的、處理方式等是否合法、正當、必要;對個人權益的影響及安全風險;所采取的保護措施是否合法、有效并與風險程度相適應。而這些內容,在進行出境自評估過程中,也可以有一定程度的借鑒。[1] 2、重新評估的監測與申報 按照《辦法》規定,數據出境安全評估結果的有效期(2年)屆滿或者在有效期內出現需要重新評估情形的,包括向境外提供數據的目的、方式、范圍、種類和境外接收方處理數據的用途、方式發生變化影響出境數據安全的,或者延長個人信息和重要數據境外保存期限的;境外接收方所在國家或者地區數據安全保護政策法規和網絡安全環境發生變化以及發生其他不可抗力情形、數據處理者或者境外接收方實際控制權發生變化、數據處理者與境外接收方法律文件變更等影響出境數據安全的情形,數據處理者應當在有效期屆滿60個工作日前或者相關情形發生時(數據出境前)重新申報數據出境安全評估。 這一規定,對于企業的常態化數據出境管控體系提出了要求。企業不僅要按照規定申報數據出境安全評估,還需要建立內部的監測體系。對于評估所涉事項發生的變化能夠及時發現,并及時重新申請出境安全評估。
六、如何應對整改期
值得一提的是,《辦法》明確在施行前已經開展的數據出境活動,不符合《辦法》規定的,應當自《辦法》施行之日起6個月內完成整改。對于整改期,有如下兩種情況: 1、未達到應申報數據出境安全評估條件的情形 在《辦法》施行之前已經進行數據出境活動,如未達到應當進行數據出境安全評估申報情形的,且自評估后不存在給國家安全、公共利益、個人或者組織合法權益帶來的風險,可以不用中斷。 2、不符合《辦法》規定的情形 如果構成了應進行數據出境安全評估的情形或有其他違反《辦法》的情形,則應停止數據出境活動,并應當在2023年2月底之前完成整改。如未完成整改,將面臨相應的法律責任。此外,對于《辦法》施行后才開展的滿足申報情形的數據出境活動,應當按照《辦法》規定事先完成安全評估。 3、整改路徑 對于是否能夠繼續出境或者進行整改,應以相關事實的排查為基礎。筆者認為,是否整改,以及如何整改,可以按照如下建議路徑實施: (1)出境數據自查 自查的主要內容包括:出境數據中是否涉及重要數據;公司處理的個人信息是否達到100萬人的個人信息并實施了個人信息出境;公司自2021年1月1日起至自查基準日累計出境的個人信息是否達到10萬人;公司自2021年1月1日起至自查基準日累計出境的敏感個人信息是否達到1萬人。 (2)如果達到了上述標準,則應立即啟動數據出境自評估,并按照規定在整改期屆滿之前申報數據出境安全評估。如果在2023年2月底之前能夠通過安全評估,則可以繼續實施數據出境。如果未能完成,則應停止數據出境,直至安全評估通過。 (3)對于公司自2021年1月1日起至自查基準日,累計出境的個人信息達到10萬人或累計出境的敏感個人信息達到1萬人的情形,如果在2023年2月28日的時點,通過扣減2021年1月1日至2021年12月31日的人數,可以讓累計出境個人信息降低至應申報數據出境安全審查的人數限額以下,則人數降低后的出境不違反《辦法》的規定。 筆者認為,《辦法》對于個人信息出境采取的累計數量管理辦法,實際上是對個人信息出境采取了相對寬容的態度。通過動態的時間遞進管理,使得企業可以根據業務需要,在一定的限制范圍內持續實施個人信息出境。 上述管理方式,一方面是監管給與的出境便利措施;另一方面,也對企業的數據治理和數據合規體系提出了更為精細化的管理要求。 企業不僅僅應熟悉法規,還應結合自身的業務屬性、業務場景、數據類型、數據出境數量、業務數據戰略等方面的要求,合理規劃數據出境的治理體系。
