外商投資企業(yè)數(shù)據(jù)出境安全評(píng)估申報(bào)實(shí)操指南
作者:吳鵬飛 吳金冬 2023-03-15近期,數(shù)據(jù)出境安全評(píng)估申報(bào)成為很多企業(yè)關(guān)注的熱點(diǎn)。依據(jù)法規(guī)今年二月底更是一個(gè)重要的時(shí)間點(diǎn),截至三月初有一些企業(yè)已經(jīng)提交了申報(bào)[1],很多企業(yè)還在準(zhǔn)備申報(bào)或者是觀望中。我們團(tuán)隊(duì)協(xié)助客戶向上海,福建,江蘇等地的網(wǎng)信辦提交了申報(bào)材料及進(jìn)行相關(guān)咨詢,注意到有實(shí)際申報(bào)需求的企業(yè)包括消費(fèi)、互聯(lián)網(wǎng)、跨境電商、汽車等特定行業(yè)企業(yè),也不乏制造業(yè)的外商投資企業(yè)。本文擬結(jié)合我們的經(jīng)驗(yàn),針對(duì)企業(yè)在數(shù)據(jù)出境安全評(píng)估申報(bào)方面的需求和疑問(wèn),進(jìn)行初步的介紹。
一、外商投資企業(yè)數(shù)據(jù)出境的場(chǎng)景比較常見(jiàn)
——何為出境?
《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》語(yǔ)境下的數(shù)據(jù)出境的范圍比較寬泛。根據(jù)國(guó)家互聯(lián)網(wǎng)信息辦公室編制的《數(shù)據(jù)出境安全評(píng)估申報(bào)指南(第一版)》,以下情形屬于數(shù)據(jù)出境行為:
(一)數(shù)據(jù)處理者將在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲(chǔ)至境外;
(二)數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲(chǔ)在境內(nèi),境外的機(jī)構(gòu)、組織或者個(gè)人可以查詢、調(diào)取、下載、導(dǎo)出;
(三)國(guó)家網(wǎng)信辦規(guī)定的其他數(shù)據(jù)出境行為。
外商投資企業(yè)因?yàn)槠渚惩饪偛考泄芾淼男枨螅瑢?dǎo)致其數(shù)據(jù)出境的場(chǎng)景更為常見(jiàn),比如說(shuō)境外總部可能要求國(guó)內(nèi)的子公司使用統(tǒng)一的人力資源管理系統(tǒng),會(huì)導(dǎo)致國(guó)內(nèi)員工的個(gè)人信息傳輸或存儲(chǔ)到境外。如果外資企業(yè)存在法律和申報(bào)指南中規(guī)定的上述數(shù)據(jù)出境行為,就應(yīng)該根據(jù)《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》對(duì)相關(guān)行為進(jìn)行梳理和自查,以判斷企業(yè)應(yīng)采取何種措施:(一)通過(guò)國(guó)家網(wǎng)信部門組織的安全評(píng)估;(二)經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證;(三)按照國(guó)家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同。
二、企業(yè)如何梳理出境的數(shù)據(jù)
——摸清家底
實(shí)踐中,企業(yè)應(yīng)如何自行對(duì)出境數(shù)據(jù)和出境行為進(jìn)行梳理和評(píng)估呢?根據(jù)我們的服務(wù)經(jīng)驗(yàn),一般企業(yè)會(huì)組織內(nèi)部不同的部門,通常會(huì)有IT部門、法務(wù)及合規(guī)部門、人力資源部門、業(yè)務(wù)部門,以及涉及到的其他部門,并且有總部及國(guó)內(nèi)子公司相關(guān)部門的同事共同參與,由管理層進(jìn)行牽頭協(xié)調(diào)。相關(guān)團(tuán)隊(duì)對(duì)企業(yè)數(shù)據(jù)出境所涉及到的場(chǎng)景、業(yè)務(wù)系統(tǒng)、內(nèi)容進(jìn)行系統(tǒng)的梳理,盤點(diǎn)企業(yè)數(shù)據(jù)、數(shù)據(jù)系統(tǒng)、數(shù)據(jù)出境的目的和場(chǎng)景、出境數(shù)據(jù)的類型和數(shù)量,以及企業(yè)的相關(guān)制度和技術(shù)措施。
其實(shí),相關(guān)梳理的工作不僅僅針對(duì)數(shù)據(jù)出境合規(guī)這一單一目的,往往都是針對(duì)建立企業(yè)數(shù)據(jù)合規(guī)體系這一更大的目標(biāo)。所以,借此機(jī)會(huì),企業(yè)和相關(guān)團(tuán)隊(duì)可以完善建設(shè)數(shù)據(jù)合規(guī)制度、梳理數(shù)據(jù)資產(chǎn)(包括分級(jí)分類、篩選重要數(shù)據(jù))、理順數(shù)據(jù)流程、完善數(shù)據(jù)安全保障措施等工作。
此外,相關(guān)梳理的工作并不等同于法律規(guī)定的個(gè)人信息保護(hù)影響評(píng)估[2]或者是申報(bào)數(shù)據(jù)出境安全評(píng)估前的自評(píng)估工作,應(yīng)該說(shuō)更加復(fù)雜,或者是包含了法律規(guī)定的相關(guān)評(píng)估工作。
三、企業(yè)數(shù)據(jù)出境情況滿足一定條件,應(yīng)辦理數(shù)據(jù)出境安全評(píng)估申報(bào)
——是否要申報(bào)?
根據(jù)《數(shù)據(jù)安全評(píng)估辦法》第四條,數(shù)據(jù)處理者向境外提供數(shù)據(jù),有下列情形之一的,應(yīng)當(dāng)通過(guò)所在地省級(jí)網(wǎng)信部門向國(guó)家網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評(píng)估:
(一)數(shù)據(jù)處理者向境外提供重要數(shù)據(jù);
(二)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理100萬(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息;
(三)自上年1月1日起累計(jì)向境外提供10萬(wàn)人個(gè)人信息或者1萬(wàn)人敏感個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息;
(四)國(guó)家網(wǎng)信部門規(guī)定的其他需要申報(bào)數(shù)據(jù)出境安全評(píng)估的情形。
一般來(lái)說(shuō),首先要考慮是否有重要數(shù)據(jù)的情況[3],我們?cè)谙乱徊糠志唧w討論。
更常見(jiàn)的是個(gè)人信息的出境。通常來(lái)說(shuō),企業(yè)如果經(jīng)營(yíng)to C的業(yè)務(wù)比較容易滿足上述第(二)、(三)款所列的條件,比如說(shuō)某知名的運(yùn)動(dòng)服裝品牌自有app儲(chǔ)存了百萬(wàn)級(jí)消費(fèi)者的個(gè)人信息,同時(shí)在企業(yè)內(nèi)部管理過(guò)程中,國(guó)內(nèi)子公司會(huì)把相關(guān)信息提供給境外的總部,很容易就觸發(fā)申報(bào)條件。
是否制造業(yè)或者是說(shuō)經(jīng)營(yíng)to B業(yè)務(wù)的企業(yè)就不會(huì)有評(píng)估申報(bào)的需求呢?并不是。前已述及,外商投資企業(yè)因?yàn)槠渚惩饪偛考泄芾淼男枨螅鋽?shù)據(jù)出境的場(chǎng)景較為常見(jiàn),可能會(huì)觸發(fā)申報(bào)條件,比如說(shuō)員工個(gè)人信息通過(guò)人力資源管理系統(tǒng)的出境,或者業(yè)務(wù)過(guò)程中收集的客戶或者供應(yīng)商的聯(lián)系人的個(gè)人信息通過(guò)ERP系統(tǒng)或CRM系統(tǒng)出境,由于很可能包含個(gè)人敏感信息(比如身份證號(hào)碼、差旅相關(guān)的部分信息、為員工辦理商業(yè)保險(xiǎn)所需的部分信息),如果達(dá)到一定數(shù)量(比如1萬(wàn)人),就會(huì)觸發(fā)個(gè)人敏感信息出境的申報(bào)條件。
滿足條件不去申報(bào),《數(shù)據(jù)安全評(píng)估辦法》未直接規(guī)定法律責(zé)任,但是該等行為可能會(huì)被認(rèn)定為《個(gè)人信息保護(hù)法》規(guī)定的企業(yè)違法處理個(gè)人信息,情節(jié)嚴(yán)重的,可能面臨最高5,000萬(wàn)元以下或者上一年度營(yíng)業(yè)額5%以下罰款、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可或者吊銷營(yíng)業(yè)執(zhí)照等嚴(yán)厲的處罰措施;同時(shí),直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員有可能被處以10萬(wàn)元以上100萬(wàn)元以下罰款,并在一定期限內(nèi)禁止擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級(jí)管理人員和個(gè)人信息保護(hù)負(fù)責(zé)人。
四、在判斷的過(guò)程中經(jīng)常會(huì)碰到的問(wèn)題
——這些情況如何判斷?
1、重要數(shù)據(jù)
根據(jù)《數(shù)據(jù)出境安全評(píng)估辦法》,重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等,可能危害國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全等的數(shù)據(jù)。企業(yè)如何識(shí)別重要數(shù)據(jù)呢,可以優(yōu)先參照相關(guān)行業(yè)的重要數(shù)據(jù)目錄進(jìn)行識(shí)別,比如基礎(chǔ)電信行業(yè)和汽車行業(yè)。當(dāng)行業(yè)重要數(shù)據(jù)目錄不明確時(shí),可以參考重要數(shù)據(jù)認(rèn)定的一般規(guī)則或者標(biāo)準(zhǔn),比如2017年有個(gè)國(guó)家標(biāo)準(zhǔn)的征求意見(jiàn)稿,專門對(duì)各行各業(yè)的重要數(shù)據(jù)做了大致的列舉。
2、個(gè)人敏感信息
2020年10月1日施行的推薦性國(guó)家標(biāo)準(zhǔn)GT/B 35273《信息安全技術(shù)個(gè)人信息安全規(guī)范》附錄B個(gè)人敏感信息判定可以參考。此外,《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——網(wǎng)絡(luò)數(shù)據(jù)分類分級(jí)指引》附錄B的個(gè)人信息分類示例,也提供了個(gè)人信息分類及敏感個(gè)人信息的參考示例,值得參考。前面提到,跨國(guó)公司在總部集中管理過(guò)程中收集到的個(gè)人信息,很可能是包含敏感個(gè)人信息的。
3、國(guó)內(nèi)的多家子公司數(shù)據(jù)是否要合并計(jì)算
跨國(guó)公司經(jīng)常會(huì)存在這樣一種情況,就是國(guó)內(nèi)有多家子公司,每家子公司都有數(shù)據(jù)或者個(gè)人信息要通過(guò)公司統(tǒng)一的管理系統(tǒng)提交到境外總部。如果部分子公司處理個(gè)人敏感信息不足1萬(wàn),但是有的子公司處理個(gè)人敏感信息已經(jīng)達(dá)到1萬(wàn),其他的申報(bào)情形都不滿足,這些公司是否需要申報(bào)?關(guān)于這一點(diǎn),上海網(wǎng)信辦的理解是需要判斷國(guó)內(nèi)的子公司之間是否存在數(shù)據(jù)共享和交互:如果存在,則應(yīng)根據(jù)國(guó)內(nèi)子公司處理個(gè)人敏感信息的總和來(lái)判斷,應(yīng)進(jìn)行安全評(píng)估申報(bào);如果不存在,就要充分證明不存在數(shù)據(jù)共享交互這樣的一個(gè)情形。而根據(jù)我們的觀察,事實(shí)上更常見(jiàn)的情況可能是各家子公司分別在系統(tǒng)中上傳個(gè)人信息。即使這樣,如果各家分別不達(dá)標(biāo),但總量達(dá)標(biāo),我們建議以其中一家子公司的名義進(jìn)行申報(bào),并且在申報(bào)的過(guò)程中披露國(guó)內(nèi)所有子公司跨境傳輸個(gè)人信息的情況,實(shí)現(xiàn)跨國(guó)公司所有實(shí)體在中國(guó)法下的數(shù)據(jù)出境合規(guī)。
4、數(shù)據(jù)的統(tǒng)計(jì)口徑
根據(jù)上海網(wǎng)信辦的答復(fù),《數(shù)據(jù)出境安全評(píng)估辦法》第四條申報(bào)情形中提到的100萬(wàn)、10萬(wàn)、1萬(wàn)這類數(shù)據(jù)均是按照人口計(jì)算的,而非人次。同時(shí),處理100萬(wàn)以上個(gè)人信息,累計(jì)向境外提供10萬(wàn)人個(gè)人信息或者1萬(wàn)人敏感個(gè)人信息,都是針對(duì)數(shù)據(jù)處理者的主體在各場(chǎng)景下處理的數(shù)據(jù)量累計(jì)計(jì)算,而不是要求具體的業(yè)務(wù)場(chǎng)景達(dá)到這個(gè)數(shù)量級(jí)。
還有一些特殊問(wèn)題適用于特定行業(yè)的企業(yè),比如如何定義境內(nèi)運(yùn)營(yíng)、是否考慮外國(guó)人的個(gè)人信息,并不適用于多數(shù)企業(yè),我們?cè)谶@里就不贅述。
五、準(zhǔn)備數(shù)據(jù)出境安全評(píng)估申報(bào)材料的常見(jiàn)問(wèn)題
——如何準(zhǔn)備申報(bào)材料?
如果確定要申報(bào)的話,就需要考慮如何準(zhǔn)備申報(bào)材料。國(guó)家網(wǎng)信辦編制的《數(shù)據(jù)出境安全評(píng)估申報(bào)指南(第一版)》、各地網(wǎng)信辦出的實(shí)務(wù)問(wèn)答、工作指引都很有參考意義。以下介紹下我們?cè)趨f(xié)助客戶準(zhǔn)備申報(bào)材料時(shí)的一些經(jīng)驗(yàn):
1、盡量不要去更改申報(bào)指南中提供的申報(bào)表、承諾書、自評(píng)估報(bào)告的格式。
2、自評(píng)估報(bào)告前后表述保持一致,不同申報(bào)材料之間的內(nèi)容保持一致。比如自評(píng)估報(bào)告里寫到的擬出境數(shù)據(jù)的數(shù)量,肯定要與申報(bào)表里填寫的數(shù)量一致。
3、自評(píng)估報(bào)告。
根據(jù)我們的經(jīng)驗(yàn),報(bào)告中的一些部分主要是事實(shí)的描述和介紹,比如數(shù)據(jù)處理者基本情況、數(shù)據(jù)出境涉及業(yè)務(wù)和信息系統(tǒng)情況、擬出境數(shù)據(jù)情況。有些部分則是需要展開(kāi)論述的,也是網(wǎng)信辦審查的重點(diǎn),比如數(shù)據(jù)處理者(和境外接收方)的數(shù)據(jù)安全保障能力情況,既包括制度建設(shè)、管理體系,也包括技術(shù)能力;法律文件約定數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)的情況,要將申報(bào)指南這部分要求的所有相關(guān)條款在法律文件中一一找到并顯著標(biāo)識(shí)。
4、申報(bào)表。
最常見(jiàn)的一個(gè)問(wèn)題是表格中擬出境數(shù)據(jù)情況,因?yàn)閿?shù)據(jù)處理者申報(bào)的出境數(shù)據(jù),應(yīng)為未來(lái)兩年的擬出境數(shù)據(jù)(而非自評(píng)估報(bào)告中所統(tǒng)計(jì)的從上年度1月1日起累計(jì)的已出境數(shù)據(jù)),所以,企業(yè)應(yīng)該根據(jù)歷史出境的數(shù)據(jù)數(shù)量和企業(yè)未來(lái)的需要,做合理的預(yù)測(cè)。還有一個(gè)常見(jiàn)的問(wèn)題是針對(duì)不同的出境場(chǎng)景,同一家企業(yè)可能要準(zhǔn)備幾份申報(bào)表。
最近另外一個(gè)相關(guān)新聞也是熱點(diǎn):國(guó)務(wù)院擬組建數(shù)據(jù)管理局,網(wǎng)信辦承擔(dān)的部分職責(zé)劃入數(shù)據(jù)管理局。目前來(lái)看,數(shù)據(jù)出境安全評(píng)估申報(bào)的工作還是在網(wǎng)信辦。在與網(wǎng)信辦交流的過(guò)程中,他們的反饋都是應(yīng)該有更多的企業(yè)滿足了申報(bào)條件但還未及時(shí)進(jìn)行申報(bào)。今后是否會(huì)有企業(yè)因?yàn)槲崔k理申報(bào)而承擔(dān)法律責(zé)任,需要我們持續(xù)密切關(guān)注,但這個(gè)問(wèn)題放在現(xiàn)今對(duì)數(shù)據(jù)安全、個(gè)人信息保護(hù)日益關(guān)注的大環(huán)境下,其實(shí)我們可能已經(jīng)有答案了。
注釋
[1] 根據(jù)上海網(wǎng)信辦的數(shù)據(jù),截至2023年3月9日,上海市網(wǎng)信辦接收正式申報(bào)材料270余件。北京網(wǎng)信辦沒(méi)有最新的數(shù)據(jù),但截至2月底,已經(jīng)有200家左右的企業(yè)表達(dá)了申報(bào)意愿。根據(jù)我們的交流,其他省份的網(wǎng)信辦接收、審核申報(bào)材料的經(jīng)驗(yàn)相對(duì)較少。
[2] 向境外提供個(gè)人信息的,應(yīng)進(jìn)行個(gè)人信息保護(hù)影響評(píng)估,包括下列內(nèi)容:
(一)個(gè)人信息的處理目的、處理方式等是否合法、正當(dāng)、必要;
(二)對(duì)個(gè)人權(quán)益的影響及安全風(fēng)險(xiǎn);
(三)所采取的保護(hù)措施是否合法、有效并與風(fēng)險(xiǎn)程度相適應(yīng)。
[3]本文暫不討論關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的情況。
