数据合规:数据跨境提供合规分析
作者:王文祥 2022-01-29经济的全球化必然导致数据传输的全球化。无论是跨境人员流动和管理、技术交换,还是国际货物贸易,都免不了数据的跨境传输。然而,随着数据存储和数据分析技术的突飞猛进,数据价值被再次发现,数据逐渐成为国家和企业的重要资产。2021年12月21日发布的《国务院办公厅关于印发要素市场化配置综合改革试点总体方案的通知》明确将数据作为经济要素之一,并强调加强数据安全保护,探索数据跨境流动管控方式,完善重要数据出境安全管理制度。在这样的时代背景下,法律对数据存储和数据跨境提供(亦称“数据出境”)的监管要求日趋严格和复杂。因此,笔者对目前已经生效的主要法律法规及发布的征求意见稿进行了梳理,以期为企业在经营过程中开展数据出境提供一定的帮助和指引。
一、 数据本地化存储与数据出境的关系 数据本地化存储指数据在所产生或收集的国家境内存储。对中国而言,即指在中国境内产生或收集的数据应在中国境内存储。通常情况下,数据本地化存储和数据出境的约束规则是相伴而生的。如法律法规要求数据本地化存储,则该等数据的跨境提供将在一定程序上受限。相反,如法律法规对某类数据的出境作出了限制性规定,则不满足条件的情况下,该等数据只能进行本地化存储。目前,我国法律对一些特殊行业的数据或一些特殊类型的数据作出了明确的本地化存储的规定,主要如下: 从上述规定可以看出,金融、医疗健康、地图、出版、汽车等重要行业的专门规定都明确要求数据在中国境内存储。从宏观层面看,数据本地化存储是各国维护国家安全、保护国家数据资产的重要措施。对企业合规而言,实施本地化存储更符合未来的监管趋势。譬如公安部网络安全保卫局、公安部第三研究所和北京市网络行业协会发布的《互联网个人信息安全保护指南》中建议在境内运营中收集和产生的个人信息应在境内存储,如需出境应遵循国家相关规定。因此,企业实施数据本地化存储有利于在中国持续性开展业务,避免因数据存储不合规导致业务受影响。 二、 数据出境的合规要求 数据本地化存储虽然能最有效地降低风险,但企业因业务必要确需向境外提供数据时,如何合法合规开展数据出境则成为企业必须重视的问题。目前的立法体系下,《网络安全法》和《个人信息保护法》在法律层面对数据出境进行了原则性规定,网信部门在该两部法律的基础上起草了诸多法规征求意见稿,包括: 《个人信息和重要数据出境安全评估办法(征求意见稿)》 《个人信息出境安全评估办法(征求意见稿)》 《数据安全管理办法(征求意见稿)》 《数据出境安全评估办法(征求意见稿)》 《网络数据安全管理条例(征求意见稿)》 其中《个人信息和重要数据出境安全评估办法(征求意见稿)》、《个人信息出境安全评估办法(征求意见稿)》及《数据安全管理办法(征求意见稿)》发布于2017年和2019年,但一直未正式颁布,且后续发布的《数据出境安全评估办法(征求意见稿)》、《网络数据安全管理条例(征求意见稿)》对前述征求意见稿的内容存在替代的可能;因此,笔者仅基于《网络安全法》、《个人信息保护法》及2021年发布的《数据出境安全评估办法(征求意见稿)》(以下简称“《评估办法》”)、《网络数据安全管理条例(征求意见稿)》(以下简称“《数据安全条例》”)对数据出境的合规要求进行简要分析。 对数据出境规则的考察可以从数据分类的角度切入,从目前的立法来看,主要规范的数据类型为个人信息和重要数据,有法规征求意见稿出现了核心数据的概念。不同数据类型的出境合规要求具体如下: (一)个人信息出境合规要求 基于《个人信息保护法》,个人信息出境至少应满足如下合规要求: 1.针对数据出境行为取得了适当的合法性基础,即具有《个人信息保护法》第13条规定的合法性基础。 2. 满足《个人信息保护法》第38条规定的任一条件,包括安全评估、个人信息保护认证、订立合同或其他条件。 3.向个人履行告知义务,包括告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项。 4.事先开展个人信息保护影响评估。 上述第1/3/4项合规要求相对明确,而对于《个人信息保护法》第38条所规定的条件应如何选择适用,有待法规进一步明确。根据《个人信息保护法》第40条,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估。关键信息基础设施运营者的判定可参考《关键信息基础设施安全保护条例》,必要的情况下可与主管机关进行沟通确认。对于“国家网信部门规定数量的个人信息”目前并没有生效的法律作出明确规定。《数据安全条例》第37条中规定,处理一百万人以上个人信息的数据处理者向境外提供个人信息属于应当通过国家网信部门组织的数据出境安全评估的情形。这一标准和《评估办法》的规定一致,但《评估办法》还将累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息的情形纳入需要申报数据出境安全评估的范围。因此,从立法的趋势来看,处理一百万人以上个人信息似乎在网信部门立法层面具有一定的共识,但该数量是否可能发生变化,以及是否还包括其他情形,仍需以最终颁布的法规为准。 对于个人信息保护认证,《网络安全条例》明确要求数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证。这就意味着无论是境内的数据处理者还是境外的接收方,均需达到规定的个人信息保护水准。 此外,《网络安全条例》第39条还规定了数据出境情况下数据处理者的其他义务,譬如接受和处理用户投诉、依法承担数据出境对个人、组织合法权益或公共利益造成损害的责任、要求留存相关日志记录和数据出境审批记录三年以上等。 (二)重要数据出境合规要求 除个人信息外,目前的法律法规中另一重要的数据类型为重要数据。根据《信息安全技术 重要数据识别指南(征求意见稿)》,重要数据是指“以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据”。重要数据的识别对企业开展合规而言尤为重要,依据定义往往无法有效识别。《网络安全条例》第27条要求各地区、各部门按照国家有关要求和标准,组织本地区、本部门以及相关行业、领域的数据处理者识别重要数据和核心数据,组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录,并报国家网信部门。这一规定如尽快落实对企业合规属重大利好,能帮助企业迅速、有效地进行重要数据的识别。 关于重要数据出境,《网络安全法》第37条仅规定关键信息基础设施的运营者在中国境内运营中收集和产生的重要数据,因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。但《数据安全条例》和《评估办法》均规定出境数据中包含重要数据即属于应当进行安全评估的情形。这一规定不再限制数据收集和产生的主体,即任何主体出境的数据中包含重要数据的,均应进行安全评估。《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》第24条也规定了工业和电信数据处理者在中国境内收集和产生的重要数据,应当依照法律、行政法规要求在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估。 因此,虽然目前法律仅明确规定关键信息基础设施的运营者在中国境内运营中收集和产生的重要数据出境需进行安全评估;但从立法的趋势来看,重要数据的出境一律要进行安全评估的概率较高。 此外,即便重要数据不属于个人信息,按照《评估办法》的要求,其出境前也需开展数据出境风险自评估,境内数据处理者与境外接收方需签署合同或其他具有法律效力的文件等。 值得注意的是,除了重要数据以外,《数据安全条例》和《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》中都提及了核心数据。核心数据的重要程度高于重要数据,因此,《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》中明确规定,核心数据不得出境。 (三)其他数据出境的合规要求 除核心数据、重要数据和个人信息以外的数据,其本身应不涉及国家安全、公共利益及个人利益(为本文行文便利,简称“其他数据”)。因此,其他数据的出境似乎无需加以严苛的限制。然而,《数据安全条例》第35条的规定实质上将《个人信息保护法》第38条中对个人信息出境的要求扩大适用至所有网络数据。《数据安全条例》中的网络数据是指任何以电子方式对信息的记录。从这个定义来看,在当下这样一个高度电子化的时代,几乎所有的数据都将被囊括在内。如最终颁布的《数据安全条例》保留了征求意见稿中的第35条,将意味着其他数据出境也需要落实个人信息保护认证或签署标准合同等合规措施。 三、 小结 从目前的立法来看,数据总体上被分类为核心数据、重要数据、个人信息及其他数据。在开展数据出境合规时,需首先识别所出境的信息包含的数据类别,并根据数据类别及数据量综合判断所需落实的合规措施。同时,作为企业,还需明确自身是否属于关键基础设施的运营者。在目前法律法规尚未完全落地的情况下,如对数据类别及是否属于关键基础设施的运营者存疑的,应采取审慎的态度进行评估,必要时可征询主管机关的意见。