外商投资企业数据出境安全评估申报实操指南
作者:吴鹏飞 吴金冬 2023-03-15近期,数据出境安全评估申报成为很多企业关注的热点。依据法规今年二月底更是一个重要的时间点,截至三月初有一些企业已经提交了申报[1],很多企业还在准备申报或者是观望中。我们团队协助客户向上海,福建,江苏等地的网信办提交了申报材料及进行相关咨询,注意到有实际申报需求的企业包括消费、互联网、跨境电商、汽车等特定行业企业,也不乏制造业的外商投资企业。本文拟结合我们的经验,针对企业在数据出境安全评估申报方面的需求和疑问,进行初步的介绍。
一、外商投资企业数据出境的场景比较常见
——何为出境?
《数据安全法》和《个人信息保护法》语境下的数据出境的范围比较宽泛。根据国家互联网信息办公室编制的《数据出境安全评估申报指南(第一版)》,以下情形属于数据出境行为:
(一)数据处理者将在境内运营中收集和产生的数据传输、存储至境外;
(二)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
(三)国家网信办规定的其他数据出境行为。
外商投资企业因为其境外总部集中管理的需求,导致其数据出境的场景更为常见,比如说境外总部可能要求国内的子公司使用统一的人力资源管理系统,会导致国内员工的个人信息传输或存储到境外。如果外资企业存在法律和申报指南中规定的上述数据出境行为,就应该根据《数据安全法》和《个人信息保护法》对相关行为进行梳理和自查,以判断企业应采取何种措施:(一)通过国家网信部门组织的安全评估;(二)经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同。
二、企业如何梳理出境的数据
——摸清家底
实践中,企业应如何自行对出境数据和出境行为进行梳理和评估呢?根据我们的服务经验,一般企业会组织内部不同的部门,通常会有IT部门、法务及合规部门、人力资源部门、业务部门,以及涉及到的其他部门,并且有总部及国内子公司相关部门的同事共同参与,由管理层进行牵头协调。相关团队对企业数据出境所涉及到的场景、业务系统、内容进行系统的梳理,盘点企业数据、数据系统、数据出境的目的和场景、出境数据的类型和数量,以及企业的相关制度和技术措施。
其实,相关梳理的工作不仅仅针对数据出境合规这一单一目的,往往都是针对建立企业数据合规体系这一更大的目标。所以,借此机会,企业和相关团队可以完善建设数据合规制度、梳理数据资产(包括分级分类、筛选重要数据)、理顺数据流程、完善数据安全保障措施等工作。
此外,相关梳理的工作并不等同于法律规定的个人信息保护影响评估[2]或者是申报数据出境安全评估前的自评估工作,应该说更加复杂,或者是包含了法律规定的相关评估工作。
三、企业数据出境情况满足一定条件,应办理数据出境安全评估申报
——是否要申报?
根据《数据安全评估办法》第四条,数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
(一)数据处理者向境外提供重要数据;
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。
一般来说,首先要考虑是否有重要数据的情况[3],我们在下一部分具体讨论。
更常见的是个人信息的出境。通常来说,企业如果经营to C的业务比较容易满足上述第(二)、(三)款所列的条件,比如说某知名的运动服装品牌自有app储存了百万级消费者的个人信息,同时在企业内部管理过程中,国内子公司会把相关信息提供给境外的总部,很容易就触发申报条件。
是否制造业或者是说经营to B业务的企业就不会有评估申报的需求呢?并不是。前已述及,外商投资企业因为其境外总部集中管理的需求,其数据出境的场景较为常见,可能会触发申报条件,比如说员工个人信息通过人力资源管理系统的出境,或者业务过程中收集的客户或者供应商的联系人的个人信息通过ERP系统或CRM系统出境,由于很可能包含个人敏感信息(比如身份证号码、差旅相关的部分信息、为员工办理商业保险所需的部分信息),如果达到一定数量(比如1万人),就会触发个人敏感信息出境的申报条件。
满足条件不去申报,《数据安全评估办法》未直接规定法律责任,但是该等行为可能会被认定为《个人信息保护法》规定的企业违法处理个人信息,情节严重的,可能面临最高5,000万元以下或者上一年度营业额5%以下罚款、停业整顿、吊销相关业务许可或者吊销营业执照等严厉的处罚措施;同时,直接负责的主管人员和其他直接责任人员有可能被处以10万元以上100万元以下罚款,并在一定期限内禁止担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
四、在判断的过程中经常会碰到的问题
——这些情况如何判断?
1、重要数据
根据《数据出境安全评估办法》,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。企业如何识别重要数据呢,可以优先参照相关行业的重要数据目录进行识别,比如基础电信行业和汽车行业。当行业重要数据目录不明确时,可以参考重要数据认定的一般规则或者标准,比如2017年有个国家标准的征求意见稿,专门对各行各业的重要数据做了大致的列举。
2、个人敏感信息
2020年10月1日施行的推荐性国家标准GT/B 35273《信息安全技术个人信息安全规范》附录B个人敏感信息判定可以参考。此外,《网络安全标准实践指南——网络数据分类分级指引》附录B的个人信息分类示例,也提供了个人信息分类及敏感个人信息的参考示例,值得参考。前面提到,跨国公司在总部集中管理过程中收集到的个人信息,很可能是包含敏感个人信息的。
3、国内的多家子公司数据是否要合并计算
跨国公司经常会存在这样一种情况,就是国内有多家子公司,每家子公司都有数据或者个人信息要通过公司统一的管理系统提交到境外总部。如果部分子公司处理个人敏感信息不足1万,但是有的子公司处理个人敏感信息已经达到1万,其他的申报情形都不满足,这些公司是否需要申报?关于这一点,上海网信办的理解是需要判断国内的子公司之间是否存在数据共享和交互:如果存在,则应根据国内子公司处理个人敏感信息的总和来判断,应进行安全评估申报;如果不存在,就要充分证明不存在数据共享交互这样的一个情形。而根据我们的观察,事实上更常见的情况可能是各家子公司分别在系统中上传个人信息。即使这样,如果各家分别不达标,但总量达标,我们建议以其中一家子公司的名义进行申报,并且在申报的过程中披露国内所有子公司跨境传输个人信息的情况,实现跨国公司所有实体在中国法下的数据出境合规。
4、数据的统计口径
根据上海网信办的答复,《数据出境安全评估办法》第四条申报情形中提到的100万、10万、1万这类数据均是按照人口计算的,而非人次。同时,处理100万以上个人信息,累计向境外提供10万人个人信息或者1万人敏感个人信息,都是针对数据处理者的主体在各场景下处理的数据量累计计算,而不是要求具体的业务场景达到这个数量级。
还有一些特殊问题适用于特定行业的企业,比如如何定义境内运营、是否考虑外国人的个人信息,并不适用于多数企业,我们在这里就不赘述。
五、准备数据出境安全评估申报材料的常见问题
——如何准备申报材料?
如果确定要申报的话,就需要考虑如何准备申报材料。国家网信办编制的《数据出境安全评估申报指南(第一版)》、各地网信办出的实务问答、工作指引都很有参考意义。以下介绍下我们在协助客户准备申报材料时的一些经验:
1、尽量不要去更改申报指南中提供的申报表、承诺书、自评估报告的格式。
2、自评估报告前后表述保持一致,不同申报材料之间的内容保持一致。比如自评估报告里写到的拟出境数据的数量,肯定要与申报表里填写的数量一致。
3、自评估报告。
根据我们的经验,报告中的一些部分主要是事实的描述和介绍,比如数据处理者基本情况、数据出境涉及业务和信息系统情况、拟出境数据情况。有些部分则是需要展开论述的,也是网信办审查的重点,比如数据处理者(和境外接收方)的数据安全保障能力情况,既包括制度建设、管理体系,也包括技术能力;法律文件约定数据安全保护责任义务的情况,要将申报指南这部分要求的所有相关条款在法律文件中一一找到并显著标识。
4、申报表。
最常见的一个问题是表格中拟出境数据情况,因为数据处理者申报的出境数据,应为未来两年的拟出境数据(而非自评估报告中所统计的从上年度1月1日起累计的已出境数据),所以,企业应该根据历史出境的数据数量和企业未来的需要,做合理的预测。还有一个常见的问题是针对不同的出境场景,同一家企业可能要准备几份申报表。
最近另外一个相关新闻也是热点:国务院拟组建数据管理局,网信办承担的部分职责划入数据管理局。目前来看,数据出境安全评估申报的工作还是在网信办。在与网信办交流的过程中,他们的反馈都是应该有更多的企业满足了申报条件但还未及时进行申报。今后是否会有企业因为未办理申报而承担法律责任,需要我们持续密切关注,但这个问题放在现今对数据安全、个人信息保护日益关注的大环境下,其实我们可能已经有答案了。
注释
[1] 根据上海网信办的数据,截至2023年3月9日,上海市网信办接收正式申报材料270余件。北京网信办没有最新的数据,但截至2月底,已经有200家左右的企业表达了申报意愿。根据我们的交流,其他省份的网信办接收、审核申报材料的经验相对较少。
[2] 向境外提供个人信息的,应进行个人信息保护影响评估,包括下列内容:
(一)个人信息的处理目的、处理方式等是否合法、正当、必要;
(二)对个人权益的影响及安全风险;
(三)所采取的保护措施是否合法、有效并与风险程度相适应。
[3]本文暂不讨论关键信息基础设施运营者的情况。