数据出境100问系列 | Part2:数据出境安全评估高频问题与适用解读
团队介绍:
W&W国际法律团队,国内外一站式法律合规顾问
W&W 国际法律团队已为超过50+头部与知名互联网公司、500强企业、大中型外资企业、独角兽企业提供专业的法律合规服务和落地解决方案。为多个产品及业务线落地互联网综合合规、国内外数据合规及出海合规法律项目。特殊行业覆盖前沿科技领域,如AIGC、区块链、GPT、云计算等新兴领域、智能网联汽车与车机系统、智能制造业与物联网。涉及业务地区为国内、欧洲、北美、亚太、中东等地区。
(如有项目需求或了解代表案例,欢迎联系。)
联系方式:
邮箱:jie.wang@kindinglaw.com
TEL:+86 13650790754
文/ 王捷律师团队
导言
随着《数据出境安全评估办法》《个人信息保护认证实施规则》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》的公布,由《个人信息保护法》第三十八条确定的数据出境路径的实践脉络已经越发清晰,可以判断,数据出境合规是企业开展国际业务必须面对的课题。
我们一直专注于网络法实务,特别是数据合规实务工作,在日常为各大企业提供合规服务的过程中,亦遇到各类新型的值得探讨的问题。为了方便实务,让数据出境需求者能够尽快的熟悉、理解我国关于数据出境的各项法律要求与规定,我们计划以前述规定为基础,对我国数据出境有关的法律问题进行一个全方位的解读,一方面对数据出境相关的法律法规进行分析,另一方面也就日常工作中遇到的高频出境问题进行总结。
报告全文获取方式:跨境无忧,合规先行|《数据出境100问》PRO版重磅发布:您的全球合规导航手册
我们热切地期待与各位同行朋友深入探讨各种新型问题,有任何数据合规实务需求与问题探讨,请随时联系王捷律师团队,联系方式见文末。
更新说明
本文章的V1.0版本更新于2022年7月,彼时《个人信息出境标准合同办法》仍在征求意见稿阶段,《数据出境安全评估办法》亦刚刚发布。
在本次2024年4月的更新中,本专题补充了个人信息保护认证、粤港澳大湾区标准合同、境外个人信息跨境传输部分,根据《促进和规范数据跨境流动规定》、《数据出境安全评估申报指南(第二版)、《个人信息出境标准合同备案指南(第二版)》的最新规定进行了更新,对原有部分,包括数据出境关键概念剖析、数据出境安全评估、个人信息出境标准合同等部分,均进行了更新或更正。
系列预告
”
本系列文章将分为以下七部分,将在本公众号持续更新。
第一部分:数据出境关键概念剖析
第二部分:数据出境安全评估高频问题与适用解读
第三部分:标准合同高频问题与适用解读
第四部分:粤港澳大湾区(内地、香港)个人信息跨境流动标准合同
第五部分:个人信息保护认证高频问题与适用解读
第六部分:数据出海实践关键问题与海外SCCS要点对比
第七部分:境外个人信息跨境传输
本篇是第二部分内容,主要就数据出境安全评估高频问题与适用进行梳理和解读。
第二部分:数据出境安全评估高频问题与适用解读
《安全评估办法》的发布促进了我国维护数据安全及保护数据利益的制度设计到实践操作的良性衔接,《安全评估办法》共包括二十条,对安全评估的目的、适用范围、评估程序、评估内容、评估效果等各进行了全面规定。随后发布的《安全评估申报指南》,对数据出境安全评估的相关定义、申报方式、申报流程和申报材料等做出了进一步说明,为企业申报安全评估提供了明确的指引。此外,在实践过程中,部分省级网信部门通过发布指引,补充了一些申报评估的操作细节。
2024年3月22日,《数据跨境流动规定》的发布对数据出境安全评估路径进行了重大调整,同期发布了《安全评估申报指南》的第二版。
需要通过数据出境安全评估开展数据跨境传输的企业,需要参照《安全评估办法》和《安全评估申报指南》申报安全评估,准备申报安全评估的相关事项及流程,以避免因违反《安全评估办法》、《安全评估申报指南》的规定而导致企业的数据出境活动受到影响。本专题的第二部分,将汇总《安全评估办法》《安全评估申报指南》《数据跨境流动规定》的高频问题以及适用难点,以各省网信部门新增的细节为补充,结合团队多年的数据出境业务经验,为大家带来详细解读。
Q34
《数据跨境流动规定》发布的背景下,应申报安全评估的条件是什么?
根据《数据跨境流动规定》第七条的规定,符合下列条件之一的,应当申报数据出境安全评估:
1
对于CIIO
提供个人信息或者重要数据
2
对于非CIIO的数据处理者
提供重要数据;
自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息);或者
自当年1月1日起累计向境外提供1万人以上敏感个人信息。
需要注意的是:
计算个人信息人数时需要去重及去除豁免场景的个人信息。
如果数据处理处理者同时符合上述条件,但具备《数据跨境流动规定》第三至六条规定的情形的,则无需申报安全评估。以CIIO为例,如特定数据出境活动落入豁免情形,就该数据出境活动并不需要申报安全评估,但其他数据出境活动仍需申报安全评估。
Q35
《数据跨境流动规定》与《安全评估办法》之间的关系是什么?
《数据跨境流动规定》是网信办结合过去两年的安全评估经验,对现行数据出境监管框架作出的重大调整,即《数据跨境流动规定》和《安全评估办法》均为现行生效法规。但若《安全评估办法》与《数据跨境流动规定》中的规定不一致的,需以《数据跨境流动规定》中的规定为准。
Q36
《数据跨境流动规定》中哪些规定与《安全评估办法》不一致?
01
适用安全评估的条件:包括增加豁免情形和调整适用条件;
02
通过评估结果有效期及延长制度:有效期从“2年”调整为“3年”,增加延长评估有效期的制度和相应条件。
03
监管思路:从“坚持事前评估”,调整为“强化事前事中事后全链条全领域监管”。
Q37
《安全评估申报指南》的第二版相较于第一版有哪些主要变化?
《数据跨境流动规定》发布的同时,亦更新了《安全评估申报指南》第二版。
《安全评估申报指南》第二版,相比第一版,共有以下三处主要变化:
(1)调整了应当申报安全评估的条件;
(2)申报方式从“线下书面申报”转变为“线上系统申报和线下书面申报”并行。
(3)申报材料要求变化:
1
附件1:数据出境安全评估申报材料要求
“经办人授权委托书”、“承诺书”、“数据出境安全评估申报表”、“数据出境风险自评估报告”删除了“原件”要求;
“与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件”及其他相关证明材料,删除了“影印件加盖公章”要求,明确相关法律文件以中文版本为准,若仅有非中文版本,须同步提交准确的中文译本;
明确使用中文填写“数据出境安全评估申报表”及“数据出境风险自评估报告”;
明确线下方式提交申报材料的数据处理者,需同步通过光盘提交相应电子版材料。
2
附件3:数据出境安全评估申报书(模版)
优化填写方式,将单位性质、类型、涉及行业及领域等字段修改为勾选,便于企业填报。
明确计算出境的数据需经过去重。
明确为按场景分别申报,更符合实践中的申报逻辑及思路。
3
附件4:数据出境风险自评估报告(模板)
如有第三方机构参与自评估,须在自评估报告中说明第三方机构的基本情况及参与评估的情况,但删除了“在相关内容页上加盖第三方机构公章”等规定。
简化原数据出境风险自评估的填写内容。
具体修改内容,详见第二部分后文的附录部分。
Q38
核心数据是否可以通过安全评估实现数据出境?
从数据类型上看,《安全评估办法》、《数据跨境流动规定》只规定了重要数据及个人信息出境需要申报安全评估,而并未列明核心数据可以通过安全评估实现出境,由此核心数据的数据出境规则值得进一步分析,根据《数据安全法》第二十一条规定:“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。”《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》第八条将跨境数据分为核心数据、重要数据、一般数据3个级别,其中核心数据禁止跨境。
结合相关地区政策,我们可以判断核心数据可能无法通过安全评估办法进行出境,一是因为核心数据其对国家、社会的重要性要比《安全评估办法》中规定的几种数据类型更高,二是《数据安全法》中已说明将会实行更严格的管理制度要求,至于这是否意味着核心数据不具有出境的可能性,或者核心数据出境需要适用何种规则,由于其需要更多维度要素的考量,需要进一步观察。
Q39
企业是否可以通过安排不同主体向境外提供个人信息的方式以规避安全评估?
对于该问题,《安全评估办法》本身并没有提供答案,但参考《标准合同办法》第4条第3款的规定:“个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。”再结合数据出境监管趋势可推知,我们理解,企业不能通过安排不同主体向境外提供个人信息的方式规避安全评估。
但需要指出的是,如企业与企业之间能够保持独立,业务、人员、资金、管理制度等都能达到不混同、不融合、不共享的,我们可以认为,每一个处理数据的企业都构成一个完全独立的数据处理者。若此时每一个单独的企业处理数据的情形都未达到安全评估的要求标准,出境个人信息量应独立计算、不会累计计算,此时企业的数据出境活动可以不申报安全评估。
现尚无依据判断企业间是否符合“不混同、不融合、不共享”的标准,但随着对数据出境监管力度的加强,不排除未来监管部门会通过对不同企业主体进行详细审查或在企业进行安全评估申报、标准合同备案时进行审查,如通过判定企业之间的数据流转情况、数据融合情况、企业的具体经营状况(包括但不限于业务人员的对应的劳动合同关系,各企业主体是否独立承担责任,是否具有独立责任人等),以及向境外提供个人信息和重要数据的各企业之间的关系,最终判断出各企业主体之间是较难保持(数据的)独立性,或数据实际为同一企业所控制,或有采取数量拆分等手段以规避安全评估的话,各企业间的数据量可能会被视为应累计计算,进而符合《安全评估办法》规定的应申报安全评估的标准,需要依据要求的内容申报安全评估。
Q40
企业如何申报数据出境安全评估?
企业可进行线上申报,申报地址为https://sjcj.cac.gov.cn。但根据《安全评估申报指南》第二版,关键信息基础设施或者其他不适合通过数据出境申报系统申报数据出境安全评估的,采用线下方式通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
Q41
企业在进行数据出境安全评估时将需要经历哪些具体流程?
Q42
企业申报数据出境安全评估需要提交哪些材料?
统一社会信用代码证件影印件
法定代表人身份证件影印件
经办人身份证件影印件
经办人授权委托书
数据出境安全评估申报书(使用中文填写)
与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件(对数据出境相关约定条款作高亮、线框等显著标识。法律文件以中文版本为准,若仅有非中文版本,须同步提交准确的中文译本。)
数据出境风险自评估报告(使用中文撰写)
其他相关证明材料
其中,数据出境安全评估申报书、与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件、数据出境风险自评估报告为申报材料中较难填写的材料。
Q43
企业应该如何进行自评估报告,完成自评估的过程中需要重点关注哪些内容?
我们在本专题的第一部分对自评估报告的概念进行了说明,简单来说,自评估报告中需要对数据出境业务、数据出境过程中可能涉及的风险、境外接收方处理数据的用途、方式、个人信息权益维护、签订的法律文件等进行评估。
根据《安全评估申报指南》第二版,自评估报告应包括三个部分:
(1)自评估工作简述
(2)出境活动整体情况
(3)拟出境活动的风险评估情况及结论
其中,“出境活动整体情况”和“拟出境活动的风险评估情况”为风险自评估报告的重点内容。企业需要在客观描述出境活动的整体情况;基于第二部分的事实情况,在第三部分中,评估拟出境活动在该事实情况的基础上可能存在的风险以及相应的整改措施。
进一步地,在第二部分“出境活动整体情况”中,重点需要关注境外接收方情况、法律文件约定数据安全保护责任义务的情况。
声明
报告内容系作者对法律及项目实务的理解及高度总结,同时包含部分实践中向监管咨询后得到的答复内容。报告内容仅代表作者个人观点,不构成法律意见。鉴于数据合规法律法规的多变,以及各个国家或地区的立法可能会有变化或存在法院自由裁量权的情况,具体内容需要依赖于对现有规则的理解和把握,且相关预判与建议应当根据具体业务模式以及当地法律法规的变化而不断调整修正。
报告内容系作者原创,引用、转载均请联系作者并注明出处,禁止抄袭,谢谢!欢迎联系主编投稿。
主编介绍
王 捷 律师
垦丁律师事务所合伙人、广州创始合伙人、主任律师
W&W国际法律团队创始人
荣登律商联讯(LexisNexis)2023「40位40岁以下的法律精英」榜单
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了13年+科技型公司实务经验,具备中外律所从业背景;为各类涉互联网企业提供各类综合合规支持,包括数据合规、个人信息保护、产品模式合规等,尤其擅长为企业出海产品提供各类有效的合规解决方案与落地支持。目前已为超过50+头部与知名互联网公司、500强企业、大中型外资企业、独角兽企业提供服务和产品落地解决方案;并发表了超过200多篇的实务文章与专题报告。
专攻领域:
个人信息保护与全球数据合规、企业出海合规、互联网产品及业务模式综合合规、网络安全、广告合规、知识产权攻防布局、前沿科技领域实务合规等。专精于移动互联网、智能制造业与物联网、智能网联汽车与车机系统、电子商务及平台、直播与短视频、社交网络平台、AIGC、区块链、云计算、web3.0、NFT等新兴前沿行业。
涉足国家及地区:
中国(含港澳台地区)、印度、印尼、东南亚等多国、日、韩、欧盟、美国、中东多国、南美洲、非洲。
职业资格:
持有CIPP/E(国际信息隐私专家认证/欧盟)、区块链应用操作员资格证书、数据安全师、数据合规官等资格证书,是联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学常务理事,荷兰RuG国际经济法与商法硕士。
联系方式:jie.wang@kindinglaw.com
+86 13650790754
推荐阅读:
垦丁荣誉|王捷律师荣登律商联讯2023年 “40位40岁以下的法律精英”榜单
访谈实录(中):没有什么事是做分享解决不了的,如果有,那就继续坚持
新年贺礼| 《全球数据合规2023图鉴》重磅发布 ,要做年终总结吗,我们帮你梳理好了
开辟万象,OPEN你的AI|垦丁W&W国际法律团队发布《AIGC产业发展与法律合规实务手册》(附下载)
冬至礼物 | 法律法规汇编大礼包V5.0 《个人信息保护数据合规法律汇编》
W&W国际法律团队 | 欧盟-美国隐私框架「DPF」解读全系列
W&W国际法律团队 | 印度2023数字个人数据保护法案最新要点解读