一、我国数据跨境监管态势与思路
(一)数据违规出境引发的监管动作
在数据出境监管架构还未完全建立之前,我国相关监管机构已对特殊类别数据出境进行监管。
典型如人类遗传资源领域,2015年,中国人类遗传资源管理办公室对H公司执行“中国女性单相抑郁症的大样本病例对照研究”国际科研合作情况进行了调查,认为H公司与H医院未经许可与N大学开展中国人类遗传资源国际合作研究,H公司未经许可将部分人类遗传资源信息从网上传递出境,要求H公司停止该研究工作的执行,并销毁该研究工作中所有未出境的遗传资源材料及相关研究数据。[1]
2022年,国家安全机关破获了一起为境外刺探、非法提供高铁数据的重要案件。这起案件是《数据安全法》实施以来,首例涉案数据被鉴定为情报的案件,也是我国首例涉及高铁运行安全的危害国家安全类案件。该案件之中,上海某信息科技公司法定代表人、销售总监、销售均涉嫌为境外刺探、非法提供情报罪,于2021年12月31日被上海市国家安全局执行逮捕。国安在调查过程之中了解,所涉境外公司自称其客户从事铁路运输的技术支撑服务,为进入中国市场需要对中国的铁路网络进行调研,但是受新冠疫情的影响,境外公司人员来华比较困难,所以委托上海某信息科技公司采集中国铁路信号数据,包括物联网、蜂窝和GSM-R,也就是轨道使用的频谱等数据。该公司因为该项目获利颇丰而承接此类项目,最终因缺少法律常识与风险意识而触碰刑事红线。[2]
对于中国法律而言,数据出境所监管的数据流向为数据自中国境内离开,传输至境外的单向流动行为。当前中国的数据出境监管要求可分为两部分,一为一般性的监管要求,二为特别领域的监管要求。
截止至目前,与数据出境相关的一般性监管文件参见下表:
序号 | 文件名 | 发文机关 | 实施日期 |
1 | 《中华人民共和国个人信息保护法》 | 全国人大常委会 | 2021年11月01日 |
2 | 《数据出境安全评估办法》 | 国家互联网信息办公室 | 2022年09月01日 |
3 | 《个人信息保护认证实施规则》 | 国家互联网信息办公室 | 2022年11月18日 |
4 | 《个人信息出境标准合同办法》 | 国家互联网信息办公室 | 2023年06月01日 |
5 | 《网络安全标准实践指南 个人信息跨境处理活动安全认证规范V2.0》(以下简称“《个人信息跨境认证规范V2.0》” | 全国信息安全标准化技术委员会秘书处 | 2022年12月16日 |
6 | 《促进和规范数据跨境流动规定》 | 国家互联网信息办公室 | 2024年03月22日 |
7 | 《数据出境安全评估申报指南(第二版)》 | 国家互联网信息办公室 | 2024年03月22日 |
8 | 《个人信息出境标准合同备案指南(第二版)》 | 国家互联网信息办公室 | 2024年03月22日 |
上述系列法律构建了我国关于数据出境监管的全貌,并形成了数据出境申报评估、个人信息出境标准合同备案(以下简称“SCC备案”)及个人信息跨境处理活动安全认证三大合规路径。
在《数据出境安全评估办法》《个人信息出境标准合同办法》等实施一段时间后,国家互联网信息办公室(以下简称“国家网信办”)结合上述文件的落地情况,发布《促进和规范数据跨境流动规定》,适当放宽数据跨境流动条件,在保障国家数据安全的前提下,便利数据跨境流动,降低企业合规成本。
除此之外,在特别领域,行业主管部门可能对于该行业内的数据出境行为涉及特别监管。典型如涉人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构提供或者开放使用,应遵循《中华人民共和国人类遗传资源管理条例》,向国务院卫生健康主管部门事先报告并提交信息备份;如根据《自然资源部关于促进智能网联汽车发展维护测绘地理信息安全的通知》,在车联网场景下,对于外商投资企业而言,涉及相关空间坐标、影像、点云及其属性信息等业务及提供地理信息服务的,应由具有测绘资质的单位承担收集、存储、传输和处理。[3]
综上,在数据出境实务之中,企业需要综合考虑数据出境的一般性监管要求与细分领域特别监管要求。
基于我国关于数据出境的监管要求,结合笔者此前的项目实践经验,笔者将数据出境合规步骤总结如下:
第一步:识别数据出境行为。企业应对内部数据处理情况进行调研与盘点,并结合实际情况,识别所涉的数据出境行为。
第二步:明确合规路径。结合数据类型、规模、敏感程度,企业自身属性等,判断企业应采取何种合规路径,是否涉及细分领域的特别监管要求。
第三步:落实合规义务。综合具体合规路径的合规要求,及细分领域的特别监管要求,落实相应合规义务。
下文笔者将结合上述思路与步骤,逐一分析解析每一步骤。
二、识别数据出境行为
关于识别数据出境行为,笔者将从如下两个维度展开。一是,何为数据出境行为?二为,典型的数据出境场景有哪些?
(一)何为数据出境行为?
现行法律关于数据出境行为的最新定义见于《数据出境安全评估申报指南(第二版)》第一条,“以下情形属于数据出境行为:(一)数据处理者将在境内运营中收集和产生的数据传输至境外;(二)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;(三)符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他数据处理活动。”
上述数据出境行为可概括为以下三种情形:
序号 | 出境情形 | 典型场景 | |
1 | 向境外传输数据 | 境内用户通过某境内旅游平台预定海外酒店,为向该用户提供服务,该旅游平台需将用户入住信息跨境传输至海外酒店 | |
2 | 跨境访问 | 业务遍布全球的中资企业的全球分子公司均使用一套OA系统,位于境外的员工处于工作需要,需访问中资企业总部系统,查看与之协作的员工相关信息等 | |
3 | 个人信息保护法的域外适用情形 | 以向境内自然人提供产品或者服务为目的 | 国外IOT设备提供商向国内消费者销售运动手表,该运动手表会收集用户的心率等情况,形成分析运动健康报告,即为典型的为境内自然人提供产品或服务目的 |
分析、评估境内自然人的行为 | 法国咨询公司为了协助国内商场进行人流分析测试,通过WiFi探针技术追踪分析自然人的行动轨迹、流动数据等,该情形即为典型的分析、评估境内自然人的行为 |
实践中,企业识别何为数据出境行为时,可能会对以下概念产生困惑,下文笔者对此逐一解答:
(1)什么是“境”及“境外”?
在了解何为“境”及“境外”之前,可能需要了解数据出境监管原因,其核心关注点在于在中国境内收集的数据,如传输至境外地区,如该境外地区对数据的保护程度较低,可能对相关数据主体权益有所减损。
在此基础上,可以理解为此处的“境外”指其他司法辖区,其与《中华人民共和国出境入境管理法》第八十九中对“出境”进行定义一致,即“出境,是指由中国内地前往其他国家或者地区,由中国内地前往香港特别行政区、澳门特别行政区,由中国大陆前往台湾地区”。
此外,实践之中,企业往往还有一个困惑,“境外”是遵循“属地原则”还是“属人原则”?典型问题为:境内主体向另一个位于境内的外资企业的办事处传输数据,而该办事处不会将此类数据回传至其外资企业,该行为是否属于“数据出境”?
从笔者理解维度而言,倾向于认为该种情形不构成数据出境行为。但需要关注特别领域之下,是否存在对向外方提供数据的特别限制。
(2)“数据处理者将在境内运营中收集和产生的数据传输至境外”之中“境内运营”具体指什么?
关于何为境内运营,境内运营不以该实体是否在境内注册登记为判断依据,即使该实体在我国未注册经营主体,但在我国境内开展业务,如通过互联网,或通过参与展会等方式开展营销活动或向我国境内提供商品或服务,也落入境内运营范畴。
(3)如何判断境外运营是否“以向境内自然人提供产品或者服务为目的”?
实践中判断是否以向境内自然人提供产品或者服务为目的,可以参考的维度包括:产品和服务的过程中是否使用了中文,是否可以用人民币作为结算货币的选项,是否向中国境内提供配送物流服务,是否特意针对中国客户进行推广营销(如在中国投放广告、开设展台推广等)等。
(二)有哪些典型的数据出境场景?
结合实际场景,笔者将典型的数据出境场景分为四类,总结为下表:
序号 | 场景分类 | 典型场景 | 涉及的数据种类 |
1 | 内部管理 | 基于跨国集团内部统一管理,而使用统一的HRM系统、CRM系统、OA系统、网盘等引发的数据跨境传输或跨境访问行为 | 员工个人信息、合作伙伴信息、财务数据、项目管理数据等 |
2 | 业务场景 | 跨国企业基于市场研究、产品研发、研发测试需跨境传输或访问相关数据 | 产业分析数据、研发设计数据、测试数据等 |
基于向用户提供产品或服务而产生的跨境传输,如跨境电商、海外出游、跨境快递等 | 用户个人信息 | ||
跨国集团提供全球统一售后服务、产品投诉而引发的相关信息跨境传输 | 售后服务或投诉信息 |
三、判断针对现有数据出境行为,企业应采取何种合规路径
综合现行数据出境监管政策,笔者总结了数据出境监管要求,形成下列合规路径选择方式图:
数据出境合规路径选择图
为明晰数据出境合规路径选择方式,需厘清如下几个问题:
(一)数据出境豁免情形有哪些?
《促进和规范数据跨境流动规定》第三到六条列明了四种数据出境的豁免情形,可归纳如下几类:
1、声明型豁免
法条原文:《促进和规范数据跨境流动规定》第三条,“国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。”
内容解读:该条为声明性条款,即无该条规定,此类场景下的数据出境行为也无需申报数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证。在中国(上海)自由贸易试验区临港新片区对外公布三个领域(智能网联汽车、公募基金、生物医药)的数据跨境场景化一般数据清单及清单配套操作指南之中也多涉及此类数据,典型如智能网联汽车领域下所列明的跨国生产制造场景,[4]该清单之中特别提示,所涉及的库存信息和物流供应链数据应不能反映国家经济运行情况,这是因为反映国家经济运行情况的数据将落入重要数据范畴。
2、数据过境
法条原文:《促进和规范数据跨境流动规定》第四条,数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
内容解读:该条明确了“数据过境行为”落入豁免情形范畴。下文笔者简述一个典型的数据过境行为,以便于理解。例如,一家总部位于墨西哥的跨境电商公司A,为提高网络传输速度,其在中国大陆地区部署了服务器节点,并采购了CDN加速器,其面向东南亚市场所收集的东南亚用户个人信息经由中国境内服务器传输至墨西哥。但就A公司通过中国大陆服务器节点传输其所收集的东南亚用户个人信息而言,鉴于其中并未引入境内用户个人信息或重要数据,所以属于本条所涉的豁免情形。
3、与个人信息出境相关的豁免情形
法条原文:《促进和规范数据跨境流动规定》第五条,数据处理者向境外提供个人信息,符合下列条件之一的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
- 为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的;
- 按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;
- 紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;
- 关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。
内容解读:该条明确几种跨境提供个人信息跨境传输行为情形,也是该《促进和规范数据跨境流动规定》之中非澄清性的、实质性的豁免行为。关于该部分适用时的常见问题,可参见《新规视角下数据出境合规难点Q&A(下)》之中相关问题。
4、自贸区负面清单
法条原文:《促进和规范数据跨境流动规定》第六条,“自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。”
内容解读:如前文所述,目前各自贸区正在探索数据出境清单,前文也提及,对当前天津自贸区于2024年5月8日出台《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024版)》,中国(上海)自由贸易试验区临港新片区对外公布三个领域(智能网联汽车、公募基金、生物医药)的数据跨境场景化一般数据清单及清单配套操作指南,后期建议企业持续关注各自贸区动态。
(二)什么是关键信息基础设施(“CII”)?如何认定?
根据《关键信息基础设施安全保护条例》第二条,关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
综合《关键信息基础设施安全保护条例》第八条至第十一条,涉及的重要行业和领域的主管部门、监督管理部门负责制定本行业、本领域关键信息基础设施认定规则,组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知关键信息基础设施运营者。即CII的认定结果以监管机构通知为准。
(三)什么是个人信息?
根据《个人信息保护法》第四条,个人信息是以电子或者其他方式记录的与已识别的或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
常见个人信息可参见《信息安全技术——个人信息安全规范》附录A。
表A.1 个人信息举例
个人基本资料 | 个人姓名、生日、性别、民族、国籍、家庭关系、住址、个人电话号码、电子邮件地址等 |
个人身份信息 | 身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证等 |
个人生物识别信息 | 个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等 |
网络身份标识信息 | 个人信息主体账号、IP地址、个人数字证书等 |
个人健康生理信息 | 个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治记录、家族病史、现病史、传染病史等,以及与个人身体健康状况相关的信息,如体重、身高、肺活量等 |
个人教育工作信息 | 个人职业、职位、工作单位、学历、学位、教育经历、工作经历、培训记录、成绩单等 |
个人财产信息 | 银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息 |
个人通信信息 | 通信记录和内容、短信、彩信、电子邮件,以及描述个人通信的数据(通常称为元数据)等 |
联系人信息 | 通讯录、好友列表、群列表、电子邮件地址列表等 |
个人上网记录 | 指通过日志存储的个人信息主体操作记录,包括网站浏览记录、软件使用记录、点击记录、收藏列表等 |
个人常用设备信息 | 指包括硬件序列号、设备MAC地址、软件列表、唯一设备识别码(如IMEI/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI信息等)等在内的描述个人常用设备基本情况的信息 |
个人位置信息 | 包括行踪轨迹、精准定位信息、住宿信息、经纬度等 |
其他信息 | 婚史、宗教信仰、性取向、未公开的违法犯罪记录等 |
(四)什么是敏感个人信息?
敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
关于敏感个人信息的识别,可参考《信息安全技术—个人信息安全规范》附录B、《信息安全技术敏感个人信息处理安全要求》(征求意见稿)、《网络安全标准实践指南——敏感个人信息识别指南(征求意见稿)》进一步识别与判定。
(五)如何识别重要数据?
《促进和规范数据跨境流动规定》第二条明确了,重要数据以相关部门、地区告知或者公开发布为准,具体规定如下“重要数据的数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估”。该条减轻了数据处理者对于“重要数据”识别的合规义务。
当前,关于重要数据的一般性识别标准参见《数据安全技术数据分类分级规则》附录G重要数据识别指南,除此之外,部分行业已陆续出台重要数据识别要求。如《自然资源领域数据安全管理办法》第10条明确了自然资源领域重要数据的参考指标;《汽车数据安全管理若干规定(试行)》第三条明确了六类重要数据类型。
(六)“出境人次”的判断方式
根据《促进和规范数据跨境流动规定》答记者问第11问,关于“出境人次”的技术方式具体如下:“计算周期为自当年1月1日起至申报数据出境安全评估之日,数量以自然人为单位去重后的统计结果为准。属于《规定》第三条、第四条、第五条第一款第一项至第三项、第六条规定情形的,不计入累计数量。”
据此,在实际计算“出境人次”的时候应关注三个要点:
(1)起算时间起止点:当年1月1日至申报数据出境安全评估之日;
(2)需去重计算:数量以“人次”计,同一自然人的合并统计;
(3)除因人次未达而引发(即《促进和规范数据跨境流动规定》第五条第四项的)豁免情形外,其余豁免情形所涉的“人次”不计入总数。
四、具体合规路径的合规流程是什么?
(一)豁免情形下仍需履行的合规义务
鉴于《促进和规范数据跨境流动规定》之中,相关实质性的豁免行为主要为《促进和规范数据跨境流动规定》第五条所载的跨境提供个人信息的行为。
针对跨境提供个人信息行为,如其落入豁免情形,综合《个人信息保护法》第39条、55条,企业仍需履行的合规义务包括:
(1)根据《个人信息保护法》第39条,针对数据跨境行为应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意;
(2)应针对豁免情形下的个人信息跨境行为实施个人信息保护影响评估,并针对当前个人信息行为落入豁免范畴进行论证。
除此之外,笔者建议数据提供方仍与境外接收方签署《个人信息标准合同》。
(二)数据出境安全评估
如涉及数据出境安全评估,可按照《数据出境安全评估申报指南(第二版)》进行数据出境安全申报,其大致流程如下图所示:
数据出境安全评估申报流程图
(三)SCC备案
如涉SCC备案,可按照《个人信息出境标准合同备案指南(第二版)》进行SCC备案,其大致流程如下图所示:
SCC备案流程图
(四)个人信息跨境处理活动安全认证
相较于《网络安全标准实践指南个人信息跨境处理活动安全认证规范V1.0》(以下简称“《个人信息跨境认证规范V1.0》”),《个人信息跨境认证规范V2.0》扩大了其适用范围,不再限制其适用情形:
《个人信息跨境认证规范V1.0》 | 《个人信息跨境认证规范V2.0》 |
本文件作为认证机构对个人信息跨境处理活动进行个人信息保护认证的基本要求,适用于以下情形: a) 跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动; b)《中华人民共和国个人信息保护法》第三条第二款适用的个人信息处理活动。 | 本文件作为认证机构对个人信息跨境处理活动进行个人信息保护认证的认证依据,也为个人信息处理者规范个人信息跨境处理活动提供参考。 |
实践之中,笔者建议对于跨国公司集团内频繁的、日常的事务管理和业务往来,可以考虑采取安全认证。
该认证的发证机构为中国网络安全审查认证和市场监管大数据中心(以下简称“CCRC”),根据CCRC官网报道,[5]2023年12月15日,中国网络安全审查技术与认证中心向珠海澳科大科技研究院、支付宝(中国)网络技术有限公司、北京华品博睿网络技术有限公司、京东科技信息技术有限公司等5家企业颁发了我国首批个人信息保护认证证书。
不过,根据查询公开信息及笔者的实践经验,当前选择个人信息跨境处理活动安全认证路径的企业相对较少。
五、总结
新规视角下,企业针对数据出境行为的合规思路可总结如下图:
数据出境合规思路图
参考资料
[1]行政处罚决定书 国科罚〔2015〕2号,访问时间:2024年6月23日,访问链接:
https://www.most.gov.cn/xxgk/xinxifenlei/fdzdgknr/xzcf/202302/t20230228_184773.html
[2]境外公司谎称调研窃取高铁数据,我国首例涉高铁运行国家安全案被破获,访问时间:2024年6月23日,访问链接:
https://www.guancha.cn/politics/2022_04_15_635005.shtml
[3]结合《自然资源部关于促进智能网联汽车发展维护测绘地理信息安全的通知》规定,在智能车联网场景之下,其对测绘信息提出更严格限制,其仅可由中资有资质的单位完成处理活动。
[4]参见《中国(上海)自由贸易试验区临港新片区智能网联汽车领域数据跨境场景化一般数据清单(试行)》
[5]5家企业获颁首批个人信息保护认证证书,访问时间:2024年6月21日,访问链接:
https://www.isccc.gov.cn/xwdt/tpxw/12/909546.shtml
来源:兰迪律师
作者:陈梦园,兰迪律师事务所律师;专业领域:数据合规、知识产权、TMT领域合规;联系方式:mengyuan.chen@landinglawyer.com,13524499989