2021年11月1日,《个人信息保护法》正式施行,其中第38条对个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的情况下,应当具备的条件做出了规定,包括应具备通过国家网信部门组织的安全评估、经专业机构进行个人信息保护认证、和与境外接收方订立标准合同三种具体路径中的其中一种。此后,国家互联网信息办公室(“国家网信办”)分别于2022年7月、2022年11月和2023年2月发布《数据出境安全评估办法》(“《评估办法》”)、《关于实施个人信息保护认证的公告》(与国家市场监督管理总局联合发布)和《个人信息出境标准合同办法》(“《标准合同办法》”),对个人信息出境的三种路径做出了规定。为指导和帮助出境安全评估和标准合同备案工作规范、有序的进行,国家网信办在《评估办法》和《标准合同办法》施行前夕分别发布了《数据出境安全评估申报指南(第一版)》和《个人信息出境标准合同备案指南(第一版)》。
目前,正值《评估办法》施行满一周年之际,《标准合同办法》的宽限期也已过半,多数企业正在积极梳理数据出境情况、与网信部门保持紧密沟通、开展数据出境安全评估及标准合同备案工作,多地网信部门也已陆续公布成功案例,这些都表明个人信息出境安全评估申报和标准合同备案工作正在有条不紊地进行。根据国家网信办、各地网信部门发布的工作指引,并结合我们协助企业开展申报和备案工作的相关经验,我们认为,个人信息出境安全管理应当重点关注以下几个方面。
一
厘清关键概念
根据《个人信息保护法》第40条,关键信息基础设施运营者(“CIIO”)和处理个人信息达到国家网信部门规定数量的个人信息处理者,如确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估。对于 “国家网信部门规定数量”,《评估办法》和《标准合同办法》做出了具体规定,且根据《评估办法》和《标准合同办法》的第4条可以看出,个人信息出境安全评估和标准合同备案原则上仅应择一适用。因此,企业在判断自身所适用的出境路径时,应当优先判断是否达到《评估办法》规定的相关标准[1];凡满足标准之一者,则应当通过国家网信部门组织的安全评估。由于该等标准是企业判断应适用安全评估、还是可以选择以标准合同备案抑或个人信息保护认证的方式进行个人信息出境的核心基础,因此须妥善理解其中的关键概念:
1. 数据出境
根据《数据出境安全评估申报指南(第一版)》,以下情形属于数据出境行为:
(一)数据处理者将在境内运营中收集和产生的数据传输、存储至境外;
(二)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
(三)国家网信办规定的其他数据出境行为。
除上述两种情形外,全国信息安全标准化技术委员会(“信安标委”)于2017年8月发布的《信息安全技术 数据出境安全评估指南(征求意见稿)》(“《数据出境安全评估指南(征求意见稿)》”)还进一步明确,向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据(典型场景为,向位于我国境内的使领馆、外国航空器、外国船舶内的相关主体提供个人信息和重要数据)、以及数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外)也属于数据出境。
2. 重要数据
根据《数据安全法》第21条,各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。对此,在实践中,企业可重点关注所处地区、行业和部门出具的重要数据的目录,例如基础电信、汽车、工业等。此外,在相关地区、行业和部门暂未出台重要数据目录的情况下,可参考以下相关内容,判断自身是否处理重要数据:
江苏省网信办于2022年9月发布的《江苏省数据出境安全评估申报工作指引(第一版)》中关于重要数据类型的列举;
国家网信办于2021年11月发布的《网络数据安全管理条例(征求意见稿)》中关于重要数据类型的列举;
信安标委于2023年8月发布的《信息安全技术 重要数据处理安全要求(征求意见稿)》中的重要数据定义;
信安标委于2022年1月发布的《信息安全技术 重要数据识别指南(征求意见稿)》中重要数据识别的基本原则和具体识别因素;以及
信安标委于2017年8月发布的《数据出境安全评估指南(征求意见稿)》其中所附附录《重要数据识别指南》等。
3. 个人信息和敏感个人信息
《个人信息保护法》第4条和第28条分别对个人信息和敏感个人信息进行了定义。企业在实践中,可参考推荐性国家标准《信息安全技术 个人信息安全规范》中列举的常见的个人信息和敏感个人信息进行判断。
4. 关键信息基础设施运营者
《关键信息基础设施安全保护条例》第2条规定,关键信息基础设施(“CII”),是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。其第9条和第10条规定,CII的保护工作部门应结合本行业、本领域实际,制定关键信息基础设施认定规则,并报国务院公安部门备案;此外,保护工作部门还应根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。因此,企业应积极关注由保护工作部门发布的关于CII认定的通知。
二
个人信息处理和出境数量的计算
1. 处理和委托处理
《评估办法》和《标准合同办法》适用对象围绕“数据处理者”和“个人信息处理者”。《个人信息保护法》和《网络数据安全管理条例(征求意见稿)》规定,数据/个人信息处理者是指在数据/个人信息处理活动中自主决定处理目的和处理方式的个人和组织。因此,在计算个人信息处理和出境的数量时,一般应当以企业作为个人信息处理者的身份所处理数量进行计算;换言之,对于一些技术服务提供商企业和云服务企业,如果其自身并不决定个人信息的处理目的和处理方式,那么其接受其他企业委托而处理的个人信息相应不应被直接计算在100万人、10万人和1万人的范围内,但委托企业进行个人信息出境安全评估申报或标准合同备案的,技术服务提供商企业和云服务商等相关企业应当提供协助。此种理解与《数据出境安全评估指南(征求意见稿)》的规定一致。《数据出境安全评估指南(征求意见稿)》规定,如数据出境涉及多方主体的如:云服务、转包服务等,根据数据出境发起方,确定安全自评估责任主体。如:云服务客户主动要求云服务提供商进行数据出境的,由云服务提供商配合云服务客户开展安全自评估,且由云服务客户承担相应责任。如云服务提供商主动要求进行数据出境的,由云服务客户配合云服务提供商开展安全自评估,且由云服务提供商承担相应责任。
2. 个人信息数量的计算
应当注意,对于100万人、10万人和1万人的个人信息,均以人数为计量,因此,在满足必要性的前提下,处理自然人A的姓名,处理自然人A的姓名+手机号码,和处理自然人A的姓名+身份证号码,三者的计数均为处理1个人的个人信息,区别之处在于前两者均被认为属于处理个人信息,而处理自然人A的姓名+身份证号码还应当计入处理敏感个人信息的范围。
三
综合考虑个人信息出境安排
如前所述,由于《评估办法》和《标准合同办法》适用对象均围绕“数据处理者”和“个人信息处理者”,因此,对于例如集团企业等数据/个人信息处理者所适用的出境路径的判断,应当根据不同关联主体之间的数据处理类型和数量进行合理分析和安排。对此,北京、山西、湖北、湖南、江西、河北、河南、辽宁、江苏、青海、云南等多地网信办已做出相应规定。例如,《北京市个人信息出境标准合同备案指引》规定,备案主体,须为法人实体,且备案主体应与境内合同签署方一致。如多家独立法人企业同属一家集团公司,可由集团公司作为个人信息出境标准合同备案主体。分公司不具备独立法人,不可代替总部或子公司备案。但应当注意,由集团公司进行统一备案时,各关联主体对应的境外接收方应当为同一主体,且对于各关联公司所处理和向境外传输的个人信息数量应进行合并统计,否则可能构成采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供,从而违反《标准合同办法》的相关规定。
四
积极与网信部门取得沟通
数据出境合规与监管对于企业和监管部门来说,均属于新课题。企业的经营与管理场景纷繁复杂、处理的数据类型也多种多样,为企业的数据出境合规工作带来挑战。因此,在自评估的环节,无论是在出境路径的适用上、还是在具体申报/备案材料的填写上,均应当积极与网信部门沟通,在表达自身诉求与理解的基础上,听取网信部门的建议。
五
结语
数据出境合规是关乎国家安全、公共利益、个人和组织合法权益的重大课题,应被给予高度的重视。尽管《数据安全法》和《个人信息保护法》已施行约两周年,但对于大多数企业而言,数据安全和个人信息保护仍是一个新领域,缺乏经验、从无到有建立合规体系等多重原因使得企业仍需投入大量的时间和资源,不少企业也因此仍处于合规初期阶段。在此情况下,企业应当积极关注监管部门发布的出境指引、参与网信部门组织的宣讲会,并寻求外部专业力量的支持,有条不紊开展数据处理和出境盘点、数据出境场景识别、数据出境路径选择、数据自评估和合规整改及落地等相关工作。
注释
[1] 这些标准包括:
(一)数据处理者向境外提供重要数据;
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。
