数据出境安全评估系列文章(3):如何判断数据出境的“必要性”?

来源:北京植德律师事务所

文章摘要
观点摘要 01 个人信息收集的必要性与数据出境的必要性,是两个不同场景下的判断,不能混为一谈。
观点摘要
01 个人信息收集的必要性与数据出境的必要性,是两个不同场景下的判断,不能混为一谈。
02 数据出境的必要性论证,是数据出境安全自评估工作中的重中之重,也是目前存在较大不确定性的维度,需要引起企业足够的重视。
03 企业可以从六大维度,即法律法规、国标、行标、“业务等所必需”、行业惯例、替代性分析、常识等维度予以分析,还可以结合我国《信息安全技术个人信息安全影响评估指南》所确定的必要性分析框架,即合规差距分析、尽责性风险评估两大维度,予以论述。
04 考虑到整改期届满已经临近,企业应做好评估被否的应急预案,避免影响业务明年正常开展。而对于拟IPO企业则应特别注意今年四季度以及未来一段时间,数据出境安全评估会逐步成为证券监管部门关注的下一个热点高频数据法问题,并提前做好“核查验证方案设计”“尽调资料收集”“问题反馈思路准备及其补充法律意见书制作”的准备工作,避免IPO被否。
自2022年9月1日起施行的《数据出境安全评估办法》(以下简称“《办法》”)中明确——企业数据出境自评估以及网信办均要评估数据出境的必要性。什么是数据出境的必要性?企业如何开展数据出境必要性的论证?如果没有评估到位,可能存在要求补正材料甚至是被否、不支持数据出境的风险。一旦不支持,则面临业务无法开展、境外数据需要销毁的一系列难题,可见该问题的重要性。
本文就数据出境必要性评估的范围、判断维度以及常见数据出境场景的必要性进行分析,以期为企业开展数据出境申报提供参考。
一、问题的提出:数据出境何以必要?
按照 《个人信息保护法》(以下简称“《个保法》”),必要性原则贯穿个人信息处理生命周期的始终。其中在我国,个人信息收集的必要性,被我国监管所重点关注。从近两年的执法活动来看,个人信息超范围收集或者过度收集个人信息,都成为了排名前列的处罚事由。
那么实务中,很多企业就会希望了解清楚,过往可能我们习以为常的数据出境安排,在面临安全评估的场景下,基于“必要性”的判断维度,是否会面临被否定的风险?有无可以判断的工具、流程、参考指南?
首先,我们应该注意到数据出境必要性,和个人信息收集的必要性相比,是第二次强调“必要性”。这个必要性的判断,并不以收集必要性的判断,作为终点。即,不是因为个人信息收集具有了必要性,所以出境就当然具有必要性。这是一个可能需要注意防范的误区。数据出境必要性的法律法规出处,见表1。

场景

《办法》

《个保法》

数据出境

第五条数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,重点评估以下事项:

(一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性……

第八条数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项:

(一)数据出境的目的、范围、方式等的合法性、正当性、必要性……

第三十八条个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:

(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;


表1
其次,从表1,我们不难看出,数据出境必要性的客体判断,并不限于个人信息,还包括了重要数据等。这也是一个需要注意避免的误区。因为在我国《数据安全法》中,基本原则并未强调必要性原则。因为除个人信息以外的很多数据,在处理时,原则上是没有必要性要求的,但是对于个人信息处理是基本原则。为此在数据出境的场景下,如果一旦落入《办法》的评估客体之中,必要性原则就对其当然适用了,如重要数据,以及“国家网信部门规定的其他需要申报数据出境安全评估的情形”。
再次,充分认识到数据出境必要性中,基于数据出境这一高风险场景,需要对多方利益予以考量。从表1,以及目前公布的申报指南,都可以看出,数据出境的必要性判断前提,均需要围绕“数据出境活动是否可能对国家安全、公共利益、个人或者组织合法权益带来风险”进行展开论述。
最后,数据出境必要性判断,应该重点吸收我国个人信息收集治理工作的经验,同时参考现有的国标予以考虑。
2021年3月22日,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局四部门联合公开发布《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称“《规定》”)。《规定》的第五条明确了三十九种常见类型App的基本功能服务和必要个人信息范围。
2021年6月1日实施的《信息安全技术个人信息安全影响评估指南》,其中在“5.1条款特别提到评估必要性分析”,并分为合规差距评估、尽责性风险评估。其中合规差距评估,重点关注安全控制措施,与法律法规、标准的要求差距的维度;而尽责性风险评估,则是从高风险的个人信息处理活动中,开展该类评估工作,目的是尽可能降低对个人信息主体合法权益的不利影响。
以下截图来自《信息安全技术个人信息安全影响评估指南》:


2022年11月1日实施的《信息安全技术移动互联网应用程序(App)收集个人信息基本要求》(以下简称“《41391》”),对于个人信息收集必要性,进行了更进一步的细化,是对过往执法经验和相关立法活动的经验汇总,值得参考。
二、判断数据出境必要性的参考维度及常见场景分析
(一)数据出境必要性的参考维度
如上分析,国家对数据出境的必要性提出了更严格的要求。结合实务经验,企业可以参考《信息安全技术数据出境安全评估指南》提供的“评估必要性框架”(即:合规差距评估、尽责性风险评估),结合下述6个维度,向监管部门论述数据出境的必要性。

维度

说明

1、法律法规

参考表1,同时结合相关行业的法律法规,进一步判断出境的必要性。其中“出境数据的范围、目的等最小化是判断必要性的重要考量。”例如数据出境是为了履行国家已签订的国际司法协助条约,向境外提供证据。

2、国家标准/行业标准

《41391》

区分了必要个人信息、非必要但有关联个人信息。其中必要个人信息,与基本业务功能、扩展业务功能的判断相结合。

《信息安全技术数据出境安全评估指南》

5.2.2.3 范围

应评估出境个人信息范围是否符合最小化原则:

向境外传输的个人信息应与出境目的相关的业务功能有直接关联。直接关联是指没有该信息的参与,相应功能无法实现;

向境外自动传输的个人信息频率应是与数据出境目的相关的业务功能所必需的最低频率;

向境外传输的个人信息数量应是与数据出境目的相关的业务功能所必需的最低数量。

5.2.3.3 范围

重要数据范围应符合最小化原则:

向境外传输的数据应与出境目的相关的业务功能有直接关联。直接关联是指没有该信息的参与,相应功能无法实现;

向境外自动传输的数据频率应是与数据出境目的相关的业务功能所必需的最低频率;

向境外传输的数据数量应是与数据出境目的相关的业务功能所必需的最低数量。

3、业务等所必需

《个保法》第38条提到了“业务等需要”。为此,如何让监管部门充分认识到业务所必需,如果不出境,这个业务就无法开展。这是需要充分考虑论证的。而对于“等”字的理解,需要结合实际情况予以说明。例如不是基于开展业务,而是基于慈善公益等,开展数据出境活动道德必要性需要论证。再如跨境电商需要将境内客户信息传送至海外商家和海外物流商,是该业务模式成功运作的前提。

4、行业实践/惯例

如果一个行业,较多企业都涉及同一数据出境场景,同一类数据出境,说明在行业内是较为通行的惯例。为此,可能数据出境通过的概率相对更高。但是如果个别企业的出境数量很多、类型很特别,不是行业主流,则也会引起监管的关注。

5、替代性分析

从成本、业务功能等维度,综合分析替代的不可行之处。例如跨国公司使用某云服务产品,虽然国内有其他类产品可替代,但考虑到更换IT架构等成本,使用境外产品对跨国公司运营仍具备一定的必要性。但是该维度具有较大局限性。

6、常识

常识也是数据出境必要性可以考虑的维度。


表2
综上六个维度中,我们认为对于数据出境必要性的判断,序号1至3是关键,序号4至6是对上述论述的进一步补充。
(二)常见数据出境场景的必要性探讨
实务中,不同数据出境场景下,是否该场景有出境必要性,以及该场景下数据出境的数量、类型、频率是否满足必要性要求,均需要逐一分析探讨。
行业 数据出境场景 数据出境是否必要(仅供参考,以监管部门意见为准)
跨境电商 海外商家收集境内消费者的收货地址
跨国员工 跨国公司境内子公司员工所有个人信息传至海外总部 有争议,需要结合处理目的分析数据出境必要性
汽车 将境内汽车内音视频资料,一律传至海外总部服务器存储
酒店 客户预定境外酒店

表3
三、结语
数据出境的必要性分析是数据出境安全评估工作中的重中之重,目前还没有类似个人信息收集必要性范围的详细指南或者指引,是目前实务中的难点。
企业在实务中应注意讨论个人信息收集的必要性与数据出境的必要性,是两个不同的场景,虽然内在逻辑具有一定的交叉,但是各自判断在维度上,仍然有所差异。在数据出境场景下,不管是基本功能,还是扩展功能下的数据出境,收集的合法性固然是判断前提,但是出境的必要性判断,则可以参考前面六大维度予以论述,特别是从“目的、范围、方式”的必要性、“业务等需要”的必要性、“对国家安全、公共利益、个人或者组织合法权益的影响”是否最低、可控(如基于特定目的之下的传输频率最小化、数量最小化),开展重点评估。如评估后,发现存在一系列问题,需要完全披露,并开展进一步整改工作,采取相关整改措施,确保满足上述数据出境必要性的要求,解除监管的顾虑,特别是就如何进一步降低数据出境高风险场景下的各类风险因素,避免对个人信息主体权益、国家安全等造成威胁,展开详细论述,提高数据出境安全评估的成功率。
最后,企业应做好数据出境安全评估无法通过的预案,避免因为数据出境安全评估被否,而影响业务的正常开展。而对于拟IPO企业来说,其IPO律师则需要一方面注意数据出境安全评估的数据法问题可能成为一个新的高频数据法问题,另一方面,则需要开始做好“核查验证方案设计”“尽调资料收集”以及“问题反馈思路整理以及补充法律意见书制作”的准备工作,并就拟IPO企业是否涉及数据出境场景、是否需要开展数据出境安全评估申报工作,以及申报被否后对自身主营业务的影响,相关应急预案是否配置等,予以充分说明,最大限度消除证券监管部门在企业IPO过程中的顾虑,避免IPO被否。
技术驱动法律,专业成就未来