导言
随着《数据出境安全评估办法》《个人信息保护认证实施规则》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》的公布,由《个人信息保护法》第三十八条确定的数据出境路径的实践脉络已经越发清晰,可以判断,数据出境合规是企业开展国际业务必须面对的课题。
我们一直专注于网络法实务,特别是数据合规实务工作,在日常为各大企业提供合规服务的过程中,亦遇到各类新型的值得探讨的问题。为了方便实务,让数据出境需求者能够尽快的熟悉、理解我国关于数据出境的各项法律要求与规定,我们计划以前述规定为基础,对我国数据出境有关的法律问题进行一个全方位的解读,一方面对数据出境相关的法律法规进行分析,另一方面也就日常工作中遇到的高频出境问题进行总结。
报告全文获取方式:跨境无忧,合规先行|《数据出境100问》PRO版重磅发布:您的全球合规导航手册
我们热切地期待与各位同行朋友深入探讨各种新型问题,有任何数据合规实务需求与问题探讨,请随时联系王捷律师团队,联系方式见文末。
更新说明
本文章的V1.0版本更新于2022年7月,彼时《个人信息出境标准合同办法》仍在征求意见稿阶段,《数据出境安全评估办法》亦刚刚发布。
在本次2024年4月的更新中,本专题补充了个人信息保护认证、粤港澳大湾区标准合同、境外个人信息跨境传输部分,根据《促进和规范数据跨境流动规定》、《数据出境安全评估申报指南(第二版)、《个人信息出境标准合同备案指南(第二版)》的最新规定进行了更新,对原有部分,包括数据出境关键概念剖析、数据出境安全评估、个人信息出境标准合同等部分,均进行了更新或更正。
系列预告
本系列文章将分为以下七部分,将在本公众号持续更新。
第一部分:数据出境关键概念剖析
第二部分:数据出境安全评估高频问题与适用解读
第三部分:标准合同高频问题与适用解读
第四部分:粤港澳大湾区(内地、香港)个人信息跨境流动标准合同
第五部分:个人信息保护认证高频问题与适用解读
第六部分:数据出海实践关键问题与海外SCCS要点对比
第七部分:境外个人信息跨境传输
本篇是第一部分内容,主要就部分数据出境的关键概念进行梳理和解读。
第一部分:数据出境关键概念剖析
很多看似非常难解答和处理的问题,并非问题本身,更多是基础概念没有真正理解到位。在日常为各大企业提供数据合规法律服务的过程中,我们经常遇到各项要素交织在一起的复杂情况,解决问题的关键之一,是对基础概念进行准确理解,并识别出待解决问题的真正核心。下面主要就部分数据出境的关键概念进行梳理和解读。
Q1:我国的数据出境制度包含哪些法律文件?
在法律层面,涉及数据出境制度的法律文件有《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等。
为了进一步落实上述法律中规定的数据出境制度,国家网信办于2022年7月7日公布了《数据出境安全评估办法》,自2022年9月1日起施行。2022年11月4日,国家网信办联合国家市场监督管理总局公布了《关于实施个人信息保护认证的公告》。2023年2月22日,国家网信办公布了《个人信息出境标准合同办法》,自2023年6月1日起施行。2024年3月22日,国家网信办公布《促进和规范数据跨境流动规定》,对数据出境安全评估、个人信息保护认证、个人信息出境标准合同等数据出境制度做出了调整,旨在进一步促进数据有序跨境流动,释放数据价值。
伴随着《促进和规范数据跨境流动规定的发布》,国家网信办还公布了《数据出境安全评估申报指南(第二版)》《个人信息出境标准合同备案指南(第二版)》等文件,对申报安全评估以及标准合同备案进行了具体规定。
除此之外,为了促进粤港澳大湾区个人信息跨境安全有序流动,国家互联网信息办公室联合香港特区政府创新科技及工业局于2023年12月10日发布了《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》,对粤港澳大湾区通过标准合同的方式进行个人信息跨境传输做出了特别规定。
除了以上规定,部分场景下或部分行业的数据出境有特别的规定,如依据《数据安全法》第三十六条和《个人信息保护法》第四十一条规定的所有向外国司法或者执法机构提供境内存储的包括个人信息在内的数据的行为(司法协助场景),应当经国内主管机关批准;根据《中华人民共和国人类遗传资源管理条例》规定的对外提供人类遗传资源信息时的安全审查或备案;以及《保守国家秘密法》规定国家秘密以及国际秘密载体的受到严格出境限制;特殊行业的数据出境限制及禁止性规定。
Q2:“数据出境”对什么类型的“数据”进行出境监管?
根据《中华人民共和国数据安全法》的定义,数据是指任何以电子或者其他方式对信息的记录。但是,在“数据出境”监管场景下,并非所有数据出境都会落入有关数据出境的法律法规的监管范围中,故识别数据出境场景,首先需要明确目前我国对什么类型的数据进行出境监管。目前受到出境监管的数据类型包括以下类别:
01、依据《安全评估办法》第二条的规定,适用数据出境安全评估的数据包括重要数据以及个人信息。根据《个人信息出境标准合同办法》第二条的规定,适用个人信息出境标准合同的数据为个人信息。根据《认证实施规则》中的“适用范围”,适用于个人信息保护认证的数据为个人信息。
02、此外依据《数据安全法》第三十六条和《个人信息保护法》第四十一条规定,所有向外国司法或者执法机构提供境内存储的包括个人信息在内的数据的行为(司法协助场景),应当经国内主管机关批准;依据《人类遗传资源管理条例》第二十八条的对人类遗传资源信息对外提供的安全审查或备案的要求;以及《保守国家秘密法》规定国家秘密以及国际秘密载体的受到严格出境限制等等。
03、此外,依据部分行业(如汽车、金融、医疗等行业)的特殊规定,也存在数据出境限制或禁止规定。
Q3:如何判断是否涉及处理“个人信息”?
根据《个人信息保护法》第四条,“个人信息”指“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”,一般情形下对于何为“个人信息”是比较明确的,依据国家标准《个人信息安全规范》的“附录A(资料性附录)个人信息示例”,识别个人信息应当考虑两种方式,一是“识别”,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人。二是“关联”,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。
识别个人信息的场景中,较为困难的是何为“匿名化处理后的信息”,实务中有较多的企业会认为自身已经对个人信息进行了所谓的脱敏或匿名化处理,从而认为该类数据不再属于“个人信息”的范畴,实则我国监管对于“个人信息”的定义是比较宽泛的,当该类数据能够与任何其他数据结合识别出特定自然人,则其仍然属于个人信息的范畴,只有真正被匿名化处理过的数据,才不属于个人信息。
此外,在实务中,会经常出现有大量看似不是“个人信息”的业务数据,在判断此类数据是否属于“个人信息”时候需要特别注意识别,在出现有可能识别到特定个人的情况下,建议倾向按“个人信息”的标准对待和处理。
Q4:何种数据属于“重要数据”,以及如何判断自身业务涉及“重要数据”?
根据《安全评估办法》、《数据分类分级规则》,重要数据包含以下定义:
01、特定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。(《数据分类分级规则》)
02、一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。(《数据出境安全评估办法》)
以上可总结“重要数据”的特点是:一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全,即,重要数据的安全将对整个社会或国家的利益和福祉产生重大影响,此外“重要数据”的识别需结合具体场景、时间、行业规模等要素,同一种数据在不同时间节点、规模以及场景维度下会发生定性变化。
在实践中,诸多企业对于自身向境外提供的数据是否落入“重要数据”的范畴是比较模糊的,这为企业判断自身是否需要申报安全评估带来了困难。于2024年3月发布的《数据跨境流动规定》很大程度解决了企业的这一难题,根据该规定,未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。我们理解,重要数据的认定工作,未来将会由相关部门、地区等的主管(监管)部门承担,这将很大程度为企业降低负担,但企业仍需要关注相关部门或地区公布的重要数据目录。
Q5:如何判断公司业务行为与场景是否属于“数据出境”?
数据出境的概念早在2017年版的《个人信息和重要数据出境安全评估办法(征求意见稿)》曾给出过解析:网络运营者将在中国境内运营中收集和产生的个人信息与重要数据,提供给位于境外的机构、组织、个人。后根据2022年9月施行的《数据出境评估办法》第二条,“数据出境”是指“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息”。
《安全评估办法申报指南》中对于“数据出境行为”进行了罗列:
01、数据处理者将在境内运营中收集和产生的数据传输、存储至境外。
02、是数据处理者收集和产生的数据存储在境内,但境外的机构、组织或者个人可以查询、调取、下载、导出。
03、符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他数据处理活动。
实践中较为常见的数据出境行为,根据过往的项目经验,至少包括以下几种常见的数据出境行为:
*01、数据传输至境外
场景示例:某境内在线零售平台与境外支付服务提供商合作,境内消费者在该平台购物后选择使用国际信用卡支付。在交易过程中,消费者的支付信息和交易数据被传输至境外支付服务提供商进行处理和结算,以完成跨境支付。
*02、数据存储至境外
场景示例:一家境内企业采用境外的SaaS(SoftwareasaService)软件来管理其销售业务。该SaaS软件提供商位于境外,境内企业在SaaS软件上上传或提交销售数据和客户信息等,销售数据和客户信息将传输至位于境外的SaaS软件提供商进行处理(包括但不限于存储),以实现该境内公司的销售业务的管理和分析。
*03、境外查询、调取、下载、导出境内数据
场景示例:一项国际性的医学研究项目中,中国的大学作为合作方之一,收集了大量的患者医疗数据,在项目合作过程中,境外的科研机构需要通过特定系统访问或查询这些数据进行进一步的分析和研究。
企业在判断公司业务行为是否属于“数据出境”的时候,需要注意以下内容:
01、判断自己是否是我国《数据安全法》中的“数据处理者”(以及判断是否是我国《个人信息保护法》中的“个人信息处理者”);
02、该等数据是否是在“境内运营过程中”收集和产生的;
03、企业的行为是否有涉及“向境外提供”,或被境外“查询、调取、下载、导出”的情形,或者符合《个人信息保护法》第三条第二款情形,存在在境外处理境内自然人个人信息等其他数据处理活动。
Q6:如何理解《个人信息保护法》第三条第二款的情形,在境外处理境内自然人个人信息等其他处理活动,构成个人信息出境行为?
《安全评估申报指南》和《标准合同备案指南》两份文件的第二版出台之前,业内有观点认为《个人信息保护法》第三条第二款的行为不适用数据出境路径,原因在于落入该情形的境外个人信息处理者直接受《个保法》管辖,若境外个人信息处理者未向中国境外的其他个人信息处理者提供个人信息,那么并不涉及“个人信息出境”。
但目前,根据2024年3月发布的《安全评估申报指南》第二版及《标准合同备案指南》第二版,“符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他个人信息处理活动”已被明确为个人信息出境行为,若未落入豁免数据出境前置程序的情形,则境外个人信息处理者需根据具体情形申报安全评估、签订标准合同或通过保护认证。
Q7:如何准确识别企业行为是否涉及“境内运营”?
“境内运营”是一个经常出现在各个规定、办法、指南中的常见概念,也是我们研究“数据出境”行为的常见概念。根据《2017年信息安全技术数据出境安全评估指南(征求意见稿)》中的规定,“境内运营(domesticoperation)”是指,网络运营者在中华人民共和国境内开展业务,提供产品或服务的活动。
Q8:没有在中国境内注册,但是在境内开展业务,或向境内提供产品或服务的,是否属于境内运营?
解决难题的关键点在要看到问题的实质。结合前问,判断是否属于“境内运营”,不以是否在境内注册为判断依据,如果没有在我国境内注册的网络运营者,但在我国境内开展业务,或向中华人民共和境内提供产品或服务的,仍然属于境内运营。
判断是否“在我国境内开展业务,或向我国境内提供产品或服务的实务因素”,则包括但不限于:是否以为我国境内居民提供产品或服务为目的,提供产品和服务的过程中是否使用了中文;是否提供了可以用人民币作为结算货币的选项;是否提供了有向中国境内配送物流的服务等等。
Q9:如何正确识别“数据出境”中“出”的动作含义?
数据同一般有形实物不同,存在多种“出”的方式,包括将数据存储在U盘中携带出境;通过电子邮件发送数据;数据在云服务器之间传输;境外人员远程访问境内服务器查看、处理数据。
在实务中,存在较多疑问的场景集中在“境外人员远程访问境内服务器查看、处理数据”是否属于数据出境场景上,我们可以通过对“出境”这一基础概念的剖析和理解进行解答:虽然在本场景中,数据并没有实质发生物理转移出境的动作,但是,基于数据与有形实物的区别,数据本就以可观察的、电子形式进行存储,当数据受到境外机构或人员的查看、处理甚至导出时,已经属于实质上的数据出境行为。《安全评估申报指南(第二版)》中对于数据出境行为的规定亦确认了“远程访问”属于数据出境行为。
Q10:如何理解数据出境的“境”?
我们常说的“出境”和“跨境”,不仅是指数据存在物理上跨越国境的行为,更是指从一个司法管辖区域到另一个司法管辖区域的行为,而其中司法管辖区域是既包括独立主权的国家,也包括具有司法独立主权的地区。
经常有客户咨询,中国大陆企业向香港、澳门、台湾地区传输数据,是否属于出境的行为。当我们对“境”有一个更准确的理解时,该问题便能轻松解决。
01、中国大陆与香港、澳门、台湾地区分别属于不同的司法管辖区域;
02、在《中华人民共和国出境入境管理法》第八十九条中曾有对“出境”进行定义,根据规定,出境是指中国内地前往其他国家或者地区,由中国内地前往香港特别行政区、澳门特别行政区,由中国大陆前往台湾地区;
03、当企业将中国内地/大陆境内收集和产生的重要数据和个人信息向香港、澳门、台湾地区传输时,属于数据出境行为。
Part1:数据出境关键概念剖析
作者:王捷律师团队来源:出海互联网法律观察

导言 随着《数据出境安全评估办法》《个人信息保护认证实施规则》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》的公布,由《个人信息保护法》第三十八条确定的数据出境路径的实践脉络已经越发清晰,