2022年9月1日,《数据出境安全评估办法》正式施行,开展自评估工作是数据处理者申报数据出境评估的关键环节,其中企业自评估包括个人信息保护影响评估和数据出境风险自评估,二者分别有哪些注意要点又该如何区别?企业自评估工作落地的制度流线应如何设计?
8月11日的直播课堂上,我们请到天达共和律师事务所合伙人叶鹏律师,针对企业数据出境自评估工作,进行了一场专题探讨。当晚叶律师的分享话题聚焦且有深度,我们据此整理成以下文稿,与你分享。
文末附:《数据出境法律与标准文件汇编(精准版)》,可自行领取。
目录
01 企业数据出境的自评估工作
02 企业自评估内容要点及注意事项的解读
03 自评估工作落地的制度流线设计以及建议
企业数据出境的自评估工作
(一) 数据出境涉及的自评估义务
自评估是指按照法律法规的规定或者程序上的要求,由企业自发开展的评估活动,主要包括PIA(以下简称“PIA”)和数据出境风险自评估(以下简称“风险自评估”)等。
1. 基本法律规定
当前立法主要涉及两个顶层的基本法律,一方面是《个人信息保护法》,作为规制个人信息处理活动的基本法律,针对个人信息处理者在相应个人信息处理活动之前,需要进行个人信息保护影响评估进行了明确规定,另一方面是《数据安全法》,规定重要数据处理者需定期开展风险评估。二者均为基本法律规定的自评估义务。
2. 规范性文件及推荐性标准
《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》(以下简称“《认证规范》”)、《个人信息出境标准合同规定<征求意见稿>》(以下简称“《标准合同》”)以及《数据出境安全评估办法》(以下简称“《评估办法》”)的出台再次明确了《个人信息保护法》及《网络安全法》中关于个人信息及重要数据出境的相关路径,其中也都涉及到了自评估内容。上述规范性文件及推荐性标准的陆续出台对于数据出境实操具有重要的指导意义。
(二) 不同的出境路径下的自评估义务
1. 安全评估
适用的数据对象包括重要数据以及个人信息两种类型,具体情形包括:数据处理者向境外提供重要数据;关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。相关处理者需要承担风险自评估或者风险自评估+PIA的义务。
2. 机构认证
机构认证主要适用于个人信息出境,具体情形包括:提供方和接收方同是跨国公司或者同一经济、事业实体下属子公司或关联公司以及《个人信息保护法》规制的境外个人信息处理者,相关处理者需要承担PIA的义务。
3. 标准合同
标准合同主要适用于个人信息出境,主要对象是除安全评估对象之外的其他个人信息处理者,相关信息处理者需要承担PIA的义务。
(三) PIA与数据出境风险自评估
PIA和风险自评估都是由企业自主发起,属自评估工作范畴,也是数据出境过程中的必经步骤。但两者存在一定的区别:
1. 适用场景不同
PIA除适用于个人信息出境,还适用于其他的个人信息处理的特定环节,而风险自评估主要针对的是出境这一适用场景,涉及到的数据除个人信息还有重要数据。
2. 法益倾向、评估内容不同
PIA更倾向于对个人信息主体权益影响这一内容的风险评估,确认对于个人信息主体权益是否有充分的保护,是否会造成不利影响。而数据出境风险自评估因其由监管部门主导,更多关注的是对国家及社会公众利益的影响。
3. 成果物是否需要提交
PIA的结果由企业自行保管,并要求至少保存三年。而风险自评估需要作为向相关的主管部门申请数据出境安全评估的申请资料,因此需要提交。
企业自评估内容要点及注意事项的解读
(一) PIA内容要点及注意事项
关于PIA的具体内容,目前可供参考的推荐性标准为《信息安全技术 个人信息安全影响评估指南》(以下简称“《PIA指南》”)。根据《PIA指南》的规定评估可从两个主要维度出发,一方面是对于个人权益影响的分析,分析个人信息处理活动对于个人权益的影响以及影响程度高低;另一方面则是对于安全事件可能性的分析,分析个人信息处理活动中能够采取的安全保护措施以及产生安全事件的可能性,通过这两个维度的综合评估,得出该项处理活动的风险级别。
1. 安全事件可能性
《信息安全技术 个人信息安全影响评估指南》对于风险源进行了划分,包括网络环境和技术措施,个人信息处理流程、参与人员与第三方以及业务特点和规模及安全态势等,同时对于风险源涉及的不同等级的可能性进行了列举描述。
2. 影响程度
针对个人主体权益影响方面,《PIA指南》给出的影响类别包括四项:限制个人自主决定权、引发差别性待遇、个人的名誉受损、个人人身财产受损,同时就每一类别的不同影响程度进行了举例说明。
3. 综合评估结果
《PIA指南》根据安全事件发生可能性的级别和个人权益影响级别,形成了风险等级矩阵,例如安全事件发生可能性级别高,同时个人权益影响程度严重的,最终风险级别即为严重。因此,确定风险等级后,个人信息处理者也可以通过采取安全保护措施降低安全事件发生可能性或通过其他方式减轻对于个人权益的影响的方法去控制相应个人信息处理活动的风险等级。
(二) 风险自评估内容要点及注意事项
1. 基本原则
风险自评估已成为数据出境的核心工作之一,作为数据出境安全评估的前置程序,其质量及完整程度将直接影响到后续安全评估能否顺利通过,对于具有数据出境需求的企业而言具有重要意义。风险自评估首要关注的是数据出境活动合法性、正当性和必要性的原则性问题。而对于数据出境的合法性、正当性、必要性的判断应当围绕出境主体、主营业务目的、以及境外数据接收方三个要素展开。
在风险自评估过程中,不同数据主体及境外数据接收方对于评估内容以及评估申报过程产生的影响是不同的。其中境外数据接收方是重点评估的内容之一,境外数据接收方及其所在国不同,将会直接影响风险自评估的内容及结果;在业务目的方面,不同业务目的将会导致数据处理活动以及合规完备性(合法、正当、必要)的差异,对于数据出境环节产生重要影响。因此,上述考察内容是风险自评估过程中极为重要的内容,不同组合最终将会对风险自评估的整体数量或者范围带来较大差异,企业应当在进行风险自评估工作之前进行较为清晰的梳理。
2. 注意事项
2.1. 数据处理活动
数据处理活动包括数据出境和境外接收方处理的目的、范围、方式、合法性、正当性和必要性。所谓合法,除了要符合法律法规的相关规定之外,还包括行业部门的具体要求,面对特殊行业监管要求,应当严格遵守并落实。特别是在必要性方面,企业应当避免盲目跟风,以所谓的行业通常做法衡量必要性的判断尺度,谨防超出必要限度处理个人信息的情况。
2.2 数据接收方
关于数据接收方的评估要点包括境外接收方需承担的责任义务、履行能力等内容。因此在风险自评估过程中需要掌握接收方在数据安全管理方面的制度建设情况,较为稳妥的方式即为要求境外接收方提供相应的安全管理制度及证明文件,以确保评估结果具有事实依据。同时还要关注境外接收方本身的数据使用目的和处理方式,以及其是否会在境外再传输或者是否会委托第三方处理,这也是风险自评估环节的一项重要内容。最后对于境外接收方的考察还应当考虑到其保障数据安全的管理和技术措施以及其所在地的法律环境和监管要求,这将为应对后续的安全评估提供较为有力的保障。
2.3出境风险
在出境风险方面,风险自评估的逻辑总体与PIA相类似,一方面需要从数据出境的规模范围等敏感程度去考虑对于合法权益带来的影响,只是其将范围从个人主体的权益扩大到国家安全、公共利益的更高维度。另一方面则是数据安全事件发生的可能性,通过两方面评估的结果综合确定风险等级。
需要特别注意的,当涉及到数据融合时,由于大数据融合后产生的衍生数据有可能构成重要数据,因此在风险自评估过程中,数据融合会对评估结果产生一定的影响,需要予以特别关注。
2.4法律文件
在法律文件方面,标准合同和法律文件既有联系又有区别,在安全评估环节,法律文件可能涉及到不同场景下的应用问题,所以并不能要求其一定采用标准合同形式,风险自评估过程中更关注的是其对于数据安全保护责任义务的约定是否明确。因此,法律文件在内容上更加自由,强调对于责任的划分,内容与标准合同基本一致,但在形式上可以更多样化。
(三) 行业监管规定对数据出境的影响
尽管《个人信息保护法》以及《数据安全法》共同组成数据安全保护基础法律架构,目前立法层面也在积极探索建立数据管理统一制度,但是行业监管要求仍值得关注。行业监管要求一方面可以影响数据处理活动合法性、正当性和必要性的判断,同时还会影响到数据是否属于重要数据的定性问题以及具体出境路径的选择。
根据《评估办法》,评估过程中涉及到具体行业的,网信部门可能根据申报情况组织国务院相关主管部门进行评估,因此行业规范性文件、推荐性标准、具体监管要求等对于数据出境安全评估也具有重要的指导意义。如《证券法》、《网络预约出租汽车经营服务管理暂行办法(2019修正)》、《关于加强自动驾驶地图生产测试与应用管理的通知》、《中华人民共和国人类遗传资源管理条例》对于数据以及个人信息出境的合法路径进行了行业层面的规制:



虽然《个人信息保护法》《数据安全法》《评估办法》等规范性文件在数据保护立法层面对于数据出境路径进行了明确,但仍然需要注意上述行业规定的特殊要求,企业有必要对于所处行业的监管要求进行谨慎的确认。
自评估工作落地的制度流线设计以及建议
(一) 自评估工作落地的基本制度要求
1. 数据分级分类管理
数据安全管理的基本要求之一是数据分级分类管理,按照数据分级分类的结果采取对应的措施才能起到有效的保护作用。由于数据出境管理的主要对象是重要数据和个人信息,因此企业在数据处理过程中首先需要进行数据类型的识别。换言之,数据分级分类管理制度属于入口性问题,也属于根本性的问题,既是数据合规工作的基础,也是数据出境工作的起点。
2. 个人信息与重要数据的识别
关于个人信息的识别,包括《个人信息保护法》《信息安全技术个人信息安全规范》对于个人信息的概念及范围都进行了较为明确的规定以及示例列举,识别难度较低,但是重要数据的识别则具有一定难度。首先,重要数据的重要性是指该数据对于国家安全和公众利益影响程度,而不仅仅是对于某一企业的重要程度。因此重要数据的识别由国家统筹协调发布规范性法律文件,再由各地区、各部门根据地区情况、行业特点确定重要数据的具体目录,细化重要数据的内涵和外延,从而指导具体的重要数据识别工作。
目前关于重要数据的识别,虽然已经发布了《信息安全技术重要数据识别指南(征求意见稿)》,但绝大部分地区与部门的细化识别标准仍然处于制定与研讨过程中。因此企业在进行重要数据识别过程中,首先需要参照法律法规的规定,以影响国家安全和公众利益为主要参考,结合自身情况形成自身的判断标准;在具体识别工作中,可以同相关行业主管部门进行进一步沟通和确认,也可由外部中介机构出具评估报告,为后续认定工作提供依据。
3. 金融行业数据分级分类的标准
在行业规范方面,金融行业已经逐渐形成了关于数据分级分类管理的较为完备的行业规制体系。
中国人民银行印发的《个人金融信息保护技术规范》根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别,并以举例的形式对三类个人金融信息进行了描述。
《金融数据安全数据安全分级指南》的分级标准包括了业务使用情况,遭到破坏的损害后果,同时将个人金融信息以及重要数据纳入了分级中。
(二) 自评估工作的配套制度建设
企业自评估工作在数据管理工作中具有着较为重要的地位,且无论是个人信息处理活动、重要数据处理活动还是数据出境活动,涉及自评估工作的重合与交叉内容较多,需要进行动态管理常态追踪,因此相应配套制度的完善对于数据自评估工作具有着十分重要的意义。
1. 档案管理制度。
自评估工作相关的评估资料、评估结果以及自评估过程的表单记录等都需要进行妥善留存,与之相关的查阅、复制、销毁等环节也应当进行严格管理。因此,企业可以根据实际情况建立与自评估工作相关的档案管理制度,以应对评估资料、评估结果的留存备查需求等。
2. 数据合作伙伴清单管理制度
数据合作伙伴包括但不限于境外接收方、受托处理者等,在自评估工作中属于重要评估内容之一,应当纳入企业常态化管理当中。建立数据合作伙伴清单管理制度,包括但不限于对数据合作伙伴的资质以及数据安全保护能力进行评级建档,并根据开展数据出境活动过程中的表现对数据合作伙伴的级别进行调整,必要时可以建立黑白名单制度,为今后的自评估工作提供便利以及参考。同时也能够在发生安全事件或监管处罚时迅速应对。
3. 数据清单管理制度
当前数据已经成为重要的生产要素之一,融入到了企业运营、生产、管理的方方面面。因此数据以及数据处理活动随着企业的运营活动处于动态调整的过程。数据清单管理制度的建立有利于企业的数据管理责任部门准确掌握公司数据资产情况,能够及时根据公司运营活动对数据资产台账进行更新,从而更高效地对数据出境路径以及相应自评估要求进行更新。
(三) 自评估工作的流线设计
1. 数据安全管理负责人
自评估工作除了依赖于相关基本制度以及配套制度,更离不开管理组织架构以及高效的工作机制来辅助制度的落实。因此对于数据管理人员岗位以及管理流线的设计就显得至关重要。
其中,首要问题是确定数据安全管理各方面的责任人。虽然《个人信息保护法》、《数据安全法》等法律法规均要求企业明确数据安全主要责任人,但对于任职要求、职位职级、管理机制都没有明确规定。但另一方面行业监管领域《金融数据安全 数据生命周期安全规范》对于金融行业的数据管理架构给出了较为明确且严格的构建指引。因此,企业应当结合法律法规规定及行业监管要求,尽快明确内部数据安全管理的责任人、组织架构以及工作机制。
2. 部门分工流线设计
数据出境活动是一项综合性工程。数据本身作为企业的重要生产资料,渗透到企业经营活动的方方面面,同具体业务活动直接嵌套。因此作为系统性工程的一部分,自评估工作也需要企业各相关部门共同参与。例如,根据评估内容的不同方面,可能需要数据处理业务部门、信息技术部门以及法务风控等多部门共同参与,并对于评估内容进行针对性调整,从而保证评估结果的准确性。
3. 审批基本原则
根据上述流线设计的思路,自评估工作需要各部门分工合作,对各自参与度较为深入的部分发表评估意见,最终确认评估内容及相应的结果。但对于自评估的最终结果的审批,应当由数据安全管理部门等上层部门确认。在自评估审批过程中,需要坚持行业要求同管理需求相结合的基本原则,在符合法律法规规定以及行业监管要求的前提下,设置符合公司实际管理情况的审批程序。既可以由数据安全管理部门集中审批,也可以根据自评估工作的分工由数据安全管理部门统筹相关部门进行审批。
本文聚焦企业数据出境自评估工作,从理论、实务和工作流线设计三个层面围绕自评估工作的重难点问题做了详细研判,并为企业提供了高效落地的合规评估的优化建议,以期赋能企业防范数据出境安全风险,保障数据依法有序自由流动。
企业如何做好数据出境的自评估工作
作者:叶鹏来源:iLaw合规

2022年9月1日,《数据出境安全评估办法》正式施行,开展自评估工作是数据处理者申报数据出境评估的关键环节,其中企业自评估包括个人信息保护影响评估和数据出境风险自评估,二者分别有哪些注意要点又该如何区