数据出境安全评估系列文章(6):数据法角色对申报主体的影响及其建议

来源:北京植德律师事务所

文章摘要
观点摘要 01 准确认定数据法角色,事关申报主体的确定。 02 认定数据法角色,可以参考欧盟EDPB指南,按照五要素进行判断。 03 共同处理和委托处理,是实务中对数据法角色认定的难点问题。
观点摘要
01 准确认定数据法角色,事关申报主体的确定。
02 认定数据法角色,可以参考欧盟EDPB指南,按照五要素进行判断。
03 共同处理和委托处理,是实务中对数据法角色认定的难点问题。其中,受托人不能成为申报主体,是我国数据出境安全评估工作中的一大特点。
04 抽屉协议或者名不副实的协议,无法真正改变数据法角色,反而会带来较大的法律风险。
2022年9月1日,《数据出境安全评估办法》(以下简称“《办法》”)正式生效实施,其中第四条规定,“数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:…。”此处已经非常清楚表明数据处理者是申报主体。为此准确认定数据处理者,是确定申报主体的关键。
实务中,因为数据链路复杂,涉及多个主体参与,企业容易进入误区,无法准确识别申报主体,甚至把“受托人”纳入申报主体范围,可能导致安全评估无法通过风险,对本应开展数据申报主体也是一种风险。为此,除做好数据出境认定工作外,下一步则是进行法律分析,梳理数据出境过程中各参与方的数据法角色。
对此,本文从数据法角色认定的参考因素、申报主体确定以及“抽屉协议”带来的风险等角度,予以分析。
一、数据法角色认定参考因素
我国《个人信息保护法》第七十三条中明确定义,“个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。”而在《网络数据安全管理条例(征求意见稿)》第七十三条中,也明确了数据处理者的定义,即“数据处理者是指在数据处理活动中自主决定处理目的和处理方式的个人和组织。”两个定义基本上一模一样,其类似欧盟GDPR中的“数据控制者”的概念。而数据处理者对应的概念,则是受托人。这个概念在我国《个人信息保护法》没有专门进行定义,其类似欧盟GDPR中的“数据处理者”的概念,本质特征是受托人听从数据处理者的指令,完成相关受托事项。
GDPR下《数据控制者与数据处理者概念指南(2020)2.0版本》,其对判断数据控制者的角色,提出了五大构成要件,分别是“自然人、法人、公共机关、代理机构或其他主体”、“决定”、“单独或者与他人合作”、“目的和方式”、“个人数据处理”。五大构成要件中,“决定”是判断数据法角色的关键。
实务中,结合业务模式,企业通常会把数据存储到第三方供应商的系统,包括SaaS公司也会提供云存储的服务给B端客户。在该类型的数据处理模式中,往往B端客户是数据控制者,而SaaS公司或者云服务商是受托人。在整个业务模式中,受托人无法直接查看B端客户数据的,也无权决定处理该数据的目的。对于B端客户来说,其自身的C端客户数据,也是其基于前端页面,通过C端客户授权取得的,其是第一手的数据收集者,处理者。其基于其所提供的基本功能或者扩展功能的服务范围获得C端客户授权,决定具体的数据处理的目的和方式,而受托人并不直接面向C端客户,其仅仅是B端客户的服务提供者,按照B端客户的要求,完成数据的处理,受托人无法决定数据处理的目的和方式。
为此,建议在分析数据出境场景中,一定要回到数据链路中,追溯数据收集的起点,根据具体的业务逻辑,去判断数据处理者、受托人以及境外的数据接收者角色。切忌脱离商业实践想当然切断数据链路上的不同环节,人为构造所谓的数据法关系,否则易产生认定错误,导致后续申报被否的风险。
二、 申报主体的确定
(一)数据处理者才是申报主体,受托人不得作为申报主体
根据《办法》第四条将申报数据出境安全评估的主体限定为数据处理者,结合上述数据处理者的定义,只有数据处理者才能作为我国数据出境安全评估的申报主体是显而易见的。而受托人由于不可以独立决定数据处理的目的和方式,无法成为数据法意义上的数据处理者,从而不得作为申报主体申报安全评估。
其次,只有数据处理者才能作为申报主体,本身也符合我国《办法》中对整体数据出境安全评估风险控制的理念。从《个人信息出境标准合同规定(征求意见稿)》也可以看出,我国个人信息出境标准仅采取“C-C”和“C-P”两种模型,没有参考欧盟设置四个模型,即没有使用“P-P”或者“P-C”模型。同时,该规定也明确了境内的个人信息处理者的先行赔付责任。数据处理者作为我国境内出境的责任主体,有助于第三方受益人(个人信息主体)主张权利,也有助于监管部门对其开展检查、监督义务。如果境内的受托人作为申报主体,由于其本身在商业模式中需要听从数据处理者的指令,我国监管机构就难以通过其对数据出境活动予以监管,控制数据出境风险。
最后,受托人作为申报主体,难以落实对数据处理者的义务要求。例如,按照我国《个人信息保护法》的要求,一般个人信息出境需要完成个人信息安全影响评估,需要获得个人信息主体的单独同意。如果受托人作为申报主体,监管机构取得数据处理者的评估报告,督促数据处理者取得个人信息主体单独同意,均属于“间接方式”予以监管,不利于我国数据出境风险的整体把控。如果受托人可以成为申报主体,则大量数据处理者都可以通过委托处理的方式由他人“代为申报”,我国数据出境安全评估工作就会出现以“受托人”的方式来间接监管数据处理者的模式。这种间接监管模式,不符合当前基本的监管逻辑,无法切实要求数据处理者落实数据安全保护义务,也不能有效保障个人信息主体权益。
(二)多个数据处理者,谁才是申报主体
实务中,数据出境的场景较为复杂,涉及多个数据处理者,如何确定申报主体,是一大难点。
多个数据处理者 描述 申报主体
1. 集团内 例:集团层面与下属子公司使用统一系统,但是集团内下属子公司也会有自己独立的数据出境场景或者采购的相关系统。 建议统一系统用集团申报;下属子公司自身业务场景、特殊系统涉及出境,自行评估申报。
2. 与非关联公司之间 例:公司基于与外部非关联公司的合作,签署了《数据共同处理协议》,双方共同处理数据,并将数据传输到境外。 结合网信办咨询回复,应根据重要性原则,确定一个申报主体。
3. 多个数据处理者注册地点不一致 例:集团内部涉及共同处理数据的多个子公司分别在不同省市,如广东省、浙江省、江苏省等。 可以与所在地省级网信办咨询的前提下,确定一个可以接收材料的申报地点,进行完备性审核即可。
4. 公司内多个业务线之间 例:保险公司内部基于理赔,存在精算、再保等多个涉及数据出境的业务线。 描述清楚数据出境场景,内部不同业务线,需要结合数据收集场景,确保授权合法合规,符合正当性和必要性原则,对申报主体没有影响。但如保险公司分保给外资再保险公司,可能涉及再保险公司在境内分公司进行数据出境,境内保险公司与再保险公司分公司,是否需要共同作为申报主体,还需具体分析场景。

(三)境外直接收集境内个人信息的数据处理者如何进行申报
根据我国《个人信息保护法》相关规定,在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动满足相应情形时,同样适用《个人信息保护法》[1]。这意味着在境外直接收集境内个人信息达到个保法规定相应数量的,也需要依照个保法四十条[2]规定通过数据出境安全评估。
境外的个人信息处理者申报安全评估目前存在两个问题,第一,个保法规定的“达到国家网信部门规定的数量”具体是多少;第二是境外的数据处理者如何在境内申报,向谁申报。
第一个问题,根据日前浙江省网信部门对于相关申报问答的答复,明确了国家网信部门尚未公布《个人信息保护法》第四十条所要求的规定数量。但结合《数据出境安全评估办法》第四条第一款第二项规定的“关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息”申报情形,推定个保法中规定的数量也可能为100万人。因此,已经收集100万人以上个人信息的境外个人信息处理者应着手准备安全评估申报工作。

第二个问题,境外的个人信息处理者如何在境内办理安全评估申报,向谁申报?《个保法》第五十三条已要求境外的个人信息处理者在境内设立专门机构或者指定代表,负责处理个人信息保护相关事务。[3]结合本所就相关问题咨询网信部门的答复,境外个人信息处理者应由该专门机构或者指定代表办理安全评估申报,并确定专门机构或者指定代表所在地的省级网信部门为申报机关。
此外,还需要关注,相关自评估报告模板文件,可能不适用目前该情形,需要结合实际情况填写。该问题有待网信部门进一步回复。
三、小结
1. 因为数据处理者的身份认定,事关申报主体的确定,为此需要小心求证,核心是回到商业逻辑和场景中,而非简单以协议来判断数据法角色。
2. 实务中,如企业采取抽屉协议,规避数据法角色,将面临协议无效风险,且存在因为提供材料虚假,而直接在数据出境安全申报中被否的风险。以下是签署抽屉协议规避数据法角色的法律风险参考依据。

3. 建议企业应重视数据法角色的认定工作,把握区分数据处理者和受托人的核心特征,在多个数据处理者或者境内没有代表处或者专门机构的境外数据处理者,如何确定申报主体,也需要结合网信办的咨询、官方问答、商业模式以及重要性原则等,予以准确判断申报主体的身份。
[1] 《个人信息保护法》第三条第二款 在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:
(一)以向境内自然人提供产品或者服务为目的;
(二)分析、评估境内自然人的行为;
(三)法律、行政法规规定的其他情形。
[2] 《个人信息保护法》第四十条关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
[3] 《个人信息保护法》第五十三条本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。
技术驱动法律,专业成就未来