前言
在全球化背景下,一方面数据跨境流动是企业的刚需;另一方面,随着我国数据出境监管体系日趋严格,数据出境合规已成为企业必须面对的重要课题。对于触发出境评估的数据出境活动,企业应如何开展申报工作?随着网信办评估工作的陆续展开,有哪些最新监管要求和最佳实践值得借鉴?适用标准合同的数据出境应注意哪些关键问题?个人信息保护认证的出境路径是否已经落地?本文将结合最新行业实践详细拆解数据出境三大路径的方法以供参考。
壹 数据出境三大路径的法律渊源
对于个人信息和重要数据出境的法律渊源最早可追溯到2016年11月7日出台的《中华人民共和国网络安全法》(以下简称“《网安法》”),根据《网安法》第37条,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”(以下简称“网信部门安全评估”)。
2021年6月10日出台的《中华人民共和国数据安全法》(以下简称“《数据安全法》”)重申了关键信息基础设施运营者的重要数据出境应经评估的要求,并为出台其他数据处理者的重要数据出境监管制度提供了原则性规定,扩展了《网安法》数据出境安全评估制度的范围。
2021年8月20日出台的《个人信息保护法》就个人信息出境提供了三个路径:网信部门安全评估;“按照国家网信部门的规定经专业机构进行个人信息保护认证”(以下简称“认证路径”);和“按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务”(以下简称“标准合同路径”)。认证路径和标准合同路径适用于不触发国家网信部门安全评估的个人信息出境活动。
2022年7月7日,国家互联网信息办公室(以下简称“国家网信办”)发布《数据出境安全评估办法》(以下简称“《评估办法》”)。《评估办法》整合了《网安法》《数据安全法》及《个人信息保护法》中关于重要数据和个人信息的数据出境安全评估要求,确立了统一的评估实施细则。
2022年11月4日,国家市场监督管理总局和国家网信办发布了《个人信息保护认证实施规则》(以下简称“《认证实施规则》”)作为个人信息保护认证的基本规则,《认证实施规则》中明确《网络安全标准实践指南 ——个人信息跨境处理活动安全认证规范(第二版)》(以下简称“《认证规范V2.0》”)为开展跨境处理活动个人信息处理者适用的认证依据。
2023年2月24日,国家网信办正式发布了《个人信息出境标准合同办法》(以下简称“《标准合同办法》”)及附件《个人信息出境标准合同》(以下简称“《标准合同》”),至此,中国法下数据出境的三大合规路径正式有了落地的实施方案。
除上述数据出境合规路径之外,企业的数据跨境传输活动还可能同时会触发其他的审批程序。例如,根据《网络安全审查办法》第二条,企业的数据出境活动影响或者可能影响国家安全的,应按照该办法进行网络安全审查;此外,根据《数据安全法》第三十六条,向外国司法或执法机构提交证据材料,应经主管机关审批。
贰 路径一:数据出境安全评估申报要点
《评估办法》从主体、客体、数量等方面规定了触发数据出境安全评估(以下简称“安全评估”)的条件(以下简称“触发条件”),具体包括:(1) 出境数据中含有重要数据;(2) 数据处理者为关键信息基础设施运营者(以下简称“CIIO”);(3) 数据处理者为处理100万人以上个人信息的数据处理者;(4) 自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者;(5) 国家网信部门规定的其他需要申报数据出境安全评估的情形。
须注意的是,安全评估是法律的强制要求。企业一旦达到触发条件,则必须开展安全评估,不存在所谓数据出境路径选择的问题。
(一)如何判断是否需要申报数据出境安全评估?
1、如何计算累计出境数量?
就重要数据出境来说,根据《评估办法》,只要出境数据涉及重要数据的,则无论实际出境数量多少,即触发出境安全评估。
就个人信息出境,对于既非CIIO,也非处理个人信息数量达到100万人次的数据处理者而言,判断是否触发出境安全评估,需要计算其“自上年1月1日”起累计的个人信息及敏感个人信息的出境数量。企业在计算累计出境数量时,应特别关注如下问题:
(1) 去重:实践中,有些企业通过不同途径收集个人信息,并建立了不同类别的会员体系,其中不乏相同数据主体横跨多个会员体系的情况。由于触发条件中规定的出境数量门槛是按人数计算,因此数据处理者应对此进行去重处理。上海网信办在公开的相关书面工作问答[1]中还进一步强调,数据处理者应在申报材料中明确标注对出境涉及自然人数量是否去重;
(2) 起算时间点及计算周期:根据《评估办法》,累计出境数量的起算点应为“上年1月1日起”。但考虑到《评估办法》于2022年9月1日正式生效,而其作为部门规章并不具有溯及力[2],因此,如数据处理者在2022年9月1日之前数据出境活动已经完成,之后不再开展数据出境活动,则即使自2021年1月1日起算,其累计出境数量已达到触发条件规定的门槛,数据处理者仍无需进行申报,这一理解也在浙江省网信办公开的书面工作问答中得到验证[3];
此外,在计算周期上,我们理解,采用动态统计方式计算累计出境数量更为合理。若企业自上年1月1日起至本年度年中累计的出境数量已达到触发条件规定的门槛,则出境安全评估即已触发,企业应着手进行申报而不应等到当年年底;除不定期的动态统计外,企业应在每年年底定期对自上一年1月1日起累计出境的个人信息数量进行计算,并对自当年1月1日起和下一年度拟出境的个人信息数量进行预估,以判断是否已触发出境安全评估以及未来触发出境安全评估的可能性。
2、如何判断出境数据是否属于“重要数据”?
与CIIO主要取决于有关保护工作部门的认定结果不同,在出境安全评估语境下,尽管目前多数行业和地区主管部门并未公布重要数据目录和识别规则,但数据处理者仍应首先对出境数据是否为重要数据自行进行识别和判断。若届时企业出境数据被认定含有重要数据而数据处理者并未按法律要求申报出境安全评估的,数据处理者以重要数据目录尚未出台为由应不构成有效抗辩。
在现有法律规则下,企业该如何判断出境数据是否属于“重要数据”?首先,从法律定义上,《评估办法》将“重要数据”定义为“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。”企业可依照该法律定义,结合其所在行业、数据内容的敏感程度、数据泄露或篡改后发生的损害后果进行综合分析。此外,有地方网信部门(包括江苏省网信办和海南省网信办等)在发布的出境安全评估申报工作指引中对“重要数据”的范围进行了界定[4]。如数据处理者所在行业未有相关规定,数据处理者可参考这类标准进行判定。
截至目前,多数行业和地方主管部门仍未制定明确的重要数据目录,但在部分地区及数据规模和敏感程度较高的行业,有关部门已着手探索重要数据识别规则的制定,并有初步成果。例如,《汽车数据安全管理若干规定》中已列举了属于重要数据的具体数据种类;此外,上海市通信管理局已审核确定上海市电信和互联网行业首批重要数据和核心数据目录,并按规定报送工业和信息化部。但截至本文发布之日,该目录尚未对外公布。企业应密切关注与跟踪所在地及所在行业主管部门对于重要数据认定规则及目录的最新进展,并结合最新立法变化对企业出境数据情况进行定期盘点和检视。
(二)开展自评估需要特别注意哪些问题?
1、自评估报告对于数据出境场景的披露需要细化到什么颗粒度?
根据《申报指南》提供的自评估报告模版,数据处理者需要在自评估报告中说明数据出境涉及业务和信息系统情况、拟出境数据情况、数据处理者数据安全保障能力情况等。根据我们的实务经验,目前监管部门对于自评估报告事实的披露有较高的颗粒度要求。
例如,在说明拟出境数据情况时,数据处理者需详细说明数据全生命周期管理情况(包括拟出境数据具体以何种方式收集、存储在哪一系统平台和数据中心、将以何种方式使用等),并建议以数据流(data flow)示意图的方式清晰展示数据在各信息系统和不同主体间的流向;此外,在描述数据出境涉及信息系统时,数据处理者应充分披露相关技术细节,包括系统名称、开发者和运维方名称、版本号、信息系统部署位置等;在说明数据出境涉及业务时,数据处理者需要详细解释业务流程的具体步骤及每一步骤分别所需要收集和使用的具体个人信息,并说明开展这一业务的理由,从而佐证数据目的的合法性、正当性、必要性。
此外,由于自评估报告整体体量较大,为帮助监管部门能更方便地阅读和理解自评估的报告内容,自评估报告可采取图文结合的形式,以可视化图表说明数据流、信息系统架构及业务流程等信息。
2、如何进行合法性、正当性和必要性评估?
根据《申报指南》的自评估报告模版要求,数据处理者需要在自评估报告中说明数据出境及境外接收方处理数据活动的合法性、正当性和必要性。
“合法、正当、必要”是《个人信息保护法》确立的个人信息处理基本原则,也是《评估指南》自评估报告中列出的评估项。然而,对于如何界定这三者的具体内涵,现行法律法规并未给出确定的答案和量化标准,不过相关国家标准及其制定过程文件(包括《信息安全技术个人信息安全规范(GB/T35273—2020)》及《信息安全技术数据出境安全评估指南(征求意见稿)》等)提供了较为细化的评估要点。企业开展自评估时,可借鉴上述标准,具体而言:
“合法性”的判断通常需考虑:(1) 出境标的方面:出境标的本身未被国家法律法规或监管部门明令禁止出境;(2) 出境程序方面:对于个人信息,已取得个人信息主体同意或具有其他处理个人信息的合法性基础;对于个人信息及其他数据,满足国家规定的数据出境前置性程序要求(例如个人信息保护影响评估、主管机关审批(如适用))。
“正当性”通常指这类个人信息处理活动的处理目的及处理方式是否合理,具体判断标准可以包括:(1) 数据出境及境外接收方处理数据应当具有明确、特定、合理的目的,且使用形式和程序正当;且 (2) 不存在故意隐瞒收集使用数据真实目的或向相关数据主体披露的收集目的与数据处理者和境外接收方真实目的不一致的情况;且 (3) 处理数据所采用的方式方法符合社会公众对数据处理者所属行业的一般期待以及公序良俗要求。
“必要性”通常指为满足数据处理目的而开展的数据处理活动应符合“最小必要”原则,具体要求通常包括:(1) 数据处理活动应为履行合同义务所必需或履行法定义务所必需或同一机构、组织内部开展业务所必需;(2) 向境外传输及嗣后处理的个人信息应与相关业务功能有直接关联,即没有该等信息的参与,相应功能及业务目的无法实现;(3) 向境外传输及嗣后处理数据的频率应是实现相关业务功能所必需的最低频率;(4) 向境外传输的数据数量应是实现相关业务功能所必需的最少数量。企业在评估数据处理活动时应关注出境的数据类型和数量与企业相关业务之间是否可以建立必要性。
3、如何在自评估报告中描述境外法律环境?
根据《申报指南》提供的自评估报告模版,数据处理者需要详细说明“境外接收方所在国家或地区数据安全保护政策法规和网络安全环境情况”。《申报指南》并未对阐述的要点和方向作具体规定。企业可参考上文提及的国家标准及制定过程文件,从如下方面进行阐述:

为保证上述说明的准确性和可靠性,在有条件的情况下,数据处理者可考虑由境外接收方所在地法域律师对此出具专门法律意见。
(三)数据出境风险自评估与PIA的关系

(四)是否可以直接提交标准合同作为个人信息出境相关法律文件?
在实践中,监管部门对于以《标准合同》为基础而制定的法律文件认可度较高,但需注意的是,首先,《标准合同》仅针对个人信息出境的情况,如企业涉及重要数据出境,则需在合同中就重要数据补充相应条款;同时,《标准合同》并未涵盖《评估办法》第九条所列的全部内容,例如《标准合同》中并没有专门条款说明境外接收方处理数据的用途、方式,也未要求境外接收方在合同明确若“实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全”时,应当采取的安全措施。如缺失这些条款,则法律文件的完备性易受到监管部门挑战。企业可以《标准合同》为基础,并按照《评估办法》要求补充约定相应条款。
叁 路径二:个人信息保护认证制度的实施现状
2022年11月4日,国家市场监督管理总局、国家互联网信息办公室联合发布《关于开展个人信息保护认证工作的公告》(以下简称“《认证公告》”)及所附《个人信息保护认证实施规则》(以下简称“《认证实施规则》”),标志着我国个人信息保护认证制度正式建立。《认证实施规则》明确,个人信息跨境处理活动属于个人信息保护认证的范围。
除《认证实施规则》外,开展跨境处理活动的个人信息处理者还应当符合最新版TC260-PG-20222A《个人信息跨境处理活动安全认证规范》(以下简称“《认证规范》”)的要求。相较标准合同路径,《认证规范》不仅要求个人信息处理者与境外接收方签订法律文件并开展个人信息保护影响评估,同时还要求个人信息处理者和境外接收方指定个人信息保护负责人、设立个人信息保护机构,并建立个人信息处理者和境外接收方共同适用的个人信息跨境处理规则。可见,认证方式可能给个人信息处理者带来更高的合规要求。
在认证流程方面,根据《认证实施规则》,个人信息保护认证流程包括认证委托、技术验证、现场审核、认证结果评价和批准、获证后监督五个主要环节。认证证书有效期为3年。
而对于认证机构,截至目前,《认证实施规则》《认证规范》或其他书面文件尚未指明具体的认证机构或认证机构名录。但为《认证规范》制定提供技术支持的中国网络安全审查技术与认证中心(以下简称“CCRC”)近日在其官网发布了个人信息保护认证申请书及“个人信息保护认证申办系统”,经电话匿名咨询网信部门,CCRC或为首个获得授权开展个人信息保护认证的机构。
参考CCRC官网发布的《个人信息保护认证申请书》及《认证规范》,申请认证需要准备的材料包括:申请方法律证明文件(包括营业执照/法人证书复印件、每个场所的法律地位证明文件,如房租合同或产权证明),自评价表及相关证据材料、业务流程及描述、组织机构图或职能表述、数据目录、其他补充材料。同时,CCRC工作人员在公开文章中说明[5]认证时限一般为70个工作日(不包括整改时间)。
肆 路径三:个人信息出境标准合同关键问题
《标准合同办法》对于能够采取《标准合同》实施个人信息跨境的主体范围进行了界定,包括:(1) 非关键信息基础设施运营者;(2) 处理个人信息不满100万人的;(3) 自上年1月1日起累计向境外提供个人信息不满10万人的;(4) 自上年1月1日起累计向境外提供敏感个人信息不满1万人的。个人信息处理者必须同时满足上述四项条件,才能适用标准合同路径。同时,《标准合同办法》第四条也进一步强调了数据出境安全评估与标准合同的区别,明确禁止个人信息处理者采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。
(五)如何确定标准合同的签约主体?
就境内签约主体来说,若集团企业在中国境内有多个实体的,为区分不同实体各自开展的数据出境活动,建议每个实体单独与境外接收方签订标准合同并进行备案。
就境外签约主体而言,可能同时存在多个接收方,也可能存在境外接收方在境外再行委托处理或再传输的情况。实践中,可能存在有的境外接收方不愿意成为签约主体的情况。在此情况下,则需要调整境外接收方的数据处理流程,将一对多的数据出境活动调整为一对一再对多的数据出境活动。
(六)标准合同是否可以补充?
《标准合同办法》第六条规定,标准合同应当严格依照《标准合同办法》附件订立。实践中,部分条款(如争议解决方式、对个人信息主体权利的保护方式)可能面临来自境外接收方的较大阻力,建议尽早与境外接收方就合同条款进行协商沟通。
在标准合同基础上,《标准合同办法》允许个人信息处理者与境外接收方约定其他条款,但不得与《标准合同》冲突。这意味着,个人信息处理者与境外接收方不能删去和修改《标准合同》的既有条款,但可以在现有合同条款的基础上进行补充,例如:
(1) 就个人信息处理者和境外接收方的义务约定更细致的实施要求(例如约定境外接收方通过位于境内的个人信息处理者向个人信息主体履行告知和取得同意的义务);
(2) 就境外接收方实现个人信息主体权利主张的方式进行进一步约定(例如通过位于境内的个人信息处理者向境外接收方主张并实现个人信息主体权利);
(3) 就双方的责任划分进行更为详细的约定。
(七)如何理解标准合同备案管理?
《标准合同办法》第七条规定,个人信息出境标准合同备案管理制度规定个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。《标准合同办法》设立的备案制度为事后监管,备案与否不影响标准合同的效力。
备案时,个人信息处理者须提交备案的材料包括:(一)合同双方根据《标准合同》订立的个人信息出境标准合同,与之相关的独立商业合同并不需要备案[6];(二)个人信息保护影响评估报告。个人信息处理者应当对所备案材料的真实性负责。
《标准合同办法》对未按要求完成备案程序并无专门的罚则,但是其上位法《个人信息保护法》第三十八条第四款规定了“法律、行政法规或者国家网信部门规定的其他条件。”因此,违反《标准合同办法》规定的备案要求,可能构成违反《个人信息保护法》而产生相应法律后果。
(八)通过标准合同路径出境,企业需要做哪些工作?
1、全面梳理企业的数据出境活动,判断能否使用标准合同路径
在选择合规路径前,企业应对其出境活动进行全面检视,盘点出境数据的种类(是否含有重要数据)和规模(过往两年出境数据规模是否达到触发数据出境安全评估的门槛),进而判断企业是否适用标准合同。
2、开展个人信息保护影响评估(PIA),履行标准合同义务
根据《个人信息保护法》第五十五条,向境外提供个人信息前,个人信息处理者应事前开展PIA。《标准合同办法》重申了这一要求,并要求个人信息处理者将PIA报告作为备案材料提交给网信部门。现阶段企业确定PIA评估流程和方法的主要参考依据是《信息安全技术 个人信息安全影响评估指南(GB/T39335-2020)》。此外,《标准合同办法》第五条也明确了标准合同路径下PIA应当涵盖的评估要点。
3、准备标准合同的签署文本,协调标准合同签署事宜
个人信息处理者应尽早向境外接收方充分释明《标准合同》不能进行删改的法律要求,并在此前提下通过补充约定的方式来确定一个境外接收方更愿意接受的履行义务方式(例如约定境外接收方通过个人信息处理者向个人信息主体履行告知义务并取得同意)。
4、完成备案
在标准合同正式签署后,个人信息处理者应按照《标准合同办法》第七条的要求完成备案。
5、关注可能触发重新评估、重新备案的情形
《标准合同办法》第八条规定,如存在下列情形之一的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续:
(1) 向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;
(2) 境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;
(3) 可能影响个人信息权益的其他情形。
据此,建议个人信息处理者定期对数据出境情况进行检查并请境外接收方汇报其所在国家或者地区有关个人信息保护法律环境情况,如发生实质变化的,应进一步评估是否会对个人信息权益产生影响进而触发重新评估和备案。
参考文献:
[1]参见上海市互联网信息办公室:《发布丨数据出境安全评估申报工作实务问答(二)》,载微信官方公众号“网信上海”,2023年2月1日,https://mp.weixin.qq.com/s/4lYcOmFNVOOtn_YqS6v3HA。
[2]参见《中华人民共和国立法法》第一百零四条。
[3]参见浙江省互联网信息办公室:《浙江省数据出境安全评估申报工作问答》,载微信官方公众号“网信浙江”,2022年11月22日,https://mp.weixin.qq.com/s/sNKSMICprk0-GjzS18O2mg。
[4]根据《江苏省数据出境安全评估申报工作指引(第一版)》,如无行业标准,重要数据可参考如下标准:(1) 未公开的政务数据、工作秘密、情报数据和执法司法数据;(2) 重点行业和领域安全生产、运行的数据关键系统组件、设备供应链数据;(3) 达到国家有关部门规定规模或者精度的基因、地理、矿产、气象等国家基础数据;(4) 影响关键信息基础设施安全稳定运行的数据,国防设施、军有管理区、国防科研生产单位等市要敏感区域的地理位置.安保情况等数据;(5) 出口管制物项涉及的核心技术、设计方案、生产工艺等相关数据,密码、生物、电子信息、人工智能等领域对国家安全经济竞争力有直接影响的科学技术成果数据;(6) 国家法律、行政法规、部门规章明确规定需要保护或者限制处理的国家经济运行数据、重要行业和领域业务数据、统计数据等。
[5]参见陈世翔:《个人信息保护认证实施要点》,载《中国信息安全》2022年第12期,第43-45页。
[6] 黄道丽:《专家解读|中国个人信息跨境流动的“标准合同”规则解读》,载国家网信办官方微信公众号“网信中国”,2023年3月7日。
在全球化背景下,一方面数据跨境流动是企业的刚需;另一方面,随着我国数据出境监管体系日趋严格,数据出境合规已成为企业必须面对的重要课题。对于触发出境评估的数据出境活动,企业应如何开展申报工作?随着网信办评估工作的陆续展开,有哪些最新监管要求和最佳实践值得借鉴?适用标准合同的数据出境应注意哪些关键问题?个人信息保护认证的出境路径是否已经落地?本文将结合最新行业实践详细拆解数据出境三大路径的方法以供参考。
壹 数据出境三大路径的法律渊源
对于个人信息和重要数据出境的法律渊源最早可追溯到2016年11月7日出台的《中华人民共和国网络安全法》(以下简称“《网安法》”),根据《网安法》第37条,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”(以下简称“网信部门安全评估”)。
2021年6月10日出台的《中华人民共和国数据安全法》(以下简称“《数据安全法》”)重申了关键信息基础设施运营者的重要数据出境应经评估的要求,并为出台其他数据处理者的重要数据出境监管制度提供了原则性规定,扩展了《网安法》数据出境安全评估制度的范围。
2021年8月20日出台的《个人信息保护法》就个人信息出境提供了三个路径:网信部门安全评估;“按照国家网信部门的规定经专业机构进行个人信息保护认证”(以下简称“认证路径”);和“按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务”(以下简称“标准合同路径”)。认证路径和标准合同路径适用于不触发国家网信部门安全评估的个人信息出境活动。
2022年7月7日,国家互联网信息办公室(以下简称“国家网信办”)发布《数据出境安全评估办法》(以下简称“《评估办法》”)。《评估办法》整合了《网安法》《数据安全法》及《个人信息保护法》中关于重要数据和个人信息的数据出境安全评估要求,确立了统一的评估实施细则。
2022年11月4日,国家市场监督管理总局和国家网信办发布了《个人信息保护认证实施规则》(以下简称“《认证实施规则》”)作为个人信息保护认证的基本规则,《认证实施规则》中明确《网络安全标准实践指南 ——个人信息跨境处理活动安全认证规范(第二版)》(以下简称“《认证规范V2.0》”)为开展跨境处理活动个人信息处理者适用的认证依据。
2023年2月24日,国家网信办正式发布了《个人信息出境标准合同办法》(以下简称“《标准合同办法》”)及附件《个人信息出境标准合同》(以下简称“《标准合同》”),至此,中国法下数据出境的三大合规路径正式有了落地的实施方案。
除上述数据出境合规路径之外,企业的数据跨境传输活动还可能同时会触发其他的审批程序。例如,根据《网络安全审查办法》第二条,企业的数据出境活动影响或者可能影响国家安全的,应按照该办法进行网络安全审查;此外,根据《数据安全法》第三十六条,向外国司法或执法机构提交证据材料,应经主管机关审批。
贰 路径一:数据出境安全评估申报要点
《评估办法》从主体、客体、数量等方面规定了触发数据出境安全评估(以下简称“安全评估”)的条件(以下简称“触发条件”),具体包括:(1) 出境数据中含有重要数据;(2) 数据处理者为关键信息基础设施运营者(以下简称“CIIO”);(3) 数据处理者为处理100万人以上个人信息的数据处理者;(4) 自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者;(5) 国家网信部门规定的其他需要申报数据出境安全评估的情形。
须注意的是,安全评估是法律的强制要求。企业一旦达到触发条件,则必须开展安全评估,不存在所谓数据出境路径选择的问题。
(一)如何判断是否需要申报数据出境安全评估?
1、如何计算累计出境数量?
就重要数据出境来说,根据《评估办法》,只要出境数据涉及重要数据的,则无论实际出境数量多少,即触发出境安全评估。
就个人信息出境,对于既非CIIO,也非处理个人信息数量达到100万人次的数据处理者而言,判断是否触发出境安全评估,需要计算其“自上年1月1日”起累计的个人信息及敏感个人信息的出境数量。企业在计算累计出境数量时,应特别关注如下问题:
(1) 去重:实践中,有些企业通过不同途径收集个人信息,并建立了不同类别的会员体系,其中不乏相同数据主体横跨多个会员体系的情况。由于触发条件中规定的出境数量门槛是按人数计算,因此数据处理者应对此进行去重处理。上海网信办在公开的相关书面工作问答[1]中还进一步强调,数据处理者应在申报材料中明确标注对出境涉及自然人数量是否去重;
(2) 起算时间点及计算周期:根据《评估办法》,累计出境数量的起算点应为“上年1月1日起”。但考虑到《评估办法》于2022年9月1日正式生效,而其作为部门规章并不具有溯及力[2],因此,如数据处理者在2022年9月1日之前数据出境活动已经完成,之后不再开展数据出境活动,则即使自2021年1月1日起算,其累计出境数量已达到触发条件规定的门槛,数据处理者仍无需进行申报,这一理解也在浙江省网信办公开的书面工作问答中得到验证[3];
此外,在计算周期上,我们理解,采用动态统计方式计算累计出境数量更为合理。若企业自上年1月1日起至本年度年中累计的出境数量已达到触发条件规定的门槛,则出境安全评估即已触发,企业应着手进行申报而不应等到当年年底;除不定期的动态统计外,企业应在每年年底定期对自上一年1月1日起累计出境的个人信息数量进行计算,并对自当年1月1日起和下一年度拟出境的个人信息数量进行预估,以判断是否已触发出境安全评估以及未来触发出境安全评估的可能性。
2、如何判断出境数据是否属于“重要数据”?
与CIIO主要取决于有关保护工作部门的认定结果不同,在出境安全评估语境下,尽管目前多数行业和地区主管部门并未公布重要数据目录和识别规则,但数据处理者仍应首先对出境数据是否为重要数据自行进行识别和判断。若届时企业出境数据被认定含有重要数据而数据处理者并未按法律要求申报出境安全评估的,数据处理者以重要数据目录尚未出台为由应不构成有效抗辩。
在现有法律规则下,企业该如何判断出境数据是否属于“重要数据”?首先,从法律定义上,《评估办法》将“重要数据”定义为“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。”企业可依照该法律定义,结合其所在行业、数据内容的敏感程度、数据泄露或篡改后发生的损害后果进行综合分析。此外,有地方网信部门(包括江苏省网信办和海南省网信办等)在发布的出境安全评估申报工作指引中对“重要数据”的范围进行了界定[4]。如数据处理者所在行业未有相关规定,数据处理者可参考这类标准进行判定。
截至目前,多数行业和地方主管部门仍未制定明确的重要数据目录,但在部分地区及数据规模和敏感程度较高的行业,有关部门已着手探索重要数据识别规则的制定,并有初步成果。例如,《汽车数据安全管理若干规定》中已列举了属于重要数据的具体数据种类;此外,上海市通信管理局已审核确定上海市电信和互联网行业首批重要数据和核心数据目录,并按规定报送工业和信息化部。但截至本文发布之日,该目录尚未对外公布。企业应密切关注与跟踪所在地及所在行业主管部门对于重要数据认定规则及目录的最新进展,并结合最新立法变化对企业出境数据情况进行定期盘点和检视。
(二)开展自评估需要特别注意哪些问题?
1、自评估报告对于数据出境场景的披露需要细化到什么颗粒度?
根据《申报指南》提供的自评估报告模版,数据处理者需要在自评估报告中说明数据出境涉及业务和信息系统情况、拟出境数据情况、数据处理者数据安全保障能力情况等。根据我们的实务经验,目前监管部门对于自评估报告事实的披露有较高的颗粒度要求。
例如,在说明拟出境数据情况时,数据处理者需详细说明数据全生命周期管理情况(包括拟出境数据具体以何种方式收集、存储在哪一系统平台和数据中心、将以何种方式使用等),并建议以数据流(data flow)示意图的方式清晰展示数据在各信息系统和不同主体间的流向;此外,在描述数据出境涉及信息系统时,数据处理者应充分披露相关技术细节,包括系统名称、开发者和运维方名称、版本号、信息系统部署位置等;在说明数据出境涉及业务时,数据处理者需要详细解释业务流程的具体步骤及每一步骤分别所需要收集和使用的具体个人信息,并说明开展这一业务的理由,从而佐证数据目的的合法性、正当性、必要性。
此外,由于自评估报告整体体量较大,为帮助监管部门能更方便地阅读和理解自评估的报告内容,自评估报告可采取图文结合的形式,以可视化图表说明数据流、信息系统架构及业务流程等信息。
2、如何进行合法性、正当性和必要性评估?
根据《申报指南》的自评估报告模版要求,数据处理者需要在自评估报告中说明数据出境及境外接收方处理数据活动的合法性、正当性和必要性。
“合法、正当、必要”是《个人信息保护法》确立的个人信息处理基本原则,也是《评估指南》自评估报告中列出的评估项。然而,对于如何界定这三者的具体内涵,现行法律法规并未给出确定的答案和量化标准,不过相关国家标准及其制定过程文件(包括《信息安全技术个人信息安全规范(GB/T35273—2020)》及《信息安全技术数据出境安全评估指南(征求意见稿)》等)提供了较为细化的评估要点。企业开展自评估时,可借鉴上述标准,具体而言:
“合法性”的判断通常需考虑:(1) 出境标的方面:出境标的本身未被国家法律法规或监管部门明令禁止出境;(2) 出境程序方面:对于个人信息,已取得个人信息主体同意或具有其他处理个人信息的合法性基础;对于个人信息及其他数据,满足国家规定的数据出境前置性程序要求(例如个人信息保护影响评估、主管机关审批(如适用))。
“正当性”通常指这类个人信息处理活动的处理目的及处理方式是否合理,具体判断标准可以包括:(1) 数据出境及境外接收方处理数据应当具有明确、特定、合理的目的,且使用形式和程序正当;且 (2) 不存在故意隐瞒收集使用数据真实目的或向相关数据主体披露的收集目的与数据处理者和境外接收方真实目的不一致的情况;且 (3) 处理数据所采用的方式方法符合社会公众对数据处理者所属行业的一般期待以及公序良俗要求。
“必要性”通常指为满足数据处理目的而开展的数据处理活动应符合“最小必要”原则,具体要求通常包括:(1) 数据处理活动应为履行合同义务所必需或履行法定义务所必需或同一机构、组织内部开展业务所必需;(2) 向境外传输及嗣后处理的个人信息应与相关业务功能有直接关联,即没有该等信息的参与,相应功能及业务目的无法实现;(3) 向境外传输及嗣后处理数据的频率应是实现相关业务功能所必需的最低频率;(4) 向境外传输的数据数量应是实现相关业务功能所必需的最少数量。企业在评估数据处理活动时应关注出境的数据类型和数量与企业相关业务之间是否可以建立必要性。
3、如何在自评估报告中描述境外法律环境?
根据《申报指南》提供的自评估报告模版,数据处理者需要详细说明“境外接收方所在国家或地区数据安全保护政策法规和网络安全环境情况”。《申报指南》并未对阐述的要点和方向作具体规定。企业可参考上文提及的国家标准及制定过程文件,从如下方面进行阐述:

为保证上述说明的准确性和可靠性,在有条件的情况下,数据处理者可考虑由境外接收方所在地法域律师对此出具专门法律意见。
(三)数据出境风险自评估与PIA的关系

(四)是否可以直接提交标准合同作为个人信息出境相关法律文件?
在实践中,监管部门对于以《标准合同》为基础而制定的法律文件认可度较高,但需注意的是,首先,《标准合同》仅针对个人信息出境的情况,如企业涉及重要数据出境,则需在合同中就重要数据补充相应条款;同时,《标准合同》并未涵盖《评估办法》第九条所列的全部内容,例如《标准合同》中并没有专门条款说明境外接收方处理数据的用途、方式,也未要求境外接收方在合同明确若“实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全”时,应当采取的安全措施。如缺失这些条款,则法律文件的完备性易受到监管部门挑战。企业可以《标准合同》为基础,并按照《评估办法》要求补充约定相应条款。
叁 路径二:个人信息保护认证制度的实施现状
2022年11月4日,国家市场监督管理总局、国家互联网信息办公室联合发布《关于开展个人信息保护认证工作的公告》(以下简称“《认证公告》”)及所附《个人信息保护认证实施规则》(以下简称“《认证实施规则》”),标志着我国个人信息保护认证制度正式建立。《认证实施规则》明确,个人信息跨境处理活动属于个人信息保护认证的范围。
除《认证实施规则》外,开展跨境处理活动的个人信息处理者还应当符合最新版TC260-PG-20222A《个人信息跨境处理活动安全认证规范》(以下简称“《认证规范》”)的要求。相较标准合同路径,《认证规范》不仅要求个人信息处理者与境外接收方签订法律文件并开展个人信息保护影响评估,同时还要求个人信息处理者和境外接收方指定个人信息保护负责人、设立个人信息保护机构,并建立个人信息处理者和境外接收方共同适用的个人信息跨境处理规则。可见,认证方式可能给个人信息处理者带来更高的合规要求。
在认证流程方面,根据《认证实施规则》,个人信息保护认证流程包括认证委托、技术验证、现场审核、认证结果评价和批准、获证后监督五个主要环节。认证证书有效期为3年。
而对于认证机构,截至目前,《认证实施规则》《认证规范》或其他书面文件尚未指明具体的认证机构或认证机构名录。但为《认证规范》制定提供技术支持的中国网络安全审查技术与认证中心(以下简称“CCRC”)近日在其官网发布了个人信息保护认证申请书及“个人信息保护认证申办系统”,经电话匿名咨询网信部门,CCRC或为首个获得授权开展个人信息保护认证的机构。
参考CCRC官网发布的《个人信息保护认证申请书》及《认证规范》,申请认证需要准备的材料包括:申请方法律证明文件(包括营业执照/法人证书复印件、每个场所的法律地位证明文件,如房租合同或产权证明),自评价表及相关证据材料、业务流程及描述、组织机构图或职能表述、数据目录、其他补充材料。同时,CCRC工作人员在公开文章中说明[5]认证时限一般为70个工作日(不包括整改时间)。
肆 路径三:个人信息出境标准合同关键问题
《标准合同办法》对于能够采取《标准合同》实施个人信息跨境的主体范围进行了界定,包括:(1) 非关键信息基础设施运营者;(2) 处理个人信息不满100万人的;(3) 自上年1月1日起累计向境外提供个人信息不满10万人的;(4) 自上年1月1日起累计向境外提供敏感个人信息不满1万人的。个人信息处理者必须同时满足上述四项条件,才能适用标准合同路径。同时,《标准合同办法》第四条也进一步强调了数据出境安全评估与标准合同的区别,明确禁止个人信息处理者采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。
(五)如何确定标准合同的签约主体?
就境内签约主体来说,若集团企业在中国境内有多个实体的,为区分不同实体各自开展的数据出境活动,建议每个实体单独与境外接收方签订标准合同并进行备案。
就境外签约主体而言,可能同时存在多个接收方,也可能存在境外接收方在境外再行委托处理或再传输的情况。实践中,可能存在有的境外接收方不愿意成为签约主体的情况。在此情况下,则需要调整境外接收方的数据处理流程,将一对多的数据出境活动调整为一对一再对多的数据出境活动。
(六)标准合同是否可以补充?
《标准合同办法》第六条规定,标准合同应当严格依照《标准合同办法》附件订立。实践中,部分条款(如争议解决方式、对个人信息主体权利的保护方式)可能面临来自境外接收方的较大阻力,建议尽早与境外接收方就合同条款进行协商沟通。
在标准合同基础上,《标准合同办法》允许个人信息处理者与境外接收方约定其他条款,但不得与《标准合同》冲突。这意味着,个人信息处理者与境外接收方不能删去和修改《标准合同》的既有条款,但可以在现有合同条款的基础上进行补充,例如:
(1) 就个人信息处理者和境外接收方的义务约定更细致的实施要求(例如约定境外接收方通过位于境内的个人信息处理者向个人信息主体履行告知和取得同意的义务);
(2) 就境外接收方实现个人信息主体权利主张的方式进行进一步约定(例如通过位于境内的个人信息处理者向境外接收方主张并实现个人信息主体权利);
(3) 就双方的责任划分进行更为详细的约定。
(七)如何理解标准合同备案管理?
《标准合同办法》第七条规定,个人信息出境标准合同备案管理制度规定个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。《标准合同办法》设立的备案制度为事后监管,备案与否不影响标准合同的效力。
备案时,个人信息处理者须提交备案的材料包括:(一)合同双方根据《标准合同》订立的个人信息出境标准合同,与之相关的独立商业合同并不需要备案[6];(二)个人信息保护影响评估报告。个人信息处理者应当对所备案材料的真实性负责。
《标准合同办法》对未按要求完成备案程序并无专门的罚则,但是其上位法《个人信息保护法》第三十八条第四款规定了“法律、行政法规或者国家网信部门规定的其他条件。”因此,违反《标准合同办法》规定的备案要求,可能构成违反《个人信息保护法》而产生相应法律后果。
(八)通过标准合同路径出境,企业需要做哪些工作?
1、全面梳理企业的数据出境活动,判断能否使用标准合同路径
在选择合规路径前,企业应对其出境活动进行全面检视,盘点出境数据的种类(是否含有重要数据)和规模(过往两年出境数据规模是否达到触发数据出境安全评估的门槛),进而判断企业是否适用标准合同。
2、开展个人信息保护影响评估(PIA),履行标准合同义务
根据《个人信息保护法》第五十五条,向境外提供个人信息前,个人信息处理者应事前开展PIA。《标准合同办法》重申了这一要求,并要求个人信息处理者将PIA报告作为备案材料提交给网信部门。现阶段企业确定PIA评估流程和方法的主要参考依据是《信息安全技术 个人信息安全影响评估指南(GB/T39335-2020)》。此外,《标准合同办法》第五条也明确了标准合同路径下PIA应当涵盖的评估要点。
3、准备标准合同的签署文本,协调标准合同签署事宜
个人信息处理者应尽早向境外接收方充分释明《标准合同》不能进行删改的法律要求,并在此前提下通过补充约定的方式来确定一个境外接收方更愿意接受的履行义务方式(例如约定境外接收方通过个人信息处理者向个人信息主体履行告知义务并取得同意)。
4、完成备案
在标准合同正式签署后,个人信息处理者应按照《标准合同办法》第七条的要求完成备案。
5、关注可能触发重新评估、重新备案的情形
《标准合同办法》第八条规定,如存在下列情形之一的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续:
(1) 向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;
(2) 境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;
(3) 可能影响个人信息权益的其他情形。
据此,建议个人信息处理者定期对数据出境情况进行检查并请境外接收方汇报其所在国家或者地区有关个人信息保护法律环境情况,如发生实质变化的,应进一步评估是否会对个人信息权益产生影响进而触发重新评估和备案。
参考文献:
[1]参见上海市互联网信息办公室:《发布丨数据出境安全评估申报工作实务问答(二)》,载微信官方公众号“网信上海”,2023年2月1日,https://mp.weixin.qq.com/s/4lYcOmFNVOOtn_YqS6v3HA。
[2]参见《中华人民共和国立法法》第一百零四条。
[3]参见浙江省互联网信息办公室:《浙江省数据出境安全评估申报工作问答》,载微信官方公众号“网信浙江”,2022年11月22日,https://mp.weixin.qq.com/s/sNKSMICprk0-GjzS18O2mg。
[4]根据《江苏省数据出境安全评估申报工作指引(第一版)》,如无行业标准,重要数据可参考如下标准:(1) 未公开的政务数据、工作秘密、情报数据和执法司法数据;(2) 重点行业和领域安全生产、运行的数据关键系统组件、设备供应链数据;(3) 达到国家有关部门规定规模或者精度的基因、地理、矿产、气象等国家基础数据;(4) 影响关键信息基础设施安全稳定运行的数据,国防设施、军有管理区、国防科研生产单位等市要敏感区域的地理位置.安保情况等数据;(5) 出口管制物项涉及的核心技术、设计方案、生产工艺等相关数据,密码、生物、电子信息、人工智能等领域对国家安全经济竞争力有直接影响的科学技术成果数据;(6) 国家法律、行政法规、部门规章明确规定需要保护或者限制处理的国家经济运行数据、重要行业和领域业务数据、统计数据等。
[5]参见陈世翔:《个人信息保护认证实施要点》,载《中国信息安全》2022年第12期,第43-45页。
[6] 黄道丽:《专家解读|中国个人信息跨境流动的“标准合同”规则解读》,载国家网信办官方微信公众号“网信中国”,2023年3月7日。
