关于数据出境三大路径的十问十答

来源:观韬中茂上海办公室

文章摘要
一、基本概念辨析 Q1、何谓“数据出境”?包括哪些情形? 根据《数据出境安全评估申报指南(第一版)》,数据出境活动主要包括: 1.数据处理者将在境内运营中收集和产生的数据传输、存储至境外。
一、基本概念辨析
Q1、何谓“数据出境”?包括哪些情形?
根据《数据出境安全评估申报指南(第一版)》,数据出境活动主要包括:
1.数据处理者将在境内运营中收集和产生的数据传输、存储至境外。这属于数据主动出境场景,即数据处理者通过邮件、移动硬盘或境外信息系统、服务器等方式向境外传输、存储数据。
2.数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出。这一类属于数据被动出境场景,包括数据处理者将其境内数据库对外开放,使得境外主体可调取、下载或调用。
Q2、数据出境活动中多次提到数据处理者,那么谁是数据处理者?
根据《个人信息保护法》,数据处理者是指在数据处理活动中自主决定处理目的、处理方式的组织、个人。对数据处理目的和处理方式是否有自主决定权是区分数据处理者和数据受托处理者的关键。
假设境内企业A受委托处理境内企业B提供的数据,并受托将数据传输给境外企业C。在本案例中,A属于受托处理者,而B属于数据处理者,我国数据出境有关规定规范的是向境外提供数据的数据处理者,故应由B就数据出境承担合规义务。
Q3、何谓“境外接收方”?属人原则还是属地原则?
《标准合同》中“境外接收方”是指在中华人民共和国境外自个人信息处理者处接收个人信息的组织、个人。《个人信息跨境处理活动安全认证规范V2.0》中也将“境外接收方”规定为位于中华人民共和国境外并自个人信息处理者处接收个人信息的组织或个人。由此可见,“境外接收方”的认定采取的是属地原则。
但2017年信安标委发布的《信息安全技术数据出境安全评估指南(征求意见稿)》第3.7条规定中强调了“向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据,属于数据出境”,这是属人原则的典型表现。同时,在国家安全语境下“境外机构、组织”包括境外机构、组织在境内设立的分支(代表)机构和组织,“境外个人”包括在境内居住但不具有中国国籍的人。[1]结合我国对数据出境的态度,应对境外接收方采属人和属地相结合原则进行解释。因此,境外主体在中国代表处调取境内数据,亦属于数据出境情形。
Q4、如何判断出境数据是否属于“重要数据”?
在《安全评估办法》中,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
由于目前我国尚未形成全行业统一的重要数据标准,故在重要数据识别时,应先遵循本地区、本部门以及相关行业、领域重要数据的具体类别和详细特征,例如《汽车数据规定》。在无具体目录的情况下,需考量是否属于特定领域、特定群体、特定区域或达到一定精度和规模的数据,同时可以参考《网络数据安全管理条例(征求意见稿)》中相关规定。
Q5、什么属于敏感个人信息?
《标准合同》中“敏感个人信息”是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。可参考国家标准GB/T 35273-2020《信息安全技术个人信息安全规范》中关于个人信息、个人敏感信息的定义及相关举例。
二、三大路径选择及适用情形
Q6、数据出境有哪些路径选择?分别适用情形有哪些?

路径

安全评估

个人信息保护认证

标准合同

适用情形

数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:

(一)数据处理者向

境外提供重要数据;

(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;

(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;

(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。

个人信息处理者开展个人信息跨境处理活动,包括以下主体:

(一)申请认证的个人信息处理者应取得合法的法人资格,正常经营且具有良好的信誉、商誉;

(二)跨国公司或者同一经济、事业实体下属子公司或关联公司;

(三)《个人信息保护法》第三条第二款规定的境外个人信息处理者(即在中国境外处理中华人民共和国境内自然人个人信息以分析、评估境内自然人的行为的活动)

个人信息处理者通过订立标准合同的方式向境外提供个人信息的,应当同时符合下列情形:

(一)非关键信息基础设施运营者;

(二)处理个人信息不满100万人的;

(三)自上年1月1日起累计向境外提供个人信息不满10万人的;

(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。

法律、行政法规或者国家网信部门另有规定的,从其规定。

数据类型

个人信息 + 重要数据

个人信息

个人信息

法律依据

《数据出境安全评估办法》

《数据出境安全评估申报指南》

《个人信息保护认证实施规则》

《个人信息跨境处理活动安全认证规范V2.0》

《个人信息出境标准合同办法》及其附件《个人信息出境标准合同》


Q7、企业如何选择数据出境的路径?
①看主体:是否属于关键信息基础设施运营者?
②看数据类型:是否属于重要数据?
③看数据规模:是否属于处理100万人以上个人信息处理者或累计向境外提供10万人个人信息或1万人敏感个人信息的数据处理者?
④商业成本考量:在未触发安全评估的门槛时,企业可任意选择订立标准合同或经个人信息保护认证以实现个人信息出境。相较于标准合同,认证制度明确要求个人信息处理者、境外接收方应指定个人信息保护负责人、设立个人信息保护机构,并建立个人信息处理者和境外接收方共同适用的个人信息跨境处理规则,这项要求可能增加企业成本。
Q8、三大路径的程序要求有什么区别?有哪些合规要点?
路径安全评估个人信息保护认证 标准合同

申请主体

数据处理者 境内主体或境内专门机构或指定代表 -

关键材料

申报书 数据出境风险自评估报告 数据处理者与境外接收方拟订立的法律文件 安全评估工作需要的其他材料 认证委托资料(如认证委托人基本材料、认证委托书、相关证明文档等) 技术验证报告、现场审核报告 与境外接收方签订的具有法律约束力的文件 个人信息保护影响评估报告(PIA) 符合《标准合同办法》要求,与境外接收方签署的标准合同 个人信息保护影响评估报告(PIA)

评估流程

开展数据出境风险自评估并准备申报材料 向省级网信办提交申报材料进行完备性检验 省级网信办将材料报送国家网信办→7日内确定是否受理 评估结果书面通知数据处理者 15个工作日内向国家网信办申请复评 根据认证机构要求提交认证委托资料 认证机构根据委托资料确定认证方案 技术验证机构按照认证方案实施技术验证→暂不符合要求的,委托人整改 认证机构现场审核 →暂不符合要求的,委托人整改 认证结果评价 批准、获证后监督 与境外接收方签署《标准合同》自主开展PIA并取得报告 标准合同生效后10个工作日内向省网信办备案 + 提交PIA报告 开展个人信息跨境活动 在合同有效期内发生重大变更的,应当重新签订标准合同及备案
有效期 2年 3年 依合同约定
风险评估方式 数据出境安全自评估+PIA PIA PIA(备案)

三、其他要点
Q9、如何累计计算出境数量?包括哪些对象的信息?
1. 100万、10万和1万的数量计算以“人”为单位进行累计计算,而非数据跨境传输“次数”、“条数”。
2. 累计计算的10万和1万是指向境外提供的数量,故已收集但未对外提供的数量不计算在内。注意数据被动出境的情况下,也应当对涉及人数进行统计。
3. 对人数应该进行去重处理,如经去重后累计向境外提供个人信息的人数不再满足安全评估要求,则不需要申报安全评估。
4. 计算的对象不仅仅包括业务开展过程中收集的人,还包括企业内部员工、客户、供应商等。因此,在企业开展业务时应当时刻注意拟跨境的人数,如达到标准,应当选择安全评估路径。
5. 2022年9月1日前已经完成的数据出境活动无需计算,但尚未完成的数据出境活动仍需申报,且已出境数据在此后申报中需计入上一年1月1日后的累计出境数量。[2]
Q10、数据出境自评估和PIA的关系?

数据出境自评估

个人信息保护影响评价(PIA)

相同点

属于对拟将开展的个人信息出境活动的事前风险评估 审核内容有重合部分: a) 处理数据(个人信息)的目的、范围、方式等的合法性、正当性、必要性; b) 境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全; c) 数据处境中和出境后(个人信息出境后)遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等

适用范围不同

仅在申报数据出境安全评估前,开展数据出境风险的自评估。 个人信息处理者在向境外提供个人信息的所有情形下,必须进行PIA
具体评估要求不同 依据《数据出境安全评估办法》第5条规定的重点评估事项进行; 还需依据《个人信息保护法》第56条规定进行PIA 如果适用订立标准合同或经个人信息保护认证的路径,那么个人信息处理者应当分别依据《标准合同办法》和《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》中更为细化的要求开展PIA

评估目的不同

除关注个人信息权益外,还需额外考虑对于国家安全、公共利益、组织合法权益带来的风险 关注个人信息出境活动对于个人信息保护所产生的影响
其他审核要点

出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;

与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务

出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险; 境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响

[1]彭錞:论国家机关处理的个人信息跨境流动制度——以《个人信息保护法》第36条为切入点,http://fzzfyjy.cupl.edu.cn/info/1035/14520.htm。
[2]参见浙江省互联网信息办公室:《浙江省数据出境安全评估申报工作问答》,载微信官方公众号“网信浙江”,2022年11月22日,
https://mp.weixin.qq.com/s/sNKSMICprk0-GjzS18O2mg。
技术驱动法律,专业成就未来