编者按
随着我国跨境三件套(《个人信息跨境处理活动安全认证规范》《个人信息出境标准合同规定(征求意见稿)》《数据出境安全评估办法》)陆续出台,国内数据出境的安全评估、标准合同条款、认证机制也逐步从制度构想走向实践。
对于企业而言,数据跨境合规落地不仅是一个简单的法律问题,需要结合法律、技术以及企业合规管理来综合考量。
针对这一方面的问题,iLaw合规在8月份邀请了中伦律所的陈际红律师和北京天空卫士的杨明非总监来到直播间与我们探讨,我们也将直播分享的内容整理成稿,供大家参考。
目录
01立法与监管现状及企业合规落地准备情况
02 技术要求及技术实现方式
03 技术+法律,赋能企业数据出境管理
立法与监管现状及企业合规落地准备情况
随着数据出境安全法律体系的逐步形成,从2022年下半年开始,数据出境安全立法与监管层面逐步实现落地,对企业而言是数据合规工作着手落地的黄金时间。
(一)立法与监管现状
当前我国在数据出境方面立法与监管已经形成“三件套”模式(《数据出境安全评估办法》《个人信息跨境处理活动安全认证规范》《个人信息出境标准合同规定(征求意见稿)》),进入了数据跨境活动强监管时代。
1. 安全评估
《数据出境安全评估办法》于2022年9月1日起正式施行,此前网信办为实现其顺利落地已经着手开启了相关的准备工作。网信办推行安全评估报告审查联动机制,由国家网信办与省级网信办以及技术支撑单位等多主体联动审查企业数据出境评估报告。考虑到评估的工作量比较大,且技术性比较强,网信办也会借助国家互联网应急中心等资源,由其作为支撑单位执行技术评估工作。
2. 标准合同
从2021年10月份开始,网信办经过多轮内部意见征求工作,最终于2022年6月3日发布《个人信息出境标准合同规定(征求意见稿)》,其被视为最便捷、最普适的个人信息出境适用机制,引起社会各界广泛关注。可以预见,《个人信息出境标准合同规定(征求意见稿)》发布之后到其正式颁布,相应的改动空间将不会太大。
3. 安全认证
网信办于2022年6月发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》,但该认证规范的真正实施尚欠缺两部分内容,一部分是认证机构的指定,对此,预计后续工作中将由有关部门指定认证单位;另一部分则是缺乏程序性规定,即对于递交材料类型要求及程序要求、认证效力以及时间要求等尚未明确规定。
(二)企业合规落地准备及出境策略选择
1. 企业合规七步法
当前,企业进行合规落地工作可以遵循七步法原则:
第一步, 数据盘点:把握企业出境数据总量及其分类分级情况。
第二步, 全量识别出境场景:根据系统、业务单元等标准对于数据出境场景进行全量识别。
第三步, 适配出境机制:根据前两步判定结果最终选择跨境机制,或进行安全评估,或采取标准合同,或采取认证机制。
第四步, 整改前风险自评估:根据第三步的选择开展自评估,若选择标准合同机制则需要开展个人信息保护评估。
第五步, 合规整改:根据自评估报告结果整改识别出的不合规事项,包括技术方面以及制度方面、管理措施的整改,确保企业尽快达到合规状态。
第六步, 整改后风险自评估:结合合规整改后的业务及合规管控现状,再次进行数据出境风险自评估。
第七步, 合规落地:若整改后的自评估达到合规状态,或申报网信办安全评估;或申请跨境认证;或签订标准合同并备案。
尽管《数据出境安全评估办法》规定了6个月的宽限期,即企业应在2023年3月1日之前完成整改及申报安全评估,但是企业需要完成数据盘点与分类分级、全量出境场景的识别以及适配出境机制的评估,可能还需要进行整改,甚至包括技术性的整改,时间是非常紧迫的。
因此,企业需要尽快推行七步法中数据盘点、全量识别出境场景、适配出境机制等基础性工作,为后续安全评估工作做好充分准备。
2. 申报时机判定标准
企业在选择申报时机时建议参照“一看二慢三通过”:“一看”是指在《数据出境安全评估办法》生效之后,操作层面仍有许多细致的要求尚不明确,企业可以先行观察,并根据监管部门的意见或指引调整企业策略;“二慢”是指申报时机上,企业需要待评估执行标准进一步明确,企业达到合规状态时再采取申报行动,这样更有利于安全评估的顺利通过。
但是,等到二月再去申报,也不是一个好的策略。一方面网信部门会有较大的评估审查压力,另一方面,企业在如需进一步的合规整改,回旋时间就很少了。
3. 企业最佳实施策略选择
数据出境安全评估是最强监管机制,企业达到法定条件时必须予以适用,无法行使自由选择权。而企业在适用标准合同条款以及认证机制方面存在选择权,在未触发安全评估时,企业可以在二者中选择其一进行。
标准合同条款是通过合同条款的约束以达到实施同等保护原则的机制,根本目的是通过双方签订具有强制执行力合同确保域外接收方达到中国法的保护水平。其将《个人信息保护法》及《数据安全法》中的数据处理基本原则,以及个人信息主体的权益保护纳入合同条款中。
协议双方不能通过意思自治对标准合同条款进行变更,同时其他合同不能与其相冲突,若发生冲突则优先适用标准合同条款。
认证机制具有自愿和长效的特点,一般适用于跨国企业及关联企业,原因在于:一方面,此类企业数据传输存在内部性的特点;另一方面,此类企业相关各方关系较为稳定,更容易达成认证机制所要求的统一数据处理规则设定。
而标准合同条款,作为最便捷及应用最广泛的机制,更适用于企业临时性的小规模数据传输。
4. 安全认证的要点
(1) 安全认证关键主体
《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》中存在三个关键主体:个人信息控制者、个人信息主体、境外个人信息处理者。
(2) 出境场景识别
出境场景识别有两个重点:一个是数据的存储,在进行数据盘点时需要明确掌握个人信息存储位置及存储数量等内容;另一个则是数据出境的具体场景。立足于技术角度,出境场景主要分为三种类型:第一种是数据处理者在国内而业务系统部署在境外,境内的处理者使用国外业务系统过程中发生数据跨境活动;第二种是业务系统完全部署在境内,境外访问境内的业务系统;最后一种则是同步处理场景,即境内境外同时存在业务系统,两端业务系统各自访问本地系统但二者之间发生数据交互或同步行为。在此,需要从技术层面将不同场景准确识别出来。
(三)个人信息保护影响评估、风险自评估与安全评估的关系
1. 个人信息保护影响评估与风险自评估
《个人信息保护法》项下的个人信息保护影响评估(简称PIA)作用在于评估对于个人权益的影响程度,以及风险发生的概率,是发现个人信息处理活动中的风险,评估管理措施和技术措施是否适当的有效判断工具。
数据出境风险自评估是安全评估的前提,其与PIA区别在于:第一,二者评估范围不同,PIA仅仅关注个人信息,而风险自评估除了关注个人信息之外,还关注重要数据。第二,保障对象不同,PIA 关注的是个人权益的损害;而风险自评估更加关注国家安全和公共利益损害,同时还要评估境外接收方的安全保障能力以及数据处理目的的合法、正当、必要性。
2. 风险自评估与安全评估
风险自评估与安全评估总体差异性不大,但在审查目的上存在明显的差异,安全评估需要审查数据出境方自评估报告内容以及评估方法、评估结论的真实性与可靠性;安全评估中除了对于自评估报告进行再审查以外,还需要对于国家安全影响、同等保护水平以及境外法律环境进行整体评估。
(四)境外法律环境评估要点
网信办在评估境外法律环境时,会考虑以下内容:第一是数据传输目标国的立法环境,境外接收方的数据保护水平是否达到我国法律、行政法规的规定和强制性国家标准的要求;第二是当地的司法机制,数据安全和个人信息权益是否能够得到充分有效保障;第三是有权机关对数据获取的法律约束。
之所以将境外法律环境交由网信办进行评估,原因在于:一方面网信办拥有评价资源,可以充分评价相关境外国家的法律环境;另一方面则是网信办评价结果可以作为恒定客观性标准,能够实现评价的公平、客观。
此外,网信办还承担评估境外接收方数据保护是否达到我国法律要求的水平的任务,原因在于对于境外接收方数据保护水平的评估需要综合考察境外接收方所在国法律环境、数据接收方自身数据安全保障能力、所采取的管理技术措施以及个人信息主体的形成机制是否完备等因素,综合考虑之下,交由网信办进行更加符合我国国情。
技术要求及技术实现方式
(一)数据接收方安全能力评估要求
对于数据接收方安全能力评估需要遵循同等保护原则,即参加个人信息跨境活动的相关方应该采取必要措施确保符合中华人民共和国的保护要求,主要可以从两方面入手:一方面可以通过等保的要求,另外也可以参照DSMM、信通院DSG等数据安全能力评估标准。其次还可以在数据存储保护手段以及数据安全管理、技术评估等方面充分借鉴行业优秀经验,确保数据安全保护能力达到要求。
(二)数据出境后企业如何控制数据泄露风险
基于数据防泄露角度,企业主要防止的是数据通过非法或不合理方式被出境的情况发生,可以采取以下几种措施:
1. 合同控制方式
从技术角度考虑,若企业内部建立有完善的控制模式以及严密的数据合规体系,其可以通过合同方式控制部分数据泄露问题的发生。
2. 数据不出境
由于企业供应链上下游之间会涉及原始数据的出境,因此通过技术手段防止数据泄露存在较大的困难,此种情形下企业优先选择的措施便是尽量实现数据的不出境,是目前为止最好的措施。
3. 新型技术手段
当前发展出许多新型数据保护手段,比如隐私计算、多方计算,区块链或者其他手段等。此外还可采用数据脱敏的模式,把数据中的关键信息,通过技术手段进行脱敏,让数据本身变得无法追踪个人隐私。
技术+法律,赋能企业数据出境管理
(一)技术与法律的关系
企业数据出境管理的顺利实施,需要实现技术与法律的结合。技术是法律制度落地执行的支撑,一方面,技术的运用能够明晰法律制度执行情况;另一方面,技术能够实现特殊情况下的强制性处理,确保法律制度的顺利实施。
二者相互配合,方可实现企业对于数据出境的全面管理。
同时,在企业数据合规工作中,技术与法律是一体两翼,缺一不可,可谓“没有法律指引的技术实施是盲目的,没有技术支持的法律方案是悬空的”。技术方案存在的目的之一是为了合规,因此需要法律来划定基准线,法律制度的落地和实施需要技术的支持,安全是基础,完善的合规管理体系需要技术的保障。
企业在进行一体化数据中心以及分布式数据中心选择时需要多方考虑,未来企业在全球IT机制的规划方面需要综合考虑经营区域的法律基准,各国法律是否对于数据本地化存在强制性法律要求,各国的数据传输机制,以及成本问题。
若最终决定本地化,在考虑一体化部署时,应选择立法的高地,比如欧盟、新加坡,这些国家、地区的数据保护法律在全球的认可度较高。
(二)技术安全角度的数据保护关键点
数据保护过程最重要的是如何面对数字化转型即数字化经济。基于技术安全角度,数据保护的关键点主要存在以下几方面内容:
第一,建立健全数据安全治理体系,数据保护不单是纯粹的技术问题,是一个综合治理的过程,需要企业内部管理制度、组织结构以及技术支撑三点相互配合。首先需要加强对于重要数据的保护,其次是敏感数据的保护,因此企业需要对于自身IT结构或者重点数据分布场景进行梳理。
第二,梳理评估数据流动方式,对企业内部即时通讯系统、对外访问互联网业务系统、第三方访问系统等数据流动形式进行梳理和评估,把握数据出境风险等级,根据风险等级由上而下梳理数据安全保护体系,抓大放小。从最高风险场景控制,由内而外对数据出境采取保护措施,逐步形成有效的数据安全支撑方案。
(三)合规技术部署要点
根据数据合规实务经验发现,单纯基于技术角度进行企业合规技术部署存在适用上的困难,技术推行可行性受阻,因此需要多部门通力合作,包括技术部门、业务部门、法务部门等,需要企业在技术部署时做体系化的考量,摒弃单一模式思维,依靠整体体系运转、各部门之间相互配合实现企业涉数据合规工作的顺利完成。
数据跨境合规落地实践——法律+技术+合规管理
作者:陈际红 杨明非来源:iLaw合规

编者按 随着我国跨境三件套(《个人信息跨境处理活动安全认证规范》《个人信息出境标准合同规定(征求意见稿)》《数据出境安全评估办法》)陆续出台,国内数据出境的安全评估、标准合同条款、认证机制也逐步从制度