前言:
1980年,经合组织(OECD)提出了“数据跨境流动”(Trans-border Data Flow)的概念,其被界定为个人信息的跨越国界流动。但随着技术的发展,国际上对跨境数据流动的理解已经完全超越了个人信息的范畴。巨量的数据资源不仅只涉及个人信息了,尤其是跨国企业经营中涉及的数据跨境,既存在个人信息,也包括商品数据、支付数据、物流数据、地理位置等非个人信息,且其中相当一部分数据涉及国家安全、公共安全。我国此前监管重心多侧重于“个人信息”的出境规制(《个人信息出境安全评估办法(征求意见稿)》),实务中对于“个人信息”出境合规应对也较为成熟,而对于“重要数据”的出境规制则存在立法空白。
2021年6月10日,我国《数据安全法》正式出台,在《网络安全法》第37条的基础上,进一步建构数据出境安全管理框架。《数据安全法》在鼓励跨境数据流动(第10条)的基础上,对数据出境安全管理(第31条)、主管机关批准(第36条)以及法律责任承担(第46条)等方面进行规定,为跨国企业尽快开展数据出境合规工作提供了方向参考。
本文将以《数据安全法》为基础,结合《网络安全法》、《信息安全技术 数据出境安全评估指南(征求意见稿)》(下文简称《评估指南》)等规定,对于跨国企业数据传输存在的常见问题进行回答,以期为跨国企业的数据出境合规提供法律帮助。
一、《数据安全法》对于数据出境的监管要求
《数据安全法》第三十一条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
(一)数据出境的主体:关键信息基础设施的运营者 & 其他数据处理者
1.关键信息基础设施的运营者
关键信息基础设施的运营者并非《数据安全法》创设的新主体,早在《网络安全法》与《网络安全审查办法》便已对关键信息基础设施进行了定义。
《网络安全法》第三十一条规定,国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
根据该条,国家互联网信息办公室(下文简称“网信办”)制定了《关键信息基础设施安全保护条例(征求意见稿)》,其中第十八条规定了应当纳入关键信息基础设施保护范围,包括:
(一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;
(二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;
(三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;
(四)广播电台、电视台、通讯社等新闻单位;
(五)其他重点单位。
而根据《关键信息基础设施安全保护条例(征求意见稿)》第二条,在中华人民共和国境内规划、建设、运营、维护、使用上述关键信息基础设施,以及开展关键信息基础设施的安全保护,适用本条例。
2.其他数据处理者
我国此前针对个人信息与数据的收集、处理活动的主体,多采用“网络运营者/网络运营商”的概念。
《个人信息出境安全评估办法(征求意见稿)》第二条将“个人信息出境”界定为网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息的行为;《信息安全技术 数据出境安全评估指南(征求意见稿)》将“数据出境”界定为网络运营商通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务以及提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续活动。
而最新的《数据安全法》将数据的收集、存储、使用、加工、传输、提供、公开等活动明确界定为“数据处理”,而实施上述活动的主体则为“数据处理者”。但此“数据处理者”从其内涵和法律意义来看不同于GDPR项下的“数据处理者”。
综上,实施收集、存储、使用、加工、传输、提供、公开数据等行为的跨国公司,无论其是否建设、运营、维护、使用上述关键信息基础设施,均因其实施数据处理行为而落入《数据安全法》第三十一条的规制主体范畴。
(二)数据出境的对象:重要数据
《数据安全法》并非要求所有数据出境均应进行审查,而是针对企业在中华人民共和国境内运营中收集和产生的重要数据进行数据出境安全管理。对于“重要数据”的范畴,《数据安全法》第二十一条在概念界定的基础之上提出了“重要数据目录”,该目录则是由国家数据安全工作协调机制统筹协调有关部门制定。
《数据安全法》第二十一条规定,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
目前《数据安全法》的相关配套法律法规还未出台,尤其是最核心的“重要数据目录”,但跨国公司数据出境需求并不会因为政策尚未落定而停止。在此期间,我们建议跨国公司可以参照现有分类分级规范对“重要数据”界定开展工作,部分规范和行业标准仍处于征求意见阶段,但并不意味其内容毫无参考价值。
《信息安全技术 数据出境安全评估指南(征求意见稿)》附录A“重要数据识别指南”中对27个重点行业的重要数据做了概括性的描述,如石油、电力、金融等。
《汽车数据安全管理若干规定(征求意见稿)》首次明确界定汽车行业重要数据的范围,具体包括:
(一)军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据;
(二)高于国家公开发布地图精度的测绘数据;
(三)汽车充电网的运行数据;
(四)道路上车辆类型、车辆流量等数据;
(五)包含人脸、声音、车牌等的车外音视频数据;
(六)国家网信部门和国务院有关部门明确的其他可能影响国家安全、公共利益的数据。
(三)数据出境的内容:“出境”
《信息安全技术 数据出境安全评估指南(征求意见稿)》将“数据出境”(data cross-boder transfer)界定为网络运营者将在中华人民共和国境内收集和产生的电子形式的个人信息和重要数据,提供给境外机构、组织、个人的一次性活动或连续性活动。并且注明,未经任何变动或加工处理的数据中转情形不属于数据出境。
并将“提供“(provide)界定为网络运营者主动向境外机构、组织或个人提供数据,或通过其他途径发布数据的行为,包括其用户使用网络运营者提供的产品或服务的功能,向境外机构、组织或个人提供数据的行为。但排除了网络运营者提供已经被依法公开披露的数据。
从立法原意看,之所以要求网络运营者应当对向境外提供重要数据进行安全评估,是为了防范国家数据安全风险,维护国家安全,保障公共利益,因此《评估指南》排除了单纯的数据中转行为,而是强调网络运营者提供行为的主动性。这也与《数据安全法》第十条的立法意相符合。
二、数据出境自评估工作
图源:《信息安全技术 数据出境安全评估指南(征求意见稿)》
(一)什么时候需要进行数据出境自评估
根据《信息安全技术 数据出境安全评估指南(征求意见稿)》4.2.2 条,存在下列情况时,需要进行数据出境自评估:
涉及数据出境的; 关键信息基础设施运营者进行数据出境之前的; 已完成数据出境安全自评估的产品或业务所涉及的个人信息和重要数据出境,在目的、范围、类型、数量等方面发生较大变化、数据接收方变更或发生重大安全事件的; 按照行业主管或者监管部门要求启动的。
(二)如何开展数据出境自评估工作
1.成立安全自评估工作组,制定数据出境计划
开展数据出境自评估工作应当建立数据出境安全自评估工作组,工作组主要包含法务、政策、安全、技术、管理相关专业人员。数据出境安全自评估工作组应负责审查业务部门提交的数据出境计划,并定期对数据出境情况开展检查、抽查。而有数据出境需求的业务部门应制定数据出境计划,该计划是开展评估工作的重要依据。
数据出境计划的内容包括但不限于:
涉及个人信息情况,包括个人信息的类型、数量、范围和敏感程度等; 涉及重要数据情况,包括重要数据的类型、数量和范围等; 涉及的信息系统情况; 数据发送方安全保护能力; 数据接收方安全保护能力及其所在的国家或地区的基本情况。
2.评估数据出境计划的合法性和正当性
数据出境安全自评估首先应当考虑本次数据出境计划的合法性和正当性,如果数据出境活动不具有合法性和正当性,则禁止出境。在此基础上再评估数据出境计划是否风险可控,有效避免数据出境及再转移后被泄露、损毁、篡改、滥用等风险。
自评估但评估要点可以参考《评估指南》第5章,评估方法可以参考《评估指南》附录 B。安全评估但结果为出境安全风险为极高或高的,则禁止出境。
根据《信息安全技术 数据出境安全评估指南(征求意见稿)》制作
3.形成评估报告,进行相应调整
数据出境安全自评估工作组在完成对数据出境计划的评估后,应形成安全自评估报告。安全自评估报告内容应包括但不限于:
安全自评估对象基本情况; 安全自评估组织实施情况; 安全自评估结果; 数据出境安全风险点; 检查修正建议。
安全自评估报告应至少保存2年,并在如下情况下将安全自评估报告上报行业主管部门,行业主管部门不明确的,报国家网信部门。
关键信息基础设施运营者开展的安全自评估; 一年内出境的个人信息数量达到国家网信部门、行业主管部门上报要求的; 包含核设施、生物化学、国防军工、人口健康等领域数据,大型工程活动、海洋环境敏感地理信息数据,以及其他重要数据的; 涉及关键信息基础设施的安全缺陷、具体安全防护措施等网络安全信息的; 其他可能影响国家安全、经济发展和社会公共利益的。
如果安全自评估结果为禁止出境的,网络运营者应采用相关措施降低数据出境安全风险,并修正数据出境计划,重新开展安全自评估。
可用于降低数据出境安全风险的措施包括但不限于:
精简出境数据内容; 使用技术措施处理数据降低敏感程度; 提升数据发送方安全保障能力; 限定数据接收方的处理活动; 更换数据保护水平更高的接收方; 选择政治法律环境保障能力较高地区的数据接收方等。
在企业进行相应调整后,可重新对数据出境进行安全风险评估。
三、常见问题回应
(一)跨国企业是否必须在中国境内设立用于存储数据的服务器?
《数据安全法》并未直接对数据本地化存储进行规制。对于此问题可以参考此前已实施生效对《网络安全法》第三十七条。
《网络安全法》第三十七条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
简言之,如果“关键信息基础设施的运营者“直接在境外服务器上存储境内重要数据,将违反本地化存储的相关规定,导致企业和相关直接责任人员面临被予以行政处罚的风险。
《网络安全法》仅对“关键信息基础设施对运营者”提出了数据本地化要求,但由于此前仅对“关键信息基础设施对运营者”进行了行业和程度的界定,实践中跨国企业的落实情况并不理想。而本次《数据安全法》扩大了数据出境的被监管主体——从“关键信息基础设施对运营者”到“其他数据处理者”均被纳入监管范畴。同时,结合近期监管趋势来看,监管部门对于关涉国家安全的行业相继出台法规政策,如针对智能汽车领域的《汽车数据安全管理若干规定(征求意见稿)》,首次明确界定汽车行业重要数据的范围。
可以见得,对于从事《信息安全技术 数据出境安全评估指南(征求意见稿)》附录A“重要数据识别指南”中对27个重点行业的跨国企业,如果其在境内收集、使用的数据有涉及国家安全的潜在可能,那么对于“跨国企业是否必须在中国境内设立用于存储数据的服务器?”这个问题的回答是,是的,为了应对监管趋势,设立用于数据存储的服务器是有必要的。
(二)境外远程访问是否属于数据出境?
上文已经对“数据出境”内涵进行阐述,在此基础上,我们可以讨论“境外远程访问是否属于数据出境“问题。
首先,如何理解“境外远程访问“,即“境外远程访问“一般包括那些情形。
狭义层面的“远程访问“(remote access)一般是指远端用户通过其他设备访问该计算机及其存储资源的行为,比较常见的是通过在计算机上安装远程访问软件的方式来达到在远端操控计算机的目的。
而法律所规制的“数据出境”行为要求网络运营者的“提供”行为具有主动性。笔者认为主动性在“远程访问”中体现为此访问行为是否受权限控制。如果境外主体获得权限后访问境内数据库,则该行为应当落入《评估指南》的规制范畴,属于“数据出境”行为。
如果网络运营商在中华人民共和国境内收集和产生的重要数据是因为被恶意攻击者窃取数据从而导致重要数据被传输至境外的,不属于数据出境行为。
而从访问对象看,境外主体所访问的计算机或其资源不存在权限要求,即任何主体在任何时间地点均可对其进行访问,与排除“依法公开披露”立法意相同,也不属于“数据出境”行为。
(三)境外接收重要数据的母公司是否也存在合规要求?
——是的
在跨国企业的业务中,收集、传输数据的主体多为跨国公司的境内公司(外商投资企业),其承担了主要的合规义务,而境外母公司作为接受者也存在一定的监管要求。网信办在2019年发布的《个人信息出境安全评估办法(征求意见稿)》对“个人信息接收者”规定了相应的法律义务,该办法主要是针对个人信息出境,但由于其内容具有一定实操性和规范性,因此我们建议在《数据安全法》配套法规尚未出台前,有出境需求的跨国企业可以参照该办法规定开展数据传输合规工作,力求尽可能规避监管风险。
该办法第十三条规定网络运营者(跨国公司的境内公司)与个人信息接收者(境外母公司)应当签订合同或者其他有法律效力的文件,并对合同所应当约定的内容进行了规定。
该办法第十五条、第十六条明确规定接收者(境外母公司)所应承担的责任和义务,包括:
为个人信息主体提供访问其个人信息的途径,个人信息主体要求更正或者删除其个人信息时,应在合理的代价和时限内予以响应、更正或者删除。 按照合同约定的目的使用个人信息,个人信息的境外保存期限不得超出合同约定的时限。 确认签署合同及履行合同义务不会违背接收者所在国家的法律要求,当接收者所在国家和地区法律环境发生变化可能影响合同执行时,应当及时通知网络运营者,并通过网络运营者报告网络运营者所在地省级网信部门。 除非满足一定条件,接收者不得将接收到的个人信息传输给第三方。
对于“重要数据”而言,其对于“知情同意”的要求力度不如“个人信息”(个人信息自决权的体现),因此第一点对“重要数据”而言参照性较低。但第2、3、4点的制定逻辑均适用于“个人信息”和“重要数据”,跨国企业可以参照。
总结
此前,国家网信办官网发布了《网络安全审查办法(修订草案征求意见稿)》并向社会公开征集意见。该办法对赴国外上市公司作了特殊规定,要求掌握超过 100 万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查,且在申报材料中应提供拟提交的 IPO 材料。且在审查关注的国家安全风险方面,针对赴国外上市行为提出了新的规制措施。可以见得,在未来一段期限内,关涉国家安全对数据跨境流通将面对更进一步对监管要求。尤其是日常业务涉及高频数据跨境流动对跨国企业,对此问题应当有所应对。