新监管时期下的数据跨境风险管理
2024年3月22日,国家互联网信息办公室公布并施行《促进和规范数据跨境流动规定》(以下简称《规定》)。《规定》明晰了数据跨境流动监管的整体框架与边界,呈现主次分明的态势,在明确重点规范个人信息以及重要数据出境的同时,放宽了对其他数据出境的监管以促进其自由流动,充分释放数据价值。这在一定程度上减轻了外商投资企业、跨国公司子公司等涉外企业在数据出境时需要履行的合规义务。不过,在实际操作中,仍有相关操作细则有待监管后续明晰。笔者旨在探讨在《规定》出台之后,新的数据跨境监管背景下,涉外企业如何依据《规定》对各类场景下的数据跨境风险进行合规管理。
监管框架与主要监管思路
在《规定》出台前,我国《中华人民共和国网络安全法》(以下简称《网络安全法》)《中华人民共和国数据安全法》(以下简称《数据安全法》)《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)“三驾马车”提出了不同场景下,数据出境的三大路径:数据出境安全评估、个人信息保护认证(以下简称保护认证)、个人信息出境标准合同(以下简称标准合同),下文统称为数据出境义务。后续陆续公布的《数据出境安全评估办法》《个人信息出境标准合同办法》《关于实施个人信息保护认证的公告》在为三大数据出境路径提供了更明确的指示同时,也提出了更细致的规定。《规定》以及第二版《数据出境安全评估申报指南》《个人信息出境标准合同备案指南》的出台,作为完善数据出境路径的又一重要拼图,对三大数据出境路径的实施与衔接再次进行了完善。
国家互联网信息办公室有关负责人在《规定》答记者问中介绍了《规定》的出台背景,明确此前出台的《网络安全法》《数据安全法》以及《个人信息保护法》中提出的与数据出境活动的相关规定的主要立法宗旨在于“切实保护人民群众利益,维护国家网络和数据安全,促进数据依法有序自由流动”。《规定》延续了上述立法宗旨,明确了我国数据跨境整体监管框架。
首先,根据《规定》第三条,“国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”,我国数据出境的监管对象为个人信息和重要数据。针对个人信息出境,《规定》主要根据出境个人信息“是否属于敏感个人信息”以及“数据出境的具体量级”两个维度判断数据处理者应履行的数据出境义务(见表)。其次,《规定》就关键信息基础设施运营者以及非关键信息基础设施运营者向境外提供数据的情况进行了区分。最后,《规定》不仅围绕跨境合同的订立与履行、涉外企业跨境人力资源管理、紧急情况下自然人的生命健康和财产安全保护,以及非关键信息基础设施运营者向境外提供不属于敏感个人信息的个人信息量级四类情况以及“引入”情形规定了相应的豁免场景(以下统称豁免场景),《规定》第四条明确“数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”。《规定》还制定了自由贸易试验区“负面清单”制度,允许自由贸易试验区依法自行制定区内需要纳入数据出境义务管理范围的数据清单。
重要概念解析
个人信息与敏感个人信息
作为我国数据跨境监管对象中最常见的一种,《规定》下的“个人信息”的认定主要包括以下三个要素:(一)以电子或者其他方式记录;(二)与已识别或可识别的自然人有关;(三)未经匿名化处理。《个人信息保护法》下的“匿名化”要求达到无法识别并且无法复原的效果,实践中多数企业采取的措施往往只是加密、脱敏等去标识化处理,处理后的个人信息仍是《个人信息保护法》规定的个人信息。
“敏感个人信息”则需要在个人信息的基础上,满足被泄漏或非法使用时容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害这一条件,例如基因、指纹、银行账户、流水记录、病史、身份证等信息,以及不满十四周岁未成年人的个人信息。
在判断是否构成“个人信息”以及“敏感个人信息”时,实践中企业往往结合《GB/T35273-2020信息安全技术 个人信息安全规范》附录A和附录B中的定义与示例进行判定。
关键信息基础设施运营者
根据《关键信息基础设施安全保护条例》(以下简称《关保条例》)第二条规定,“关键信息基础设施”不但包括明确被列举的公共通信和信息服务、能源、交通、水利、金融等重要行业和领域,还包括从结果上看,若遭到破坏、丧失功能或数据泄漏,存在严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
根据《关保条例》第二章关键信息基础设施认定的相关规定,《关保条例》中提及的重要行业和领域的主管部门、监督管理部门作为负责关键信息基础设施安全保护工作的部门(以下简称保护工作部门)负责制定关键信息基础设施的认定规则,组织认定相关关键信息基础设施,并及时将认定结果通知运营者以及国务院公安部门。因此,若企业运营关键信息基础设施,企业应当会收到保护工作部门的认定结果通知,而无需企业自行作出判断。
重要数据
根据《数据出境安全评估办法》第十九条的规定,“重要数据”是从被篡改、破坏、泄露或者非法获取、非法利用后可能造成的后果角度进行判断的,若该等后果涉及危害国家安全、经济运行、社会稳定、公共健康和安全等的,就构成“重要数据”。
根据《规定》第二条,虽然企业仍需根据相关规定识别、申报重要数据,但相关数据只要未被相关部门、地区告知或公开发布为重要数据,就无需自行决定该数据是否构成重要数据。目前已明确该类重要数据清单或识别标准的主要在三个领域:汽车领域、自然资源领域以及工业和信息化领域。
在汽车领域,《汽车数据安全管理若干规定(试行)》主要将重要敏感区域相关数据、反映经济运行情况的数据、汽车充电网运行数据、车外视频与图像数据,以及超过10万人个人信息主体的个人信息五类数据列为重要数据。
在自然资源领域,《自然资源领域数据安全管理办法》中规定了自然资源领域重要数据识别的参考指标和识别方式,并规定了自然资源部、国家林业和草原局等监管部门所属数据处理者向本地区行业监管部门报备自身重要数据和核心数据目录的义务。
在工业和信息化领域,《工业和信息化领域数据安全管理办法(试行)》根据危害程度规定了重要数据识别标准,要求工业和信息化领域数据处理者定期梳理数据,按照工业和信息化部组织制定的相关标准规范识别本单位的重要数据目录,将本单位重要数据向本地区行业监管部门备案。
因此,企业需密切关注所在行业监管机构发布的此类法规,依法依规对企业处理的重要数据进行梳理与报备,并根据相关部门、地区的认定与公布结果履行相应的数据出境合规义务。
关键信息基础设施运营者向境外提供数据以及重要数据出境
《规定》第五条、第七条和第八条相应条款中均将关键信息基础设施运营者与其他数据处理者进行了区分,要求关键信息基础设施运营者向境外提供个人信息或重要数据时,无论种类或量级,皆需申报数据出境安全评估。
值得注意的是,《规定》第七条第二款为关键信息基础设施运营者留出了适用除《规定》第五条第四款规定的提供不满10万人非敏感个人信息的豁免情形外其他豁免场景的空间。
此外,即使是非关键信息基础设施运营者的数据处理者向境外提供重要数据的,依旧需要申报数据出境安全评估。换而言之,只要是向境外提供重要数据的,无论数据处理者是否是关键信息基础设施运营者,都需要申报数据出境安全评估。
非关键信息基础设施运营者个人信息出境典型场景合规
财务数据出境
境外企业在对中国境内企业开展投资活动的过程中,无论是通过直接投资还是基金投资等,往往都会涉及境内被投企业以报表、报告等形式向境外投资方提供财务数据等类似数据的情况。此时,就此类财务数据本身而言,由于其本身通常不包含个人信息或重要数据,而仅仅由企业相关数据构成,该等数据的出境行为可以免于数据出境义务。
在上述财务数据出境场景下,出境的数据除了财务数据外,通常会带有少量个人信息,例如公司高管、董事、联系人等的名称、职位等。在《规定》出台前,由于不存在相应豁免场景,企业为了此类少量的出境数据,依旧需要履行数据出境合规备案等义务。在《规定》出台后,关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的,免于申报数据出境安全评估、订立标准合同、通过保护认证。因此,此类场景下,若向境外提供的数据除财务数据外,仅涉及不满10万人个人信息(不含敏感个人信息)的则适用该等豁免场景。
另外,依据《规定》,只要向境外提供敏感个人信息,即使只涉及一个自然人等敏感个人信息,也需要订立标准合同或通过保护认证。为避免企业资源不必要的浪费,企业应进一步分析敏感个人信息出境的必要性,尽量避免因极少量非必要敏感个人信息的出境导致企业履行严格的数据出境义务。
涉外企业人力资源数据出境
涉外企业通常存在将境内企业员工信息传输到境外统一进行集团内部管理的需求。在《规定》出台前,虽然根据《个人信息保护法》第十三条第一款第二项规定,按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需的,可以不经过个人同意处理个人信息,但是并未豁免对应的数据出境义务。
《规定》出台后,企业若向境外提供个人信息能够满足上述《个人信息保护法》中的“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”,并且同时符合《规定》第五条第一款第二项的规定的“按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的”,则不仅可以免除获取员工同意的义务,也免于履行数据出境义务。
此场景下,企业通常涉及的疑问系企业是否需要同时满足按照“依法制定的劳动规章制度”和“依法签订的集体合同”两个前提条件。根据相关实践经验和业内共识,此处仅需符合两者中的一项即可。企业依据《规定》第五条第一款第二项出境员工个人信息的,需要注意相关劳动规章制度的制定和集体合同的订立需要满足中华人民共和国相关法律法规的具体要求。
业务数据出境
除财务数据以及人力资源数据以外,部分投资境内企业的境外企业有时希望能够深度参与境内企业的经营发展,此时可能涉及将境内企业运营过程中的业务数据向境外进行传输。取决于该等境内企业所属行业的特性等因素,该等业务数据中可能会涉及大量个人信息。根据《规定》,若数据处理者自当年1月1日起累计向境外提供的个人信息(不含敏感个人信息)量级达到10万人以上、不满100万人,或提供不满1万人敏感个人信息的,应当订立标准合同或通过保护认证。此时,企业可着重分析《规定》中的豁免场景是否能够适用,例如是否属于为订立、履行个人作为一方当事人的合同,如跨境购物合同、跨境寄递合同、跨境汇款合同、跨境支付合同、跨境开户合同、机票酒店预订合同等,确需向境外提供个人信息的情形。
需要注意的是,境外企业还需当密切关注自由贸易试验区制定数据出境负面清单的情况。自由贸易试验区根据《规定》依法制定负面清单的,在该等自由贸易试验区内的企业作为数据处理者向境外提供负面清单外的数据,可免予申报数据出境义务。
综上,《规定》的出台为许多具有数据出境需求的企业提供了诸多便利。《规定》主次分明、张弛有度,在紧抓关键信息基础设施运营者和重要数据这两个抓手的同时,对涉及个人信息保护的个人信息以及敏感个人信息出境进行了监管,放宽了对其他数据出境的监管以促进其自由流动,充分释放数据价值。这体现了立法者为兼顾下述两个重要目标作出的努力:一是通过立法保障国家安全和实现个人信息保护;二是吸引外资、促进数据自由跨境流动、释放数据价值。在实际开展投资前,企业可关注自由贸易试验区负面清单的制定情况、相关行业重要数据管理规定,以及中国最新的数据跨境相关立法,做好前期工作。在实际开展投资的过程中,企业需结合自身数据跨境需求,尽量避免重要数据、非必要敏感个人信息的出境。此外,企业还需关注出境数据中的个人信息量级,依法履行数据出境过程中的申报、备案或其他义务。
作者单位:国浩律师(北京)事务所