随着生成式AI、自动驾驶等技术的高速发展,跨国企业在技术研发、技术交易乃至员工出入境交流等中都可能存在大量数据跨境的需求。同时,中国对于个人信息以及数据的保护愈加重视,相继出台了多部法律和规章等。因此,为了企业能够了解中国数据出境的相关制度,满足数据合规要求,本文简要介绍中国数据出境的相关制度以及相关法律法规,以供参考。
二、相关法律法规
目前,中国对于个人信息和数据的出境的审查制度是以《网络安全法》、《数据安全法》、《个人信息保护法》为基础构建的。并且,为了实施和完善相关制度,公布了一系列行政法规和相关标准。例如,在2022年9月1日,《数据出境安全评估办法》开始实施;在2023年6月1日,《个人信息出境标准合同办法》开始实施;在2024年3月23日,公布《促进和规范数据跨境流动规定》,并开始实施。在2024年9月24日,公布了《网络数据安全管理条例》,于2025年1月1日开始实施。
三、数据出境的相关概念
根据《数据安全法》第21条的规定,对数据实行分类分级保护。[1]数据的级别会直接影响到出境途径和相关审查要求,因此,有必要厘清与数据类别、级别相关的一些概念。
1. 重要数据
根据数据分类分级规则,数据包括 “一般数据”、“重要数据”和“核心数据”三个级别。[2]
“重要数据”是指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。[3]“核心数据”是指关系国家安全、国民经济命脉、重要民生、重大公共利益等数据。[4]
虽然法律中定义了重要数据,但其内涵与外延依然比较模糊和宽泛,不容易直接判断出数据是否属于重要数据。为此,各地区、各行业的相关部门出台了相应的标准、规定以及清单。
2014年10月1日,推荐性国标《数据安全技术 数据分类分级规则GB/T 43697-2024》开始实施,其中给出了较为详细的判断规则和示例。各个自贸区也相继出台了数据出境相关的负面清单,例如,《中国(北京)自由贸易试验区数据出境管理清单》、《中国(上海)自由贸易试验区临港新片区智能网联汽车领域数据跨境场景化一般数据清单(试行)》等。行业主管部门也会出台行业内的数据管理规定,例如,《汽车数据安全管理若干规定(试行)》。
由于相关的数据清单和规定均需要经过网信部门审批并报备,因此均是符合《数据安全法》的前提下制定的,并不会存在特别行业或地区的例外。因此,在判断数据是否属于重要数据时,可以根据所在地区或行业所制定的规定或数据清单来判断。
2. 个人信息和敏感个人信息
数据出境时,个人信息以及敏感个人信息的数量会直接影响到出境途径和相关审查要求。
“个人信息”是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息[5]。
另外,根据公布《促进和规范数据跨境流动规定》时的答记者问,去标识化处理后的个人信息仍是《个人信息保护法》规定的个人信息。[6]
“敏感个人信息”是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。[7]
3. 关键信息基础设施运营者
向境外提供数据的数据处理者是否属于关键信息基础设施运营者会直接影响到出境途径和相关审查要求。对于“关键信息基础设施运营者(CIIO)”而言,数据出境的相关规定更为严格。
“关键信息基础设施”是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。[8]
同时,在《关键基础设施安全保护条例》中规定了,由上述重要行业和领域的主管部门、监督管理部门负责制定本行业、本领域的关键信息基础设施的认定规则,并且组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。[9]
目前,各行业并没有公布的认定规则,所以实际上是根据是否收到主管部门的通知来判断是否属于“关键信息基础设施运营者”。
四、数据出境的途径
1. 适用条件
目前数据出境包括三种途径:数据出境安全评估;个人信息保护认证;个人信息出境标准合同。三种途径的适用条件如下:
另外,根据《数据出境安全评估办法》答记者问,“《办法》适用范围外的个人信息处理者的数据出境情形,可以通过个人信息保护认证或者签订国家网信部门制定的标准合同来满足个人信息跨境提供条件”。[11]因此,可以理解为,即便是未达到必须进行数据出境安全评估的条件,也可以申报数据出境安全评估。
2. 数据出境安全评估
2.1 数据出境风险自评估
目前,数据出境安全评估是采用了“自评估+安全评估”的双重评估模式。即,数据处理者在向境外提供数据前,应首先开展数据出境风险自评估。而且,该自评估报告也是申报数据出境安全评估应提交的必要材料之一。
根据官方提供的自评估报告模板,需要对出境活动整体情况进行详细说明,包括不限于:数据处理者基本情况、拟出境数据情况、数据处理者数据安全保障能力情况、境外接收方情况、法律文件约定数据安全保护责任义务的情况。
在某种程度上,自评估报告也是数据处理者向审查部门陈述相关数据出境合规理由的意见陈述,因此必须谨慎撰写。
2.2 数据出境安全评估的评估事项
《数据出境安全评估办法》第8条规定了具体的评估事项。
数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项:
(一)数据出境的目的、范围、方式等的合法性、正当性、必要性;
(二)境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求;
(三)出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险;
(四)数据安全和个人信息权益是否能够得到充分有效保障;
(五)数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务;
(六)遵守中国法律、行政法规、部门规章情况;
(七)国家网信部门认为需要评估的其他事项。[12]
其中,第一款中的“合法性、正当性、必要性”为数据出境安全评估的标准。其源自《个人信息保护法》中规定的处理个人信息应当遵守的合法、正当、必要原则。因此,可以参考学界对合法、正当、必要原则来解释“合法性、正当性、必要性”。
· 合法原则是指,个人信息处理者在对个人信息进行收集、存储、加工、使用、提供、公开、删除等处理活动时,应严格遵循法律、行政法规的规定,采取合法的方式,不得违法处理个人信息;
· 正当原则是指,处理个人信息的行为必须是正当的,处理者不应当通过不公正的方法,如通过欺骗或者在信息主体完全不知情的情况下来处理其个人信息;
· 必要原则是指,处理个人信息的活动都应当是对于实现个人信息处理目的而言是必要的,凡是不必要的个人信息处理活动都不应当开展。[13]
根据第一款中的规定,合法性、正当性、必要性的主体是数据出境的目的、范围、方式等。但笔者认为该主体并非仅限于数据出境的相关处理。例如,在数据出境风险自评估报告中,要求详细说明数据安全技术能力,其包括数据收集、存储、使用、加工、传输、提供、公开、删除等全流程所采取的安全技术措施等。[14]因此,出境数据的收集、存储等出境前的处理也可能在数据安全评估范围之内。因此,需要出境数据的从收集到出境的全流程都需要满足合法性、正当性、必要性的要求。
此外,在满足合法、正当、必要原则的情况下取得并处理个人信息,并意味着将这些个人信息提供给境外必然也具有合法性、正当性和必要性。数据和个人信息是否有出境必要将会是安全评估的重点之一。
同样参照学界对个人信息处理中的必要原则的解读[15],数据出境的必要性可以体现在三个方面:首先,出境数据和个人信息限制在实现目的所需要的最小范围;其次,重要数据和敏感个人信息的出境应当具有充分的必要性;再次,出境后保存期限应当为实现目的所必要的最短时间。
2.3 数据出境安全评估的相关流程
目前可以通过数据出境申报系统或线下方式提交申报材料。但是根据目前的规定,达到必须申报数据出境安全评估条件的情形,都需要采用线下方式。
采用线下方式是通过所在地省级网信办向国家网信办申报数据出境安全评估,流程如下:
通过数据出境安全评估的结果有效期为自评估结果出具之日起3年。而且,数据处理者可以在有效期届满前60个工作日内申请延长,批准后可以延长3年。
另外,在有效期内出现以下情形之一的,数据处理者应当重新申报评估:
(一)向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的;
(二)境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的;
(三)出现影响出境数据安全的其他情形。[17]
3. 个人信息出境标准合同
个人信息出境标准合同是个人信息处理者与境外接收方订立的向境外提供个人信息的合同。并且,标准合同必须严格按照国家网信部门提供的标准合同模板订立合同。[18]
在通过订立标准合同的方式向境外提供个人信息时,应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。[19]省级网信办应当在15个工作日内完成材料查验,并发放备案编号。[20]
在备案时,除了标准合同之外,还应提供个人信息保护影响评估报告。
根据《个人信息出境标准合同办法》,个人信息保护影响评估的内容包括:
(一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;
(二)出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险;
(三)境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;
(四)个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
(五)境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;
(六)其他可能影响个人信息出境安全的事项。[21]
个人信息保护影响评估的内容与数据出境安全评估的评估事项大体相同。
4. 个人信息保护认证
2022年11月4日公布了《个人信息保护认证实施规则》。
根据该实施规则,认证依据是个人信息处理者应当符合GB/T35273《信息安全技术 个人信息安全规范》的要求。对于开展跨境处理活动的个人信息处理者,还应符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。另外,认证模式是:技术验证+现场审核+获证后监督。
个人信息保护认证需要委托专门的认证机构办理,具体流程可以咨询相关机构。
五、豁免
目前,在以上三种途径的数据出境之外,还包括以下几种可以向境外提供个人信息的豁免情形。
· 为订立、履行个人作为一方当事人的合同,确需向境外提供个人信息。[22]
在《促进和规范数据跨境流动规定》中,给出了相关合同的示例,例如,跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等。
· 按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息。[23]
该豁免情形仅限于劳动规章制度和集体合同,而非一般的劳动合同。
· 为履行法定职责或者法定义务,确需向境外提供个人信息。[24]
法定职责和法定义务是指中国法律规定下的职责和义务。在仅为履行外国的法定职责或法定义务,例如为履行外国法院判决等向境外提供个人信息,并非必然属于豁免情形。
· 紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息。[25]
以上后三种情形均源自《个人信息保护法》第13条规定的可以处理个人信息的情形。虽然根据《个人信息保护法》第13条第1款的规定,在取得个人同意的情形下,个人信息处理者可以处理个人信息,但取得个人同意并非向境外提供个人信息的豁免情形。
除此之外,仅属于数据过境的情形,即在境外收集产生的个人信息传输至境内处理后向境外提供,且处理过程中没有引入境内个人信息或重要数据的,也免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。[26]
六、 建议
1. 完善企业内部的数据安全技术和管理制度,根据相关规定和标准,对数据进行全流程管理、分类分级、应急处置、风险评估、个人信息权益保护等。
2. 梳理跨境信息传输过程中可能涉及数据的部分,及时发现并排除风险。从需要出境数据中梳理出非必须出境的数据和可豁免的数据,以降低审查要求。
3. 在精简出境数据的前提下,选择适当的数据出境途径,例如采用订立个人信息出境标准合同等更容易的途径。并且,建议定期监控数据出境情况,在适用条件发生变化时及时改变数据出境途径。
4. 对于未来可能需要大量数据出境的企业,也建议事先申报数据出境安全评估。一是为了及时满足业务需求,二是为申报安全评估积累经验,及时完善企业内部的数据管理。
[1]《数据安全法》第21条
[2] GBT 43697-2024-数据安全技术 数据分类分级规则
[3]《网络数据安全管理条例》第62条第4款
[4]《数据安全法》第21条第2款
[5]《个人信息保护法》第4条
[6]https://www.cac.gov.cn/2024-03/22/c_1712776611649184.htm
[7]《个人信息保护法》第28条
[8]《关键基础设施安全保护条例》第2条
[9]《关键基础设施安全保护条例》第8条至第11条
[10]基于《促进和规范数据跨境流动规定》第5条、第7条、第8条制作
[11]https://www.cac.gov.cn/2022-07/07/c_1658811536800962.htm
[12]《数据出境安全评估办法》第8条
[13]《论我国个人信息保护法的基本原则》 程啸 国家检察官学院学报 2021年05期
[14]《数据出境安全评估申报指南(第二版)》
[15]《论我国个人信息保护法的基本原则》 程啸 国家检察官学院学报 2021年05期
[16]基于《数据出境安全评估办法》第7条、第12条、第13条制作
[17]《数据出境安全评估办法》第14条
[18]《个人信息出境标准合同办法》第6条
[19]《个人信息出境标准合同办法》第7条
[20]《个人信息出境标准合同备案指南(第二版)》
[21]《个人信息出境标准合同办法》第5条
[22]《网络数据安全管理条例》第35条第4款
[23]《网络数据安全管理条例》第35条第5款
[24]《网络数据安全管理条例》第35条第6款
[25]《网络数据安全管理条例》第35条第7款
[26]《促进和规范数据跨境流动规定》第4条