前言
1980年,經合組織(OECD)提出了“數據跨境流動”(Trans-border Data Flow)的概念,其被界定為個人信息的跨越國界流動。但隨著技術的發展,國際上對跨境數據流動的理解已經完全超越了個人信息的范疇。巨量的數據資源不僅只涉及個人信息了,尤其是跨國企業經營中涉及的數據跨境,既存在個人信息,也包括商品數據、支付數據、物流數據、地理位置等非個人信息,且其中相當一部分數據涉及國家安全、公共安全。我國此前監管重心多側重于“個人信息”的出境規制(《個人信息出境安全評估辦法(征求意見稿)》),實務中對于“個人信息”出境合規應對也較為成熟,而對于“重要數據”的出境規制則存在立法空白。
2021年6月10日,我國《數據安全法》正式出臺,在《網絡安全法》第37條的基礎上,進一步建構數據出境安全管理框架。《數據安全法》在鼓勵跨境數據流動(第10條)的基礎上,對數據出境安全管理(第31條)、主管機關批準(第36條)以及法律責任承擔(第46條)等方面進行規定,為跨國企業盡快開展數據出境合規工作提供了方向參考。
本文將以《數據安全法》為基礎,結合《網絡安全法》、《信息安全技術 數據出境安全評估指南(征求意見稿)》(下文簡稱《評估指南》)等規定,對于跨國企業數據傳輸存在的常見問題進行回答,以期為跨國企業的數據出境合規提供法律幫助。
一、《數據安全法》對于數據出境的監管要求
《數據安全法》第三十一條規定,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理,適用《中華人民共和國網絡安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。
( 一 ) 數據出境的主體:關鍵信息基礎設施的運營者 & 其他數據處理者
1.關鍵信息基礎設施的運營者
關鍵信息基礎設施的運營者并非《數據安全法》創設的新主體,早在《網絡安全法》與《網絡安全審查辦法》便已對關鍵信息基礎設施進行了定義。
《網絡安全法》第三十一條規定,國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。
根據該條,國家互聯網信息辦公室(下文簡稱“網信辦”)制定了《關鍵信息基礎設施安全保護條例(征求意見稿)》,其中第十八條規定了應當納入關鍵信息基礎設施保護范圍,包括:
1、政府機關和能源、金融、交通、水利、衛生醫療、教育、社保、環境保護、公用事業等行業領域的單位;
2、電信網、廣播電視網、互聯網等信息網絡,以及提供云計算、大數據和其他大型公共信息網絡服務的單位;
3、國防科工、大型裝備、化工、食品藥品等行業領域科研生產單位;
4、廣播電臺、電視臺、通訊社等新聞單位;
5、其他重點單位。
而根據《關鍵信息基礎設施安全保護條例(征求意見稿)》第二條,在中華人民共和國境內規劃、建設、運營、維護、使用上述關鍵信息基礎設施,以及開展關鍵信息基礎設施的安全保護,適用本條例。
2.其他數據處理者
我國此前針對個人信息與數據的收集、處理活動的主體,多采用“網絡運營者/網絡運營商”的概念。
《個人信息出境安全評估辦法(征求意見稿)》第二條將“個人信息出境”界定為網絡運營者向境外提供在中華人民共和國境內運營中收集的個人信息的行為;《信息安全技術 數據出境安全評估指南(征求意見稿)》將“數據出境”界定為網絡運營商通過網絡等方式,將其在中華人民共和國境內運營中收集和產生的個人信息和重要數據,通過直接提供或開展業務以及提供服務、產品等方式提供給境外的機構、組織或個人的一次性活動或連續活動。
而最新的《數據安全法》將數據的收集、存儲、使用、加工、傳輸、提供、公開等活動明確界定為“數據處理”,而實施上述活動的主體則為“數據處理者”。但此“數據處理者”從其內涵和法律意義來看不同于GDPR項下的“數據處理者”。
綜上,實施收集、存儲、使用、加工、傳輸、提供、公開數據等行為的跨國公司,無論其是否建設、運營、維護、使用上述關鍵信息基礎設施,均因其實施數據處理行為而落入《數據安全法》第三十一條的規制主體范疇。
( 二 ) 數據出境的對象:重要數據
《數據安全法》并非要求所有數據出境均應進行審查,而是針對企業在中華人民共和國境內運營中收集和產生的重要數據進行數據出境安全管理。對于“重要數據”的范疇,《數據安全法》第二十一條在概念界定的基礎之上提出了“重要數據目錄”,該目錄則是由國家數據安全工作協調機制統籌協調有關部門制定。
《數據安全法》第二十一條規定,國家建立數據分類分級保護制度,根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄,加強對重要數據的保護。
關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據,實行更加嚴格的管理制度。
各地區、各部門應當按照數據分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄,對列入目錄的數據進行重點保護。
目前《數據安全法》的相關配套法律法規還未出臺,尤其是最核心的“重要數據目錄”,但跨國公司數據出境需求并不會因為政策尚未落定而停止。在此期間,我們建議跨國公司可以參照現有分類分級規范對“重要數據”界定開展工作,部分規范和行業標準仍處于征求意見階段,但并不意味其內容毫無參考價值。
《信息安全技術 數據出境安全評估指南(征求意見稿)》附錄A“重要數據識別指南”中對27個重點行業的重要數據做了概括性的描述,如石油、電力、金融等。
《汽車數據安全管理若干規定(征求意見稿)》首次明確界定汽車行業重要數據的范圍,具體包括:
1、軍事管理區、國防科工等涉及國家秘密的單位、縣級以上黨政機關等重要敏感區域的人流車流數據;
2、高于國家公開發布地圖精度的測繪數據;
3、汽車充電網的運行數據;
4、道路上車輛類型、車輛流量等數據;
5、包含人臉、聲音、車牌等的車外音視頻數據;
6、國家網信部門和國務院有關部門明確的其他可能影響國家安全、公共利益的數據。
( 三 ) 數據出境的內容:“出境”
《信息安全技術 數據出境安全評估指南(征求意見稿)》將“數據出境”(data cross-boder transfer)界定為網絡運營者將在中華人民共和國境內收集和產生的電子形式的個人信息和重要數據,提供給境外機構、組織、個人的一次性活動或連續性活動。并且注明,未經任何變動或加工處理的數據中轉情形不屬于數據出境。
并將“提供”(provide)界定為網絡運營者主動向境外機構、組織或個人提供數據,或通過其他途徑發布數據的行為,包括其用戶使用網絡運營者提供的產品或服務的功能,向境外機構、組織或個人提供數據的行為。但排除了網絡運營者提供已經被依法公開披露的數據。
從立法原意看,之所以要求網絡運營者應當對向境外提供重要數據進行安全評估,是為了防范國家數據安全風險,維護國家安全,保障公共利益,因此《評估指南》排除了單純的數據中轉行為,而是強調網絡運營者提供行為的主動性。這也與《數據安全法》第十條的立法意相符合。
二、數據出境自評估工作
圖片圖源 《信息安全技術 數據出境安全評估指南(征求意見稿)》
( 一 ) 什么時候需要進行數據出境自評估
根據《信息安全技術 數據出境安全評估指南(征求意見稿)》4.2.2 條,存在下列情況時,需要進行數據出境自評估:
涉及數據出境的;
關鍵信息基礎設施運營者進行數據出境之前的;
已完成數據出境安全自評估的產品或業務所涉及的個人信息和重要數據出境,在目的、范圍、類型、數量等方面發生較大變化、數據接收方變更或發生重大安全事件的;
按照行業主管或者監管部門要求啟動的。
( 二 ) 如何開展數據出境自評估工作
1.成立安全自評估工作組,制定數據出境計劃
開展數據出境自評估工作應當建立數據出境安全自評估工作組,工作組主要包含法務、政策、安全、技術、管理相關專業人員。數據出境安全自評估工作組應負責審查業務部門提交的數據出境計劃,并定期對數據出境情況開展檢查、抽查。而有數據出境需求的業務部門應制定數據出境計劃,該計劃是開展評估工作的重要依據。
數據出境計劃的內容包括但不限于:
涉及個人信息情況,包括個人信息的類型、數量、范圍和敏感程度等;
涉及重要數據情況,包括重要數據的類型、數量和范圍等;
涉及的信息系統情況;
數據發送方安全保護能力;
數據接收方安全保護能力及其所在的國家或地區的基本情況。
2.評估數據出境計劃的合法性和正當性
數據出境安全自評估首先應當考慮本次數據出境計劃的合法性和正當性,如果數據出境活動不具有合法性和正當性,則禁止出境。在此基礎上再評估數據出境計劃是否風險可控,有效避免數據出境及再轉移后被泄露、損毀、篡改、濫用等風險。
自評估但評估要點可以參考《評估指南》第5章,評估方法可以參考《評估指南》附錄 B。安全評估但結果為出境安全風險為極高或高的,則禁止出境。
圖片根據《信息安全技術 數據出境安全評估指南(征求意見稿)》制作
3.形成評估報告,進行相應調整
數據出境安全自評估工作組在完成對數據出境計劃的評估后,應形成安全自評估報告。安全自評估報告內容應包括但不限于:
安全自評估對象基本情況;
安全自評估組織實施情況;
安全自評估結果;
數據出境安全風險點;
檢查修正建議。
安全自評估報告應至少保存2年,并在如下情況下將安全自評估報告上報行業主管部門,行業主管部門不明確的,報國家網信部門。
關鍵信息基礎設施運營者開展的安全自評估;
一年內出境的個人信息數量達到國家網信部門、行業主管部門上報要求的;
包含核設施、生物化學、國防軍工、人口健康等領域數據,大型工程活動、海洋環境敏感地理信息數據,以及其他重要數據的;
涉及關鍵信息基礎設施的安全缺陷、具體安全防護措施等網絡安全信息的;
其他可能影響國家安全、經濟發展和社會公共利益的。
如果安全自評估結果為禁止出境的,網絡運營者應采用相關措施降低數據出境安全風險,并修正數據出境計劃,重新開展安全自評估。
可用于降低數據出境安全風險的措施包括但不限于:
精簡出境數據內容;
使用技術措施處理數據降低敏感程度;
提升數據發送方安全保障能力;
限定數據接收方的處理活動;
更換數據保護水平更高的接收方;
選擇政治法律環境保障能力較高地區的數據接收方等。
在企業進行相應調整后,可重新對數據出境進行安全風險評估。
三、常見問題回應
( 一 ) 跨國企業是否必須在中國境內設立用于存儲數據的服務器?
《數據安全法》并未直接對數據本地化存儲進行規制。對于此問題可以參考此前已實施生效對《網絡安全法》第三十七條。
《網絡安全法》第三十七條規定,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。
簡言之,如果“關鍵信息基礎設施的運營者”直接在境外服務器上存儲境內重要數據,將違反本地化存儲的相關規定,導致企業和相關直接責任人員面臨被予以行政處罰的風險。
《網絡安全法》僅對“關鍵信息基礎設施對運營者”提出了數據本地化要求,但由于此前僅對“關鍵信息基礎設施對運營者”進行了行業和程度的界定,實踐中跨國企業的落實情況并不理想。而本次《數據安全法》擴大了數據出境的被監管主體——從“關鍵信息基礎設施對運營者”到“其他數據處理者”均被納入監管范疇。同時,結合近期監管趨勢來看,監管部門對于關涉國家安全的行業相繼出臺法規政策,如針對智能汽車領域的《汽車數據安全管理若干規定(征求意見稿)》,首次明確界定汽車行業重要數據的范圍。
可以見得,對于從事《信息安全技術 數據出境安全評估指南(征求意見稿)》附錄A“重要數據識別指南”中對27個重點行業的跨國企業,如果其在境內收集、使用的數據有涉及國家安全的潛在可能,那么對于“跨國企業是否必須在中國境內設立用于存儲數據的服務器?”這個問題的回答是,是的,為了應對監管趨勢,設立用于數據存儲的服務器是有必要的。
( 二 ) 境外遠程訪問是否屬于數據出境?
上文已經對“數據出境”內涵進行闡述,在此基礎上,我們可以討論“境外遠程訪問是否屬于數據出境”問題。
首先,如何理解“境外遠程訪問”,即“境外遠程訪問”一般包括那些情形。
狹義層面的“遠程訪問”(remote access)一般是指遠端用戶通過其他設備訪問該計算機及其存儲資源的行為,比較常見的是通過在計算機上安裝遠程訪問軟件的方式來達到在遠端操控計算機的目的。
而法律所規制的“數據出境”行為要求網絡運營者的“提供”行為具有主動性。筆者認為主動性在“遠程訪問”中體現為此訪問行為是否受權限控制。如果境外主體獲得權限后訪問境內數據庫,則該行為應當落入《評估指南》的規制范疇,屬于“數據出境”行為。
如果網絡運營商在中華人民共和國境內收集和產生的重要數據是因為被惡意攻擊者竊取數據從而導致重要數據被傳輸至境外的,不屬于數據出境行為。
而從訪問對象看,境外主體所訪問的計算機或其資源不存在權限要求,即任何主體在任何時間地點均可對其進行訪問,與排除“依法公開披露”立法意相同,也不屬于“數據出境”行為。
( 三 ) 境外接收重要數據的母公司是否也存在合規要求?
——是的
在跨國企業的業務中,收集、傳輸數據的主體多為跨國公司的境內公司(外商投資企業),其承擔了主要的合規義務,而境外母公司作為接受者也存在一定的監管要求。網信辦在2019年發布的《個人信息出境安全評估辦法(征求意見稿)》對“個人信息接收者”規定了相應的法律義務,該辦法主要是針對個人信息出境,但由于其內容具有一定實操性和規范性,因此我們建議在《數據安全法》配套法規尚未出臺前,有出境需求的跨國企業可以參照該辦法規定開展數據傳輸合規工作,力求盡可能規避監管風險。
該辦法第十三條規定網絡運營者(跨國公司的境內公司)與個人信息接收者(境外母公司)應當簽訂合同或者其他有法律效力的文件,并對合同所應當約定的內容進行了規定。
該辦法第十五條、第十六條明確規定接收者(境外母公司)所應承擔的責任和義務,包括:
為個人信息主體提供訪問其個人信息的途徑,個人信息主體要求更正或者刪除其個人信息時,應在合理的代價和時限內予以響應、更正或者刪除。
按照合同約定的目的使用個人信息,個人信息的境外保存期限不得超出合同約定的時限。
確認簽署合同及履行合同義務不會違背接收者所在國家的法律要求,當接收者所在國家和地區法律環境發生變化可能影響合同執行時,應當及時通知網絡運營者,并通過網絡運營者報告網絡運營者所在地省級網信部門。
除非滿足一定條件,接收者不得將接收到的個人信息傳輸給第三方。
對于“重要數據”而言,其對于“知情同意”的要求力度不如“個人信息”(個人信息自決權的體現),因此第一點對“重要數據”而言參照性較低。但第2、3、4點的制定邏輯均適用于“個人信息”和“重要數據”,跨國企業可以參照。
總結
此前,國家網信辦官網發布了《網絡安全審查辦法(修訂草案征求意見稿)》并向社會公開征集意見。該辦法對赴國外上市公司作了特殊規定,要求掌握超過 100 萬用戶個人信息的運營者赴國外上市,必須向網絡安全審查辦公室申報網絡安全審查,且在申報材料中應提供擬提交的 IPO 材料。且在審查關注的國家安全風險方面,針對赴國外上市行為提出了新的規制措施。可以見得,在未來一段期限內,關涉國家安全對數據跨境流通將面對更進一步對監管要求。尤其是日常業務涉及高頻數據跨境流動對跨國企業,對此問題應當有所應對。