背景说明
2022年7月21日国家互联网信息办公室对滴滴全球股份有限公司依法作出行政处罚,滴滴被罚80.26亿元(根据滴滴公司在华业务营收总额计算,属于顶格处罚),同时对滴滴公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。通过这个事件我们可以看到国家安全监管体系趋于完善,同时也意味着国家网络安全强监管得时代到来,尤其是涉及数据出境得企业(在华外资企业等),必须在国家法律法规的监管下合法合规的出境。
数据出境法律法规要求
《中华人民共和国网络安全法》2017年6月1日:第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
《中华人民共和国数据安全法》2021年9月1日:第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
《关键信息基础设施安全保护条例》2021年9月1日:第十五条 专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行下列职责:(一)建立健全网络安全管理、评价考核制度,拟订关键信息基础设施安全保护计划;(二)组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估;(三)按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,处置网络安全事件;(四)认定网络安全关键岗位,组织开展网络安全工作考核,提出奖励和惩处建议;(五)组织网络安全教育、培训;(六)履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度;(七)对关键信息基础设施设计、建设、运行、维护等服务实施安全管理;(八)按照规定报告网络安全事件和重要事项。
《中华人民共和国个人信息保护法》2021年11月1日:第三十八条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件。
《网络数据安全管理条例(征求意见稿)》2021年11月4日:第三十五条 数据处理者因业务等需要,确需向中华人民共和国境外提供数据的,应当具备下列条件之一:
(一)通过国家网信部门组织的数据出境安全评估;
(二)数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证;
(三)按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同,约定双方权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
《网络安全审查办法》2022年2月15日:第三条 网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务以及数据处理活动安全性、可能带来的国家安全风险等方面进行审查。第七条 掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。第十条 网络安全审查重点评估相关对象或者情形的以下国家安全风险因素:(五)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;(六)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;
《数据出境安全评估办法》2022年9月1日:第四条 数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
(一)数据处理者向境外提供重要数据;
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(四)国家网信部门规定的其他需要申报数据出境安全评估的情形
数据出境技术标准
《信息安全技术 个人信息安全规范》
《信息安全技术 数据出境安全评估指南(征求意见稿)》
《信息安全技术 重要数据识别指南(征求意见稿)》
《信息安全技术个人信息去标识化指南》
《网络安全标准实践指南——数据分类分级指引(征求意见稿)》
《信息安全技术 网联汽车 采集数据的安全要求(草案)》
《个人信息跨境处理活动安全认证规范》
《个人信息出境标准合同规定(征求意见稿)》
《信息安全技术 个人信息安全影响评估指南》
数据出境合规路径
通过以上内容可以看出,企业要开展数据出境合规工作,需要掌握和了解多部法律法规及技术标准,还是有一定难度的(必要时需要借助专业的机构进行梳理),因此作者在实践过程中,总结了现阶段的数据出境合规路径。(目前很多实施标准仍处于征求意见稿阶段,甚至部分处于无具体实施标准,因此本文仅提供参考)
合规路径一:数据出境安全评估
在满足2022年7月7日正式颁布的《数据出境安全评估管理办法》第四条规定的情况,依据办法的评估要求,开展出境安全评估,评估要点包括
(一)申报书;
(二)数据出境风险自评估报告;
(三)数据处理者与境外接收方拟订立的法律文件;
(四)安全评估工作需要的其他材料。
适用出境数据类型:个人信息数据、重要数据。
合规路径二:个人信息安全认证
涉及个人信息出境,但是不满足《数据出境安全评估管理办法》第四条规定的情况,可执行路径二。依据《个人信息跨境处理活动安全认证规范》指导个人信息处理者规范开展个人信息跨境处理活动。
跨国公司的个人信息跨境处理活动(“场景一”)
同一经济、事业实体下属子公司的个人信息跨境处理活动(“场景二”)
关联公司之间的个人信息跨境处理活动(“场景三”)
但需注意一下几点:
(1)个人信息跨境处理活动认证属于国家推荐的自愿性认证,可以作为在认证范围内的跨境处理活动的合法路径。
(2)本认证属于一种长效的机制,即,获得认证后的一定期限内,如果个人信息跨境处理活动的认证事项没有发生实质性变化的,即可作为连续性的跨境处理活动的依赖。
(3)关于认证机构,网信部门尚未指定。目前相关机关与网信部门在积极沟通联合开展个人信息安全认证,一旦合作形成,将成为最直接的个人信息安全认证合规路径。
另外:《个人信息跨境处理活动安全认证规范》中提到提供合同之外,还需提《个人信息保护影响评估报告》。参考《信息安全技术 个人信息安全影响评估指南》。
适用出境数据类型:个人信息数据。
合规路径三:按照国家网信部门制定的标准合同与境外接收方订立合同
依据《个人信息出境标准合同规定(征求意见稿)》
第四条 个人信息处理者同时符合下列情形的,可以通过签订标准合同的方式向境外提供个人信息:
(一)非关键信息基础设施运营者;
(二)处理个人信息不满100万人的;
(三)自上年1月1日起累计向境外提供未达到10万人个人信息的;
(四)自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。
适用出境数据类型:个人信息数据。
总结
以上为个人解读大量法律法规及参考了相关文章后总结出关于数据出境安全合规路径,仍有大量不足之处,大家多点评指正。
参考连接:
关于《个人信息跨境处理活动安全认证规范》十三个焦点问题的理解 - 安全内参 | 决策者的网络安全知识库 (secrss.com)
中国版SCCs终于发布!《个人信息出境标准合同规定(征求意见稿)》要点初评 | 深圳数据经济研究院 (cuhk.edu.cn)