数据出境合规流程
2023-11-28
导语:
对于从事跨境业务的企业,数据跨境流动不可避免。随着国家对数据安全、个人信息保护力度的不断加大,相关规范越来越完善,企业进行数据跨境流动的活动面临更加严格的监管,稍有不慎,轻则会面临行政处罚,重则可能会被追究刑事责任。因此,企业建立健全数据跨境法律合规体系变得尤为重要。同时,基于优化营商环境、吸引外商投资的政策,探索便利化的数据跨境流动安全管理机制的需求,相关规范亦在不断调整。
本文通过整理相关法律法规规定,从数据出境的识别、数据出境的路径等方面,对数据出境的具体合规流程进行总结。企业首先要识别是否属于数据出境行为,然后按照现行法律法规规定开展数据出境活动,同时密切关注数据出境新规动向,及时调整数据出境行为,做好应对准备。
一、数据出境的识别
《网络安全法》《数据安全法》和《个人信息保护法》均从不同层面对数据出境进行了规定,但某些情形下是否构成数据出境行为并不十分明显,例如企业为出差员工向境外酒店提供员工个人信息是否属于数据出境行为,进而需要符合出境合规的规定?
根据《数据出境安全评估申报指南(第一版)》,以下情形属于数据出境行为:(一)数据处理者将在境内运营中收集和产生的数据传输、存储至境外;(二)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;(三)国家网信办规定的其他数据出境行为。
符合以上情形才属于需要满足《数据出境安全评估办法》和《个人信息出境标准合同办法》等相关要求的数据出境行为,除此之外向境外提供数据的行为一般不受约束,或需要满足其他特殊法律法规的要求。前述企业向境外酒店提供员工个人身份信息,虽然是向境外提供个人信息的行为,但不落入应符合出境合规的数据出境行为的范围内,一般不受特殊限制。
二、数据出境的三大路径
经识别企业向境外提供数据的行为应满足出境合规要求后,则需要进一步确认应采取哪一种数据出境合规路径。《网络安全法》《数据安全法》规定了关键信息基础设施运营者和重要数据处理者的数据出境安全合规义务,《个人信息保护法》第三十八条规定了个人信息出境的三条路径(安全评估、认证、订立合同),《数据出境安全评估办法》《个人信息出境标准合同办法》和《个人信息保护认证实施规则》进一步对重要数据和个人信息的出境行为规范实施进行了细化,形成了目前数据出境合规的三大路径。
(一)个人信息保护认证
依据:《个人信息保护法》《个人信息保护认证实施规则》、TC260-PG-20222A《个人信息跨境处理活动安全认证规范》
适用数据类型:个人信息
适用要求:个人信息处理者与境外接收方签订法律文件,开展个人信息保护影响评估,双方均指定个人信息保护负责人、设立个人信息保护机构,并建立个人信息处理者和境外接收方共同适用的个人信息跨境处理规则。
认证实施程序:认证委托、技术验证、现场审核、认证结果评价和批准、获证后监督。
证书有效期:三年。
认证机构:中国网络安全审查技术与认证中心(简称“CCRC”)。
申请材料:申请方法律证明文件(包括营业执照/法人证书复印件、每个场所的法律地位证明文件,如房租合同或产权证明),自评价表及相关证据材料、业务流程及描述、组织机构图或职能表述、数据目录、其他补充材料。
认证时限:70个工作日(不包括整改时间)。
(二)标准合同
依据:《个人信息保护法》《个人信息出境标准合同办法》
适用数据类型:个人信息
适用条件(同时满足):(1)非关键信息基础设施运营者;(2)处理个人信息不满100万人的;(3)自上年1月1日起累计向境外提供个人信息不满10万人的;(4)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。(5)隐藏条件:不构成重要数据(否则应出境安全评估)。
备案要求:在标准合同生效之日起10个工作日内向所在地省级网信部门备案。
备案机构:省级网信办。
备案流程:材料提交、材料查验及反馈备案结果、补充或者重新备案。
备案提交材料:(一)合同双方根据《标准合同》订立的个人信息出境标准合同,与之相关的独立商业合同并不需要备案;(二)个人信息保护影响评估报告。
重新评估、备案的情形:《标准合同办法》第八条规定,如存在下列情形之一的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续:(1)向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;(2)境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;(3)可能影响个人信息权益的其他情形。
(三)安全评估申报
依据:《网络安全法》《数据安全法》《个人信息保护法》《数据出境安全评估办法》《数据出境安全评估申报指南(第一版)》等
适用数据类型:数据(含个人信息)
触发条件(任何一种):(1)出境数据中含有重要数据;(2)数据处理者为关键信息基础设施运营者(简称“CIIO”);(3)数据处理者为处理100万人以上个人信息的数据处理者;(4)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者;(5)国家网信部门规定的其他需要申报数据出境安全评估的情形。
申报提交材料:(一)申报书;(二)数据出境风险自评估报告;(三)数据处理者与境外接收方拟订立的法律文件;(四)安全评估工作需要的其他材料。
申报流程:省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验。申报材料齐全的,将申报材料报送国家网信部门;申报材料不齐全的,应当退回数据处理者并一次性告知需要补充的材料。国家网信部门应当自收到申报材料之日起7个工作日内,确定是否受理并书面通知数据处理者。
评估时限:国家网信部门应当自向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估;情况复杂或者需要补充、更正材料的,可以适当延长并告知数据处理者预计延长的时间。
评估有效期:两年。
三、数据出境新规动向
2023年9月28日,国家互联网信息办公室发布了《规范和促进数据跨境流动规定(征求意见稿)》,虽然仅有十一条,但却对《数据出境安全评估办法》《个人信息出境标准合同办法》等相关规定的数据出境的合规义务进行了一定的调整,值得企业关注并适时调整数据出境合规安排。概括要点如下:
1.进一步明确了数据出境合规的客体仅为个人信息或者重要数据。
2.重要数据的认定由相关部门、地区告知或者公开发布为重要数据。
3.自由贸易试验区可自行制定本自贸区需要纳入数据出境三大路径管理范围的数据清单(简称负面清单),负面清单外数据出境,可以豁免出境合规义务。
4.豁免出境合规义务的情形(不需要进行数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证):
(1)自由贸易试验区负面清单外数据出境;
(2)不是在境内收集产生的个人信息向境外提供的;
(3)为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的;
(4)按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的;
(5)紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的。
(6)预计一年内向境外提供不满1万人个人信息的,但应当取得个人信息主体同意。
5.预计一年内向境外提供1万人以上、不满100万人个人信息,与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的,可以不申报数据出境安全评估。
本文作者:
声明:
本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。
