yiboapp

中文
英文 日文

数据出境的监管、条件和标准合同制度评析

作者: 史跃 程婷 程梦珂

数据在当代社会发挥越来越重要的作用,甚至成为与土地、劳动力、资本、技术并列的生产要素;各国出于种种原因,也就“数据主权”展开争夺。在这一背景下,数据出境成为数据领域避不开且极端重要的一个环节。笔者以此为契机撰写系列文章,系统分析我国关于数据出境的监管和条件。今天为大家带来数据出境监管及条件概览,以及数据标准合同制度要点评析。

一、数据出境的监管规则体系

我国关于数据立法领域的“三驾马车”:《网络安全法》《数据安全法》和《个人信息保护法》对数据出境仅作出了非常原则和概括的规定,大量的细节执行条款留给了后续的、低位阶的法规进行填补。三部法律关于数据出境的规定有:

表一:数据出境法律规定

也就是说,《网络安全法》仅提出关键信息基础设施的运营者(以下简称“CIIO”)就个人信息和重要数据出境提出了安全评估的要求;《数据安全法》并未对《网络安全法》有任何新的补充;《个人信息保护法》则相对详细,不过限定在了个人信息这种数据范围之内。

此外,为了填补“三驾马车”中关于数据出境规定的空白,以网信办为主导,出台了一系列的规定、征求意见稿和国家标准,这些规定的大致脉络和核心内容如下:

表二:数据出境规定列表

在上表的9份文件中,未生效的征求意见稿占了7个,生效的文件只有《网络安全审查办法》和39335号指南,而这两份文件的就数据出境的针对性规定是非常少的。因此,大量细节的、有指导意义的规则落入了一系列未生效的征求意见稿中,我们也只能从这些征求意见稿里去分析关于数据出境的监管要求。

二、数据出境的条件

(一) 数据出境的适用情形

数据出境,是指将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人。这里的“境内”、“境外”需要特别注意并非“海内外”,包含了我国港澳台地区。数据,则是指在我国境内收集和产生的数据,从境外收集产生的数据、只是途经我国的数据不属于数据出境的范畴。数据类型限于“个人信息”和“重要数据”。

通过梳理上文提到的法律、法规和规范性文件(无论生效与否),会发现数据出境需要满足一定的要求,而当达到一定条件后,数据出境的要求将会更加严格,可将这种情形称为“严管情形”,除严管情形外的其他情形,可称为“一般情形”。

表三:数据出境适用情形

(二) 数据出境的条件和思路

就一般情形和严管情形,数据处理主体在数据出境时需要满足的合规条件存在区别。一般情形下,数据处理者在数据出境时需要满足安全自评估/个人信息保护认证/标准合同/国际条约中的一个、必要措施和获得授权等条件,在严管情形下,通过国家网信部门组织的安全评估成为必要条件。具体内容如下:

表四:数据出境条件对比

结合不同情形下的要求,我们梳理出判断数据出境的合规思路和基本要点如下:

第一,是否构成数据出境;

第二,是否符合了数据出境的基本条件?

第三,是否构成严管情形?

第四,是否满足严管情形下的要求?

第五,出境过程中是否发生变化?

三、数据出境中的标准合同

2022年6月30日,国家互联网信息办公室(以下简称“网信办”)就《个人信息出境标准合同规定(征求意见稿)》向社会公开征求意见。数据出境是备受关注的问题,我国在这方面的规则又未成体系。尽管我国的《个人信息保护法》等法律法规中多次提到签订标准合同是数据出境的方式之一,标准合同由国家网信部门制定,但这份标准合同却一直未能面世。标准合同是一种常见的、操作性更强的、其他司法辖区广泛适用的一种数据合规出境手段,因此,网信办该通知引发了强烈关注。

(一) 标准合同在数据出境中的地位

通过上文法规的梳理,就数据出境而言,境内数据处理者与境外接受者之间签订国家机关认可的标准合同是必备条件中的一种选择,而非绝对必要。但考虑到通过网信部门的安全评估、获得保护认证和符合国际条约往往更难以满足,标准合同作为国家机关制定的模板合同,以高认可度、可直接引用、成本低、效率高等特点而更具有实操性,也更受市场主体的青睐,这也是《个人信息出境标准合同规定(征求意见稿)》得到广泛关注的原因。

(二) 标准合同的关注要点

1. 标准合同内容的演变

从2017办法开始,网信办出台的多个征求意见稿中对标准合同的内容作出过规定,此次通知与前述征求意见稿相比并没有内容上的新要求。

标准合同的内容演变如下(名称及标准合同内容):

表五:标准合同内容演变

2.《个人信息出境标准合同规定(征求意见稿)》中标准合同的具体内容

《个人信息出境标准合同规定(征求意见稿)》第六条规定了标准合同包括六个方面的主要内容(详见表五),该六项内容与所附的标准合同模板对应关系如下:

表六:规定要求与合同内容对照

3. 标准合同的其他注意事项

适用标准合同开展个人信息出境活动时,还应当就所签订的标准合同向省级网信部门进行备案,未履行备案程序的,可能会面临责令改正、停止出境等处罚。

在标准合同履行过程中,如果向境外提供的个人信息的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点和境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;或境外接收方所在国家或者地区的个人信息保护政策法规发生变化等可能影响个人信息权益的,应当重新签订标准合同及备案。

(三) 对我国标准合同制度的评析

1. 标准合同与风险评估的内容重合

2017办法、2019办法、2021办法和《个人信息出境标准合同规定(征求意见稿)》中,标准合同与个人信息影响保护评估(指自评估,下同)是信息出境两个必备的条件,缺一不可,这四份征求意见稿在该问题的态度上高度一致。然而,对比四份文件关于风险评估的评估内容和标准合同中的内容,其实也是高度重复的,具体如下:

表七:风险评估与标准合同内容对照

也就是说,数据主体在面临数据出境时,相当于以两种不同的形式(风险评估和标准合同)处理分析相同的事项。这两份文件毫无疑问会产生大量重复的内容,在面临纠纷、应对监管时,也可能会出现相互引用的场景。

欧盟GDPR的规定中,签订标准合同(SCC)是数据跨境传输的保护措施中的一种,这些保护措施和其他出境要求中并不直接包含进行影响评估。

欧盟GDPR数据出境流程图

GDPR的风险评估(PPIA)是列入数据处理者的义务项下而非出境项下,且进行风险评估和签订标准合同适用的场景通常情况并不同[注9]。

因此,在数据出境时风险评估和标准合同在高度重合的情况下,同时要求的必要性还需要进一步思考。

2. 对标准合同进行备案的必要性

对标准合同进行备案也是此次《个人信息出境标准合同规定(征求意见稿)》的一个亮点。绝大部分合同的成立、生效都与备案没有关系,个别合同的效力依赖于批准,备案又不同于批准。知识产权领域,以商标为例,商标的授权许可合同进行备案主要是为了对抗第三人。标准合同本身就是国家机关拟定的模板合同,在此情形下,加之没有类似的第三人需要对抗,备案的目的和必要性并不清晰。

随着数据出境的配套文件的逐步出台,数据出境的合规要求趋势相对明晰,但具体要求和细节方面仍有很多内容需要进一步的指导和明确。对于企业来讲,需要密切关注最新监管动向、行业部门、业务主管部门、当地立法机关、行政机关不断出台的参考性文件。我们也会在后续的文章中,向大家逐一分享关于数据出境其他条件的简介和分析。

参考文献:

[1] 国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家yiboapp总局、中国证券监督管理委员会、国家保密局、国家密码管理局。

[2] http://www.cac.gov.cn/2022-06/30/c_1658205969531631.htm

[3] http://www.cac.gov.cn/2021-11/14/c_1638501991577898.htm

[4] http://www.cac.gov.cn/2021-10/29/c_1637102874600858.htm

[5] http://www.cac.gov.cn/2019-06/13/c_1124613618.htm

[6] http://www.cac.gov.cn/2019-05/28/c_1124546022.htm

[7] http://www.cac.gov.cn/2017-04/11/c_1120785691.htm

[8] http://www.tc260.org.cn/front/postDetail.html?id=20170527173820

[9] PPIA的适用场景为:(1)以自动化为基础,系统和广泛的评价与自然人有关的个人方面的情况,包括特征分析;(2)在大规模处理与刑事定罪和犯罪有关的特殊类别数据或个人数据的情况下;(3)在大规模系统性检测公共可达地区情况时。

SCC适用于数据跨境传输场景,是保护措施之一。

  • 作者简介

    你可能感兴趣

  • "
    "