《電子技術(shù)應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 《數(shù)據(jù)出境安全評估辦法》八個實務問題解讀

《數(shù)據(jù)出境安全評估辦法》八個實務問題解讀

2021-10-31
來源:數(shù)字科技說
關(guān)鍵詞: 安全評估 解讀

  前后歷經(jīng)四年三易其稿,合合分分合合,國家網(wǎng)信辦于2021年10月29日發(fā)布了最新一版《數(shù)據(jù)出境安全評估辦法》公開征求意見(下稱“2021版”),業(yè)界終于迎來了《個人信息保護法》生效前臨門一稿,數(shù)據(jù)合規(guī)三大“玄學”之一的“數(shù)據(jù)出境規(guī)則”即將掀開神秘面紗。

  結(jié)合立法沿革、監(jiān)管意見及近期項目經(jīng)驗,匯業(yè)律師事務所黃春林律師團隊簡要解讀如下,僅供參考。正式法律建議及場景化落地,還請正式咨詢律師意見。

  問題一:2021版還會大改嗎?

  自《網(wǎng)絡安全法》第37條“開天辟地”以來,數(shù)據(jù)出境規(guī)則每兩年一變,先后經(jīng)歷了三個大版本:

  時間

  名稱牽頭部門

  2017年4月11日個人信息和重要數(shù)據(jù)出境安全評估辦法(下稱“2017版”)

  網(wǎng)信辦網(wǎng)絡安全協(xié)調(diào)局

  2019年6月13日個人信息出境安全評估辦法(下稱“2019版”)網(wǎng)信辦網(wǎng)絡安全協(xié)調(diào)局

  2021年10月29日數(shù)據(jù)出境安全評估辦法(下稱“2021版”)網(wǎng)信辦網(wǎng)絡數(shù)據(jù)管理局

  從題目就看得出來,正是應了《三國演義》開篇之詞,“分久必合合久必分”,開始是“個人信息”與“重要數(shù)據(jù)”合并規(guī)范的2017版,后來分道揚鑣才有了2019版,最新版握手言和又“在一起”,統(tǒng)稱為“數(shù)據(jù)出境”。

  二龍湖浩哥說過“事不過三”。江湖上普遍預測,這一版已經(jīng)是綜合考慮了立法基礎(chǔ)及國內(nèi)外形勢,兼顧了各方意見后的相對成熟的一個版本??紤]到《個人信息保護法》生效在即, “奉子成婚”已是必然之選,因此,不出意外,《2021版》將在2021年11月28日征求意見到期后盡快發(fā)布,畢竟江湖上各大廠已經(jīng)“苦秦久矣”。否則,真是一鼓作氣再而衰三而竭,“狼來了”效應會大大削弱立法的威嚴性。

  若是如此,2022年1月1日估計是一個比較好的時點。但是,我們建議正式版本設立一個三個月左右的過渡期,否則按照要求應“事先評估”,而“事先評估”的依據(jù)和基礎(chǔ)是“法律生效”。因此,企業(yè)顯然無法在法律生效的同時完成評估、申報等工作。到時是選擇“暫停傳輸”損害業(yè)務連續(xù)性,還是選擇“消極違法”損害企業(yè)合規(guī)性,必然是兩難的選擇。墨子說,法不“逼良為娼”,這是底限。

  問題二:哪些企業(yè)會落入?

  數(shù)據(jù)出境安全評估的落入門檻,也是符合歷史發(fā)展的“單擺規(guī)律”,先右(2017版有門檻)再左(2019版無門檻)后右(2021版有門檻),具體如下表:

  版本落入門檻頻率

  2017版

  CIIO;特殊行業(yè);

  50萬人;1000G

  1年

  2019版無門檻2年

  2021版

  關(guān)鍵信息基礎(chǔ)設施的運營者收集和產(chǎn)生的個人信息和重要數(shù)據(jù);

  出境數(shù)據(jù)中包含重要數(shù)據(jù);

  處理PI達到100萬人的個人信息處理者向境外提供PI;

  累計向境外提供超過10萬人以上PI或者1萬人以上SPI

  2年

  不過,相較于2017版的落入門檻,2021版邏輯更加嚴密,所謂“法網(wǎng)恢恢疏而不漏”,具體從兩個維度設立了門檻:

 ?。?)兩類主體需要評估:CIIO + 處理個人信息達到100萬人;出境數(shù)量在所不問,理論上哪怕1條也需要。

  (2)兩類數(shù)據(jù)需要評估:出境涉及重要數(shù)據(jù) + 數(shù)據(jù)量超過10萬(PI)或1萬(SPI);主體類型在所不問,理論上哪怕個人也需要。

  而以上兩個維度只要符合任何一個就需要,因此,考慮到中國網(wǎng)民基數(shù)及當前互聯(lián)網(wǎng)及數(shù)字化發(fā)展程度,絕大多數(shù)跨境經(jīng)營的企業(yè)都會落入需要出境安全評估的范疇,進而極大的“彌補”了《網(wǎng)絡安全法》第37條了適用范圍。

  反過來可能更好理解,只有一種企業(yè)可能不需要出境安全評估,即用戶數(shù)<100萬,且跨境傳輸?shù)腜I<10萬(且含有的SPI<1萬,且含有的重要數(shù)據(jù)<0)。這種情形,是不是本身就可以適用《個人信息保護法》第六十二條第2款來構(gòu)建制度?

  問題三:什么叫“跨境提供”?

  遠的不說,《個人信息保護法》上叫“跨境提供”,2021版叫“出境”,法條內(nèi)部叫“向境外提供”。如何理解這三個術(shù)語,確實很多企業(yè)都很懵逼。我們理解,立法者的原意應該是沒有差別對待的意圖,都是一個意思。

  但從《個人信息保護法》的內(nèi)部關(guān)系理解,又犯迷糊了,即第三章的跨境提供的“提供”含義和第23條的“提供”是不是一個含義?匯業(yè)律師事務所黃春林律師團隊理解,這兩個“提供”的含義(或稱“場景范圍”)是不一樣的,即跨境提供的“提供”實質(zhì)上是包含了第20條至23條的幾種可能發(fā)生“客觀轉(zhuǎn)移”的情形,尤其包括委托處理和對外提供中可能涉及個人信息出境的情形,舉例而言:

  適用情形場景舉例

  因委托處理而出境例如境內(nèi)主體直接使用服務器位于境外的Oracle、SAP、Salesforce、Workday等系統(tǒng)或服務商。

  因?qū)ν馓峁┒鼍忱缦蚓惩饧瘓F公司、關(guān)聯(lián)公司提供。

  有人會問,那么第一種情況,為什么需要?你去想想出境安全評估規(guī)則的立法目的就知道了,否則這些系統(tǒng)也不會考慮本地化的問題了。那么,和誰簽出境合同呢?當然是和受托方簽啊。對方不同意簽怎么辦?那是你公司的談判能力不夠啊,放心,有人在給你開路。

  此外,另外幾個被廣泛關(guān)注的問題匯總?cè)缦拢海?)境外鏡像、遠程訪問也是出境;(2)去標識化(如MD5加密)和ID轉(zhuǎn)化(例如openID、jdID、VIN、各種封閉ID)后的個人信息出境仍然算;(3)員工(含外籍員工)信息出境也算;(4)用戶根據(jù)國內(nèi)公司指引(例如跳轉(zhuǎn)、通知)或基于國內(nèi)公司的信賴(例如購買國內(nèi)產(chǎn)品)向境外網(wǎng)站或系統(tǒng)直接提供(例如投遞簡歷等)還是算;(5)用戶直接(國內(nèi)公司沒有任何參與)向境外提供(例如注冊、打電話、發(fā)郵件等)的不算……

  問題四:如何理解“因業(yè)務需要,確需”?

  無論是《網(wǎng)絡安全法》還是《個人信息保護法》,法條規(guī)定的數(shù)據(jù)出境都有個前提,即“因業(yè)務需要,確需”,只不過后者多了一個“等”字,兼顧了業(yè)務、技術(shù)等多樣化需求。這個前提非常重要,只有滿足這個“需要”的前提才能出境,否則不能出境,就更不考慮38條的路徑選擇問題和39條的單獨同意問題了。

  如何理解“因業(yè)務需要,確需”?首先,《個人信息保護法》第六條規(guī)定了處理個人信息應“合理”、“相關(guān)”, 大家很能理解顆粒度、范圍等的合理、相關(guān);但是,針對不同處理行為也應分別開展合理、相關(guān)性判斷,這是很多人容易忽視的判斷點。即,收集、使用行為你可能滿足合理、相關(guān)(例如收集生日信息為了發(fā)放生日禮物),但并不代表你的“對外提供”、“跨境提供”(生日信息)的行為也滿足合理、相關(guān)性。也正是因此,歷次版本的出境安全評估規(guī)則中安全評估的重點內(nèi)容之一就是“正當性”、“必要性”,以及《個人信息保護法》第五十五條設置了個人信息保護影響評估制度,評估的一個重要內(nèi)容也是正當性、合理性。所以,不能用收集、使用環(huán)節(jié)的合理、相關(guān)性,去解釋38條出境環(huán)節(jié)的合理、相關(guān)性。

  其次,《個人信息保護法》確立了一套“需要等級”,“必需”>“需要”。例如第13條要求的“必需”是最強的,因此可以不經(jīng)同意(例如跨境電商);但是,《網(wǎng)絡安全法》37條和《個人信息保護法》38條都沒有用“必需”,只是說“需要”(可以是業(yè)務上合理需要,例如全球聯(lián)保;也可以技術(shù)上的合理需要,例如國內(nèi)沒有替代技術(shù)),因此才有39條的單獨同意。

  最后,對“需要”的判斷不是企業(yè)一廂情愿的“單方價值判斷”(例如為了節(jié)約成本、境外集團不放權(quán)等),而應當從用戶、監(jiān)管的視角來客觀評價“需要”的合理性,進而滿足“確(實)需(要)”,否則這套制度的價值將蕩然無存。

  問題五:“本地化”有依據(jù)嗎?

  不同于2017版、2019版,2021版全篇沒提“應當在境內(nèi)存儲”,是不是說就沒有“本地化”的要求了?事實上,這僅僅是個立法技術(shù)問題。

  回到《個人信息保護法》第40條的條文結(jié)構(gòu),即大前提是“關(guān)鍵信息基礎(chǔ)設施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者”,滿足這個大前提后導致兩個法律后果,即應當“存儲在境內(nèi)”和觸發(fā)“出境安全評估”。

  在2021版發(fā)布前,至于“國家網(wǎng)信部門規(guī)定數(shù)量”,可能有多個參考維度,包括2017版、《互聯(lián)網(wǎng)個人信息安全保護指南》等。2021版發(fā)布后,這個數(shù)量實質(zhì)上比較明確了,且與已經(jīng)生效的《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》基本一致。

  但是,有人認為2021版第4條的數(shù)據(jù)僅是《個人信息保護法》第40條后半句“出境安全評估”觸發(fā)的參照標準,不能套用到前半句應當“存儲在境內(nèi)”。匯業(yè)黃春林律師團隊認為,這種理解實質(zhì)上是人為割裂了數(shù)據(jù)跨境流動安全管理制度的“本地化”和“出境安全評估”的“一體兩面”,這兩點實際上是同一個立法目的,一個有機的、完整的制度整體,不能割裂開來。我們也很難理解,網(wǎng)信辦會再出一個辦法叫《數(shù)據(jù)境內(nèi)存儲辦法》來單獨規(guī)定應當境內(nèi)存儲的“規(guī)定數(shù)量”。

  問題六:如何做“單獨同意”?

  “明示同意”還沒完全搞明白,《個人信息保護法》規(guī)定的這個“單獨同意”,導致整個數(shù)據(jù)合規(guī)圈 “花樣百出”、“雞飛狗跳”,這樣形容一點都不為過,要不各位看官等11月1日后看各大廠的個保規(guī)則和交互界面就明白了。

  首先,“同意”和“單獨同意”是平行關(guān)系還是包含關(guān)系,各方爭論激烈,似乎都有道理,但我個人認為這個是“語文作業(yè)”,最多也就算個“數(shù)學作業(yè)”,認為是平行關(guān)系的可以去補補課。哦對,學科教育“雙減”了,沒地方。

  其次,單獨同意怎么搞?坦誠的說,這個問題我覺得要開賬單,這里僅表一二:

 ?。?)5種單獨同意可以歸納為兩類:敏感度可能提高(T26、29),需要增強同意;處理者可能發(fā)生轉(zhuǎn)移(T23、25、39),需要個人自決。

 ?。?)收集敏感個人信息,主要無外有兩種情況:一種是用戶自己主動填寫、提交、口述、配合等,這當然是單獨同意了;另一種系統(tǒng)權(quán)限自動采集,現(xiàn)在開啟系統(tǒng)權(quán)限都有彈框授權(quán)、撤回授權(quán)和狀態(tài)提示,當然也滿足單獨同意了。其他的一些特殊的小場景,不是單獨同意的問題,是你連有效的同意都沒做到問題。

 ?。?)極少企業(yè)有純粹的公開或?qū)ν馓峁﹤€人信息的場景(畢竟數(shù)據(jù)是企業(yè)的競爭力和生命線,誰愿意對外提供啊),例如把個人信息“賣”或“贈”給接收方(“不用還回來”,現(xiàn)在很多風控業(yè)務也僅僅是“通道模式”);大多數(shù)情況下是委托處理(“要還回來的”)或者“合同必需”的提供(例如物流、支付等)或“法定義務”的提供(例如不良申報)。目前真正意義的對外提供,最多的其實是關(guān)聯(lián)公司之間的提供,嚴格意義來說也是對外提供,只不過(非法利用、泄露或被發(fā)現(xiàn)的)風險相對可控。

  (4)跨境提供其實才是“單獨同意”的主戰(zhàn)場,因為大量外資企業(yè)存在(用戶或員工)個人信息跨境提供的情況。這種情況怎么做落地?說實話,由于業(yè)務復雜性、系統(tǒng)多樣性以及各公司的管理架構(gòu)和合規(guī)文化差異較大,很難有絕對合規(guī)、放之四海而皆準的落地做法,只能根據(jù)各公司的實際情況單獨討論(說人話就是要開賬單),并分步推進合規(guī)建設,不斷探索風險與成本的平衡點。

  此外,“單獨同意”絕對不是簡單的增加一個勾選框或彈窗那么簡單,是必選嗎?用戶不同意怎么辦?用戶只同意部分數(shù)據(jù)出境可以嗎?數(shù)據(jù)庫表是不是要加字段?系統(tǒng)怎么改造?這些問題都要配套解決。SayNO,誰不會?

  最后一點,整個行業(yè)實踐及用戶習慣,需要一個養(yǎng)成過程,當年我們提出來必須彈窗權(quán)限、主動勾選隱私政策的時候,業(yè)務和技術(shù)的不也跳出來咆哮,這樣會搞死“用戶體驗”嗎?

  問題七:“標準合同”不需要了?

  2021版第9條“怎么還在教我們做合同”?《個人信息保護法》不是說“按照國家網(wǎng)信部門制定的標準合同”簽署嗎?那么是不是意味著“標準合同”跳票了呢?

  不是的。不管采取《個人信息保護法》第38條的哪種路徑出境,都需要與接收方簽訂合同(參考第21、23條)。只不過,如果按照第38條第3款路徑出境的,需要簽“按照國家網(wǎng)信部門制定的標準合同”;而如果第38條第1款路徑(安全評估)出境需要簽訂的合同,可以不用標準合同,但是內(nèi)容需要涵蓋2021版第9條規(guī)定的內(nèi)容。

  這也就是為什么,我們沒有等國家的法定標準合同出來,已經(jīng)幫很多企業(yè)草擬非標版數(shù)據(jù)出境協(xié)議先用起來滿足形式合規(guī)要求。相比較于2019版對合同內(nèi)容的各方責任的詳細規(guī)定,2021版規(guī)定更加原則,但增加了“具有約束力且可執(zhí)行的爭議解決條款”等內(nèi)容,匯業(yè)黃春林律師團隊建議約定為境內(nèi)法院管轄或香港仲裁。

  問題八:現(xiàn)在要做什么?

  我們已經(jīng)完成的外企數(shù)據(jù)合規(guī)項目中,在提示政策大趨勢后,大多數(shù)都是把數(shù)據(jù)跨境合規(guī)模塊放在第二階段的,原因是當時網(wǎng)信辦細則還沒出來,避免重復合規(guī)建設。目前,2021版基本成型,政策路徑相對清晰,建議符合“落入門檻”的企業(yè)盡快推進數(shù)據(jù)跨境合規(guī)模塊,以避免辦法生效后要么“停業(yè)”要么“違法”的艱難抉擇。匯業(yè)黃春林律師團隊建議,企業(yè)應當著手準備包括但不限于工作:

  (1)組建項目團隊,調(diào)研數(shù)據(jù)出境情況(第一階段已經(jīng)完成的除外);

 ?。?)項目宣導,以及境外集團、供應商溝通、討論;

 ?。?)必要的系統(tǒng)改造、改進機制(例如系統(tǒng)遷移、本地備份、字段限制與脫敏、訪問控制等等)方案評審、解釋及談判等;

 ?。?)制定數(shù)據(jù)出境協(xié)議,審核涉及數(shù)據(jù)出境相關(guān)產(chǎn)品或服務的個保規(guī)則/條款以及交互界面文案(第一階段已經(jīng)完成的除外);

 ?。?)結(jié)合個人信息保護影響評估制度,制定數(shù)據(jù)出境風險自評估制度及機制,包括但不限于評估范圍、評估組織、評估流程、評估指標、評估標準、評估申報、標準模板及配套表格等;

 ?。?)關(guān)鍵入境地法律政策環(huán)境及安全環(huán)境調(diào)研;

 ?。?)根據(jù)公司資源情況,選擇全域或關(guān)鍵模塊(例如CRM系統(tǒng))開展數(shù)據(jù)出境風險自評估,并撰寫自評估報告(初稿)備用;

 ?。?)持續(xù)跟進政策及行業(yè)實踐變化;等等。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。