我國數據出境制度實踐進展
責編:gltian |2023-05-12 16:05:50編者按
隨著互聯網在全球的普及和數字經濟在全球的發展,數據跨境流動已經成為各個國家和地區重點關注的議題。數據的跨境流動同時具備個人權益保護、企業合規經營和各國監管合作與博弈三個維度,各國和地區近年來對個人信息的跨境流動高度重視,相繼出臺和完善法律規則和監管框架。
01?我國數據出境管理的制度構建
近年來,《網絡安全法》、《數據安全法》和《個人信息保護法》相繼出臺,對我國網絡安全、數據安全、個人信息保護進行了制度安排,也為我國數據跨境流動構建了框架。此三部法律主要從個人信息和重要數據兩個維度規定數據跨境流動,建立了“數據出境安全評估”、“個人信息保護認證”和“標準合同條款”三大數據出境機制。
- 關于數據出境安全評估,國家互聯網信息辦公室(以下簡稱“國家網信辦”)于2022年7月7日公布《數據出境安全評估辦法》,并于9月1日正式實施。
- 關于個人信息保護認證,全國信息安全標準化技術委員會(以下簡稱“信安標委”)于2022年12月6日發布了《個人信息跨境處理活動安全認證規范v2.0》,作為個人信息跨境處理活動認證的實踐指南。2022年11月4日,國家市場監督管理總局和網信辦聯合發布《個人信息保護認證實施規則》,對個人信息保護認證(包括跨境提供和不跨境提供兩種認證)的認證對象、認證流程與合規要求等做出了體系化要求。
- 關于標準合同條款,2022年6月30日,國家網信辦發布了《個人信息出境標準合同規定(征求意見稿)》以及《個人信息出境標準合同》(模板),明確了標準合同的適用細則。2023年2月24日,《個人信息出境標準合同辦法》公布,并將于2023年6月1日起施行。
02?我國三種數據出境機制的適用關系
數據出境安全評估、個人信息保護認證與標準合同條款雖然是平行的三種數據跨境傳輸機制,但其側重點和適用范圍有所不同。
數據出境安全評估在保護個人信息權益的同時,還旨在“維護國家安全和社會公共利益”,因而其適用具有強制性,即凡是達到《數據出境安全評估辦法》規定門檻的,必須在數據出境前進行安全評估。根據《數據出境安全評估辦法》第4條,數據處理者向境外提供數據,有下列情形之一的,應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估:
(1)數據處理者向境外提供重要數據;
(2)關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息;
(3)自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息;
(4)國家網信部門規定的其他需要申報數據出境安全評估的情形。
個人信息保護認證和標準合同條款則側重個人信息保護,旨在保護個人信息權益,促進個人信息跨境安全、自由流動,并無強制適用性。《認證規范》明確指出:“需要通過國家網信部門組織的安全評估的個人信息跨境處理活動,應當向國家網信部門申報安全評估”。《合同規定》則指出,同時符合“非關鍵信息基礎設施運營者、處理個人信息不滿100萬人的、自上年1月1日起累計向境外提供未達到10萬人個人信息的、自上年1月1日起累計向境外提供未達到1萬人敏感個人信息的”個人信息處理者,可以通過簽訂標準合同的方式向境外提供個人信息。
綜上,安全評估、認證和標準合同這三種數據跨境傳輸合規機制的適用關系如下圖所示:
03?我國三種數據出境機制實施進展
目前,我國數據出境安全評估機制和個人信息保護認證機制均已進入落地實施階段。
(一)數據出境安全評估實施進展
《數據出境安全評估辦法》給予了數據處理者6個月的準備期,即其在2022年9月1日生效后,企業有6個月的時間識別自身是否適用數據出境安全評估,完成自評估等合規工作并進行申報。2022年8月31日,國家網信辦發布了《數據出境安全評估申報指南(第一版)》,提供了開展安全評估的指引。
在實踐中,數據出境安全評估工作落實屬地申報原則,由數據處理者向其所在地省級網信辦提交申報材料。各地網信辦在收到申報材料后,在5個工作日內完成申報材料的完備性查驗(即形式審查)。國家網信辦受理后,一般將在45個工作日內完成數據出境安全評估,統一開展數據出境安全評估工作,開展實質審查并出具結論。數據出境安全評估的有效期為自評估結果出具之日起2年,到期后,企業應重新申報評估。其次,當數據出境的目的、方式、種類等發生變化后,企業也要重新申報評估。此外,企業通過安全評估后,國家網信部門仍舊會對企業進行動態監督,一旦發現企業在實際數據出境活動中不再符合數據出境安全管理要求的,會通知企業終止數據出境活動。
目前,北京、上海、江蘇等各地網信部門已經相繼開通接受安全評估申報的窗口。
截止2023年2月,北京網信辦已收到亞馬遜、寶馬、三星、葛蘭素史克、博士倫、去哪兒網、小米、摩根大通、大眾、聯想等48家單位正式提交的申報材料。其中:首都醫科大學附屬北京友誼醫院和中國國際航空股份有限公司2家單位的相關數據出境場景已獲國家互聯網信息辦公室批準,成為全國前兩個數據合規出境項目。[1]
截至2023年4月28日,上海網信辦接收涉及金融、零售、商務服務、汽車、醫療等重點領域的申報材料超400件,通過完備性查驗并報送國家網信辦申報材料近60件。其中,馬自達(中國)企業管理有限公司、絲芙蘭(上海)化妝品銷售有限公司)通過數據出境安全評估。[2]
截止2023年5月8日,南京市已有8家單位向省網信辦遞交正式申報。其中,焦點科技股份有限公司“中國制造網外貿電商平臺業務”通過國家網信辦數據出境安全評估,成為跨境電商領域全國首個數據合規出境案例。[3]
今年以來,北京網信辦、上海網信辦也多次召集舉辦數據出境安全評估政策系列宣講活動。截至目前,北京網信辦聯合市“兩區”辦、市經信局、市商務局、市科委等部門,已舉辦5場數據出境安全評估政策解讀宣講系列活動,就評估辦法適用范圍、自評估要點、本市受理流程等進行解答;上海網信辦會同重要功能區管委會、重點領域行業主管監管部門已開展金融站、張江站等多場數據出境安全評估政策宣講活動。
2023年3月2日,蘇州市數據出境安全評估申報備案平臺正式上線,蘇州市委網信辦通過“蘇商通”門戶網站、移動端APP推出蘇州市數據出境安全評估申報備案平臺,為企業“一站式”申報數據出境安全評估開通便捷通道,提供工作指引、申報備案、異議申報、申報咨詢、政策動態五類服務。[4]
(二)個人信息保護認證實施進展
根據《個人信息保護認證實施規則》,個人信息保護認證的認證模式為:技術驗證+現場審核+獲證后監督。認證實施程序如下:
- 申請認證與形式審查:中國網絡安全審查技術與認證中心(以下簡稱“CCRC”)是經國家市場監督管理總局批準的個人信息保護認證機構。2023年2月1日,CCRC開啟了個人信息保護認證的線上申報通道。個人信息處理者在申請首次認證時,需在申報網站上提交基本信息、申報書、自評價表等材料。CCRC經形式審查受理后,將指定技術驗證機構并啟動現場審查工作安排。
- 現場審查與技術驗證:根據《個人信息保護認證實施規則》第2條,個人信息跨境傳輸認證申請者需要同時遵循《個人信息跨境處理活動安全認證規范》(以最新版本為準)及GB/T 35273《信息安全技術 個人信息安全規范》的要求。在現場審查環節,認證機構將與技術驗證機構一同,就申請方是否能夠獲取個人信息跨境提供認證進行實質審查。
- 獲證后監督:認證機構將以一定的頻次、適當的方式實施獲證后監督,確保獲得認證的個人信息處理者持續符合認證要求。根據監督結果,認證證書可能被繼續保持、暫停、撤銷。值得注意的是,獲證后監督不僅會影響證書有效期內的存續狀態,還會影響證書到期后能否申請換發新證。(二)標準合同條款實施進展
標準合同條款制度在實踐中將以備案制的形式開展:個人信息處理者應當在標準合同生效之日起10個工作日內,向所在地省級網信部門提交標準合同與個人信息保護影響評估報告備案。
備案完成后,在標準合同有效期內出現以下情況的,個人信息處理者應當重新簽訂標準合同并備案:(1)向境外提供個人信息的目的、范圍、類型、敏感程度、數量、方式、 保存期限、存儲地點和境外接收方處理個人信息的用途、方式發生變化,或者延長個人信息境外保存期限的;(2)境外接收方所在國家或者地區的個人信息保護政策法規發生變化等可能影響個人信息權益的;(3)可能影響個人信息權益的其他情況。
《個人信息出境標準合同辦法》即將于2023年6月1日起施行。
參考資料:
[1] https://mp.weixin.qq.com/s/UCHITtp3dK2KVHtLQFAF2Q
[2]https://mp.weixin.qq.com/s/wsTpDrGBhwlux2fd9Zq5rw
[3]江蘇網信辦:https://mp.weixin.qq.com/s/gQ6HcHb4d2eKcSIkITkXWg
[4]南京網信辦:https://mp.weixin.qq.com/s/pzmFXp7Pej6gmZAwJ006XQ
[5] https://mp.weixin.qq.com/s/Cqr-X64C3ffGqMPxB7Enhw
來源:數據信任與治理