企业数据出境合规系列解读(一):盘点常见数据出境风险场景
作者:李瑞 贾申 李梦涵
2022年9月1日,《数据出境安全评估办法》正式生效,企业数据出境合规监管蓝图日渐清晰。本文作为“企业数据出境合规”系列文章的开篇,详细解读可能构成中国法意义上的“数据出境”的典型风险场景,助力企业迈出数据出境风险评估第一步。
///
导读:数据跨境流动是近年来全球各法域的监管热点问题,我国也陆续出台了《网络安全法》《数据安全法》《个人信息保护法》《数据出境安全评估办法》等法律法规,以及《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》《数据出境安全评估申报指南(第一版)》《个人信息出境标准合同规定(征求意见稿)》等规范性文件,将中国数据出境监管机制初步搭建成形。时值《数据出境安全评估办法》生效之日,我们结合相关法律法规要求和来自一线的实务观察,推出“数据出境合规解读”系列文章,详细拆解我国的数据出境监管框架,以期为相关企业开展数据出境合规工作提供实务指引。
2022年9月1日,《数据出境安全评估办法》(“《办法》”)正式生效。这是中国数据出境监管历程中的重要一步,从9月1日起,《网络安全法》、《数据安全法》和《个人信息保护法》中关于重要数据和符合条件的个人信息出境的安全评估要求正式落地,企业可开始向网信部门申报数据出境安全评估程序。在《办法》落地生效前夜,国家互联网信息办公室(“国家网信办”)也于8月31日正式发布《数据出境安全评估申报指南(第一版)》(“《申报指南》”),以指导企业申报数据出境安全评估的具体工作。
对于存在数据出境活动的企业而言,数据出境合规工作亟待开展,而评估自身的经营活动是否涉及数据出境的场景,是准确评估自身合规义务的第一步和关键步骤。本文作为“数据出境合规解读”系列文章的第一篇,将详细解读可能构成中国法意义上的“数据出境”的各类场景,尤其是一些在实务中容易被企业忽视的数据出境场景。
《申报指南》明确指出,以下情形属于数据出境行为:
(1)数据处理者将在境内运营中收集和产生的数据传输、存储至境外;
(2)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
(3)国家网信办规定的其他数据出境行为。
在下文中,我们将分别解读和梳理上述数据出境行为在企业实务中的具体表现和常见场景。
1.
数据主动出境:数据处理者将在境内运营中收集和产生的数据传输、存储至境外
境内的数据处理者通过主动开展传输、存储、上载、递送等动作,将其在境内运营中收集和产生的数据通过软件或或硬件介质提供至境外,这是数据出境中最常见的方式,也是最符合直观印象的数据出境方式。数据主动出境通常包括以下场景:
1.1 境内主体使用专用于数据传递功能的软件或硬件介质,向境外主体提供数据
专用于数据传递功能的软件包括电子邮件、FTP、跨境搭建的VPN、API等传输信道等,硬件介质包括U盘、移动硬盘、甚至装载数据的便携笔记本等。当企业以这些方式向境外提供数据时,其通常能够意识到发生了数据出境,可能会触发相关合规义务。以下是此类场景在企业经营实务中的一些常见范例:
某境外公司A在中国境内设有子公司B,B公司定期通过邮件方式向A公司报送业务经营情况总结,以供境外集团总部进行经营情况的总体统计、分析。
B公司从事数据收集和分析业务,经常将其在境内运营过程中收集和分析得出的数据以数据包的形式通过FTP方式向其境外的客户定点传输。
因应对外国某执法机关调查案件的需要,B公司通过移动硬盘载体的形式,将涉及个人信息和其他数据的调查信息、证据材料寄送给该境外执法机关、聘用的境外法律顾问机构及其母公司A。
点击可查看大图
1.2 境内主体使用服务器位于海外的信息系统、软件平台时产生的数据上载或存储
在当前的信息社会中,稍具规模的企业都会使用信息系统、软件平台或数据库来协助企业的运营、管理和业务开展。如果企业使用的信息系统、软件平台或数据库的服务器或云端部署在境外(最典型的例子是跨国企业使用境外服务商运营及/或部署的信息系统),也会构成境内主体主动向境外传输数据的情形。这种方式相比上一种情形而言相对隐蔽,可能会被部分企业所忽视。例如,某些境内服务商的境外云服务的服务器是架设在境外的,企业使用相关云服务时不可因其是境内服务商就默认数据将存储在境内服务器中。若企业数据可能被存储在该境内企业的境外服务器中,我们倾向于认为该境内服务商也可能认定成为“境外服务商” 。典型实践场景如下:
某境外公司A的境内子公司B使用母公司在海外自行部署的数据库作为文档库,所有业务文档一经存入文档库,即上载至母公司在海外的服务器,从而构成出境。
A公司所有集团下属公司(包括B公司)均使用向境外第三方服务商采购的OA系统和HR管理软件实现日常业务流转和人事数据管理,该OA系统和HR管理软件的相关数据均通过第三方在境外架设的云服务器进行存储和备份。B公司在境内经营过程中收集的个人信息和其他数据一经录入到OA系统和HR管理软件中,即构成数据出境。
点击可查看大图
2.
数据被动出境:数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出
在数据被动出境场景下,数据处理者收集和产生的数据存储在境内,其也并未采取任何主动将数据提供给境外的行为;但境外的机构、组织或者个人(不论其是否与境内实体存在关联关系)可以查询、调取、下载、导出该等境内数据,这种情形也构成数据出境。相比于主动出境的情形,数据被动出境的情形更容易被企业忽略。以下是数据被动出境的常见场景:
2.1 公开网页访问
在自有网页上发布信息,是企业对外宣传和业务经营中最常见的一种场景。而信息一旦发布到网页上,除非采取特别的技术措施,否则境外人士也可自由访问。在2017年8月25日发布的国家标准《信息安全技术 数据出境安全评估指南(征求意见稿)》第二稿中,曾提出境外对境内公开信息和网页的访问不属于数据出境,但是该规定仅为征求意见稿,距今已五年时间,仍未转化为生效规定。当前实务中的观点倾向于认为,公开网页访问也属于数据出境的一种情形。
【延伸话题】
《数据出境安全评估办法》已明确:重要数据和符合一定条件的个人信息出境,应当通过网信部门组织的安全评估后方可进行。企业应特别关注一种情形——企业如在公开网页上发布重要数据或个人信息,就可能会导致这些数据可被境外主体获取,从而构成数据出境。目前,在数据出境及重要数据识别相关规则不明朗之前,我们建议企业采取此类操作时应持谨慎态度,如非必要,不通过公开网页发布可能受制于出境监管要求的数据。
2.2 境外访问数据处理者部署于境内的服务器/数据库/信息系统
如果境内处理者将其境内服务器、数据库或信息系统向境外主体开放,使得境外主体可以在境外对存储于境内的数据进行访问、下载或者调用,同样属于“数据出境”的场景,并且实践中经常被一些企业所忽略。以下是此类情形的一些范例:
境内公司B将其在境内收集和产生的数据存储于境内的服务器或数据库,但向境外的母公司A开放远程访问权限。
B公司使用的OA系统是境外技术服务商E协助在中国境内本地化部署的,但E公司会远程访问该系统进行日常运维。
B公司在境内的外籍员工或派驻在境外工作的员工登陆公司的OA系统、HR管理系统和其他信息系统,开展相关操作并获取相关信息。
点击可查看大图
【延伸话题】
云服务提供商将其服务器架设在境内,用户在海外调取和访问数据,也是一种数据出境的场景。例如,某SaaS平台将应用软件部署在境内的服务器上,向国内外客户提供应用软件服务,由于用户数据存储在国内的云服务中,当海外用户或国内用户的海外人员调取或访问该SaaS平台中存储的数据时,也构成了数据出境。在这种情况下,该SaaS平台的服务商通常并不拥有其客户在平台上存储的数据的访问权限,而是否允许海外主体访问账户中的数据,通常是由云服务用户自主决定的,因此数据出境的境内提供者和合规义务方应当是云服务用户。但需要提示的是,由于该SaaS服务商控制该等数据的存储硬件(服务器)以及云服务器的运维和安全保护服务,其可能被认定为掌握云服务器中存储的相关数据,并且对于相关数据出境过程中的安全保护也承担一定责任。
3.
其他特殊情形:以境外信息境内加工再传输至境外为例
有一类较为特殊的数据出境情形,是境外收集和产生的数据传输到中国境内进行加工后,再传输到境外。加工包括数据收集、存储、访问、修改、转让、披露、匿名化、去标识化、恢复、删除、销毁等方式。此种情形是否构成数据出境需要结合具体情况进行判断。
2017年发布的国家标准《信息安全技术 数据出境安全评估指南(征求意见稿)》规定:非在境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动或加工处理的,不属于数据出境;非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的,不属于数据出境。该征求意见稿并未正式生效,结合近年来颁布的相关法规及实务中普遍的观点,我们倾向于认为中国法意义上的“数据出境”应限于境内运营中收集和产生的数据。
总结而言,在境外数据境内加工的场景下,共有三类可能的情形:
(1)未在中国境内对境外数据进行任何加工处理,仅经由中国出境,我们倾向于认为这不属于中国法意义上的“数据出境”;
(2)在中国境内对境外数据进行加工处理,但加工后并不涉及中国境内产生的任何数据,我们倾向于认为这也不属于中国法意义上的“数据出境”;
(3)在中国境内对数据进行加工处理,涉及境内产生的个人信息或其他数据,且将加工后的数据传输至境外,我们认为这毫无疑问属于中国法意义上的“数据出境”。
例如,某境内数据服务商D为境外公司A提供数据加工和处理服务,将A公司在中国境外运营产生的经营数据进行统计分析后,再传输给A公司。在这一过程中,D服务商利用其在境内收集和产生的个人信息进行融合和分析后再向A公司传输,构成了数据出境。
从上述梳理不难发现,数据出境普遍存在于企业的各类商业需求和实务场景中,而一些可能构成数据出境的情形在实务中较为隐蔽,可能会被企业忽视。在我国数据合规领域的立法日趋完善、执法愈发常态与严格的监管趋势下,企业应不断加强数据合规意识,结合自身实际情况,充分梳理和识别涉及数据出境的经营、管理和业务相关情形,切实履行数据出境方面的合规义务,降低潜在合规风险,为企业合规经营、业务健康发展保驾护航。
作者简介
李瑞 律师
北京办公室 合伙人
业务领域:跨境投资并购, 反垄断和竞争法, 网络安全和数据保护
特色行业类别:文化娱乐产业
贾申
北京办公室 顾问
业务领域:反垄断和竞争法, 贸易合规和救济, 诉讼仲裁
李梦涵 律师
北京办公室 合规与政府监管部
* 王恒愉对本文亦有贡献
作者往期文章推荐
《切磋琢磨成宝器——个人金融信息保护的合规要点解读(下)》
《既遵道而得路——个人金融信息保护的合规要点解读(上)》
《举一纲而万目张——金融数据的分类分级与全生命周期保护》
《房地产领域典型场景中的个人信息保护合规要点分析》
《固基修道,履方致远:从数据“三法”看企业数据泄露风险的预防和应对》
《已到凌云仍虚心——互联网平台合规监管2021年度盘点》
《问渠那得清如许——企业交易场景下的数据合规要求进一步加强》
《观千剑而后识器——中美欧个人信息保护制度比较》
《激活网络安全审查制度 筑牢数据安全防火墙—— <网络安全审查办法(修订草案征求意见稿)>评析》
《见微方能知著——受CFIUS审查影响而终止的中资交易简报(2008-2021)》
《<反垄断法(修正案)>配套新规解读系列:禁止垄断协议规定(征求意见稿)合规启示》
《<反垄断法(修正案)>配套新规解读系列:禁止滥用知识产权排除、限制竞争行为规定(征求意见稿)亮点简析》
《<反垄断法(修正案)>配套新规解读系列:经营者集中申报标准规定与审查规定(征求意见稿)亮点简析》
《长风破浪会有时——<反垄断法(修正案)>会给企业合规带来哪些变化?》
《沉舟侧畔千帆过:金融行业反垄断合规要点及趋势概览》
《大鹏一日同风起,扶摇直上九万里——中国反垄断2021年度盘点》
《会当凌绝顶——<反垄断法(修正草案)>要点速览》
《合规创造价值——新经济领域(拟)上市企业的若干合规要点分析》
《新形势下企业贸易风险防控之道——再议美国出口管制制裁与阻断办法》
《从史上最高罚单看企业反垄断合规的重要性》
《实操建议:社交电商业务模式避免落入传销陷阱》
《虑远谋深——对俄制裁中各行业法律风险和企业防火墙方案探讨》
《从监管问询看拟上市企业应关注的反垄断合规问题》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。