观点 | 个人信息安全出境监管趋势浅析
资讯
观点
案例
律途
荐读
今年以来,我国个人信息保护领域立法活跃非凡。数据,在数字经济中有着石油一般的战略地位。在中美贸易战的特殊时期出台的《个人信息出境评估办法(征求意见稿)》(以下简称“《评估办法》”)显得不同寻常。我们在本文中梳理了我国数据出境的立法发展脉络,分析《评估办法》的突出变化,并和欧盟《通用数据保护条例》(以下简称“GDPR”)对数据出境的规定做出对比,展望监管趋势。
一、数据出境相关立法发展脉络
及监管趋势
2017年开始实施的《网络安全法》确立了数据出境的安全评估机制。其后,相关法律法规、国家标准相继对数据的跨境传输做出规定。我们对这些规定从其适用主体、适用内容、适用措施和监管机构几个方面做出如下梳理:
总体而言,这些规定在数据出境安全评估机制[1]的框架下,对于数据跨境传输的监管呈现出以下特点和趋势:
01
评估机制的适用主体扩大到所有网络运营者
从适用主体的角度来看,2017年的《网络安全法》将评估制度的适用主体限定为CIIO。随后,从《个人信息和重要数据出境安全评估办法(征求意见稿)》开始,评估机制的适用主体范围从CIIO扩大到所有网络运营者。虽然《网络安全审查办法(征求意见稿)》的适用范围仅限CIIO,但这份文件仅针对CIIO与网络安全相关的交易,其目的即是对CIIO做出规制,所以并不在对这个问题的考虑范围内。本次新公布的《评估办法》仍然将评估制度的适用主体规定为网络运营者。由此可以看出,在数据出境安全评估制度的适用对象方面,监管机构的基本思路十分清晰,即囊括所有的网络运营主体,而非仅针对CIIO。
02
针对评估对象分别监管
从适用内容(即评估对象)的角度来看,从2017年的《网络安全法》开始,各项法律法规均将个人信息和重要数据并列纳入评估/审查范围。但自2019年发布的《数据安全管理办法(征求意见稿)》开始,评估对象出现重大变化,即将重要数据和个人信息分开处理。《数据安全管理办法(征求意见稿)》第二十八条规定,重要数据出境应“报经行业主管监管部门同意,行业主管监管部门不明确的,应经省级网信部门批准”,同时规定“向境外提供个人信息按有关规定执行”,指向了酝酿中的个人信息的出境规则,即本次的《评估办法》。该征求意见稿第三十八条还规定,“重要数据一般不包括企业生产经营和内部管理信息、个人信息等”,进一步表明主管部门对重要数据和个人信息出境分别监管的思路。
03
监管措施趋严
从适用措施的角度来看,《网络安全法》仅一笔带过,要求CIIO在个人信息和重要数据确需出境时,进行安全评估[2]。在《个人信息和重要数据出境安全评估办法(征求意见稿)》和《信息安全技术 数据出境安全评估指南(征求意见稿)》中,评估的具体方式得到了细化,即“自评估+监管部门评估+年度评估并报备”(前者的规定,详见下文)。《网络安全审查办法(征求意见稿)》要求CIIO在采购网络安全产品和服务时,涉及大量个人信息和重要数据跨境传输的,向主管部门申报网络安全审查[3]。在2019年的《数据安全管理办法(征求意见稿)》中,对重要数据的规制,虽保留网络运营者自行评估的环节,但需“报经行业主管监督部门同意”[4],实质上已经变成了审批制要求。再到本次出台的《评估办法》,对于个人信息,适用措施已经完全变成了“主管部门评估+年度备案+定期检查”制(详见下文)。从上述趋势看,监管机构对于数据出境的适用措施逐步趋严,网络运营者自行评估风险并进行把控的灵活度降低。
二、《个人信息和重要数据出境安全评估办法(征求意见稿)》和《评估办法》对比
本次出台的《评估办法》填补了《数据安全管理办法(征求意见稿)》对个人信息出境规定的空白。我们拟通过对比2017年发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称“《旧评估办法》”)和2019版本的《评估办法》,了解监管部门在数据出境监管方面的思路变化,并评述其中的重点条款和给网络运营者带来的影响。
三、《评估办法》和欧盟对数据
跨境流动规制对比
数据出境给监管带来一系列问题,各国的数据保护立法都对这些问题做出了或多或少的回应,其中欧盟和美国分别代表了两种态度,欧盟更加强调对个人权利的保护,而美国更加重视数据的自由流通。《评估办法》的出台,显著加强了对个人信息跨境流动的限制,标志着我国立法向欧盟方向靠近的一步,同样力图更加全面地保护个人信息。
和欧盟立法相比,我国的《评估办法》在一定程度上借鉴了GDPR相关规定,但二者同时存在差异:
四、立法趋势预测及合规建议
01
立法趋势预测
在《评估办法》出台前,有外媒曾报道,受中美贸易战影响,《信息安全技术 数据出境安全评估指南(征求意见稿)》在出台近两年时间内未能正式生效,我国对重要数据和个人信息的跨境传输监管可能做出重大调整。当前对重要数据和个人信息分别监管的趋势印证了这一说法。《评估办法》以个人信息这一安全要求相对较弱、流动性要求更强的监管对象为调整的第一步,可能预示着后续对“重要数据”有相对更强的监管要求,比如采用更加严格的评估标准。
02
合规建议
我们建议网络运营单位如有大量数据出境业务的,应重点关注本领域立法动态,适当调整数据的本地化存储和出境措施并制定相应后备方案,以及时响应立法和监管变化,降低违规风险。
此外,需要注意的是,在个人信息出境安全评估的申报主体方面,旧《评估办法》和《评估办法》均仅笼统地规定由“网络运营者”向主管部门提出申请。我国目前生效法律法规并未区分数据控制者和处理者的角色[21],《评估办法》也没有区分申报安全评估是控制者还是处理者的义务。我们在服务客户的过程中了解到,相关国家标准起草单位倾向认为,控制者和处理者都应当可以以网络运营者的身份向主管部门申请进行个人信息出境安全评估。从法律角度而言,理论上,控制者和处理者属于委托代理关系,控制者委托处理者代为处理数据,控制者作为委托人,应承担申报的法律责任,但可以委托处理者进行申报的具体操作。处理者通常也具备提交安全评估所需的更强的技术能力。当然,也有可能后续由主管部门在评估时根据某些原则确定申报评估的主体。但无论如何,个人信息出境安全评估箭在弦上,我们建议网络运营单位不仅要关注内部安全评估机制的建设,还应及时更新涉及数据处理的合同等法律文件,在法律允许的范围内,明确控制者和处理者就申报安全评估各自应承担的义务,为个人信息的合法、安全出境提前做好准备。
注释
[1] 除《网络安全审查办法(征求意见稿)》(2019)针对CIIO采购网络产品和服务时可能导致大量个人信息和重要数据出境的情形制定了网络安全审查制度外,《网络安全法》和目前我国有关数据出境的征求意见稿均规定数据出境适用评估机制。
[2] 《网络安全法》第三十七条
[3] 《网络安全审查办法(征求意见稿)》第十条
[4] 《数据安全管理办法(征求意见稿)》第二十八条
[5] 《信息安全技术 数据出境评估指南》第3.7条
[6] GDPR第45条
[7] GDPR第46条
[8] GDPR第49条
[9] 《评估办法》第二条、第十九条
[10] GDPR第45条(1)
[11] European Commission,Binding Corporate Rules (BCR),
“How is the lead authority chosen?”,
https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/binding-corporate-rules-bcr_en
[12] 《评估办法》第三条
[13] GDPR第47条(2)(k)、Article 29 Data Protection Working Party, 5.1, Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules (WP 256)
[14] Article 29 Data Protection Working Party, 5.1, Article Working Document setting up a table with the elements and principles to be found in Processor Binding Corporate Rules (WP 257)
[15] 《评估办法》第三条
[16] GDPR第45条(2)
[17] GDPR第47条(1)、(2)
[18] 《评估办法》第六条
[19] GDPR第46条(1)、(3)
[20] 《评估办法》第十五条、第十六条
[21] 目前仅《信息安全技术 个人信息安全规范》区分了控制者和受委托处理者的角色。
申晓雨
天达共和合伙人
北京办公室
Xiaoyu_shen@east-concord.com
+8610 6510 7416
申晓雨律师毕业于北京大学法学院和北京大学光华管理学院,获法学学士学位及工商管理硕士学位。
申晓雨律师自2005年开始执业,现为天达共和合伙人。
申晓雨律师擅长投资并购、公司法律事务和商业保理业务。申律师被多家跨国公司和大型企业聘为常年法律顾问,为其在中国的投资、重组及日常经营活动提供全方位法律支持,内容涉及投资、运营、资产管理、企业合并与分立、公司治理、合规审查及争议解决等。近年来,申律师还协助多家跨国公司处理数据合规和个人隐私保护法律事务,并带领团队为某国际大型体育赛事提供包括数据保护在内的法律支持。
申晓雨律师的代表项目包括(因保密需要,隐去客户信息):数家世界五百强企业全球金融业务重组项目;某世界五百强食品生产企业中国资产重组项目;某中外合资消费金融公司设立项目;某中外合资医疗项目;数家跨国企业的数据合规业务;某国际大型体育赛事的法律咨询项目等。
长按二维码
查看申晓雨律师简历
吴雅涵
天达共和实习律师
北京办公室
吴雅涵,爱丁堡大学法学硕士,本科毕业于北京外国语大学,取得文学、经济学双学位。吴雅涵曾供职于小米集团法务部,支持国内外市场部合规工作。加入天达共和律师事务所以来,吴雅涵为某国际大型体育赛事涉及的数据保护项目提供法律支持,并参与了跨国企业的合规项目。
精彩推荐
观点 | GDPR下信息披露和用户同意义务解读:以谷歌被罚5000万欧元案件为例
观点 | 《网络交易监督管理办法(征求意见稿)》个人信息保护领域亮点分析
点击“阅读原文”,可跳转至天达共和官网,更多资讯供您查询。