引言
随着2020年《个人信息保护法(草案)》(以下简称“《草案》”)的出台,对个人信息的保护成为越来越多企业合规的重点关注方向。伴随着我国对外开放程度的不断加深,全球一体化语境下境内外合作的不断拓展,无论是跨国公司在中国境内的进一步发展,还是中国企业走出去开拓海外市场,都会面临数据出境的问题。然而,在基础法律文件较为零散且大多还未正式生效的背景下,很多企业对数据出境的实质要求和处理流程仍然比较陌生。因此,在本团队出品的前两篇系列文章《个人信息保护与企业数据合规系列(一)基础理论篇》,《个人信息保护与企业数据合规系列(二)法律适用篇》的基础上,本篇将重点讨论关于个人信息数据出境的相关问题。
一、什么是“数据出境”
大数据时代,国家经济发展和社会公众生活越来越离不开互联网,在数字经济的浪潮中,各国对“数据主权”的关注度和监管也不断强化。面对强监管的趋势,从企业实务角度来说,数据出境问题首先需要确认的问题是,到底哪些数据跨境转移行为会被认定为数据出境?
(一)数据出境的定义
1、 数据跨境
数据出境的上位概念是数据跨境,即包括数据的出境和入境。“数据跨境”的定义可以追溯到经合组织(OECD)的《隐私保护和个人数据跨境流动指南》,该指南将个人数据的跨境流动界定为个人数据从一个国家、地区、国际组织传输至另一国家、地区、国际组织【2】。联合国跨国公司中心对跨境数据传输的界定是:跨越国界对存储在计算机中的机器可读的数据进行处理、存储和检索。一般来说,跨境数据流动可以分为两类:一种是数据跨越国界传输和处理;另一种是数据即使没有跨越国界,但被第三国的主体访问【3】。从国家“数据主权”的角度考虑,显然数据出境是更需要进行监管和规制的。
2、 “数据出境”在相关规范性文件中的定义/描述
2017年生效的《网络安全法》(以下简称“《网安法》”)就数据出境规定了“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储,因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。该条款中未对数据出境的具体情形进行描述,并且该法中明确信息出境受监管的对象为关键信息基础设施运营者。
2017年国家互联网信息办公室发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称“2017《安全评估办法》”)与同年中国国家标准化管理委员会发布的《信息安全技术 数据出境安全评估指南(征求意见稿)》(以下简称“2017《评估指南》”)中将“数据出境”定义为网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。同时还特别列明,数据出境包括以下几种情形:
1) 向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据;
2) 数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);
3) 网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。
2019年网信办发布的《个人信息出境安全评估办法(征求意见稿)》(以下简称“2019《安全评估办法》”)将个人信息与重要数据分开监管,个人信息出境定义为“网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息”。
2020年发布的《草案》对境外处理个人信息的活动也列入保护范围,并设专章“第三章 个人信息跨境提供的规则”对此进行规定,其具体规制的是“个人信息处理者向中华人民共和国境外提供个人信息”的行为。
(二)实践中数据出境的典型场景
根据上述规范性文件的规定,可以看到大部分文件对何谓“向境外提供”并没有进行具体定义,只有2017《评估指南》的描述相对较为详细,可供实践参考。但需注意的是,除了《网安法》是正式生效的法律规定以外,其它文件大多是征求意见稿,都只具有参考意义。也正是因为如此,“数据出境”的概念在合规实践中存在相当程度的模糊地带。下面我们对实践中几种典型的数据出境行为进行具体分析。
1、 云存储服务
目前在实践中被各大跨国公司广泛使用的云存储产品,因涉及到数据的传输者、存储者、使用者身份的分离,导致数据信息可能受到多个不同国家的法律管辖,云存储的数据归属权、法律适用一直存在争议。在本文的语境下,如前所述,境外机构或者个人通过云服务访问、查看相关数据的行为也有可能被认定为构成数据出境。此外,由于在境内运营的企业客户可能会越来越多地对数据本土化存储提出需求,故云服务供应商还应关注其服务器的物理位置能否满足客户需求。
2、 跨国企业的内部数据传输
如前所述,在2017《评估指南》中明确对跨国企业的内部信息传递并没有豁免。尽管可能由境内法人实体传递给境外法人实体的信息是限于企业内部留存或参考之用,但只要涉及境内运营中收集和产生的个人信息,就构成“数据出境”。实务中,甚至包括通过镜像方式,在境内向境外机构、组织、人员提供数据或开放访问权限的,都属于向境外提供数据。【4】因此,对于在境内和境外都有办事机构、工作人员的跨国公司而言,首先建议将境内经营所涉及的数据库设立在境内,若因客观条件等其他因素而不得不将数据库设立在境外的,企业也需要对所涉及的数据出境问题做好相应的合规工作。
3、 电子商务/跨境电商
作为电商大国和消费大国,类似阿里巴巴、ebay、亚马逊等跨境电商公司面临着在运营过程中将在我国收集和产生的个人信息传输到境外公司(包括境外平台与境外商家)的情形,在其中不得不面临数据出境的合规要求。可以说,跨境电商的发展必然伴生着跨境数据的流动【5】,数据出境是跨境电商类企业必须纳入合规考虑的重要方面。
二、数据出境的条件
(一)个人信息出境的禁止性规定
数据出境的合规,首先要确保向境外提供的数据中不得包含禁止出境的数据。在立法层面,对个人信息出境存在下列禁止性规定。因个人信息的内容不同,当个人信息作为国家秘密时,还会受到《保密法》中禁止出境规定的限制。
(二)个人数据主体的告知与同意
1、个人信息出境的前提是取得信息主体同意
根据《草案》第39条的规定,信息主体的单独同意是个人信息处理者向境外提供个人信息的前提条件。同时根据2020年新发布的《个人信息告知同意指南(征求意见稿)》,对征求信息主体的个人同意流程和要求都进行了细化,并作出了相应指导。可以预见,一旦《个人信息保护法》落地生效,相应的程序性配套文件会接踵而至,对企业在个人信息出境上的程序性要求也会愈发严格。
2、隐私政策的合规要求
在实践中,互联网公司或其他企业都会在向用户提供服务前要求用户签署所谓的“隐私政策”。基于合同法保护下的“告知—同意”框架保证了企业对于个人信息的使用是建立在个体授权的基础之上【6】,同时,欧盟在GDPR中更是通过强制性规定要求企业必须获得用户“公正透明的同意”【7】。值得关注的是,在数据出境问题上,将来企业很可能需要就出境事项单独进行告知并获得用户授权,同时做好相关告知同意的证据留存工作,以降低合规和诉讼风险。
(三)对数据接收方的约束
1、 境外数据处理者需设立专门机构或者指定代表
《草案》第52条规定,境外个人信息处理者需在境内开设专门机构或者指定代表,并将信息保护负责人的信息报送个人信息保护职责的部门。若该款生效,境外个人信息处理者的合规成本有可能大幅提高,所有涉及到中国数据出境的企业均需要在中国境内设立相应机构。
2、境外接收方订立合同
《草案》第38条将与境外接收方订立合同作为个人信息可以出境的条件之一,而对于合同本身的内容则没有详细规定。现有框架下,可以参考2019《安全评估办法》第13到第16条规定的与境外个人信息接收者合同的条款内容,包含境外接收方应承担的提供访问途径、即时更正、删除等义务等。
三、 数据出境主体的评估义务
(一)事前风险自评估义务
根据《草案》第54条规定,向境外提供个人信息的,均需在个人信息处理活动前在事前进行风险评估,并对处理情况进行记录。该款对数据出境主体规定了强制自评估义务。此前发布的2017《安全评估办法》中也规定了网络经营者的自行安全评估义务,故自评估义务很有可能在《草案》生效后正式实施。
(二)监管部门的安全评估
根据《草案》第40条规定,关键信息基础设施运营者与达到一定个人信息数据数量的信息处理者,确需向境外提供个人信息的,应当通过网信部门的安全评估。而根据2019《安全评估办法》,个人信息出境前,网络运营者均需要向网信部门申报个人信息出境安全评估。因上述文件均为征求意见稿,实践中据我们了解,目前网信部门尚未正式开放相关的个人信息出境安全评估窗口,预计《草案》生效后会有进一步的评估细则和流程出台。
(三)第三方机构进行评估
尽管企业自评估和监管部门评估尚未有明确的强行性要求,但企业对个人数据出境的处理仍需符合目前各类规范性文件中的实质性条件。而且,随着《个人信息保护法》颁布在即,各类合规评估必将提上日程,也有必要提前做好应对。因此,实践中有合规需求的企业往往会通过第三方机构(例如律师事务所等),对经营活动中的数据出境行为进行评估。同时,由于个人信息跨境传输不仅可能牵涉不同的商业主体,还牵涉不同传输环节下不同的监管主体、不同的法律管辖(例如涉及GDPR的情况),第三方评估可以更全面地帮助企业降低因数据跨境转移而面临的合规风险。
四、小结
个人信息的数据出境,是公民个人民事权益和企业经济利益的权衡和选择,如何在保障公民个人信息权益不受损害的情况下,降低企业的运营和合规成本,促进经济发展和数据跨境流动,最大化发挥数据的经济作用,是监管部门需要考虑的重大问题。而对跨国企业和有涉外业务的企业而言,面对日新月异的市场环境,如何应对好复杂的中国及海外对个人信息数据出境的监管制度,做好相应的合规安排,防范巨额处罚的风险,需要企业的密切关注并做好相应的合规评估工作。
注释
【1】本文讨论的“数据”均指个人信息数据。
【2】何渊:《数据法学》,北京大学出版社2020年版,第170页。
【3】王顺清,刘超:《欧美个人数据跨境转移政策变迁及对我国的启示》,《行政与法》2017年第8期,第96页。
【4】黄春林著:《网络与数据法律实务》,人民法院出版社2019年版,第123-124页。
【5】朱晓娟:《论跨境电商中个人信息保护的制度构建与完善》,《法学杂志》2021年第2期,第87页。
【6】丁晓东:《个人信息保护原理与实践》,法律出版社2020年版,第90页。
【7】参见GDPR第4(11)条。
方懿
合伙人
专长领域:金融商事;企业合规;海事海商;跨境项目等
社会兼职:华东政法大学数字法治研究院特聘研究员
邮箱:eve.fang@sgla.com
顾依婷
律师助理
专长领域:金融保险、涉外民商事诉讼、公司日常法律事务
邮箱:karen.gu@sgla.com
中联律师事务所
中联律师事务所 2008 年成立于上海,2020 年成为中世律所联盟发起创办的一体化全国性品牌所,是一家立足国内、面向全球的大型综合性律师事务所。
中联是中世律所联盟在中国首次以联盟做大方式,推动律师行业规模化、专业化、国际化发展的最新成果。中联秉持包容、合作、进取、开放的联盟文化理念,融合各地优秀成员所的丰富资源与荣誉,以高于同业的一体化知识管理体系与执业标准,全新诠释中国最好律所联盟成功发展的精神内核与事业追求。
