在全球数字产业以及大数据和云计算技术快速发展的背景下,数据流动对世界经济的影响日益显著。由此带来的数据红利和数据安全之间的冲突,将对未来数字经济的发展方向产生深刻影响。
2023 年可称为中国数据跨境监管的元年,这一年初出境评估的“蓬勃”和将近年末的数据出境法律调整“震荡”态势,说明着包括中国在内,数据跨境监管在各种国际和国内因素共同作用下的抉择艰难。企业作为数据出境的主体,需要一种政策和法律的稳定性和预期性。CSA大中华区发布《2023年数据出境合规年鉴》(以下简称“报告”)正是从企业合规视角出发的一次对中国数据跨境法律的整体梳理。
文末附《白皮书》获取方式
左右滑动查看目录
报告汇总了数据出境规则施行一年以来的规则沿革、规则适用中的重大事件、市场主体在规则适用中探索的最佳实践等内容,以形成规则施行元年的出境全貌,为涉及到数据跨境业务的监管、行业主管、企事业建立和规范出境活动提供参考。
报告分为五个部分,第一章详尽识别并梳理了中国数据出境监管的法律制度,给出了中国数据出境规则的完整体系,是组织判定是否触发监管的基本前提。读者在快速入门和理解的同时,应可比照自身行业和企业特点,得出可适用的数据出境合规路径。
第二章基于适当量化的考虑,提供了不同出境路径下的具体规则指引,包括各种出境路径下的具体数据数量指标、各省市地方的一些具有地方特点和考虑的指南规定。结合第一章法律规定综合考虑,组织应能够清晰的判断和决策。
数据出境路径 | 申报数据出境安全评估 | 通过个人信息保护认证 | 订立个人信息出境标准合同 |
适用情形 | 数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估: (一)数据处理者向境外提供重要数据; (二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息; (三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息; (四)国家网信部门规定的其他需要申报数据出境安全评估的情形。 | 个人信息处理者开展个人信息跨境处理活动,包括以下主体: (一)跨国公司或者同一经济、事业实体下属子公司或关联公司; (二)《个人信息保护法》第三条第二款规定的境外个人信息处理者(即在中国境外处理中华人民共和国境内自然人个人信息以分析、评估境内自然人的行为的活动) | 个人信息处理者通过订立标准合同的方式向境外提供个人信息的,应当同时符合下列情形: (一)非关键信息基础设施运营者; (二)处理个人信息不满100万人的; (三)自上年1月1日起累计向境外提供个人信息不满10万人的; (四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。 法律、行政法规或者国家网信部门另有规定的,从其规定。 个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。 |
数据类型 | 个人信息 /重要数据 | 个人信息 | 个人信息 |
有效期 | 2年 | 3年 | 依合同约定 |
法律依据 | 《数据出境安全评估办法》 《数据出境安全评估申报指南》 | 《个人信息保护认证实施规则》 《个人信息跨境处理活动安全认证规范V2.0》 | 《个人信息出境标准合同备案指南(第一版)》 |
第三章对本年度出境情况的企业数据汇总和分析进行了可视化展示,对公开披露的已经通过出境安全评估、备案的信息尝试总结一些行业、地方共性规律,得出数据出境涉及行业分布和区域分布的特点结论。这些规律呈现,或可借鉴、启发组织寻求样本参考和合规遵从,结合成功案例和区域化监管态势的判定,相信应能减轻组织的合规焦虑。
第四章和第五章从法律、制度和技术措施层面分享了出境合规实务中可参考的有效或较优经验。
其中第四章结合公开信息和作者们从事相关业务的实践,对特别是数据出境安全评估中的典型问题、范式写法,按照指南文件的标准顺序,逐次提供了一些更具粒度的澄清和参考,包括如何判定和基于“应合尽合”原则确定境内外数据处理者和接收方,如何规范表达出境方式、出境链路、甚至如何差异化表述出境目的和用途、描述境外数据安全法律政策环境等等。尽管这些内容可能是非官方解答,但应能符合申报、备案的实际需要,组织可根据自身情况进行选择性的引用或借鉴。
第五章对整体数据出境规则的实质性符合问题——数据安全保障能力,从制度和技术措施层面给出了联盟角度的建议,并注重将联盟在技术和策略领域的最佳实践和技术优势赋能与组织。这些建议创设性的整合了监管对规范制度和技术措施分别要求,并保持了对数据生命周期不同阶段的不同关注,涵盖了从收集、存储、传输、直至删除、处置的全周期过程,并将国内可用的对应标准、指南等辅助性文件进行了对照或映射,这些标准、指南类文件均进行了最新版本的检索,应可经受合规评审的考验。
第六章汇总了实践中可用的、有效的资质认证,涵盖了从经典的ISO 27001、网络安全等级保护,到GB/T 41479数据安全管理认证、SOC、HIPAA,直到BCR等,这些经过验证的资质、认证,对通过出境监管规则的评估、备案,乃至企业日常运营的数据安全合规都有裨益,尽管并非出境评估、备案的必要前提条件,但是出境监管的各类指南文件中为监管机构所首肯的加分项。
受限于年鉴的篇幅,以及各类引述文件的结构性差异,报告中难免有删减、过度抽象简化导致的表述瑕疵缺陷和不当问题,特别是由于报告资料主要来源于公开信息,且不同技术路线和业务场景也错综复杂,必有不准确、不完备甚至挂一漏万之处,欢迎读者指正!在此也向围绕中国数据出境规则完备性建设付出努力的监管方、合规方、服务机构等在一年中的辛勤努力和规则共筑工作表示敬佩!
展望
进入数据安全3.0时代后,CSA大中华区通过制定数据安全标准规范、输出研究报告、人才培养等措施,提升行业与从业人员对数据安全的认识和水平,引导行业共同解决数据安全3.0时代的问题。