随着互联网在全球的普及和数字经济在全球的发展,数据跨境流动已经成为各个国家和地区重点关注的议题。数据的跨境流动同时具备个人权益保护、企业合规经营和各国监管合作与博弈三个维度,各国和地区近年来对个人信息的跨境流动高度重视,相继出台和完善法律规则和监管框架。
近年来,《网络安全法》、《数据安全法》和《个人信息保护法》相继出台,对我国网络安全、数据安全、个人信息保护进行了制度安排,也为我国数据跨境流动构建了框架。此三部法律主要从个人信息和重要数据两个维度规定数据跨境流动,建立了“数据出境安全评估”、“个人信息保护认证”和“标准合同条款”三大数据出境机制。
关于数据出境安全评估,国家互联网信息办公室(以下简称“国家网信办”)于2022年7月7日公布《数据出境安全评估办法》,并于9月1日正式实施。
关于个人信息保护认证,全国信息安全标准化技术委员会(以下简称“信安标委”)于2022年12月6日发布了《个人信息跨境处理活动安全认证规范v2.0》,作为个人信息跨境处理活动认证的实践指南。2022年11月4日,国家市场监督管理总局和网信办联合发布《个人信息保护认证实施规则》,对个人信息保护认证(包括跨境提供和不跨境提供两种认证)的认证对象、认证流程与合规要求等做出了体系化要求。
关于标准合同条款,2022年6月30日,国家网信办发布了《个人信息出境标准合同规定(征求意见稿)》以及《个人信息出境标准合同》(模板),明确了标准合同的适用细则。2023年2月24日,《个人信息出境标准合同办法》公布,并将于2023年6月1日起施行。
数据出境安全评估、个人信息保护认证与标准合同条款虽然是平行的三种数据跨境传输机制,但其侧重点和适用范围有所不同。
数据出境安全评估在保护个人信息权益的同时,还旨在“维护国家安全和社会公共利益”,因而其适用具有强制性,即凡是达到《数据出境安全评估办法》规定门槛的,必须在数据出境前进行安全评估。根据《数据出境安全评估办法》第4条,数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
(1)数据处理者向境外提供重要数据;
(2)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(3)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(4)国家网信部门规定的其他需要申报数据出境安全评估的情形。
个人信息保护认证和标准合同条款则侧重个人信息保护,旨在保护个人信息权益,促进个人信息跨境安全、自由流动,并无强制适用性。《认证规范》明确指出:“需要通过国家网信部门组织的安全评估的个人信息跨境处理活动,应当向国家网信部门申报安全评估”。《合同规定》则指出,同时符合“非关键信息基础设施运营者、处理个人信息不满100万人的、自上年1月1日起累计向境外提供未达到10万人个人信息的、自上年1月1日起累计向境外提供未达到1万人敏感个人信息的”个人信息处理者,可以通过签订标准合同的方式向境外提供个人信息。
综上,安全评估、认证和标准合同这三种数据跨境传输合规机制的适用关系如下图所示:
目前,我国数据出境安全评估机制和个人信息保护认证机制均已进入落地实施阶段。
(一)数据出境安全评估实施进展
《数据出境安全评估办法》给予了数据处理者6个月的准备期,即其在2022年9月1日生效后,企业有6个月的时间识别自身是否适用数据出境安全评估,完成自评估等合规工作并进行申报。2022年8月31日,国家网信办发布了《数据出境安全评估申报指南(第一版)》,提供了开展安全评估的指引。
在实践中,数据出境安全评估工作落实属地申报原则,由数据处理者向其所在地省级网信办提交申报材料。各地网信办在收到申报材料后,在5个工作日内完成申报材料的完备性查验(即形式审查)。国家网信办受理后,一般将在45个工作日内完成数据出境安全评估,统一开展数据出境安全评估工作,开展实质审查并出具结论。数据出境安全评估的有效期为自评估结果出具之日起2年,到期后,企业应重新申报评估。其次,当数据出境的目的、方式、种类等发生变化后,企业也要重新申报评估。此外,企业通过安全评估后,国家网信部门仍旧会对企业进行动态监督,一旦发现企业在实际数据出境活动中不再符合数据出境安全管理要求的,会通知企业终止数据出境活动。
目前,北京、上海、江苏等各地网信部门已经相继开通接受安全评估申报的窗口。
截止2023年2月,北京网信办已收到亚马逊、宝马、三星、葛兰素史克、博士伦、去哪儿网、小米、摩根大通、大众、联想等48家单位正式提交的申报材料。其中:首都医科大学附属北京友谊医院和中国国际航空股份有限公司2家单位的相关数据出境场景已获国家互联网信息办公室批准,成为全国前两个数据合规出境项目。[1]
截至2023年4月28日,上海网信办接收涉及金融、零售、商务服务、汽车、医疗等重点领域的申报材料超400件,通过完备性查验并报送国家网信办申报材料近60件。其中,马自达(中国)企业管理有限公司、丝芙兰(上海)化妆品销售有限公司)通过数据出境安全评估。[2]
截止2023年5月8日,南京市已有8家单位向省网信办递交正式申报。其中,焦点科技股份有限公司“中国制造网外贸电商平台业务”通过国家网信办数据出境安全评估,成为跨境电商领域全国首个数据合规出境案例。[3]
今年以来,北京网信办、上海网信办也多次召集举办数据出境安全评估政策系列宣讲活动。截至目前,北京网信办联合市“两区”办、市经信局、市商务局、市科委等部门,已举办5场数据出境安全评估政策解读宣讲系列活动,就评估办法适用范围、自评估要点、本市受理流程等进行解答;上海网信办会同重要功能区管委会、重点领域行业主管监管部门已开展金融站、张江站等多场数据出境安全评估政策宣讲活动。
2023年3月2日,苏州市数据出境安全评估申报备案平台正式上线,苏州市委网信办通过“苏商通”门户网站、移动端APP推出苏州市数据出境安全评估申报备案平台,为企业“一站式”申报数据出境安全评估开通便捷通道,提供工作指引、申报备案、异议申报、申报咨询、政策动态五类服务。[4]
(二)个人信息保护认证实施进展
根据《个人信息保护认证实施规则》,个人信息保护认证的认证模式为:技术验证+现场审核+获证后监督。认证实施程序如下:
申请认证与形式审查:中国网络安全审查技术与认证中心(以下简称“CCRC”)是经国家市场监督管理总局批准的个人信息保护认证机构。2023年2月1日,CCRC开启了个人信息保护认证的线上申报通道。个人信息处理者在申请首次认证时,需在申报网站上提交基本信息、申报书、自评价表等材料。CCRC经形式审查受理后,将指定技术验证机构并启动现场审查工作安排。
现场审查与技术验证:根据《个人信息保护认证实施规则》第2条,个人信息跨境传输认证申请者需要同时遵循《个人信息跨境处理活动安全认证规范》(以最新版本为准)及GB/T 35273《信息安全技术 个人信息安全规范》的要求。在现场审查环节,认证机构将与技术验证机构一同,就申请方是否能够获取个人信息跨境提供认证进行实质审查。
获证后监督:认证机构将以一定的频次、适当的方式实施获证后监督,确保获得认证的个人信息处理者持续符合认证要求。根据监督结果,认证证书可能被继续保持、暂停、撤销。值得注意的是,获证后监督不仅会影响证书有效期内的存续状态,还会影响证书到期后能否申请换发新证。
(二)标准合同条款实施进展
标准合同条款制度在实践中将以备案制的形式开展:个人信息处理者应当在标准合同生效之日起10个工作日内,向所在地省级网信部门提交标准合同与个人信息保护影响评估报告备案。
备案完成后,在标准合同有效期内出现以下情况的,个人信息处理者应当重新签订标准合同并备案:(1)向境外提供个人信息的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点和境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;(2)境外接收方所在国家或者地区的个人信息保护政策法规发生变化等可能影响个人信息权益的;(3)可能影响个人信息权益的其他情况。
《个人信息出境标准合同办法》即将于2023年6月1日起施行。
