【安永洞察】《数据出境安全评估办法》带来的合规路径思考与解析
2022年7月7日,国家互联网信息办公室发布《数据出境安全评估办法》(下文简称“《评估办法》”)。相较于2021年10月发布的征求意见稿,《评估办法》结构上未做大幅度改动,从十八条调整至二十条规定,对其中13条规定进行了合并及调整,并新增了2条规定分别在数据处理者对评估结果异议的处理以及重要数据的定义方面。该评估办法自9月1日起施行,对于在办法施行前已经开展的数据出境活动,不符合办法规定的,应当自办法施行之日起6个月内完成整改。
《评估办法》的出台,表明在数据出境中一项至关重要的规则正式落地,为我国在数据出境监管层面建立全方面、多维度的监管机制补齐了不可或缺的一环,标志着个人信息出境监管版图或将成型。当企业有数据出境需求和开展相关数据处理活动时,需要参照已有的法律法规及近期发布的新规草案,及时进行自我评估和合规路径调整,主动发现风险并整改问题,确保在合乎规定的前提下开展数据出境处理活动。
数字化经济浪潮席卷全球的背景下,数据作为生产要素,其顺利流通是开展跨境业务和活动的重要条件,也是境内外经济实体提升生产效率的基本诉求。当前企业在实施跨境处理活动时,不仅仅需要持续建设自身的数据合规框架和数据安全能力,更需要持续关注数据出境流动监管的相关要求。我们根据我国自《网络安全法》以来对数据出境问题的法规建制,结合相关的国家推荐性标准,对近期发布的数据出境相关法规整理如下,为各大企业数据出境合规提供参考。
图1 数据出境相关法律法规发展进程
需要指出的是,数据出境合规对各企业,尤其是涉及全球业务的跨国公司和拥有出海业务的中国企业来说,并不是一个新的课题。全球各主要经济体均基于自身的战略和安全需求制定了数据出境法规,不少注重数据合规的企业已根据业务运营地的合规要求开展了数据出境合规工作。我国数据出境合规治理工作虽起步较晚,但发展快速且全面,注重监管和效率并举,同时在数据出境监管层面上也相较其他国家数据出境要求有着自身特色,需要企业特别关注:
► 不同数据差异化管理:在设计层面对个人信息和重要数据的出境合规提出了不同要求;特定行业的特定类型重要数据,由不同行业法律法规进行规定;
► 注重安全风险管控:数据出境安全风险和影响性评估成为企业数据出境前的基本合规义务;
► 关注出境目的:“出境目的合法、正当、必要”贯穿各法律和行政法规,使得出境目的合规成为数据出境合规工作的前置条件。
数据出境活动如何定义?
出境所指的“境”作为法域概念,是指法律效力所及的空间范围,而非仅限于国家,例如:同属我国的香港、澳门和台湾均属于不同的法域。
《评估办法》将出境描述为“向境外提供”,综合《信息安全技术 数据出境安全评估指南(征求意见稿)》对数据出境的定义,可归纳为以下两类数据转移行为:
(一)数据向境外转移存储;
(二)境外机构、组织、个人访问查看境内数据(公开信息、网页访问除外)。
需要注意的是,不同场景下数据出境的判断条件也不尽相同,如加密数据境外存储和网络层数据路由是否需被定义为数据出境,仍需要进一步立法解释或判例说明。
数据出境应遵循怎样的合规路径?
根据《个人信息保护法》第三十八条“个人信息处理者因业务等需要,确需向中国境外提供个人信息的,应当具备下列条件之一:”
即个人信息出境除应当征得个人单独同意(例外情形除外),可根据以上条件以四选一的方式出境。下图根据数据出境相关的重要法律法规,将企业开展数据出境活动的合规路径总结如下:
图2 企业开展数据出境活动的合规路径
企业数据出境具体适用于哪项合规条件由数据发送方自行判断,但由于数据实际出境情况不可能通过技术手段全面掌握,因此法规也明确了“任何组织和个人发现数据处理者未按照规定进行评估向境外提供数据的,可以向省级以上网信部门投诉、举报”(《评估办法》第十五条)的社会监督义务。在此情况下,尽早完成各项评估、缔约等既定动作将是数据出境发送方在当下的必然选择。
在什么时机开展数据出境安全评估?
自主评估
企业自主发起进行的评估类活动需要包含个人信息保护影响评估和数据出境风险自评估这两项:
► 个人信息保护影响评估:如数据出境活动涉及个人信息,根据《个人信息保护法》第五十五条规定“有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:(四)向境外提供个人信息。”
► 数据出境风险自评估:根据《评估办法》第五条规定“数据处理者在向境外提供数据前,应事先开展数据出境风险自评估。”数据处理者在自评估过程审查其数据出境情况是否属于《评估办法》第四条规定“应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估”的情形。
申报评估
企业需要申报进行的评估类活动主要是数据出境安全评估:
► 数据出境安全评估:若数据处理者在前述环节中确认其数据出境情况属于《评估办法》第四条规定的应当申报安全评估情形,则应当在完成数据出境风险自评估并形成自评估报告后,通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
因此,无论是数据出境风险自评估和数据出境安全评估均应在数据出境前完成,而风险自评估作为申报安全评估的前置条件,应优先完成以确保数据出境安全风险的有效可控。
数据出境风险自评估与数据出境安全评估由谁执行?
► 数据出境风险自评估属于企业自查手段,应由企业(数据处理者)委托专门团队,如个人信息保护团队、安全合规团队或外部专业咨询团队负责执行。一种情况是如企业已根据《个人信息保护法》要求实施了个人信息保护影响评估机制,风险自评估可基本依托现有的机制、人员和专业来实现。另一种情况是当企业尚未对数据合规评估和个人信息相关风险评估建立固化机制时,建议委托外部专业机构执行,引入行业实践经验和外部风险洞察视角,建立符合国标要求的数据风险自评估机制并促进常态化运行。
► 数据出境安全评估属于行政监管手段,由省级网信部门受理,向上申报后由国家网信部门组织完成,评估过程中会引入网信办指定支撑单位作为数据出境评估的专门机构。如果涉及重要数据,还需委托国务院有关职能部门参与评估。评估时限在45个工作日内,完成后书面反馈意见。
数据出境风险自评估与数据出境安全评估内容有何异同?
数据出境风险自评估与数据出境安全评估的评估事项基本一致,即实现对数据出境风险的识别和评价,从出境目的、出境数据类型、数据处理者和接收方的安全保护水平,以及合同约束等方面入手进行评估。二者具体的评估事项对比如下:
数据出境风险自评估与数据出境安全评估视角不一致,如上文所述,二者分别属于自查和监管手段,导致数据出境安全评估在数据出境风险自评估的基础上增加了对接收方违法行为和数据保护水平方面的考量,以及对接收方所在国家或地区的政策法规环境的判断。
如何开展数据出境风险自评估?
图3 数据出境风险自评估实施方法
第1步:出境场景识别
和个人信息保护影响评估类似,评估可依据数据出境场景开展,企业需要明确数据出境自评估的触发条件和时机,由于数据出境风险自评估和数据出境安全评估通过后,企业方可向境外传输数据,为避免影响业务运行,企业需要预留充分的评估时间,这也意味着触发条件的设计需要足够“敏感”;
第2步:出境目的评估
为节约评估时间和资源投入,评估可分段进行,企业应优先对容易出现高风险的事项进行评估,如“出境目的”评估;无论《评估办法》还是其他政策法规,都对数据出境目的“合法性、正当性、必要性”提出了明确的要求,出境目的基本成为数据出境合规的“红线”,需要企业首先加以关注;
第3步:评估要素分析
在满足数据出境目的合法正当必要的前提下,从风险可控角度出发逐一分析评价各项评估要素,即包括前文中所述的数据类型、重要数据属性,特别是出境数据量是否触达1万/10万/100万个人信息或敏感个人信息要求,数据出境频率、种类等具体情况。同时需要详细描述发送方数据出境的技术和管理能力、数据接收方的安全保护能力、数据接收方所在国家或区域的政治法律环境,同时也应考虑到数据出境再转移的风险;
第4步:安全风险综合评估
企业可按照《信息安全技术 数据出境安全评估指南(征求意见稿)》和《个人信息安全影响评估指南》从影响程度和安全事件发生的可能性两个维度,对数据出境风险进行逐项判定和计量,如若发现高风险事项而无法处置则数据不可出境。
数据出境风险自评估应形成评估报告,并妥善保存。依照《个人信息保护法》第五十六条中对个人信息保护影响评估报告的保存时长要求,数据出境风险自评估报告应至少保存三年。虽然风险自评估活动完成后方可提交网信部门进行安全评估,但是企业应在风险自评估过程中就对安全评估涉及的触发事项进行处理,如数据出境目的不够充分或经评估后不满足风险可控的要求,企业需要及时修正数据出境活动计划或采用相应的缓释和替代措施,完成整改后重新开展风险自评估。
安永数据出境风险评估及个人信息保护影响评估服务
安永认为,虽然目前数据出境的各类法规细则刚刚出台,落实方式以及监管尺度仍有待观察,然而这并不意味着企业可以继续观望等待。数据出境合规治理是一件对业务有重大影响的工作,开展过程需要循序渐进。一味等待可能会导致企业错失宝贵的风险处置窗口期,使企业面临业务影响或合规处罚。安永建议企业可从短期和长期维度规划数据出境安全合规工作:
► 从短期来看,企业应尽快梳理所有数据出境合规场景,开展风险自评估工作。尤其是对数据量大且涉及出境目的多样、数据种类繁多的出境场景,应优先安排风险评估并开展风险处置工作。
► 从长期来看,完善的数据出境合规策略和管理机制是企业跨境业务的安全基石,应成为企业长期治理的目标。企业应根据其面临的不同国家的监管要求,从自身管理实践的维度出发,建立一整套完善的数据保护风险管理机制,以日常的个人信息保护影响评估作为工作抓手,在数据出境、大规模数据处理、敏感数据收集等具体场景上再辅以专项的风险自评估手段,最终实现管控效果与业务发展的“共生共荣”。
安永网络安全和隐私保护团队多年来致力于帮助企业客户建立良好的安全和数据保护治理环境,运用专业服务团队在管理方法论和技术产品力两方面的优势,在合规风控和数据安全双链路上为企业搭设通往良好实践的桥梁。我们在跨国企业数据合规治理、安全体系建立和落地、数据识别和风险评估、合规咨询与报告递交等方面拥有众多头部客户的成功案例,并有意识地形成了数据出境风险评估和个人信息保护影响评估的服务专项案例库,希望借此帮助企业共建数据跨境流动的合规新局面。
欢迎联系我们。
高轶峰
主管合伙人
大中华区网络安全与隐私保护咨询服务
安永(中国)企业咨询有限公司
+86 21 2228 6611
kelvin.gao@cn.ey.com
兰瑜
合伙人(华北)
大中华区网络安全与隐私保护咨询服务
安永(中国)企业咨询有限公司
+86 10 5815 3951
bruce.lan@cn.ey.com
施建俊
合伙人(华中)
大中华区网络安全与隐私保护咨询服务
安永(中国)企业咨询有限公司
+86 21 2228 7599
alex.shi@cn.ey.com
夏文婷
合伙人(华中)
大中华区网络安全与隐私保护咨询服务
安永(中国)企业咨询有限公司
+86 21 2228 3320
wendy.xia@cn.ey.com
周旸
合伙人(华中)
大中华区网络安全与隐私保护咨询服务
安永(中国)企业咨询有限公司
+86 21 2228 3160
yang.zhou@cn.ey.com
张楠驰
合伙人(华中)
大中华区网络安全与隐私保护咨询服务
安永(中国)企业咨询有限公司
+86 21 2228 6419
nancy-nc.zhang@cn.ey.com
胡立基
合伙人(华南)
大中华区网络安全与隐私保护咨询服务
安永(中国)企业咨询有限公司
+86 20 2881 2731
winson.woo@cn.ey.com
陈光华
合伙人(中国香港)
大中华区网络安全与隐私保护咨询服务
安永咨询服务有限公司
+852 3758 5864
nelson.chan@hk.ey.com
本文是为提供一般信息的用途所撰写,并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。
如欲转载本文,务必原文转载,不得修改,且标注转载来源为:安永中国海外投资业务部官方微信公众号。如需修改内容,需要获得安永的书面确认。