数据出境路径浅析
发布日期:2022-09-09
作者:
近日,国家网信办、全国信安标委接连发布了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》(TC260-PG-20222A,“《认证规范》”)、《个人信息出境标准合同规定(征求意见稿)》(“《标准合同规定”)、《数据出境安全评估办法》(“《评估办法》”),这三部新规备受大众关注。根据《个人信息保护法》38条的规定,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:(1)依照本法第四十条的规定通过国家网信部门组织的安全评估;(2)按照国家网信部门的规定经专业机构进行个人信息保护认证;(3)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(4)法律、行政法规或者国家网信部门规定的其他条件。《个人信息保护法》该条的前三项规定即分别对应前述规范所涉三条路径。
何为“数据出境”?三部法规文件均未对此作出明确界定。根据国家网信办有关负责人就《评估办法》相关问题答记者问,《办法》所称数据出境活动主要包括:一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外;二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。
何为常见的“健康医疗数据出境”运用场景?在原研药研发过程中,特别是国际多中心的临床试验需要跨境传输中国研究机构在临床试验中产生的数据到申办者境外的数据分析中心;或者申办者向FDA申报IND或者NDA,需要向境外药品监管机构提供临床研究数据等,均需要遵守上述数据出境的路径。
路径1:安全评估
2022年7月7日,国家互联网信息办公室公布了《评估办法》,自2022年9月1日起施行。该《评估办法》明确了数据出境安全评估的适用范围、评估内容、评估流程、监督管理制度、法律责任以及合规整改要求等。
1. 适用范围
1.1 适用主体
《评估办法》第2条明确规定,适用本办法的主体为向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的数据处理者。
1.2 适用情形
《评估办法》第4条明确了4种应当申报数据出境安全评估的情形:
一是数据处理者向境外提供重要数据;
二是关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
三是自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
四是国家网信部门规定的其他需要申报数据出境安全评估的情形。
其中第一种情形中重要数据的定义,《评估办法》第十九条规定,重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。另,全国信安标委于2022年1月发布的《信息安全技术 重要数据识别指南(征求意见稿)》3.1条规定,重要数据指,以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据;重要数据不包括国家秘密和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。
另, 2018年《国家健康医疗大数据标准、安全和服务管理办法(试行)》第30条规定,健康医疗大数据(指在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据 [1] )应当存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估审核。即如构成人们疾病防治、健康管理等过程中产生的与健康医疗相关的健康医疗大数据,应进行安全评估。
2. 评估内容
《评估办法》第3条规定,数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合。
2.1 数据出境风险自评估
《评估办法》第5条规定,数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估;第6条规定,申报数据出境安全评估,应当提交数据出境风险自评估报告。上述规定明确了风险自评估属于安全评估的必备前置程序。
《评估办法》第5条规定了风险自评估的重点事项,我们将其概括为:一是数据处理活动的合法性、正当性、必要性;二是出境数据本身的风险;三是境外接收方的责任义务及数据安全保障能力;四是数据出境中和出境后的风险及维护渠道的畅通性;五是与境外接收方订立的法律文件的完备性;六是其他可能影响数据出境安全的事项。
2.2 数据出境安全评估
《评估办法》第8条规定,数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或组织合法权益带来的风险。安全评估由省级网信部门收取、国家网信部门受理申报材料,国家网信部门根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估 [2] 。相较于自评估,安全评估主要增加了境外接收方所在国或地区的政策法规和网络安全环境的影响,境外接收方的数据保护水平是否达标、遵守中国法律法规及国家网信部门认为需要评估的其他事项。
3. 关于法律文件的完备性的评估
数据出境风险自评估及数据出境安全评估都需要评估与境外接收方订立的法律文件的完备性。该法律文件指的是数据出境相关合同或者其他具有法律效力的文件等,也就是说《评估办法》并不要求必须订立合同,只要订立的法律文件能够充分约定数据安全保护责任义务即可。根据《评估办法》第9条,法律文件中应明确约定数据安全保护责任义务,至少包括以下内容:
一是数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
二是数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;
三是对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;
四是境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施;
五是违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;
六是出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。
3. 其他注意事项
数据出境安全评估的有效期。通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算。已经通过评估的数据出境活动发生变化或不符合要求的,应重新申报评估 [3] 。
路径2:个人信息保护认证
2022年6月24日,信安标委正式发布《认证规范》,以落实《个人信息保护法》关于建立个人信息保护认证制度的相关要求。《认证规范》从基本原则、个人信息处理者和境外接收方在跨境处理活动中应遵循的要求、个人信息主体权益保障等方面提出了要求,为认证机构实施个人信息保护认证提供跨境处理活动认证依据,也为个人信息处理者规范个人信息跨境处理活动提供参考 [4] 。
3.1 适用主体
《认证规范》第2条规定,认证机构对个人信息跨境处理活动进行个人信息保护认证的适用主体如下:
一是跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动可以由境内一方申请认证,并承担法律责任。
二是《个人信息保护法》第3条第2款规定的境外个人信息处理者(即以向境内自然人提供产品或者服务为目的;分析、评估境内自然人的行为),可以由其在境内设置的专门机构或指定代表申请认证,并承担法律责任。
3.2 基本要求
《认证规范》第4条规定,申请个人信息保护认证需具备以下条件:
一是符合上述适用主体的条件;
二是出境数据中仅包含个人信息;
三是遵守《认证规范》的基本原则,同时也是《个人信息保护法》中关于个人信息处理及保护的基本原则,即合法、正当、必要和诚信原则,公开、透明原则,信息质量原则,同等保护原则,责任明确原则及自愿认证原则。
四是签订有法律约束力的协议,开展个人信息跨境处理活动的个人信息处理者和境外接收方之间应当签订具有法律约束力和执行力的文件。同前述安全评估相关规定,《认证规范》亦不要求必须签订合同,只要该法律文件具有法律约束力和执行力即可。
该条件需要注意的是,第一,针对上述第二种适用主体,即向境内自然人提供产品或者服务或者分析、评估境内自然人行为的境外个人信息处理者并无签订此法律文件的对象,我们理解,既然《认证规范》明确可以由其在境内设置的专门机构或指定代表申请认证,那么可以由此专门机构或指定代表出具确保个人信息主体权益得到充分的保障的单方承诺函以满足此项条件。第二,《认证规范》指出法律文件应当明确“境外接收方承诺接受认证机构的监督”,但目前并未公布认证机构的名单,这一点还需持续关注。
五是完善个人信息跨境处理活动的组织管理。开展个人信息跨境处理活动的个人信息处理者和境外接收方均应指定个人信息保护负责人并设立个人信息保护机构,负责履行个人信息保护义务。
六是处理者和境外接收方遵守统一的个人信息跨境处理规则。
七是开展事前个人信息保护影响评估。主要评估向境外提供个人信息活动是否合法、正当、必要,所采取的保护措施是否与风险程度相适应并有效等。此项条件是在落实《个人信息保护法》第55条,个人信息处理者应当事前进行个人信息保护影响评估。
3. 其他注意事项
《认证规范》在保障个人信息主体权益的基础上,明确了个人信息主体权利和个人信息处理者和境外接收方的责任义务。其中,需要特别关注的是第一点义务,即以电子邮件、即时通信、信函、传真等方式告知个人信息主体开展个人信息跨境处理活动的个人信息处理者和境外接收方的基本情况,以及向境外提供个人信息的目的、类型和保存时间,并取得个人信息主体的单独同意 [5] 。
路径3:订立标准合同
2022年6月30日,国家互联网信息办公室发布了《标准合同规定(征求意见稿)》。由于尚在征求意见阶段,因此本文有关《标准合同规定》的分析内容仅供参考,具体监管要求请以最终正式出台的规定为准。
1. 适用情形
相较于前两种出境路径,订立标准合同路径对于适用情形的规定较为严格。根据《标准合同规定》第4条,个人信息处理者需要同时符合以下四种情形才可通过签订标准合同的方式向境外提供个人信息:
一是非关键信息基础设施运营者;
二是处理个人信息不满100万人的;
三是自上年1月1日起累计向境外提供未达到10万人个人信息的;
四是自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。
2. 其他注意事项
2.1 《标准合同规定》的注意事项
第一,根据《标准合同规定》第2条,个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同,不得与标准合同相冲突。标准合同模板第9条第1款同样也规定,如果标准合同在达成或签订时与合同双方已存在的任何其他协议发生冲突,标准合同的条款优先适用。因此,任何与标准合同相冲突或不一致的,都应以标准合同为准。
第二,根据《标准合同规定》第3条和第7条,依据标准合同开展个人信息出境活动,应坚持自主缔约与备案管理相结合,在标准合同生效之日起10个工作日内,向所在地省级网信部门备案。亦即,备案并不是标准合同的生效要件。
第三,根据《标准合同规定》第5条,同《认证规范》一样,个人信息处理者向境外提供个人信息前,应当事前开展个人信息保护影响评估。
第四,同《评估办法》关于已经通过评估的数据出境活动发生变化或不符合要求的,应重新申报评估的规定类似,根据《标准合同规定》第8条,在标准合同有效期内个人信息处理活动发生变化的,个人信息处理者应当重新签订标准合同并备案。
2.2 《标准合同模板》的注意事项
第一,个人信息处理者的义务包括告知个人信息主体并取得个人单独同意。如涉及敏感个人信息,已向个人信息主体告知传输敏感个人信息的必要性及对个人的影响;涉及不满十四周岁未成年人个人信息的,已取得未成年人的父母或者其他监护人的同意;法律、行政法规规定应当取得书面同意的,已取得书面同意,相关法律法规规定无需取得书面同意的除外。而《中华人民共和国个人信息保护法》第28条规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括医疗健康信息。
第二,境外接收方的义务。在境外接收方受个人信息处理者委托处理个人信息的情况下,在删除或匿名化后,需要向个人信息处理者提供相关审计报告;如果处理的个人信息发生了数据泄露,那境外接受者就需要承担向个人信息主体通知的义务。
第三,违约责任的规定。个人信息处理者应就境外接收方因违反本合同而对个人信息主体造成的任何损失向个人信息主体负责,个人信息主体有权向其主张损害赔偿责任。也就是说,个人信息处理者不仅需赔偿个人信息主体因自身违反合同而造成的损失,还需赔偿境外接收方违反合同而造成的损失,但规范同时也规定,其有权向境外接收方追偿。
“健康医疗数据处理者”应如何选择上述3条路径?
目前尚无特别规制健康医疗数据出境的相关规范,健康医疗数据处理者可以参照前文的3个最新规定,按照以下的原则处理:
1) 健康医疗数据出境的数据处理者如被告知属于关键信息基础设施运营者CIIO,则数据出境需要进行安全评估;一般的健康医疗数据处理者不属于CIIO,而传输重要数据、处理100万人以上个人信息的健康医疗数据处理者向境外提供个人信息、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的健康医疗数据处理者向境外提供个人信息需要进行安全评估;如构成人们疾病防治、健康管理等过程中产生的与健康医疗相关的健康医疗大数据出境,也应当进行安全评估;
2) 健康医疗数据处理者为跨国公司或者同一经济、事业实体下属子公司或关联公司,以上主体之间的个人信息跨境处理活动;或者健康医疗数据处理者在境外处理境内自然人个人信息的活动,以向境内自然人提供产品或者服务为目的、分析评估境内自然人的行为的个人信息处理活动可以申请认证;
3) 其它的同时符合非CIIO,处理个人信息不满100万人的健康医疗数据处理者数据出境,自上年1月1日起累计向境外提供未达到10万人个人信息的或者未达到1万人敏感个人信息的健康医疗数据出境,可以使用标准合同。
综上,我国数据及个人信息出境的监管流程和法规体系基本建立,健康医疗数据处理者需要根据本企业的实际情况,完善相应的规章制度,以便于合规运营和长久的发展。
[1] 《国家健康医疗大数据标准、安全和服务管理办法(试行)》第4条;
[2] 《数据出境安全评估办法》第10条;
[3] 《数据出境安全评估办法》第14条;
[4] 《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》摘要;
[5] 《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》5.2条。
相关律师
