数据出境合规101问

Q1.如何判断公司业务⾏为与场景是否属于数据出境？ ⽬前谈论最热的“数据出境”，其实早在2017年版的《个⼈信息和重要数据出境安全评估办法（征求意见稿）》已经给出过解析。数据出境，是指“⽹络运营者将在中国境内运营中收集和产⽣的个⼈信息与重要数据，提供给位于境外的机构、组织、个⼈”。 同时，本次《办法》的出台，更为我们进⼀步厘清了“数据出境活动”的明确定义，即包括两种情况： 第⼀种，是数据处理者将在境内运营中收集和产⽣的数据传输、存储⾄境外。 第⼆种，是数据处理者收集和产⽣的数据存储在境内，但境外的机构、组织或者个⼈可以访问或者调⽤。 企业在判断公司业务⾏为是否属于“数据出境”的时候，需要注意以下内容： 01判断⾃⼰是否是我国个⼈信息保护法中的“数据处理者” 02该等数据是否是在“境内运营过程中”收集和产⽣的 03企业的⾏为是否有涉及“向境外提供”，或被境外“访问或调⽤”的情况 Q2.如何理解数据出境的“境”？ 我们常说的“出境”和“跨境”，不仅是指物理上跨越国境的⾏为，更是指从⼀个司法管辖区域到另⼀个司法管辖区域的⾏为，⽽其中司法管辖区域是既包括独⽴主权的国家，也包括具有司法独⽴主权的地区。 经常有客户咨询，中国⼤陆企业向⾹港、澳门、台湾地区传输数 据，是否属于出境的⾏为。当我们对“境”有⼀个更准确的理解时，该问题便能轻松解决。01中国⼤陆与⾹港、澳门、台湾地区分别属于不同的司法管辖区域 02在《中华⼈民共和国出境⼊境管理法》第⼋⼗九中曾有对“出境”进⾏定义，根据规定，出境是指中国内地前往其他国家或者地区，由中国内地前往⾹港特别⾏政区、澳门特别⾏政区，由中国⼤陆前往台湾地区03当企业将中国⼤陆境内收集和产⽣的重要数据和个⼈信息向⾹港、澳门、台湾地区传输时，属于数据出境⾏为 Q3.如何准确识别企业⾏为是否涉及“境内运营”？ “境内运营”是⼀个经常出现在各个规定、办法、指南中的常见概念，也是我们研究“数据出境”⾏为的常见概念。根据《2017年信息安全技术数据出境安全评估指南（征求意见稿）》中的规定，“境内运营 （domesticoperation）”是指，⽹络运营者在中华⼈民共和国境内开展业务，提供产品或服务的活动。 Q4.延伸-外资企业⾼频问题之⼀：没有在中国境内注册，但是在境内开展业务，或向境内提供产品或服务的，是否属于境内运营？01解决难题的关键点在要看到问题的实质。结合前问法律依据，判断是否属于“境内运营”，不以是否在境内注册为判断依据，如果没有在我国境内注册的⽹络运营者，但在我国境内开展业务，或向中华⼈民共和境内提供产品或服务的，仍然属于境内运营02判断是否“在我国境内开展业务，或向我国境内提供产品或服务的实务因素”，则包括但不限于：是否以为我国境内居民提供服务为⽬ 的，提供产品和服务的过程中是否使⽤了中⽂；是否提供了可以⽤ ⼈民币作为结算货币的选项；是否提供了有向中国境内配送物流的 服务等等 Q5.延伸-出海企业⾼频问题之⼆：出海企业运营的App仅向境外提供服务，不涉及收集境内的数据，是否属于境内运营？ 判断这个问题的关键，⼀是看出海企业选择使⽤哪些主体进⾏运营，⼆是看收集的数据是否涉及个⼈信息与重要数据，三是看是否涉及了收集境内的公民个⼈信息与重要数据。如果出海企业是选择使⽤境内主体进⾏运营，且境内的⽹络运营者仅向境外机构、组织或个⼈开展业务、提供商品或服务，但不涉及境内公民个⼈信息和重要数据的，则不视为境内运营。 Q6.外资企业⾼频问题之三：境内主体向另⼀个位于境内的外资企业的办事处传输数据，是否属于“数据出境”？ 在实务中，有很多看似不是数据出境，但实质上属于数据出境的“迷惑性”情况。判断这些问题的关键，主要看该业务场景是否落⼊“数据出境”的范围。 如前所述，出境的“境”是指跨越了司法管辖区域的边界，如果是向在我国境内，但不属于我国司法管辖的另⼀主体，或没有在我国境内注册的另⼀主体提供了数据，且该数据涉及个⼈信息和重要数据的，则仍然属于“数据出境”。 Q7.外资企业⾼频问题之四：数据没有传输也没有存储到中国境外的任何地⽅，但外资企业在境外的主体可以访问、查看到这些数据，是否属于“数据出境”？ 如前所述，关键是如何理解“境”，就该问题，本次《办法》公布后，官⽅也做出了确定的回复，虽然数据没有传输、也没有存储⾄中国境外的地⽅，仍然存储在位于中国境内的服务器中，但实际上，该等数据可以被境外的机构、组织、个⼈直接或间接地访问、查看、调⽤的，仍然属于“数据出境”，但是如果是属于公开信息，仅通过正常公开⽹页进⾏访问等的情况除外。 Q8.外资企业⾼频问题之五：跨国集团内部的数据传输⾏为，是否属于“数据出境”？ 同样是如何理解“境”的问题，即便是跨境集团内部的数据传输⾏为，由于数据是通过境内的⽹络运营者从境内转移⾄境外的，如果该等数据也是属于其在境内运营中收集和产⽣的个⼈信息和重要数据的，则仍然属于“数据出境”。 因此，在实务中，当涉及跨国集团常发的集团统⼀采购、⼈事管理、OA系统、财务管理、⽂档管理、供应商管理、远程运维等情况时，将可能经常发⽣企业内部数据流动，并向境外关联主体提供数据的情况，从⽽可能会落⼊“数据出境”的范畴，需要特别注意。Q9.如何识别哪些情况不构成数据出境？ 简⽽⾔之，排除了所有属于“数据出境”的情况，则属于不构成数据出境的情况。概括起来，主要有两种情况并不属于数据出境： 第⼀，没有进⾏任何加⼯和处理的“过境中转数据”，即该等数据只 是经由我国境内中转，但没有经过任何的变动或加⼯处理，则不属于“数据出境”。 第⼆，即便进⾏了加⼯和处理的“过境中转数据”，但该等数据并⾮是在我国境内产⽣和收集的个⼈信息和重要数据，则不属于“数据出境”。 Q10.如何判断业务场景是否涉及处理了“个⼈信息”？ 判断企业正在处理的数据是否属于“个⼈信息”，是开展各类数据合规事项最基本的前提，我国《个⼈信息保护法》就何谓“个⼈信息”给出了明确的定义，即，个⼈信息，是以电⼦或者其他⽅式记录的与已识别或者可识别的⾃然⼈有关的各种信息，不包括匿名化处理后的信息。 从法条内容可以判断，我国个⼈信息保护法对“个⼈信息”的定义是 ⾮常宽泛的，只要具有识别⾃然⼈相关信息的可能性即可被认定为“个⼈信息”，此外，本法条还进⾏了反向的规定，只有被真正匿名化处理过的信息，才不属于个⼈信息。可见，任何可能识别出特定 ⾃然⼈的各种各样的信息，都可能会被认为是“个⼈信息”。 在实务中，会经常出现有⼤量看似不是“个⼈信息”的业务数据，则在判断是否属于“个⼈信息”时候需要特别注意识别，在出现有可能识别到特定个⼈的情况下，建议倾向按“个⼈信息”的标准对待和处理。 Q11.如何判断业务场景是否涉及处理了“敏感个⼈信息”？ 同样，我国《个⼈信息保护法》，就何谓“敏感个⼈信息”也给出了具体的定义，敏感个⼈信息是指，⼀旦泄露或者⾮法使⽤，容易导 致⾃然⼈的⼈格尊严受到侵害或者⼈⾝、财产安全受到危害的个⼈信息，包括⽣物识别、宗教信仰、特定⾝份、医疗健康、⾦融账户、⾏踪轨迹等信息，以及不满⼗四周岁未成年⼈的个⼈信息。 可见，“个⼈信息”包括了“敏感个⼈信息”，并且，法律严格要求了个 ⼈信息处理者，只有在具有特定的⽬的和充分的必要性，并且采取了严格保护措施的情形下，才可以处理敏感个⼈信息。 实务中企业想要判断其处理的信息是否涉及“敏感个⼈信息”时，可以结合该等信息对数据主体权益的影响程度、是否属于特殊类型数据、以及结合《信息安全技术-个⼈信息安全规范》的附录的举例表等进⾏综合判断。 Q12.如何判断企业是否涉及处理了“重要数据”？ “重要数据”也是在各个规定、办法、指南中都曾经出现的概念，本次《办法》有对重要数据作出定义，是指⼀旦遭到篡改、破坏、泄露或者⾮法获取、⾮法利⽤等，可能危害国家安全、经济运⾏、社会稳定、公共健康和安全等的数据。定义中对重要数据的识别主要关注数据产⽣的影响⼒。 此外，在2022年1⽉发布的《信息安全技术重要数据识别指南（征求意见稿）》中，为企业给出了如何识别出“重要数据”的具体指引，包括识别的基本原则、判断因素和描述格式。 还需特别注意的是，基于海量个⼈信息形成的统计数据、衍⽣数据也有可能属于重要数据。 Q13.如何判断企业是否属于“关键信息基础设施运营者（CIIO）”？ ⾃《⽹络安全法》公布以来，“关键信息基础设施运营者”的概念就 持续在各种规定中被使⽤，后续各项法律规定不断完善后，该概念 也逐渐清晰起来。 《关键信息基础设施安全保护条例》第⼆条为CIIO给出了明确的定义，关键信息基础设施是指公共通信和信息服务、能源、交通、⽔利、⾦融、公共服务、电⼦政务、国防科技⼯业等重要⾏业和领域的，以及其他⼀旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民⽣、公共利益的重要⽹络设施、信息系统等。关键信息基础设施的确定，通常包括三个步骤， 01确定关键业务 02确定⽀撑关键业务的信息系统或⼯业控制系统 03根据关键业务对信息系统或⼯业控制系统的依赖程度，以及信息 系统发⽣⽹络安全事件后可能造成的损失认定关键信息基础设施 同时，条例第九条规定，保护⼯作部门会结合本⾏业、本领域实际，制定关键信息基础设施认定规则，并报国务院公安部门备案。制定认定规则考虑的因素包括： （1）⽹络设施、信息系统等对于本⾏业、本领域关键核⼼业务的重要程度； （2）⽹络设施、信息系统等⼀旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度； （3）对其他⾏业和领域的关联性影响。 ⽬前，企业是否为“关键信息基础设施运营者“是由保护⼯作部门根据其制定的相应规则组织认定的，认定结果⼯作部门会通知给运营者。可见，如果企业并没有收到主管部门的认定通知的话，可以认 为企业暂时不属于CIIO。 Q14.何谓“个⼈信息保护影响评估”？ 个⼈信息保护影响评估是企业对其个⼈信息处理活动进⾏合法合规程度检查、判断企业的个⼈信息处理活动是否对个⼈信息主体合法权益造成损害及相关风险、以及评估保护个⼈信息主体的各项措施有效性的过程。我国《个⼈信息保护法》中明确规定，在⼏⼤特别情形下，企业应当在开展个⼈信息处理活动之前，先进⾏个⼈信息保护影响评估，并且评估报告和处理记录应当⾄少保存三年。《个 ⼈信息保护法》第五⼗五条则规定了企业需要进⾏个⼈信息影响评估的适⽤范围，包括： 01处理敏感个⼈信息 02利⽤个⼈信息进⾏⾃动化决策 03委托处理个⼈信息 04向其他处理者提供个⼈信息 05公开个⼈信息 06向境外提供个⼈信息 07其他对个⼈权益有重⼤影响的个⼈信息处理活动个⼈信息保护影响评估应当包括下列内容： （1）个⼈信息的处理⽬的、处理⽅式等是否合法、正当、必要； （2）对个⼈权益的影响及安全风险； （3）所采取的保护措施是否合法、有效并与风险程度相适应。 在确定数据出境中需要个⼈信息保护影响评估的前提下，前不久 《个⼈信息出境标准合同规定（征求意见稿）》进⼀步的对影响评 估的适⽤条件，程序，内容进⾏了细化扩充，在本专题的后续部分将会对问题进⾏深化解读。 Q15.何谓“数据出境安全评估”？ 数据出境安全评估是符合要求的企业需要向境外提供重要数据和个 ⼈信息时，由企业申报，国家⽹信部门进⾏安全性审核的过程。 数据安全评估最初在2017年我国《⽹络安全法》第三⼗七条出现，同年的《个⼈信息和重要数据出境安全评估办法（征求意见稿）》也沿⽤了此规则，此后，《数据安全法》、《个⼈信息保护法》以及《信息安全技术数据出境安全评估指南》等相继在重要数据、数据出境中提出了安全评估的要求。 本次《办法》则是对数据出境安全评估进⾏了内容的细化。在本专题的后续部分将会对问题进⾏深化解读。 Q16.何谓“数据出境风险⾃评估”？ ⾃评估是上述安全评估的前置程序，本次《办法》规定，企业在申报数据出境安全评估前，需要开展数据出境风险的⾃评估。在要求提交的申报安全评估材料中，⾃评估报告是提交的材料之⼀。 虽然⾃评估与个⼈