©2023云安全联盟大中华区版权所有1 @2023云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印,或者访问云安全联盟大中华区官网(https://www.c-csa.cn)。须遵守以下:(a)本文只可作个人、信息获取、非商业用途;(b)本文内容不得篡改;(c)本文不得转发;(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文 内容,使用时请注明引用于云安全联盟大中华区。 ©2023云安全联盟大中华区版权所有2 ©2023云安全联盟大中华区版权所有3 致谢 《2023年数据出境合规年鉴》由CSA大中华区隐私与法律保护工作组内专家撰写,感谢以下专家的贡献: 工作组联席组长: 原浩 贡献者: 邢海韬杨天识 曾令平高健凯 黄鹏华赵晨曦 贺志生 贡献单位: 北京启明星辰信息安全技术有限公司北京神州绿盟科技有限公司 关于研究工作组的更多介绍,请在CSA大中华区官网 (https://c-csa.cn/research/)上查看。 在此感谢以上专家及单位。如此文有不妥当之处,敬请读者联系CSAGCR秘书处给予雅正!联系邮箱research@c-csa.cn;国际云安全联盟CSA公众号。 序言 毫无疑问,2023年可称为中国数据跨境监管的元年,这一年初出境评估的“蓬勃”和将近年末的数据出境法律调整“震荡”态势,说明着包括中国在内,数据跨境监管在各种国际和国内因素共同作用下的抉择艰难。尽管如此,作为数据出境的主体,企业需要一种政策和法律的稳定性和预期性,《2023年数据出境合规年鉴》(以下简称“报告”)正是从企业合规视角出发的一次对中国数据跨境法律的整体梳理。 报告系统的整理了目前中国数据出境监管的法律制度要求,这一制度呈现为基础法律、规范性文件、标准、指南的立体结构,并从原则到已经具有一定颗粒度的指引,说明监管者规范数据出境活动的良苦用心。同时,这一体系化结构也意味着可解释和可例外的场景虽然很多,包括自贸区等先行先试模式在一定区域范围、数据类型、甚至字段级别的“突破”,但整体上不太可能存在“颠覆性”的规则重塑,因此企业所寻求的稳定性和对出境活动后果的可预期性事实上也是清晰和明确的,大可不必为所谓监管的“不确定性”焦虑。进一步的,报告着力于从已经公开的评估、备案信息中,分析和识别一般规律,包括涉及的行业特征、所在区域的省级网信部门的指导能力、企业对可适用出境路径的定性判断等等,这些抽象的、一般的规律性认识,对未来无论是数据出境的细节考虑,还是常态化的企业数据合规建设应都有启发。当然最为重要的是,需要将CSA大中华区在数据技术和管理中的最佳实践和较优做法注入到数据出境场景,成为数据跨境企业赋能的一部分,在更广阔的全球范围内分享中国数据跨境的监管规则变迁、落地个案的优劣得失,并将全球主要国家的政策法律进行符合中国跨境监管要求的解读和适配。在秉持中立性的原则下加强和推动不同国家跨境监管制度的交流和协调,为繁荣数字经济和贸易活动贡献力量,这也是启动报告工作的初衷和意愿所在。从这一意义上,这份发起于数据跨境监管元年的报告将只是一个起点、一个尝试。在全球视野下报告所涉及的领域和方向仍将有诸多方向的持续性进展,值得每位报告参与者和关注报告的每位读者保持关注,甚至倾注更多力量。 李雨航YaleLiCSA大中华区主席兼研究院院长 目录 致谢4 序言5 1、法律规定8 1.1网络安全法、数据安全法8 1.2数据出境安全评估办法9 1.3网络安全标准实践指南—个人信息跨境处理活动安全认证规范9 1.4个人信息出境标准合同办法10 2、指南规则11 2.1数据出境的路径11 2.2数据出境安全评估申报指南(第一版)(摘引)12 2.3重点省(直辖市)基于标准合同签署和备案的指南(概要)17 2.4个人信息保护认证实施规则(摘引)18 2.5个人信息出境标准合同备案指南(第一版)(摘引)20 3、出境现状26 3.1已经通过评估情况26 3.2已经通过备案的情况34 4、合规要求与示范36 4.1指南文件的一般性规范整理36 4.2如何确定适用评估或备案36 4.3如何认定数据出境行为(活动)37 4.4如何识别数据处理者(境内)37 4.5如何确定境外数据接收方38 4.6如何理解数据出境方式的公网和专线39 4.7出境链路描述示范(含云)40 4.8确定数据安全负责人的注意事项(境内和境外)41 4.9出境合同与业务主合同关系及其他注意事项41 4.10附加考虑:不同行业的重要数据识别与安全进展42 4.11附加考虑:应当由哪方描述境外数据安全法律政策环境43 5、数据安全保障能力44 5.1收集45 5.2存储46 5.3使用47 5.4加工48 5.5传输48 5.6提供49 5.7共享50 5.8删除51 6、有效的资质认证52 6.1网络安全等级保护52 6.2ISO2700152 6.3ISO2701753 6.4BCR53 6.5PIP-CB53 1、法律规定 中国数据出境的法律依据主要由《网络安全法》《数据安全法》《个人信息保护法》等基本法律,《数据出境安全评估办法》《个人信息出境标准合同办法》(含配套标准合同)、《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》等多位阶的法规、规范性法律文件构成。 1.1网络安全法、数据安全法 2021年9月1日起施行的《数据安全法》代表了中国数字安全领域法律政策的新努力,特别是数据分类分级保护制度、重要数据目录管理等都将成为监管和执法的新方向,也成为数字行业密切关注的新焦点。围绕《数据安全法》,目前中国正在构造相应的配套制度体系,包括政务数据安全与开放、数据安全审查、数字交易中介规则等,促进数字经济的安全、规范发展。 对于数据出境评估制度,《数据安全法》第三十一条明确:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定1;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定”。这一对“重要数据”的规定,与《个人信息保护法》第三十八条对“个人信息”规定的:“个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件”共同构成了数据出境监管的基本法律来源。 1《网络安全法》第三十七条规定:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。 1.2数据出境安全评估办法 2022年5月,作为上述基本法律重要配套制度的《数据出境安全评估办法》 (以下简称“办法”)通过,自2022年9月1日起施行。该办法旨在落实《网络安全法》《数据安全法》和《个人信息保护法》的出境监管要求,规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动。 按照办法,数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息,在触发相应条件时需要进行法定安全评估。数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动,特别是(1)对重要数据明确“数据处理者向境外提供重要数据,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估,”形成监管闭环;(2)规定两种量级的个人信息出境适用安全评估做出规定,设定了对个人信息适用(最严格的)评估监管时的“上限”标尺。 1.3网络安全标准实践指南—个人信息跨境处理活动安全认证规范 2022年6月,全国信息安全标准化技术委员会发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》(12月发布2.0版),规定了个人信息的两种出境场景:(1)跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动;(2)《个人信息保护法》第三条第二款2适用的个人信息处理活动,正式回应了《个人信息保护法》规定的“按照国家网信部门的规定经专业机构进行个人信息保护认证”的出境条件。 该规范和更早发布的GB/T35273《信息安全技术个人信息安全规范》,2022 2《个人信息保护法》第三条第二款规定:在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一)以向境内自然人提供产品或者服务为目的;(二)分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形。V2.0规范对此略有调整,但整体上适用范围等同。 年11月标准(工作文件)层面的《个人信息保护认证实施规则》《信息安全技术个人信息跨境传输认证要求》(至本报告发布日,为征求意见稿)等,共同完成了个人信息出境安全认证路径的监管规范要求。 1.4个人信息出境标准合同办法 2023年6月《个人信息出境标准合同办法》正式发布,规定了个人信息出境监管的量化“下限”:个人信息处理者通过订立标准合同的方式向境外提供个人信息的,应当同时符合下列情形:(一)非关键信息基础设施运营者;(二)处理个人信息不满100万人的;(三)自上年1月1日起累计向境外提供个人信息 不满10万人的;(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。与之配套的标准合同和备案制度也被广泛认为是中国版个人信息出境标准合同(SCC)。 至此可以认为,《数据出境安全评估办法》《个人信息跨境处理活动安全认证规范》和《个人信息出境标准合同》在具有可操作性的规范性法律文件层面一并完成了中国数据出境监管规则体系的构建。 2023年9月,为对上下限之外的情形做出进一步澄清,国家网信办发布了 《规范和促进数据跨境流动规定(征求意见稿)》,明确了无需适用三种出境路径 (不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证,但一般不免除需征得个人主体同意的前提条件)的情况:(1)国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据;(2)不是在境内收集产生的个人信息向境外提供;(3)为订立、履行个人作为一方当事人的合同所必需,如跨境购物3、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的;(4)按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息; (5)紧急情况下为保护自然人的生命健康和财产安全等;(6)预计一年内向境外提供不满1万人个人信息。尽管有解读认为是对上述规定意味着出境监管的放 3例如目前对软硬件在线激活方式中,头部企业已经大量调整了用户条款和隐私政策:用户点击同意,即完成数据出境,而无需再履行标准合同、认证或评估程序,并不再履行本地化存储等义务。 松,但本质上,并未超出《个人信息保护法》第十三条规定的范围,因此本报告更倾向于认为属于法律规定的澄清而非重大调整。 2、指南规则 2.1数据出境的路径 如上所述,中国数据出境规则实际上构筑了三种不同的路径(汇总如表一所示),且均以有相对完备的规范性法律文件进行界定和约束。实务中,为了指导企业识别自身具体数据情形,规范出境合规动作,提高监管效能,国家网信办进一步通过各个层面制定了更为详细的指引文件。 数据出境路径 申报数据出境安全评估 通过个人信息保护认证 订立个人信息出境标准合同 适用情形 数据处理者向境外提供数 个人信息处理者开展个 个人信息处理者通过订立标准合同 据,有下列情形之一的, 人信息