数据出境合规实务50问(2024版) 数据出境合规实务42问 2024年4月 前言 随着数字经济的蓬勃发展,数据已经成为重要的生产要素和关键的发展引擎。数据跨境流动是充分释放数据红利、打造新发展格局战略支点的重要路径,正在对全球经济发展、科技创新和国际贸易等方面产生愈发深远的影响。然而,数据跨境流动也伴随着数据安全、隐私保护等方面的挑战和争议,因此,各国纷纷加强数据跨境流动的监管和规范。 我国已出台的《数据出境安全评估办法》等法律法规,虽初步搭建出数据出境合规监管框架,但由于细则规定不够明确,企业在数据出境时往往需要结合其主体类型、出境数据类型和累计出境的数量等,综合判断采取何种数据出境制度(即“申报并通过数据出境安全评估、签署并备案个人信息出境标准合同(简称“SCC”)、获得个人信息保护认证”的统称)。自2023年9月28日,国家网信办发布《规范和促进数据跨境流动规定(征求意见稿)》之日起,社会各界便对数据出境合规措施的选择展开了广泛讨论。 历经半年,国家网信办对各方提出的反馈意见进行了细致研判,于2024年 3月22日正式公布了《促进和规范数据跨境流动规定》(简称“《规定》”),该 《规定》自颁布之日起施行。《规定》对数据出境监管框架进行了细化,进一步放宽了数据跨境流动条件,且相对收窄了数据出境安全评估范围,把“促进”调整到了“规范”前面,释放出要确保在保障数据安全的前提下,更加关切国家经济发展,通过便利数据跨境流动,降低企业合规成本,促进服务贸易与数字经济的大力开展和实施。 因《规定》对企业选择数据出境制度会产生重大影响,环球律师事务所数据团队联合对外经济贸易大学数字经济与法律创新研究中心、蔚来控股有限公司、奇安信科技集团有限公司、北京奥美互动咨询有限公司、杭州有赞科技有限公司发布《数据出境合规实务50问》(2024版)(以下简称“《实务问答》”),旨在结合业务实践需求,通过分析加问答的形式来解答企业关切的数据跨境传输重点问题。《实务问答》分为上下两篇,上篇为基础篇,主要介绍了数据跨境传输的法律法规框架、相关概念及注意事项辨析等;下篇为实践篇,详细阐述 了数据跨境传输场景的识别、数据类型的确定、数据出境安全评估申报的流程以及风险评估与应对措施等。 在数字经济快速发展的时代背景下,数据跨境传输的合规管理将成为企业不可或缺的重要能力。我们希望通过本《实务问答》的发布为企业提供有益的参考和借鉴,共同推动数据跨境传输的规范发展,为构建安全、高效、有序的数字经济环境贡献力量。 最后,感谢所有参编单位及人员的辛勤付出,特别感谢威科先行的大力支持,感谢各位老师提供的宝贵意见和建议。 目录 前言2 上篇:基础篇 一、我国有哪些数据跨境相关的法律法规要求?4 二、哪些行为属于数据跨境传输行为?7 三、如何定义出境数据的“境外接收方”?8 四、现行数据出境制度下的三条合规路径是什么?如何判断?8 五、哪些情况下需要申报数据出境安全评估?11 六、数据出境安全评估的流程是怎样的?11 七、数据出境安全评估申报需要多长时间?14 八、哪些情况下可以选择签署并备案个人信息出境标准合同?15 九、个人信息出境标准合同的签署及备案流程是怎样的?16 十、哪些情况下可以选择个人信息保护认证?18 十一、进行个人信息保护认证的流程是怎样的?19 十二、哪些情况下不需要采取三大数据出境制度即可出境数据?21 十三、哪些情形属于“法律、行政法规另有规定,依照其规定进行评估/批准的情况”?25 十四、CIIO数据出境的要求有哪些?26 十五、识别重要数据的法律法规依据有哪些?27 十六、重要数据出境的要求有哪些?28 十七、个人信息出境标准合同的具体内容有哪些?28 十八、进行个人信息保护认证的具体要求有哪些?30 十九、未符合数据出境制度,有何罚则?31 二十、还有哪些应当注意的具体事项?32 二十一、我国粤港澳大湾区就个人信息出境是否有特殊便利措施?33 下篇:实践篇 二十二、如何准确识别数据跨境传输场景?36 二十三、企业可能涉及的数据跨境传输场景有哪些?40 二十四、如何准确识别跨境传输数据的类型?43 二十五、如何正确盘点跨境传输数据的数量?45 二十六、如何确定落实数据跨境传输合规措施的内部牵头部门?46 二十七、如何确定数据出境安全评估的申报主体?47 二十八、如何把握数据出境安全评估的申报时间?48 二十九、符合条件的企业应当向哪个/些机构申请数据出境安全评估?49 三十、如何开展个人信息保护影响评估?49 三十一、如何开展数据出境风险自评估?51 三十二、数据跨境传输场景下的PIA与数据出境风险自评估是一回事吗?.53 三十三、如何评估数据处理者和境外接收方的技术和制度措施是否充分?.55 三十四、如何评估境外接收方法律与政策环境完善程度?57 三十五、欧盟是如何对法律政策环境进行评估的?60 三十六、数据出境安全评估的有效期为多久?什么情况下需要再次申请安全评估?62 三十七、什么情况下需要重新签署个人信息出境标准合同并履行备案手续?63三十八、在订立监管机构发布的标准合同时是否可以对内容进行修改?64 三十九、如果已与境外接收方签署《数据处理协议》,是否可将标准合同作为其附件?64 四十、企业应当向哪个/些机构申请个人信息保护认证?65 四十一、如何正确应对国际争议解决场景下取证所涉的数据跨境传输?66 四十二、我国粤港澳大湾区个人信息出境标准合同如何签署和备案?68 四十三、上海自贸区有无数据及个人信息出境的便利监管措施?69 四十四、银行金融业数据出境有无特别规范需要注意?71 四十五、证券基金业数据出境有无特别规范需要注意?73 四十六、医药行业跨境传输的常见场景有哪些?75 四十七、医药行业跨境传输涉及的数据有哪些类型?76 四十八、医药行业数据跨境传输的主要合规义务有哪些?78 四十九、通过境内数据交易所进行跨境数据贸易应考虑哪些跨境数据合规问题? .........................................................80 五十、公共数据运营主体是否可以就公共数据对境外主体进行授权使用或开放共享?81 附件一、国家及各地省级网信部门联系方式84 数据出境合规实务50问——基础篇 上篇:基础篇 3 一、我国有哪些数据跨境相关的法律法规要求? 随着经济全球化和数字化的深入发展,数据跨境传输已经成为全球经济的关键推动力。跨境数据在国际贸易活动、跨国科技合作、数据资源共享方面发挥越来越重要的作用,数据跨境流动已经成为推动数字经济发展,保障全球互联互通的重要途径。 我国对数据跨境流动的规制起步较晚,对于数据跨境传输的限制与监管规定散见于各类法律法规、部门规章以及规范性文件中,处于持续创新和完善、趋向成熟体系形成的过程。 数据出境的法律渊源可以追溯到2017年6月1日实施的《中华人民共和国网络安全法》(下称《网络安全法》)。《网络安全法》首次提出了数据出境的安全评估制度,要求关键信息基础设施运营者(下称CIIO)因业务需要向境外提供个人信息和重要数据应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估1。随后,全国信息安全标准化技术委员会(TC260)(下称信安标委)于2017年8月30日发布了《信息安全技术数据出境安全评估指南(征求意见稿)》(下称《安全评估指南(征)》),在《数据出境安全评估办法》未发布前对数据出境安全评估流程、评估要点以及评估方法等内容提供指引。 2021年9月1日实施的《中华人民共和国数据安全法》(下称《数据安全法》)重申了CIIO跨境传输在境内运营中收集和产生的重要数据需进行评估的要求,并为出台其他数据处理者的重要数据出境监管制度提供了原则性规定2。此外,《数据安全法》对向境外司法和执法机构提供数据作出了限制,要求境内组织、个人向外国司法或者执法机构提供存储于中华人民共和国境内的数据必须获得主管机关批准3,这也与随后颁布的《中华人民共和国个人信息保护法》 (下称《个人信息保护法》)提出的“非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息”的要求相呼应。 1《网络安全法》第三十七条。 2《数据安全法》第三十一条。 3《数据安全法》第三十六条。 2021年11月1日,《个人信息保护法》施行。同月,国家互联网信息办公室(下称国家网信办)发布了《网络数据安全管理条例(征求意见稿)》(下称 《网安条例(征)》),设专章对“数据跨境安全管理”作出具体规定4。《个人信息保护法》第三十八条和《网安条例(征)》第三十五条列明了数据出境应采取的三条主要合规路径,即“通过网信部门组织的安全评估”、“按照国家网信部门的规定经专业机构进行个人信息保护认证”、“按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务”(以下合称数据出境制度) 5。 随后,为推动上述数据出境制度落地,国家网信办及相关行业主管监管部门陆续出台了一系列政策文件。 对于“个人信息保护认证”,国家市场监督管理总局和国家网信办于2022 年11月4日联合发布《关于实施个人信息保护认证的公告》(下称《认证公告》)及附件《个人信息保护认证实施规则》(下称《认证规则》),规定了开展个人信息保护认证的基本规则,标志着我国个人信息保护认证制度的正式建立。信安标委于2022年6月发布的《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》(下称《认证规范V1.0》)进一步为“个人信息保护认证制度”提供了落地支撑。随后,信安标委又于2022年12月发布了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》(下称《认证规范V2.0》),从具有法律约束力的协议应明确的内容、个人信息保护机构应承担的职责、个人信息保护影响评估应涵盖的事项、个人信息主体应享有的权利以及个人信息处理者和境外接收方应承担的责任义务等五方面对《认证规范V1.0》进行了细化。2023年3月16日,信安标委发布了国家标准《信息安全技术个人信息跨境传输认证要求(征求意见稿)》(下称《跨境认证要求(征)》),为推荐性国家标准,在效力层级上高于《认证规范V2.0》。《跨境认证要求(征)》除增加“敏感个人信息”和“单独同意”的定义并删除了“认证主体”的相关要求外,整体内容与《认证规范V2.0》基本一致。2023年11月1日,信安标委依据《关于促进粤港澳大湾区数据跨境流动的合作备忘录》和属地相关法律法规,制定了 4《网安条例(征)》第五章。 5《个人信息保护法》第三十八条。 《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求(征求意见稿)》,规定了粤港澳大湾区跨境处理个人信息应遵循的基本原则和保护要求,为粤港澳大湾区个人信息保护认证的实施提供了认证依据。 对于“数据出境安全评估”,国家网信办于2022年7月7日发布《数据出境 安全评估办法》(下称《评估办法》),自2022年9月1日起施行,规定了数据出境安全评估申报的具体情形以及要求;对于“个人信息出境标准合同”,国家网信办则于2023年2月22日发布《个人信息出境标准合同办法》(下称《标准合 同办法》),自2023年6月1日施行,规定了可以选择签署并备案标准合同的情形,并提供了标准合同范本。 在数据出境制度下的三条合规路径已经初步成型的基础上,为优化完善数据出境制度,实现与数据出境安全风险的“精细化匹配”,并同时促进和规范数据依法有序自由流动,国家网信办结合迄今数据出境安全管理工作的实践情况,于2024年3月22日发布了重量级文件《促进和规范数据跨境流动规定》(下称 《跨境流动规定》)。 《跨境流动规定》主要从五方面对数据出境制度进行了优化:首先,明确了重要数据的认定标准;其次,提出了免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件;第三,设立了自由贸易试验区负面清单制度;第四,对需要申