最近的朋友圈接连被数据合规占据,「新规-热点-解读-直播-新规-热点-解读-直播」循环进入「开端」模式。此间正值官宣对「滴滴出行」「运满满」「货车帮」「 BOSS 直聘」等企业网安审查周年届满之际,中国版 SCC 终于初步面世,数据出境话题再登榜首。是什么?怎么了?有哪些?何影响?且听我们细细道来,是为:千呼万唤始出来,路漫漫其修远兮。
第一篇 惊飍
风起。2021年7月2日,网络安全审查办公室宣布对「滴滴出行」实施网络安全审查。
风再起。2021年7月5日,网络安全审查办公室宣布对「运满满」「货车帮」「 BOSS 直聘」实施网络安全审查,审查期间停止新用户注册。
风不止。2021年7月10日,国家互联网信息办公室发布《网络安全审查办法(修订草案征求意见稿)》。同年12月28日,修订后的《网络安全审查办法》(2021修订)正式发布,并于2022年2月15日生效。
第二篇 波澜再起
新查当立。2022年6月23日,网络安全审查办公室宣布对知网启动网络安全审查。
改过自新。2022年6月29日,BOSS直聘、满帮分别在微博发表声明称,近一年来进行了全面整改。经报网络安全审查办公室同意,即日起恢复新用户注册。
未完待续。滴滴出行被实施网安审查,仍无定论。何时有定论?定论如何?知网被实施网安审查,前路漫漫。
何时有定论?定论如何?网安审查下一位,是谁?因何?何时?网安审查,未完待续……
网络安全审查,已然成为常态。
常态化的一个重要原因在于法律条文层面的重大变化,将网络安全审查的范围从「关键信息基础设施运营者采购网络产品和服务,影响或者可能影响国家安全的」,扩大至「关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的」。
在网络安全审查的重点评估要素中,核心的变化在于《网络安全审查办法》(2021修订)新增「核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险」和「上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险」这两点审查要素。
事后孔明地进行点评,前述两点审查要素可分别指向「知网」和「滴滴出行/ BOSS直聘/满帮」(该三起赴美上市网安审查案例的法律适用按下不表)。此外,前述两点审查要素,均涉及个人信息出境这一个人信息保护领域关注度极高的问题。
谈及个人信息出境,自然也就可以进入「个人信息出境亮剑」,且听二回分解。
第一篇 一法定乾坤
2021年8月20日,《中华人民共和国个人信息保护法》(以下简称《个保法》)正式发布,于同年11月1日生效。
《个保法》第三章专章规定了「个人信息跨境提供的规则」,条文为第三十八条至第四十三条,奠定了个人信息出境的规制基调。我们将其归纳为个人信息出境的三步走判断方法:
第一步,看对象(是否向外国司法或执法机关提供);
第二步,看主体(是否为CIIO/达量个人信息处理者);
第三步,看流程(四选一 + 个保影响评估 + 告知-单独同意)。
这里的「四选一」,除兜底的(四)之外,其(一)为网信部门安全评估,其(二)为个人信息出境安全认证,其(三)为个人信息出境标准合同。此外,如主体涉及 CIIO 或达量个人信息处理者身份认定,四选一直接限定为(一)网信部门安全评估。
第二篇 法后三部曲
第一曲 个人信息出境安全评估
2021年10月29日,国家互联网信息办公室发布《数据出境安全评估办法(征求意见稿)》(以下简称《出境评估办法(征求意见稿)》),其第四条细化了《个保法》第三十八条规定的「四选一」中应当申报国家网信部门数据出境安全评估的个人信息出境情形,除兜底情形外,其规定了如下具体情形:
1. 关键信息基础设施的运营者收集和产生的个人信息;
2. 处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;
3. 累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息。
此三种情形,与前文提及的三步走判断方法中的第二步直接相关。关于 CIIO 收集和产生的个人信息规定,直接对应;关于达量个人信息处理者,给出了三个量化标准(此处暂不展开, 100万 、 10 万、 1 万这三个数字,后面会再讲到)。
个人信息出境安全评估的申报材料,除兜底外,其中一项材料为个人信息处理者与境外接收方拟订立的合同或者其他具有法律效力的文件等(统称「合同」)。
《出境评估(征求意见稿)》第九条以「包括但不限于」的方式细化了合同的内容要求(此处不展开,自行读法条)。
为什么这里着重讲合同,后面会揭晓。
第二曲 个人信息出境安全认证
2022年6月24日,全国信息安全标准化技术委员会秘书处发布《 TC260-PG-20222A 网络安全标准实践指南—个人信息跨境处理活动安全认证规范》( V1.0-202206 )(以下简称《出境认证规范》),其细化(某种程度上也是扩张)了《个保法》第三十八条规定的「四选一」中应当进行个人信息出境安全认证的个人信息出境情形,其适用的情形包括:
情形一:跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动;
情形二:《中华人民共和国个人信息保护法》第三条第二款适用的个人信息处理活动。(详情见文末批注)
这两种情形均是从主体角度进行界定,情形一相对限缩,指向集团内部个人信息跨境流转,有点中国版 BCRs 的意思,情形二初读与境外个人信息处理者强相关,细读发现,可以同时包括境外直采的境外个人信息处理者和境外接收的境外个人信息处理者(故,我们认为是对「四选一」第(二)项的扩张)。
个人信息出境认证属于国家推荐的自愿性认证,符合前述两种情形的可以自愿申请认证,而非强制需要认证。自愿认证这一点,对于我们后面分解的出境路径会产生重要的影响。
此外,还是合同的问题,《出境认证规范》第 4.1 条提出了「有法律约束力的协议」的要求,要求「开展个人信息跨境处理活动的个人信息处理者和境外接收方之间应当签订具有法律约束力和执行力的文件」,并以「至少」的方式明确了应包含的合同内容(此处不展开,自行读条文)。
第三曲 个人信息出境标准合同
2022年6月30日,国家互联网信息办公室发布《个人信息出境标准合同规定(征求意见稿)》(以下简称《出境标准合同规定(征求意见稿)》),其附件为《个人信息出境标准合同》(以下简称「标准合同」)。
其细化了《个保法》第三十八条规定的「四选一」中通过签订标准合同进行个人信息出境的情形规定。其适用的情形如下,请注意,这里是四个情形必须同时具备,而非择一:
(一)非关键信息基础设施运营者;
(二)处理个人信息不满 100 万人的;
(三)自上年1月1日起累计向境外提供未达到 10 万人个人信息的;
(四)自上年1月1日起累计向境外提供未达到 1 万人敏感个人信息的。
此四种情形,与前面提及的三步走判断方法的第二步亦直接相关。但与个人信息出境安全评估的适用标准刚好相反,非 CIIO ,非达量(原因很简单,适用语境本身就是相反的,本结论勿作其他理解)。此处 100 万、 10 万、 1 万再次出现,需要指出的是,相较于个人信息出境安全评估,其 10 万和 1 万的累计起始区间发生了变化,即「自上年1月1日起」计算。
随着标准合同浮出水面,加上兜底的(四),个人信息出境「四选一」的路径细则全部面世,当然,因为出境评估、标准合同尚为征求意见稿,认证仅为网络安全标准指南,后续路径均还可能存在变数。
千呼万唤始出来的面世固然令人欣喜,但路漫漫其修远兮的落地依然倍感艰难。如今,结合三步走判断方法,再来梳理个人信息出境的要求,有些感觉明晰了,有些还是会迷茫:
第一步,看对象(是否向外国司法或执法机关提供)。这一步,依然如故。如果是向外国司法或者执法机构提供存储于中国境内的个人信息,必须经中华人民共和国主管机关批准。
第二步,看主体(是否为 CIIO /达量个人信息处理者)。这一步,得以细化。CIIO无需多言,细化的主要是达量个人信息处理者的「量」,这一点对于处理大量个人信息或者出境个人信息人数较大的大机构(以下简称「大机构」)影响巨大。从现有的系列规定看,基本可以认定这里的量为 100 万、 10 万、 1 万,后续可能会有细微变化的是 10 万、 1 万的累计的起始区间。不排除对照个人信息出境标准合同的标准,调整为自上年1月1日起的可能性。
从落地看,对于大机构来说, 100 万、 10 万、 1 万易如反掌,基本也就成为了达量的个人信息处理者,第三步的「四选一」也基本没有了选择的余地,至少目前初步判断是为如此。进而,大量大机构的个人信息出境,只能寻求个人信息出境安全评估唯一路径。
第三步,看流程(四选一 + 个保影响评估 + 告知-单独同意)。这一步,得以细化,但四选一并非真正意义、全部主体的自主选择。而个保影响评估、告知与单独同意都要做(针对单独同意,法律法规规定不需要的可以除外)。
我们拆解细谈:
1. 四选一并非真正意义、全部主体的自主选择
首先, CIIO 和达量的大机构别无他选,只能寻求个人信息出境安全评估唯一路径(除非嗣后新法对特定情形予以豁免,见《个保法》第四十条但书部分)。
出境的个人信息数量( 10 万条、 100 万条等数量抑或 50G 等体量)、个人信息主体类型(员工信息、用户信息抑或其他类型的主体)都不会改变这一结果,目前初步看来,跨国公司或者同一经济、事业实体下属子公司或关联公司以及境外个人信息处理者(以下合称「特定类型的机构」)亦无法改变这一结果。
其次,非 CIIO 、不达量且属于特定类型的机构有得选,但选择不多,目前看下来似乎只能二选一,要么选个人信息出境认证,要么选个人信息标准合同。
如果确实是这样的二选一,对这类企业而言,现在可能难以给出选哪个更好的定论,毕竟《出境认证规范》内容仍然不够细化,发布主体也并非国家网信部门。到底选哪个对这些企业「更加友好」,整体成本更低,有待继续观望。此外,再绕一下文义理解,《个保法》第三十八条第(二)项所称个人信息保护认证,字面来看系指向「作为个人信息提供方的个人信息处理者」,在集团公司跨境数据流动情形下,就是境内一方,这一点与《出境认证规范》关于认证主体的要求一致,但在境外个人信息处理者情形下,尤其是境外一方接收了来自境内的个人信息开展处理活动且受《个保法》管辖情形下,境外个人信息处理者并非《个保法》第三十八条第(二)项中的「向境外提供个人信息的个人信息处理者」,至此,问题来了,《出境认证规范》针对境外个人信息处理者的认证,是否满足《个保法》第三十八条第(二)项的主体(对象)要求?我们对此持保留意见与存疑态度,基于此,二选一选哪个,大家需斟酌而定。
最后,非 CIIO 、不达量且不是特定类型的机构也没得选,只能走个人信息标准合同这一条路。那就展开说说这份个人信息标准合同本身和其适用的十三个细节问题:
① 标准合同签订有必备前置工作,即个人信息出境行为盘点。盘点哪些内容?标准合同附录一《个人信息出境说明》(以下简称「附录一」)要填的个人信息出境详情就是主要的盘点内容,必须先弄清楚己方准备开展的个人信息出境详情,方能有的放矢。
② 既然是标准合同,就别抱着突破合同里面固定条款的心理。留空的地方是需要填写的或者自由约定的内容,固定条款不能改。当然,固定条款有些可以细化和补充,细化/补充的约定可以写到附录二里面。
③ 个人信息委托处理无法突破个人信息出境的监管要求。此前境内个人信息处理者委托境外主体处理个人信息到底适不适用个人信息出境的监管要求,实践中争议还比较大。意外的是,在标准合同中(而并非在其他部门规章中)看到了对于此问题的监管态度,第三条(四)、第三条(六)之5和第三条(八),均涉及了境内个人信息处理者委托境外主体处理个人信息,也就意味着,该等情形下依然需要适用个人信息出境的监管要求。
进而,似乎可以初步得出这样的结论,《个保法》第三十八条规定的向境外提供个人信息的「提供」,其范围大于《个保法》第二十三条规定的向其他个人信息处理者提供个人信息的「提供」,将个人信息委托境外主体处理纳入个人信息出境的情形。
④ 标准合同签署的颗粒度是落地时很重要但又很难的问题,如何又能满足合规要求,又能减少标准合同的反复、大量签署,需要结合具体情况具体判断的。
例如,附录一里面,关于向境外提供个人信息的详情,传输目的的颗粒度怎么把握?传输个人的数量以什么维度什么模式来填?出境个人信息类别、出境敏感个人信息类别的颗粒度怎么把握?
⑤ 标准合同不是闭眼即签,更不是签完了事你我各自安好相忘于江湖。其中的合同条款一经签署对双方均具有约束力,做不到或者没做好就要承担相应的法律责任。
标准合同中对个人信息处理者、境外接收方提出了大量的义务要求,包括告知要求、同意要求、配合监管问询、个保评估、提供合同副本、响应个人信息主体权利主张的机制等,需要配套的个人信息出境合规机制来保障标准合同的有效履行,甚至义务要求还实质延伸至「境外再流转中的其他第三方」。
⑥ 标准合同尝试通过大量的条款约定来实现对境外接收方的有效监管,但也深知监管的难度很大、有效性难以保证,进而进一步强化了个人信息处理者的责任,颇有「谁开展出境,谁全面负责」「特定情形下责任承担对外连带」的意味,相关条款主要见于标准合同第二条(六)、第八条(六)等。
⑦ 标准合同明确将个人信息主体约定为第三方受益人,以第五条专门约定「个人信息主体的权利」。该条对《个保法》第四章规定的个人信息权利在个人信息出境场景下地执行进行了细化,并以逐一列举的方式赋予了个人信息主体要求个人信息处理者、境外接收方履行标准合同项下与个人信息主体权利相关条款的权利。
此外,第二条(八)、第三条(二)还约定了个人信息主体享有要求个人信息处理者、境外接收方提供标准合同副本的权利。标准合同对个人信息主体的权利保障可谓特别用心、特别细致。
⑧ 标准合同明确了对个人信息出境后的二次境外提供、转委托的约束,相关要求比较苛刻,向境外提供个人信息的要求基本及于二次提供。另外,二次提供达成的协议,也需要提供给个人信息处理者,境外接收方需要承担因再提供而可能导致对个人信息主体造成损害的连带责任等。
⑨ 标准合同生效之日起10日内应向所在地省级网信部门备案,这种备案机制颇具中国特色。但备案不影响标准合同的生效,也不需要等到备案后再开展个人信息的出境。
标准合同经双方正式签署后成立并立即生效,只要生效,就可以开展个人信息的出境。实际情况有待进一步考察,尤其执行初期,是否会存在「备案指导」,且需观望,但至少条文层面确实摆出了「一签署即生效」的姿态。
⑩ 标准合同是双方签署,签完备案无需审批,但别就此认为个人信息出境没有监管,可以恣意妄为。
省级以上网信部门发现个人信息出境有问题的,不管是依职权主动发现还是接受投诉、举报(比如内部员工、离职员工、竞争对手等投诉举报)发现,不管是刚签完合同就发现还是合同履行一段期间后发现,都可能叫停个人信息出境、责令限期改正,甚至予以处罚,构成犯罪的追究刑事责任。
⑪ 标准合同中对于合同解除的后果,其落地难度较大。标准合同第七条(五)约定,合同解除时,境外接收方应及时返还、销毁(注意,不是「删除」)或匿名化处理接收的个人信息,还要提供审计报告。
⑫ 关于争议解决,个人信息处理者与境外接收方的争议解决条款相对常规,个人信息主体作为第三方受益人提起的诉讼的管辖和诉的类型值得关注。
其一,诉讼的管辖,标准合同第九条(四)约定,该等诉讼应当根据《中华人民共和国民事诉讼法》(以下简称《民诉法》)的规定确定管辖。
不要想着《民诉法》第三十五条规定了合同当事人可以约定管辖,个人信息处理者与境外接收方作为当事人就可以在附录二中去约定个人信息主体提起诉讼的管辖法院,从而提高个人信息主体起诉的难度,让其知难而退。
因为,这样的约定很可能因为限制了个人主体的管辖选择而无效。其二,诉的类型,可以是违约之诉(依据是《中华人民共和国民法典》第五百二十二条第二款),也可以是侵权(侵犯个人信息权益)之诉。
⑬ 解开前面卖的关子,个人信息出境安全评估模式项下的合同、个人信息出境认证模式项下的合同,虽然其内容要求各有其一定的独特之处,但整体而言,均可以参考标准合同去拟定相应的合同条款,当然,其独特的要求需要针对性地加以约定。
例如,个人信息出境安全认证项下的合同,需要有条款明确约定「境外接收方承诺接受认证机构监督」等。此外,该等合同无备案要求。
2. 个保评估都要做
向境外提供个人信息需要事先开展个人信息保护影响评估,不管是基于四选一的哪种路径,个保评估都要做。
关于个保评估的具体评估内容,在《个保法》第五十六条规定个人信息保护影响评估内容的基础上,《出境认证规范》第 4.4 条、《出境标准合同规定(征求意见稿)》第五条、标准合同第二条(七)、《出境评估办法(征求意见稿)》第五条均规定了个人信息出境情形下自评估的细化内容。整体而言,几份规定中对于个人信息出境情形下个保评估的评估内容相差无几,可综合作为参考。
关于个保评估落地难度,依然较大。难在前述个保评估的评估内容的颗粒度远无法满足落地开展评估的要求,具体的评估项、评估标准、评估结果等都有待细化和探索。亦难在如果让个保评估机制高效的运行,例如哪些主体的评估、哪些情形的评估的可以简化等,以尽可能的降低成本。
此外,个保评估要做,个保评估报告要留存至少三年,并记录个人信息出境情况。
3. 告知与单独同意都要做,法律法规规定不需要的除外
《个保法》第三十九条以「列举+兜底」的方式规定了向境外提供个人信息需要向个人告知的事项,并要求取得个人的单独同意。这就决定了向境外提供个人信息需要按前述规定进行告知并获得单独同意,不管是基于四选一的哪种路径。当然,法律法规规定不需要取得单独同意的除外。此外,标准合同第二条(二)细化了告知事项,这里似乎可以理解为对前述《个保法》规定中兜底的延伸,其他出境模式可以参考该等告知事项向个人进行告知。
我们经常笑称,数据出境是数据合规领域「皇冠上的明珠」,为其配置的合规工作多且难,前置程序(四选一或安全评估)、告知单独同意、个保影响评估、相关法律文本、个人信息权利响应机制以及出境标的物的详细梳理与列明(隐含数据盘点与分类分级之意),没有一盏省油的灯。
随着监管配置方案逐步面世,本月我们还有望迎来数据出境的终极规范(网信办安全评估),进而在 9 月开始施行。
《个保法》施行至今,一度是APP合规、隐私政策审订的天下,偶尔开始尝试 PIA ,也是浅尝辄止,数据合规体系建设更是踽踽独行,而对于“数据出境”,整体的实务态度多半是「pending」「观望」「再等等」,至此,不得不说,留给大家的时间不多了。
更多的新规、指南、实操、口径,还会陆续出来,是为千呼万唤始出来,而如何化新规为合规,颇为挑战,是为路漫漫其修远兮。预知后事如何,且听下回分解。
《中华人民共和国个人信息保护法》第三条第二款 在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:
(一)以向境内自然人提供产品或者服务为目的;
(二)分析、评估境内自然人的行为;
(三)法律、行政法规规定的其他情形。