《数据安全法》下数据跨境合规新要求
2021年6月10日,《数据安全法》(下称“《数安法》”)正式颁布,作为国家安全重要组成部分之一,以总体国家安全观为主线,首次提出“国家核心数据”概念,构建数据分级分类保护等基本制度,正式确立了我国数据保护领域顶层立法架构。
数据跨境与国家安全紧密相关,无疑是本次《数安法》最值得关注的重点之一。《数安法》构建的数据跨境制度与《网络安全法》建构关键信息基础运营者数据跨境规定相衔接,与正在审议的《个人信息保护法》(第二次审议稿)》(下称“《个保法(二稿)》关于个人信息跨境规定共同构建起我国数据跨境的基本制度。本文继续结合前期探讨个人信息保护法系列文章,结合新颁布的《数安法》和《个保法(二稿)》等规定探讨数据跨境问题,以期为企业数据跨境合规工作提供思路和参考。
一、如何认定是否属于数据跨境?
把握数据跨境准确含义是合规的首要前提,但数据跨境本身不是一个法律概念,跨境更多是事实判断,理解数据是否跨境需要结合具体国家的法律规定和具体场景。
《数安法》出台前,法律层面除了个别个人信息类型出境有明确监管规定外,数据跨境规定主要由国家网信办牵头制定,其中,《个人信息和重要数据出境安全评估办法(征求意见稿)》规定数据出境是指网络运营者将在我国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人,《个人信息出境安全评估办法(征求意见稿)》规定数据出境是指向境外提供在我国境内运营中收集的个人信息。
《数安法》延续和完善上述规定,第31条规定“数据出境安全管理”,明确将数据出境从主体上分为两个体系,即关键信息基础设施运营者和其他数据处理者的数据出境制度。其中关键信息基础设施的运营者在我国境内运营中收集和产生的重要数据的出境安全管理,适用《网络安全法》的规定,其他数据处理者在我国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
从上述规定来看,并非任何数据从我国跨境都要受到监管限制,《数安法》界定范围是在我国境内运营中收集和产生的数据,换言之,在境外收集和产生的数据不在此列,进一步来说,国外收集和产生数据但经我国境内处理后出境是否受到限制?从《数安法》规定来看,没有明确。
但是,对于个人信息类型的数据,根据《个保法(二稿)》,个保法调整的是在我国境内个人信息处理活动,第38条规定个人信息处理者因业务等需要,确需向境外提供个人信息的,应当至少具备一定条件,也就是说,除我国境内收集和产生的个人信息,境外收集和产生的个人信息在我国境内处理后,出境也要满足我国关于个人信息出境的相关规定。但是境外收集和产生的个人信息短时间同步到我国境内服务器未经处理后出境并不受个保法限制。
从事实来看,数据跨境并非单纯地理意义上跨越国境,也不仅指物理意义上携带出境,向境外提供数据的方式有很多,只要境外主体能够访问、检索存储在我国境内数据即可,数据跨境更多指的是数据在不同数据保护法律制度的国家或地区之间转移事实。
二、不同类型数据跨境的不同要求
《数安法》规定数据分级分类保护,基于总体国家安全观下,建立了不同类型和层级的数据跨境体系,允许数据跨境流动,但要在国家监管规定下有序进行。具体而言:
1.可能影响国家安全的数据不得出境。根据《数安法》第24条,对于影响或者可能影响国家安全的数据处理,国家实施安全审查。《数安法》首次提出关系国家安全、国民经济命脉、重要民生、重大公共利益等数据是国家核心数据,建立数据安全审查制度就是为了严格管控国家核心数据的安全,数据安全审查是全新的制度,后续需要进一步细化,具体实施尚待观察。而国家网信办《个人信息和重要数据出境安全评估办法(征求意见稿)》规定,经过评估,数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益,不得出境。可见,安全评估实质上也是一种事前审查机制,安全审查是由国家安全相关部门针对特定数据类型进行安全审查,包括数据跨境安全审查,而安全评估则可能成为数据跨境常规操作。
2.对维护国家安全和利益、履行国际义务的数据出境进行管制。根据《数安法》第25条,国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。从规定来看,国家安全审查与数据出口管制是相互衔接的,后续国家可能进一步细化需要审查和管制的数据名录。
3.未经主管机关批准不得向境外司法或执法机构提供境内存储的数据。《数安法》36条对国际司法协助调取数据进行了规定,明确规定了境内任何数据处理者在未经主管机关批准的情况下,不得对外提供,强调了国家数据主权和安全。《个保法(二稿)》也进行了类似规定。
4.关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者的数据本地化存储。关键信息基础设施运营者本地化存储义务是开展信息处理活动的前提,从《网络安全法》规定来看,公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域属于关键信息基础运营者。
《关键信息基础设施安全保护条例(征求意见稿)》进一步将以下单位列为关键信息基础实施运营者:(1)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;(2)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;(3)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;(4)广播电台、电视台、通讯社等新闻单位。
普通企业被识别为关键信息基础设施运营者可能性较低,处理个人信息达到一定数量的个人信息处理者目前尚待后续规定予以明确。就目前而言,不属于关键信息基础设施运营者的数据处理者或小规模个人信息处理者数据跨境并无明确本地化存储义务的规定。
5.个人信息类型的数据跨境合规要求将有明确规定。《个保法(二稿)》第38条明确个人信息因业务需要跨境向境外提供的要选择以下三种其中一种:(1)通过网信部门的安全评估;(2)经专业机构进行个人信息保护认证;(3)按照国家网信部门制定的标准合同与境外接收方订立合同。在此基础上,个人信息处理者还应当向个人告知境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法律规定权利的方式等事项,并取得个人的单独同意。
可见,《个保法(二稿)》建立的个人信息跨境的办法借鉴了欧盟《通用数据保护条例》(GDPR),但没有规定个人信息保护水平充分性认定机制,并且规定即便采取了安全评估、认证或标准合同条款任一机制跨境传输个人信息也必须获得个人信息主体的单独同意,该单独同意的合规要求相较很多国家和地区而言是比较严格的。
6.不得向被我国列入限制或者禁止个人信息提供清单的境外个人、组织提供个人信息。该负面清单措施是《个保法(二稿)》第42条规定针对境外的组织、个人从事损害我国公民的个人信息权益,或者危害我国国家安全、公共利益的个人信息处理活动的一种惩罚措施。《数安法》没有作详细相关规定,但第2条规定了境外开展数据处理活动,损害我国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。负面清单属于法律后果之一。
三、新法下数据跨境合规的思路
《数安法》于2021年9月1日起施行,《个保法》预计也很快出台,新法颁布后,企业个人信息保护和数据安全的合规工作上必须以新法为依据进行梳理,数据跨境合规方面的工作应该是企业应该关注的重点内容之一。本文结合前述数据跨境含义和目前监管规定基础,梳理了企业和其他数据处理者数据跨境合规工作的思路和路径,企业可以结合自身实际开展相应合规落地工作。
1.对数据进行分级分类。《数安法》总体上把数据划分为国家核心数据、重要数据和一般数据。有关国家、地方相关部门陆续会制定本地区、本部门以及相关行业、领域的重要数据具体目录。建议企业对照数据目录结合自身处理数据进行分类和细化。
2.识别数据来源。识别并非指数据来源是否合法、数据处理是否正当等,而是识别所处理的数据来自于境内还是境外,包括从其他数据处理者获取的数据来源情况。
3.进行本地化存储安排。企业根据识别和数据分类情况,如涉及重要数据和一定数量个人信息处理业务的,需进行数据本地化存储。
4.定期进行数据安全评估。建议企业在安全评估中增加可能影响国家安全、社会公共利益等考量因素。安全评估有助于识别企业在运营中存在的安全风险,在数据跨境情况下,可以有效降低企业法律风险。
5.加强数据分级授权与使用审批。数据访问控制方面,企业要逐渐建立根据“业务需要”和“最小权限”原则,进行数据使用相关的权限管理,严格控制和分配访问权限。对我国境外机构申请调取或传输数据的,需格外注意,特别是境外执法机构数据调取,要得到我国主管机关的批准。
6.区分个人信息、重要数据和其他类型数据跨境安排。个人信息和重要数据跨境规定已有《个人信息保护法》和《网络安全法》的规定,个人信息可以通过标准合同条款、认证机制和国家安全评估任一机制进行跨境传输,其他数据跨境也将会由网信办等相关部门制定。
四、结 语
与欧盟通过GDPR及细化规定希望建立单一数字市场的战略相似,我国通过《数据安全法》和《个人信息保护法》以及《网络安全法》共同构建我国统一有序自由流动的数字市场,其中《数据安全法》以安全为底色,为我国数字市场发展提供基础制度保障,标志着我国数据行业较为野蛮发展时代将成为历史,行业监管将趋于规范和严格,而数据跨境是国家安全重要内容,也是我国数字市场与国际数字市场对接的重要工具,不仅可为我国企业“出海”保驾护航,也有利于我国参与制定数据跨境流动相关国际规则争取更多主动权。