版权声明:本文版权归文章作者所有,仅代表作者观点,本文不用于商业用途,仅为学习交流之用,如文中的内容、图片、音频、视频等如有侵权,请及时联系本站站长删除。
本文来源于微信公众号【国瓴合规研究院】
【编者按】
本讲义由上海国瓴律师事务所名誉主任、上海交通大学网络空间治理研究中心主任寿步教授撰写,内容取材于2016年11月我国网络安全法发布以来至2023年2月底期间的相关规范性文件,权威性高,实用性强,可供关心网络安全法律政策的读者阅读。连载共13篇。
目录
第八章数据出境管理制度
(1)在网络安全法中,第三章“网络运行安全”第二节“关键信息基础设施的运行安全”中的第三十七条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”这是关于个人信息和重要数据在境内存储和向境外提供的原则性规定,我国的数据出境管理制度由此设立。
本章专门讨论数据出境管理制度。虽然网络安全法第三十七条出现在第三章网络运行安全中,但是该条涉及的数据出境问题,实质上属于网络信息安全领域。因此,本章安排在个人信息保护制度和违法信息监管制度两章之后,纳入网络安全法的网络信息安全制度框架之内。
(2)在数据安全法中,第二十一条第二款规定:关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。第三十一条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。”数据处理者是指在数据处理活动中自主决定处理目的和处理方式的个人和组织。(《网络数据安全管理条例(征求意见稿)》第七十三条)第三十六条规定:“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”(3)在个人信息保护法中,第三十六条规定:“国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。”第三十七条规定:“法律、法规授权的具有管理公共事务职能的组织为履行法定职责处理个人信息,适用本法关于国家机关处理个人信息的规定。”第五十五条规定,有“向境外提供个人信息”的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录。另有第三章专门规定“个人信息跨境提供的规则”。
(4)为建立数据出境安全评估制度,国家网信办近几年先后发布三份征求意见稿:2017年4月11日的《个人信息和重要数据出境安全评估办法(征求意见稿)》;2019年6月13日的《个人信息出境安全评估办法(征求意见稿)》;2021年10月29日的《数据出境安全评估办法(征求意见稿)》。这三份文件的先后发布,表明主管部门关于数据出境安全评估制度的建设路径调整情况:开始的建设路径是就个人信息和重要数据统一制定出境安全评估办法;后来的建设路径是就个人信息和重要数据分别制定出境安全评估办法;当前的建设路径又是就数据(既包括重要数据、也包括个人信息)统一制定出境安全评估办法。第三份征求意见稿是在2021年6月10日数据安全法通过、2021年8月20日个人信息保护法通过之后发布的。2022年7月7日《数据出境安全评估办法》由国家网信办正式发布,自2022年9月1日起施行。为指导和帮助数据处理者规范、有序申报数据出境安全评估,国家网信办2022年8月31日发布《数据出境安全评估申报指南(第一版)》,对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出说明。数据处理者因业务需要确需向境外提供数据,符合数据出境安全评估适用情形的,应当根据《数据出境安全评估办法》规定,按照申报指南申报数据出境安全评估。
2022年12月16日,信安标委秘书处发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》,以支撑个人信息保护认证实施,指导个人信息处理者规范开展个人信息跨境处理活动。该实践指南规定了跨境处理个人信息应遵循的基本原则、个人信息处理者和境外接收方在个人信息跨境处理活动的个人信息保护、个人信息主体权益保障等方面内容。
第一节 个人信息、重要数据、国家核心数据的识别
根据数据安全法,数据安全所涉及的数据包括但不限于国家核心数据、重要数据、个人信息等。
为落实网络安全法、数据安全法个人信息保护法等法律关于数据安全管理的规定,规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益,根据国务院2021年立法计划,国家网信办会同相关部门研究起草《网络数据安全管理条例(征求意见稿)》,2021年11月14日公开征求意见。这是将要制定的行政法规的征求意见稿。其位阶高于2019年5月28日国家网信办发布的《数据安全管理办法(征求意见稿)》,后者当时拟制定的是部门规章。
一、个人信息的识别
网络安全法、民法典、个人信息保护法和个人信息安全规范中关于个人信息的定义,在第六章已作介绍。
应当依据法律法规、国际标准的规定进行个人信息的识别。
二、重要数据的识别
《网络数据安全管理条例(征求意见稿)》第七十三条第三项规定:
“重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。包括以下数据:
1.未公开的政务数据、工作秘密、情报数据和执法司法数据;
2.出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据;
3.国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等;
4.工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据;
5.达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据;
6.国家基础设施、关键信息基础设施建设运行及其安全数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据;
7.其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。”
【关于上述“重要数据”定义的评论】
1.“概括+列举”式(“内涵+外延”式)定义中引导词的不同情况
1.1如果“列举”时的引导词是“包括但不限于”,则实际列明的事项可以小于“概括”的外延。因为两个外延之“差”(即“概括”定义的外延在实际列明的事项中没有涉及的那一部分)就处在“不限于”的外延中。如下图所示。
1.2如果“列举”时的引导词是“包括”,则实际列明的事项应该等于“概括”的外延。如果在“包括”项下实际列明的事项并不等于“概括”的外延,那么,“包括”项下实际列明的事项就应该进行补充,直到实际列明的事项等于“概括”的外延。如下图所示。
2.“重要数据”定义的初步问题
2.1征求意见稿的“重要数据”定义,采用“概括+列举”式定义,以“包括”为引导词。
在列举的全部七种数据类型中,前六种数据是针对具体情况的;第七种数据所处的“其他”情况虽是“开放”,但却不是“无限开放”、可谓“有限开放”,即只限于所列举的“政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等”十五个领域。换言之,如果是在上述十五个领域之外的数据,就可以理解为并没有包括在其中。
如果说上述“等”字给十五个领域之外的其他领域预留了空间,则比较勉强。
2.2在“概括+列举”式定义中以“包括”为引导词的情况下,如果希望列举的最后一种情况对应于“其他”所有可能的情况,就“重要数据”的定义而言,或许可以考虑,以“概括”部分的文字为基础,写为“一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的其他数据。”或者写为“其他一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。”这样的给出的“其他”情况就是“无限开放”、而不是“有限开放”。
2.3关于征求意见稿“重要数据”定义的第七种类型所列明的十五个领域,也可讨论。
2014年总体国家安全观提出时列名的具体安全领域有11个:政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全。2015年以总体国家安全观为指导制定的国家安全法中涉及的具体安全领域有19个:政治安全、人民安全、国土安全、军事安全、经济安全、金融安全、资源能源安全、粮食安全、文化安全、科技安全、网络与信息安全、民族安全、宗教安全、反恐安全、公共安全、生态环境安全、核安全、外层空间海底极地利益安全、海外利益安全。此外,近年来专门法律施行涉及的具体安全领域包括但不限于:生物安全、数据安全。
因此,在征求意见稿“重要数据”定义的第七种类型中,是否需要列明具体的安全领域,具体列出哪些安全领域,都可研究。
3.给“重要数据”下定义时应考虑其与“国家核心数据”的关系
3.1数据安全法有两处涉及“国家核心数据”。
数据安全法第二十一条规定:“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。”
数据安全法第四十五条第二款规定:“违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。”
3.2数据安全法上述两处规定的提法都是“国家核心数据”、而不是“核心数据”。因此,未来正式公布《网络数据安全管理条例》时,宜采用其上位法中完整的、标准的提法“国家核心数据”、不宜省去“国家”二字。
将数据安全法第二十一条的三款规定联系起来看,尤其是从其中关于“国家核心数据”的界定(“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据”)来看,“国家核心数据”的重要性是体现在“国家”层级、而不是在“各地区、各部门”层级。
因此,从语义上说,“国家”二字也不宜省略。因此,征求意见稿中的各处“核心数据”宜改为“国家核心数据”(第五条、第九条、第二十七条各两处,第七十三条、第七十四条各一处)。
3.3从数据安全法第二十一条第二款的原文分析,“国家核心数据”究竟是“重要数据”的子集、还是与“重要数据”相区分的另一个集合?值得考量。
关于该款“……实行更加严格的管理制度”中 “更加严格”的比较对象,似乎可以有两种解读:
第一种解读是“……实行比重要数据更加严格的管理制度”,这种解读就意味着国家核心数据与重要数据是两个不同的集合(如下图所示)。
第二种解读是“……实行比一般的重要数据更加严格的管理制度”,这种解读就意味着国家核心数据是重要数据的子集,换言之,重要数据分为“一般的重要数据”和“国家核心数据”两部分;与“一般的重要数据”对应,“国家核心数据”就是“特殊的重要数据”。
其实,第二种解读是有根据的
--将数据安全法第二十一条第一款和第三款中的两句话
--“国家数据安全工作协调机制统筹协调有关部门制定重要数据目录”“各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录”
--结合起来,可以理解为:国家数据安全工作协调机制统筹协调有关部门制定的重要数据目录“就是”或者“主要是”国家核心数据目录即特殊的重要数据目录;各地区、各部门所确定的本地区、本部门以及相关行业、领域的重要数据具体目录就是一般的重要数据目录。
数据安全法并没有在相关主管部门“制定重要数据目录”之外明示还要“制定国家核心数据目录”(在接下来的第二款中也没有这样的文字)。换言之,将“重要数据”分为“国家核心数据”和“非国家核心数据”两部分,将“国家核心数据目录”作为“重要数据目录”的子目录,应该更符合数据安全法的原意(如下图所示)。由此可以更加合理地解读该条第二款关于“国家核心数据”的规定。
根据数据安全法,国家核心数据应是重要数据的子集。数据分级应是“两级三层”。“两级三层”的数据分级体系可以表述为:“数据分为一般数据和重要数据两级;重要数据包含国家核心数据。”或“数据分为一般数据和重要数据(含国家核心数据)两级。”
3.4对于“国家核心数据”与“重要数据”的关系,征求意见稿是采用了上述第一种解读。具体可见征求意见稿第五条的下列规定:
“国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。
国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。
各地区、各部门应当按照国家数据分类分级要求,对本地区、本部门以及相关行业、领域的数据进行分类分级管理。”
在征求意见稿的设计之下,除了制定“重要数据目录”之外,就还需要制定“国家核心数据目录”,这与数据安全法的立法原意是否一致,值得关注。换言之,征求意见稿将“国家核心数据”与“重要数据”区分为两个不同的集合(类别)做法,是值得商榷的。
3.5在征求意见稿将“国家核心数据”与“重要数据”区分为两个不同的集合(类别)的情况下,就有必要在“重要数据”的定义中加以明示,即在“重要数据”的“概括+列举”式定义的“概括”部分,加入“不属于国家核心数据”这一限定的表述。因为征求意见稿对于“重要数据”的定义并没有将“国家核心数据”排除出去。
这时,“重要数据”的“概括+列举”式定义的“概括”部分的完整表述就可以是:“重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据,但不属于国家核心数据。”
【关于上述“重要数据”定义评论的小结】
1.在征求意见稿采用“概括+列举”的形式给出“重要数据”的定义时,“列举”时的引导词是用“包括但不限于”还是用“包括”?
2.如果“列举”时的引导词采用“包括”,那么,列举的最后一种情况即“其他”情况是采用“无限开放”的表述、还是采用“有限开放”的表述?
3.如果列举的最后一种情况即“其他”情况是“有限开放”的表述,那么应该列出哪些具体的安全领域?
4.数据安全法所称的“国家核心数据”,在征求意见稿中是否应该简称为“核心数据”?
5.根据数据安全法,是应该将“国家核心数据”作为“重要数据”的子集、还是应该将“国家核心数据”和“重要数据”作为两个不同的集合进行处理?
6.在征求意见稿将“国家核心数据”和“重要数据”作为两个不同的集合进行处理的情况下,在“重要数据”的“概括+列举”式定义的“概括”部分,是否有必要加入“不属于国家核心数据”这一限定的表述、以区别于“国家核心数据”?
【关于上述“重要数据”定义的比较1】
2019年5月28日国家网信办发布的《数据安全管理办法(征求意见稿)》第三十八条规定:“重要数据,是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。”
【关于上述“重要数据”定义的比较2】
2017年8月30日发布的《信息安全技术 数据出境安全评估指南(征求意见稿)》有附录A《重要数据识别指南》。
2022年1月13日,全国信息安全标准化技术委员会秘书处发布《信息安全技术 重要数据识别指南》(征求意见稿)。2021年9月30日,工业和信息化部发出《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》。2022年12月8日,工业和信息化部印发《工业和信息化领域数据安全管理办法(试行)》,自2023年1月1日起施行。
三、国家核心数据的识别
数据安全法第二十一条第二款规定:“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。”网络数据安全管理条例第七十三条第四项规定:“核心数据是指关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据。”
第二节 数据的境内储存
一、境内储存
网络安全法第三十七条要求“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储”,即数据应在境内存储。该条也规定了业务需要确需数据出境时的安全评估制度。在数据出境管理制度的一系列配套文件中,规定了“不得出境”的具体情形。
《数据出境安全评估办法》第二条规定:“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法。法律、行政法规另有规定的,依照其规定。”
《数据出境安全评估办法》第四条规定:“数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
(一)数据处理者向境外提供重要数据;
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。”
二、相关规定
在网络安全法发布前,一些规范性文件中已有限制数据出境和要求数据境内存储的规定,其中有的文件侧重于对数据出境的限制,有的文件侧重于对数据境内存储的要求。由此可以看出规则制定者对数据安全问题的重视。
第三节 数据的出境评估
一、相关要点
网络安全法第三十七条针对“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据”“因业务需要,确需向境外提供的”情况,规定“应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”
下面介绍《数据出境安全评估指南(征求意见稿)》的相关要点。
(一)境内运营
“境内运营”定义为“网络运营者在中华人民共和国境内开展业务,提供产品或服务的活动。
注1:未在中华人民共和国境内注册的网络运营者,但在中华人民共和国境内开展业务,或向中华人民共和境内提供产品或服务的,属于境内运营。判断网络运营者是否在中华人民共和国境内开展业务,或向中华人民共和境内提供产品或服务的参考因素包括但不限于:使用中文;以人民币作为结算货币;向中国境内配送物流等。
注2:中华人民共和国境内的网络运营者仅向境外机构、组织或个人开展业务、提供商品或服务,且不涉及境内公民个人信息和重要数据的,不视为境内运营。”
因此,不论网络运营者是否在中华人民共和国境内注册,只要是在中华人民共和国境内开展业务,或向中华人民共和国境内提供产品或服务的,都属于“境内运营”。
二、加工处理
加工处理是指“针对个人信息和重要数据实施的操作,包括个人信息和重要数据的收集、存储、访问、修改、转让、披露、匿名化、去标识化、恢复、删除、销毁等。”
三、出境目的
要求出境目的应同时满足合法性、正当性和必要性的要求。具体如下:
a)合法性包括以下情况:1)不属于法律法规明令禁止的;2)不属于国家网信部门、公安部门、安全部门等有关部门认定不能出境的。
b)正当性包括以下情况:1)个人信息主体已同意的。虽未经个人信息主体同意但是危及公民生命财产安全等紧急情况除外;2)不违反相关主管部门规定的。
c)必要性包括以下任一种或几种情况:1)履行合同义务所必需的;2)同一机构、组织内部开展业务所必需的;3)我国政府部门履行公务所必需的;4)履行我国政府与其他国家和地区、国际组织签署的条约、协议所必需的;5)其他维护网络空间主权和国家安全、经济发展、社会公共利益和保护公民合法利益需要的。
四、数据出境
数据出境是指网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。
注1:以下情形属于数据出境:
a)向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据;
b)数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);
c)网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。
注2:非在境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动或加工处理的,不属于数据出境。
注3:非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的,不属于数据出境。
二、相关规定
(一)数据出境的主体
2016年通过的网络安全法所规定的数据出境管理制度是针对“关键信息基础设施的运营者”的。2017年网络安全法施行后出台的《数据出境安全评估指南(征求意见稿)》《个人信息和重要数据出境安全评估办法(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》所规定的数据出境管理制度则是针对“网络运营者”的。显然,“网络运营者”的范围远远大于“关键信息基础设施的运营者”的范围。网络运营者,是指网络的所有者、管理者和网络服务提供者。(网络安全法第七十六条)
2021年通过的数据安全法第三十一条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。” 数据处理者是指在数据处理活动中自主决定处理目的和处理方式的个人和组织。(《网络数据安全管理条例(征求意见稿)》第七十三条)“数据处理者”既包括“网络运营者”、也包括“非网络运营者”。
(二)数据出境安全评估的原则和要求
《数据出境安全评估办法》规定:
——(第三条)数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。
——(第八条)数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项:
(一)数据出境的目的、范围、方式等的合法性、正当性、必要性;
(二)境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求;
(三)出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险;
(四)数据安全和个人信息权益是否能够得到充分有效保障;
(五)数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务;
(六)遵守中国法律、行政法规、部门规章情况;
(七)国家网信部门认为需要评估的其他事项。
(三)数据处理者的义务
《数据出境安全评估办法》中有相关规定:
——(第五条)数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,重点评估以下事项:
(一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
(二)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
(四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
(五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务;
(六)其他可能影响数据出境安全的事项。
——(第九条)数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,至少包括以下内容:
(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;
(三)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;
(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施;
(五)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;
(六)出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。
——(第十四条)通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算。在有效期内出现以下情形之一的,数据处理者应当重新申报评估:
(一)向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的;
(二)境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的;
(三)出现影响出境数据安全的其他情形。有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。
三、个人信息出境的专门规定
1.个人信息保护法第三章的规定
个人信息保护法第三章“个人信息跨境提供的规则”是关于个人信息跨境提供的专门规定,其中包括第三十八条至第四十三条共六条规定。
【第三十八条】个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。
个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
【第三十九条】个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等。
【第四十条】关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
▲注意有四个外延不同的概念:
——“个人信息处理者”
——“关键信息基础设施运营者”
——“处理个人信息达到国家网信部门规定数量的个人信息处理者”
——“处理个人信息未达到国家网信部门规定数量的个人信息处理者”
▲关于数量标准,《数据出境安全评估办法》第四条规定:关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息的,自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
【第四十一条】中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。
【第四十二条】境外的组织、个人从事侵害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。
【第四十三条】任何国家或者地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。
2.新版《网络安全审查办法》的规定
2021年11月16日,由国家网信办、国家发改委等13个部门联合发布新版《网络安全审查办法》,自2022年2月15日起实施。新版《网络安全审查办法》规定网络安全审查制度也适用于网络平台运营者开展数据处理活动、影响或者可能影响国家安全的情况。相关要点简述如下:
(1) 网络安全审查工作的原则
坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从数据处理活动安全性、可能带来的国家安全风险等方面进行审查。
(2)网络平台运营者开展数据处理活动的国家安全审查义务
掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
自2021年9月1日起施行的我国数据安全法明确规定国家建立数据安全审查制度。新版《网络安全审查办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围,要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查,主要目的是为了进一步保障网络安全和数据安全,维护国家安全。
(3)网络安全审查重点评估的因素
网络安全审查重点评估相关对象或者情形的以下国家安全风险因素:
——核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;
——上市存在核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;
——其他可能危害网络安全和数据安全的因素。
3.《个人信息出境标准合同办法》的规定
2023年2月24日,国家网信办公布《个人信息出境标准合同办法》,自2023年6月1日起施行。该办法的出台旨在落实个人信息保护法的规定,保护个人信息权益,规范个人信息出境活动。该办法规定了个人信息出境标准合同的适用范围、订立条件和备案要求,明确了标准合同范本,为向境外提供个人信息提供了具体指引。
作者简介 PROFILE
寿步 国瓴名誉主任
寿步教授现为上海交通大学法学院教授、博士生导师,上海交通大学知识产权研究中心主任、网络空间治理研究中心主任,中国法学会网络与信息法学研究会副会长,中国科学技术法学会副会长、网络空间法专业委员会主任,中国法学会知识产权法学研究会常务理事,中国法学会案例法学研究会常务理事,中华全国律师协会信息网络与高新技术法律专业委员会顾问,上海知识产权法院特邀知识产权专家。
寿步教授长期从事法学与新技术交叉领域的法学研究、法学教育、法律实务工作,尤其是与计算机软件、网络游戏、云计算、网络安全、数据安全、个人信息保护等相关的领域。
寿步教授已出版个人专著5部、合著4部、主编著作21部。代表性论著有《中国软件版权诉讼实务》、《 计算机软件著作权保护》、《软件网络和知识产权》、《软件网络诉讼代理实务》、《信息时代知识产权教程》等。
发表评论 取消回复