前后歷經(jīng)四年三易其稿,合合分分合合,國(guó)家網(wǎng)信辦于2021年10月29日發(fā)布了最新一版《數(shù)據(jù)出境安全評(píng)估辦法》公開(kāi)征求意見(jiàn)(下稱(chēng)“2021版”),,業(yè)界終于迎來(lái)了《個(gè)人信息保護(hù)法》生效前臨門(mén)一稿,,數(shù)據(jù)合規(guī)三大“玄學(xué)”之一的“數(shù)據(jù)出境規(guī)則”即將掀開(kāi)神秘面紗。
結(jié)合立法沿革,、監(jiān)管意見(jiàn)及近期項(xiàng)目經(jīng)驗(yàn),,匯業(yè)律師事務(wù)所黃春林律師團(tuán)隊(duì)簡(jiǎn)要解讀如下,僅供參考,。正式法律建議及場(chǎng)景化落地,,還請(qǐng)正式咨詢(xún)律師意見(jiàn)。
問(wèn)題一:2021版還會(huì)大改嗎,?
自《網(wǎng)絡(luò)安全法》第37條“開(kāi)天辟地”以來(lái),,數(shù)據(jù)出境規(guī)則每?jī)赡暌蛔儯群蠼?jīng)歷了三個(gè)大版本:
時(shí)間
名稱(chēng)牽頭部門(mén)
2017年4月11日個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法(下稱(chēng)“2017版”)
網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局
2019年6月13日個(gè)人信息出境安全評(píng)估辦法(下稱(chēng)“2019版”)網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局
2021年10月29日數(shù)據(jù)出境安全評(píng)估辦法(下稱(chēng)“2021版”)網(wǎng)信辦網(wǎng)絡(luò)數(shù)據(jù)管理局
從題目就看得出來(lái),,正是應(yīng)了《三國(guó)演義》開(kāi)篇之詞,,“分久必合合久必分”,開(kāi)始是“個(gè)人信息”與“重要數(shù)據(jù)”合并規(guī)范的2017版,,后來(lái)分道揚(yáng)鑣才有了2019版,,最新版握手言和又“在一起”,統(tǒng)稱(chēng)為“數(shù)據(jù)出境”,。
二龍湖浩哥說(shuō)過(guò)“事不過(guò)三”,。江湖上普遍預(yù)測(cè),這一版已經(jīng)是綜合考慮了立法基礎(chǔ)及國(guó)內(nèi)外形勢(shì),,兼顧了各方意見(jiàn)后的相對(duì)成熟的一個(gè)版本,。考慮到《個(gè)人信息保護(hù)法》生效在即,, “奉子成婚”已是必然之選,,因此,,不出意外,《2021版》將在2021年11月28日征求意見(jiàn)到期后盡快發(fā)布,,畢竟江湖上各大廠已經(jīng)“苦秦久矣”,。否則,真是一鼓作氣再而衰三而竭,,“狼來(lái)了”效應(yīng)會(huì)大大削弱立法的威嚴(yán)性,。
若是如此,2022年1月1日估計(jì)是一個(gè)比較好的時(shí)點(diǎn),。但是,,我們建議正式版本設(shè)立一個(gè)三個(gè)月左右的過(guò)渡期,否則按照要求應(yīng)“事先評(píng)估”,,而“事先評(píng)估”的依據(jù)和基礎(chǔ)是“法律生效”,。因此,企業(yè)顯然無(wú)法在法律生效的同時(shí)完成評(píng)估,、申報(bào)等工作,。到時(shí)是選擇“暫停傳輸”損害業(yè)務(wù)連續(xù)性,還是選擇“消極違法”損害企業(yè)合規(guī)性,,必然是兩難的選擇,。墨子說(shuō),法不“逼良為娼”,,這是底限,。
問(wèn)題二:哪些企業(yè)會(huì)落入?
數(shù)據(jù)出境安全評(píng)估的落入門(mén)檻,,也是符合歷史發(fā)展的“單擺規(guī)律”,,先右(2017版有門(mén)檻)再左(2019版無(wú)門(mén)檻)后右(2021版有門(mén)檻),具體如下表:
版本落入門(mén)檻頻率
2017版
CIIO,;特殊行業(yè),;
50萬(wàn)人;1000G
1年
2019版無(wú)門(mén)檻2年
2021版
關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù),;
出境數(shù)據(jù)中包含重要數(shù)據(jù),;
處理PI達(dá)到100萬(wàn)人的個(gè)人信息處理者向境外提供PI;
累計(jì)向境外提供超過(guò)10萬(wàn)人以上PI或者1萬(wàn)人以上SPI
2年
不過(guò),,相較于2017版的落入門(mén)檻,,2021版邏輯更加嚴(yán)密,所謂“法網(wǎng)恢恢疏而不漏”,,具體從兩個(gè)維度設(shè)立了門(mén)檻:
?。?)兩類(lèi)主體需要評(píng)估:CIIO + 處理個(gè)人信息達(dá)到100萬(wàn)人;出境數(shù)量在所不問(wèn),,理論上哪怕1條也需要,。
?。?)兩類(lèi)數(shù)據(jù)需要評(píng)估:出境涉及重要數(shù)據(jù) + 數(shù)據(jù)量超過(guò)10萬(wàn)(PI)或1萬(wàn)(SPI);主體類(lèi)型在所不問(wèn),,理論上哪怕個(gè)人也需要,。
而以上兩個(gè)維度只要符合任何一個(gè)就需要,因此,,考慮到中國(guó)網(wǎng)民基數(shù)及當(dāng)前互聯(lián)網(wǎng)及數(shù)字化發(fā)展程度,,絕大多數(shù)跨境經(jīng)營(yíng)的企業(yè)都會(huì)落入需要出境安全評(píng)估的范疇,進(jìn)而極大的“彌補(bǔ)”了《網(wǎng)絡(luò)安全法》第37條了適用范圍,。
反過(guò)來(lái)可能更好理解,,只有一種企業(yè)可能不需要出境安全評(píng)估,即用戶(hù)數(shù)<100萬(wàn),,且跨境傳輸?shù)腜I<10萬(wàn)(且含有的SPI<1萬(wàn),且含有的重要數(shù)據(jù)<0),。這種情形,,是不是本身就可以適用《個(gè)人信息保護(hù)法》第六十二條第2款來(lái)構(gòu)建制度?
問(wèn)題三:什么叫“跨境提供”,?
遠(yuǎn)的不說(shuō),,《個(gè)人信息保護(hù)法》上叫“跨境提供”,2021版叫“出境”,,法條內(nèi)部叫“向境外提供”,。如何理解這三個(gè)術(shù)語(yǔ),確實(shí)很多企業(yè)都很懵逼,。我們理解,,立法者的原意應(yīng)該是沒(méi)有差別對(duì)待的意圖,都是一個(gè)意思,。
但從《個(gè)人信息保護(hù)法》的內(nèi)部關(guān)系理解,,又犯迷糊了,即第三章的跨境提供的“提供”含義和第23條的“提供”是不是一個(gè)含義,?匯業(yè)律師事務(wù)所黃春林律師團(tuán)隊(duì)理解,,這兩個(gè)“提供”的含義(或稱(chēng)“場(chǎng)景范圍”)是不一樣的,即跨境提供的“提供”實(shí)質(zhì)上是包含了第20條至23條的幾種可能發(fā)生“客觀轉(zhuǎn)移”的情形,,尤其包括委托處理和對(duì)外提供中可能涉及個(gè)人信息出境的情形,,舉例而言:
適用情形場(chǎng)景舉例
因委托處理而出境例如境內(nèi)主體直接使用服務(wù)器位于境外的Oracle、SAP,、Salesforce,、Workday等系統(tǒng)或服務(wù)商。
因?qū)ν馓峁┒鼍忱缦蚓惩饧瘓F(tuán)公司,、關(guān)聯(lián)公司提供,。
有人會(huì)問(wèn),,那么第一種情況,為什么需要,?你去想想出境安全評(píng)估規(guī)則的立法目的就知道了,,否則這些系統(tǒng)也不會(huì)考慮本地化的問(wèn)題了。那么,,和誰(shuí)簽出境合同呢,?當(dāng)然是和受托方簽啊。對(duì)方不同意簽怎么辦,?那是你公司的談判能力不夠啊,,放心,有人在給你開(kāi)路,。
此外,,另外幾個(gè)被廣泛關(guān)注的問(wèn)題匯總?cè)缦拢海?)境外鏡像、遠(yuǎn)程訪問(wèn)也是出境,;(2)去標(biāo)識(shí)化(如MD5加密)和ID轉(zhuǎn)化(例如openID,、jdID、VIN,、各種封閉ID)后的個(gè)人信息出境仍然算,;(3)員工(含外籍員工)信息出境也算;(4)用戶(hù)根據(jù)國(guó)內(nèi)公司指引(例如跳轉(zhuǎn),、通知)或基于國(guó)內(nèi)公司的信賴(lài)(例如購(gòu)買(mǎi)國(guó)內(nèi)產(chǎn)品)向境外網(wǎng)站或系統(tǒng)直接提供(例如投遞簡(jiǎn)歷等)還是算,;(5)用戶(hù)直接(國(guó)內(nèi)公司沒(méi)有任何參與)向境外提供(例如注冊(cè)、打電話(huà),、發(fā)郵件等)的不算……
問(wèn)題四:如何理解“因業(yè)務(wù)需要,,確需”?
無(wú)論是《網(wǎng)絡(luò)安全法》還是《個(gè)人信息保護(hù)法》,,法條規(guī)定的數(shù)據(jù)出境都有個(gè)前提,,即“因業(yè)務(wù)需要,確需”,,只不過(guò)后者多了一個(gè)“等”字,,兼顧了業(yè)務(wù)、技術(shù)等多樣化需求,。這個(gè)前提非常重要,,只有滿(mǎn)足這個(gè)“需要”的前提才能出境,否則不能出境,,就更不考慮38條的路徑選擇問(wèn)題和39條的單獨(dú)同意問(wèn)題了,。
如何理解“因業(yè)務(wù)需要,確需”,?首先,,《個(gè)人信息保護(hù)法》第六條規(guī)定了處理個(gè)人信息應(yīng)“合理”,、“相關(guān)”, 大家很能理解顆粒度,、范圍等的合理,、相關(guān);但是,,針對(duì)不同處理行為也應(yīng)分別開(kāi)展合理,、相關(guān)性判斷,這是很多人容易忽視的判斷點(diǎn),。即,,收集、使用行為你可能滿(mǎn)足合理,、相關(guān)(例如收集生日信息為了發(fā)放生日禮物),,但并不代表你的“對(duì)外提供”、“跨境提供”(生日信息)的行為也滿(mǎn)足合理,、相關(guān)性,。也正是因此,歷次版本的出境安全評(píng)估規(guī)則中安全評(píng)估的重點(diǎn)內(nèi)容之一就是“正當(dāng)性”,、“必要性”,以及《個(gè)人信息保護(hù)法》第五十五條設(shè)置了個(gè)人信息保護(hù)影響評(píng)估制度,,評(píng)估的一個(gè)重要內(nèi)容也是正當(dāng)性,、合理性。所以,,不能用收集,、使用環(huán)節(jié)的合理、相關(guān)性,,去解釋38條出境環(huán)節(jié)的合理,、相關(guān)性。
其次,,《個(gè)人信息保護(hù)法》確立了一套“需要等級(jí)”,,“必需”>“需要”。例如第13條要求的“必需”是最強(qiáng)的,,因此可以不經(jīng)同意(例如跨境電商),;但是,《網(wǎng)絡(luò)安全法》37條和《個(gè)人信息保護(hù)法》38條都沒(méi)有用“必需”,,只是說(shuō)“需要”(可以是業(yè)務(wù)上合理需要,,例如全球聯(lián)保;也可以技術(shù)上的合理需要,,例如國(guó)內(nèi)沒(méi)有替代技術(shù)),,因此才有39條的單獨(dú)同意,。
最后,對(duì)“需要”的判斷不是企業(yè)一廂情愿的“單方價(jià)值判斷”(例如為了節(jié)約成本,、境外集團(tuán)不放權(quán)等),,而應(yīng)當(dāng)從用戶(hù)、監(jiān)管的視角來(lái)客觀評(píng)價(jià)“需要”的合理性,,進(jìn)而滿(mǎn)足“確(實(shí))需(要)”,,否則這套制度的價(jià)值將蕩然無(wú)存。
問(wèn)題五:“本地化”有依據(jù)嗎,?
不同于2017版,、2019版,2021版全篇沒(méi)提“應(yīng)當(dāng)在境內(nèi)存儲(chǔ)”,,是不是說(shuō)就沒(méi)有“本地化”的要求了,?事實(shí)上,這僅僅是個(gè)立法技術(shù)問(wèn)題,。
回到《個(gè)人信息保護(hù)法》第40條的條文結(jié)構(gòu),,即大前提是“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定數(shù)量的個(gè)人信息處理者”,滿(mǎn)足這個(gè)大前提后導(dǎo)致兩個(gè)法律后果,,即應(yīng)當(dāng)“存儲(chǔ)在境內(nèi)”和觸發(fā)“出境安全評(píng)估”,。
在2021版發(fā)布前,至于“國(guó)家網(wǎng)信部門(mén)規(guī)定數(shù)量”,,可能有多個(gè)參考維度,,包括2017版、《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》等,。2021版發(fā)布后,,這個(gè)數(shù)量實(shí)質(zhì)上比較明確了,且與已經(jīng)生效的《汽車(chē)數(shù)據(jù)安全管理若干規(guī)定(試行)》基本一致,。
但是,,有人認(rèn)為2021版第4條的數(shù)據(jù)僅是《個(gè)人信息保護(hù)法》第40條后半句“出境安全評(píng)估”觸發(fā)的參照標(biāo)準(zhǔn),不能套用到前半句應(yīng)當(dāng)“存儲(chǔ)在境內(nèi)”。匯業(yè)黃春林律師團(tuán)隊(duì)認(rèn)為,這種理解實(shí)質(zhì)上是人為割裂了數(shù)據(jù)跨境流動(dòng)安全管理制度的“本地化”和“出境安全評(píng)估”的“一體兩面”,,這兩點(diǎn)實(shí)際上是同一個(gè)立法目的,一個(gè)有機(jī)的,、完整的制度整體,不能割裂開(kāi)來(lái),。我們也很難理解,,網(wǎng)信辦會(huì)再出一個(gè)辦法叫《數(shù)據(jù)境內(nèi)存儲(chǔ)辦法》來(lái)單獨(dú)規(guī)定應(yīng)當(dāng)境內(nèi)存儲(chǔ)的“規(guī)定數(shù)量”。
問(wèn)題六:如何做“單獨(dú)同意”?
“明示同意”還沒(méi)完全搞明白,,《個(gè)人信息保護(hù)法》規(guī)定的這個(gè)“單獨(dú)同意”,,導(dǎo)致整個(gè)數(shù)據(jù)合規(guī)圈 “花樣百出”、“雞飛狗跳”,,這樣形容一點(diǎn)都不為過(guò),,要不各位看官等11月1日后看各大廠的個(gè)保規(guī)則和交互界面就明白了。
首先,,“同意”和“單獨(dú)同意”是平行關(guān)系還是包含關(guān)系,,各方爭(zhēng)論激烈,似乎都有道理,,但我個(gè)人認(rèn)為這個(gè)是“語(yǔ)文作業(yè)”,,最多也就算個(gè)“數(shù)學(xué)作業(yè)”,認(rèn)為是平行關(guān)系的可以去補(bǔ)補(bǔ)課,。哦對(duì),,學(xué)科教育“雙減”了,沒(méi)地方,。
其次,,單獨(dú)同意怎么搞?坦誠(chéng)的說(shuō),,這個(gè)問(wèn)題我覺(jué)得要開(kāi)賬單,,這里僅表一二:
(1)5種單獨(dú)同意可以歸納為兩類(lèi):敏感度可能提高(T26,、29),,需要增強(qiáng)同意;處理者可能發(fā)生轉(zhuǎn)移(T23,、25,、39),,需要個(gè)人自決,。
(2)收集敏感個(gè)人信息,,主要無(wú)外有兩種情況:一種是用戶(hù)自己主動(dòng)填寫(xiě),、提交、口述,、配合等,,這當(dāng)然是單獨(dú)同意了;另一種系統(tǒng)權(quán)限自動(dòng)采集,,現(xiàn)在開(kāi)啟系統(tǒng)權(quán)限都有彈框授權(quán),、撤回授權(quán)和狀態(tài)提示,當(dāng)然也滿(mǎn)足單獨(dú)同意了。其他的一些特殊的小場(chǎng)景,,不是單獨(dú)同意的問(wèn)題,,是你連有效的同意都沒(méi)做到問(wèn)題。
?。?)極少企業(yè)有純粹的公開(kāi)或?qū)ν馓峁﹤€(gè)人信息的場(chǎng)景(畢竟數(shù)據(jù)是企業(yè)的競(jìng)爭(zhēng)力和生命線(xiàn),,誰(shuí)愿意對(duì)外提供啊),,例如把個(gè)人信息“賣(mài)”或“贈(zèng)”給接收方(“不用還回來(lái)”,,現(xiàn)在很多風(fēng)控業(yè)務(wù)也僅僅是“通道模式”);大多數(shù)情況下是委托處理(“要還回來(lái)的”)或者“合同必需”的提供(例如物流,、支付等)或“法定義務(wù)”的提供(例如不良申報(bào)),。目前真正意義的對(duì)外提供,最多的其實(shí)是關(guān)聯(lián)公司之間的提供,,嚴(yán)格意義來(lái)說(shuō)也是對(duì)外提供,,只不過(guò)(非法利用、泄露或被發(fā)現(xiàn)的)風(fēng)險(xiǎn)相對(duì)可控,。
?。?)跨境提供其實(shí)才是“單獨(dú)同意”的主戰(zhàn)場(chǎng),因?yàn)榇罅客赓Y企業(yè)存在(用戶(hù)或員工)個(gè)人信息跨境提供的情況,。這種情況怎么做落地,?說(shuō)實(shí)話(huà),由于業(yè)務(wù)復(fù)雜性,、系統(tǒng)多樣性以及各公司的管理架構(gòu)和合規(guī)文化差異較大,,很難有絕對(duì)合規(guī)、放之四海而皆準(zhǔn)的落地做法,,只能根據(jù)各公司的實(shí)際情況單獨(dú)討論(說(shuō)人話(huà)就是要開(kāi)賬單),,并分步推進(jìn)合規(guī)建設(shè),不斷探索風(fēng)險(xiǎn)與成本的平衡點(diǎn),。
此外,,“單獨(dú)同意”絕對(duì)不是簡(jiǎn)單的增加一個(gè)勾選框或彈窗那么簡(jiǎn)單,是必選嗎,?用戶(hù)不同意怎么辦,?用戶(hù)只同意部分?jǐn)?shù)據(jù)出境可以嗎?數(shù)據(jù)庫(kù)表是不是要加字段,?系統(tǒng)怎么改造,?這些問(wèn)題都要配套解決。SayNO,,誰(shuí)不會(huì),?
最后一點(diǎn),整個(gè)行業(yè)實(shí)踐及用戶(hù)習(xí)慣,需要一個(gè)養(yǎng)成過(guò)程,,當(dāng)年我們提出來(lái)必須彈窗權(quán)限,、主動(dòng)勾選隱私政策的時(shí)候,業(yè)務(wù)和技術(shù)的不也跳出來(lái)咆哮,,這樣會(huì)搞死“用戶(hù)體驗(yàn)”嗎,?
問(wèn)題七:“標(biāo)準(zhǔn)合同”不需要了?
2021版第9條“怎么還在教我們做合同”,?《個(gè)人信息保護(hù)法》不是說(shuō)“按照國(guó)家網(wǎng)信部門(mén)制定的標(biāo)準(zhǔn)合同”簽署嗎,?那么是不是意味著“標(biāo)準(zhǔn)合同”跳票了呢?
不是的,。不管采取《個(gè)人信息保護(hù)法》第38條的哪種路徑出境,,都需要與接收方簽訂合同(參考第21、23條),。只不過(guò),,如果按照第38條第3款路徑出境的,需要簽“按照國(guó)家網(wǎng)信部門(mén)制定的標(biāo)準(zhǔn)合同”,;而如果第38條第1款路徑(安全評(píng)估)出境需要簽訂的合同,,可以不用標(biāo)準(zhǔn)合同,但是內(nèi)容需要涵蓋2021版第9條規(guī)定的內(nèi)容,。
這也就是為什么,,我們沒(méi)有等國(guó)家的法定標(biāo)準(zhǔn)合同出來(lái),已經(jīng)幫很多企業(yè)草擬非標(biāo)版數(shù)據(jù)出境協(xié)議先用起來(lái)滿(mǎn)足形式合規(guī)要求,。相比較于2019版對(duì)合同內(nèi)容的各方責(zé)任的詳細(xì)規(guī)定,,2021版規(guī)定更加原則,但增加了“具有約束力且可執(zhí)行的爭(zhēng)議解決條款”等內(nèi)容,,匯業(yè)黃春林律師團(tuán)隊(duì)建議約定為境內(nèi)法院管轄或香港仲裁,。
問(wèn)題八:現(xiàn)在要做什么?
我們已經(jīng)完成的外企數(shù)據(jù)合規(guī)項(xiàng)目中,,在提示政策大趨勢(shì)后,,大多數(shù)都是把數(shù)據(jù)跨境合規(guī)模塊放在第二階段的,原因是當(dāng)時(shí)網(wǎng)信辦細(xì)則還沒(méi)出來(lái),,避免重復(fù)合規(guī)建設(shè),。目前,,2021版基本成型,,政策路徑相對(duì)清晰,建議符合“落入門(mén)檻”的企業(yè)盡快推進(jìn)數(shù)據(jù)跨境合規(guī)模塊,,以避免辦法生效后要么“停業(yè)”要么“違法”的艱難抉擇,。匯業(yè)黃春林律師團(tuán)隊(duì)建議,企業(yè)應(yīng)當(dāng)著手準(zhǔn)備包括但不限于工作:
(1)組建項(xiàng)目團(tuán)隊(duì),,調(diào)研數(shù)據(jù)出境情況(第一階段已經(jīng)完成的除外),;
(2)項(xiàng)目宣導(dǎo),,以及境外集團(tuán),、供應(yīng)商溝通、討論,;
?。?)必要的系統(tǒng)改造、改進(jìn)機(jī)制(例如系統(tǒng)遷移,、本地備份,、字段限制與脫敏、訪問(wèn)控制等等)方案評(píng)審,、解釋及談判等,;
(4)制定數(shù)據(jù)出境協(xié)議,,審核涉及數(shù)據(jù)出境相關(guān)產(chǎn)品或服務(wù)的個(gè)保規(guī)則/條款以及交互界面文案(第一階段已經(jīng)完成的除外),;
(5)結(jié)合個(gè)人信息保護(hù)影響評(píng)估制度,,制定數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估制度及機(jī)制,,包括但不限于評(píng)估范圍、評(píng)估組織,、評(píng)估流程,、評(píng)估指標(biāo)、評(píng)估標(biāo)準(zhǔn),、評(píng)估申報(bào),、標(biāo)準(zhǔn)模板及配套表格等;
?。?)關(guān)鍵入境地法律政策環(huán)境及安全環(huán)境調(diào)研,;
(7)根據(jù)公司資源情況,,選擇全域或關(guān)鍵模塊(例如CRM系統(tǒng))開(kāi)展數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估,,并撰寫(xiě)自評(píng)估報(bào)告(初稿)備用;
?。?)持續(xù)跟進(jìn)政策及行業(yè)實(shí)踐變化,;等等。