《數(shù)據(jù)安全法》下數(shù)據(jù)跨境合規(guī)新要求
2021年6月10日,《數(shù)據(jù)安全法》(下稱“《數(shù)安法》”)正式頒布,作為國(guó)家安全重要組成部分之一,以總體國(guó)家安全觀為主線,首次提出“國(guó)家核心數(shù)據(jù)”概念,構(gòu)建數(shù)據(jù)分級(jí)分類保護(hù)等基本制度,正式確立了我國(guó)數(shù)據(jù)保護(hù)領(lǐng)域頂層立法架構(gòu)。
數(shù)據(jù)跨境與國(guó)家安全緊密相關(guān),無疑是本次《數(shù)安法》最值得關(guān)注的重點(diǎn)之一?!稊?shù)安法》構(gòu)建的數(shù)據(jù)跨境制度與《網(wǎng)絡(luò)安全法》建構(gòu)關(guān)鍵信息基礎(chǔ)運(yùn)營(yíng)者數(shù)據(jù)跨境規(guī)定相銜接,與正在審議的《個(gè)人信息保護(hù)法》(第二次審議稿)》(下稱“《個(gè)保法(二稿)》關(guān)于個(gè)人信息跨境規(guī)定共同構(gòu)建起我國(guó)數(shù)據(jù)跨境的基本制度。本文繼續(xù)結(jié)合前期探討個(gè)人信息保護(hù)法系列文章,結(jié)合新頒布的《數(shù)安法》和《個(gè)保法(二稿)》等規(guī)定探討數(shù)據(jù)跨境問題,以期為企業(yè)數(shù)據(jù)跨境合規(guī)工作提供思路和參考。
一、如何認(rèn)定是否屬于數(shù)據(jù)跨境?
把握數(shù)據(jù)跨境準(zhǔn)確含義是合規(guī)的首要前提,但數(shù)據(jù)跨境本身不是一個(gè)法律概念,跨境更多是事實(shí)判斷,理解數(shù)據(jù)是否跨境需要結(jié)合具體國(guó)家的法律規(guī)定和具體場(chǎng)景。
《數(shù)安法》出臺(tái)前,法律層面除了個(gè)別個(gè)人信息類型出境有明確監(jiān)管規(guī)定外,數(shù)據(jù)跨境規(guī)定主要由國(guó)家網(wǎng)信辦牽頭制定,其中,《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法(征求意見稿)》規(guī)定數(shù)據(jù)出境是指網(wǎng)絡(luò)運(yùn)營(yíng)者將在我國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù),提供給位于境外的機(jī)構(gòu)、組織、個(gè)人,《個(gè)人信息出境安全評(píng)估辦法(征求意見稿)》規(guī)定數(shù)據(jù)出境是指向境外提供在我國(guó)境內(nèi)運(yùn)營(yíng)中收集的個(gè)人信息。
《數(shù)安法》延續(xù)和完善上述規(guī)定,第31條規(guī)定“數(shù)據(jù)出境安全管理”,明確將數(shù)據(jù)出境從主體上分為兩個(gè)體系,即關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和其他數(shù)據(jù)處理者的數(shù)據(jù)出境制度。其中關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在我國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理,適用《網(wǎng)絡(luò)安全法》的規(guī)定,其他數(shù)據(jù)處理者在我國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法,由國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定。
從上述規(guī)定來看,并非任何數(shù)據(jù)從我國(guó)跨境都要受到監(jiān)管限制,《數(shù)安法》界定范圍是在我國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的數(shù)據(jù),換言之,在境外收集和產(chǎn)生的數(shù)據(jù)不在此列,進(jìn)一步來說,國(guó)外收集和產(chǎn)生數(shù)據(jù)但經(jīng)我國(guó)境內(nèi)處理后出境是否受到限制?從《數(shù)安法》規(guī)定來看,沒有明確。
但是,對(duì)于個(gè)人信息類型的數(shù)據(jù),根據(jù)《個(gè)保法(二稿)》,個(gè)保法調(diào)整的是在我國(guó)境內(nèi)個(gè)人信息處理活動(dòng),第38條規(guī)定個(gè)人信息處理者因業(yè)務(wù)等需要,確需向境外提供個(gè)人信息的,應(yīng)當(dāng)至少具備一定條件,也就是說,除我國(guó)境內(nèi)收集和產(chǎn)生的個(gè)人信息,境外收集和產(chǎn)生的個(gè)人信息在我國(guó)境內(nèi)處理后,出境也要滿足我國(guó)關(guān)于個(gè)人信息出境的相關(guān)規(guī)定。但是境外收集和產(chǎn)生的個(gè)人信息短時(shí)間同步到我國(guó)境內(nèi)服務(wù)器未經(jīng)處理后出境并不受個(gè)保法限制。
從事實(shí)來看,數(shù)據(jù)跨境并非單純地理意義上跨越國(guó)境,也不僅指物理意義上攜帶出境,向境外提供數(shù)據(jù)的方式有很多,只要境外主體能夠訪問、檢索存儲(chǔ)在我國(guó)境內(nèi)數(shù)據(jù)即可,數(shù)據(jù)跨境更多指的是數(shù)據(jù)在不同數(shù)據(jù)保護(hù)法律制度的國(guó)家或地區(qū)之間轉(zhuǎn)移事實(shí)。
二、不同類型數(shù)據(jù)跨境的不同要求
《數(shù)安法》規(guī)定數(shù)據(jù)分級(jí)分類保護(hù),基于總體國(guó)家安全觀下,建立了不同類型和層級(jí)的數(shù)據(jù)跨境體系,允許數(shù)據(jù)跨境流動(dòng),但要在國(guó)家監(jiān)管規(guī)定下有序進(jìn)行。具體而言:
1.可能影響國(guó)家安全的數(shù)據(jù)不得出境。根據(jù)《數(shù)安法》第24條,對(duì)于影響或者可能影響國(guó)家安全的數(shù)據(jù)處理,國(guó)家實(shí)施安全審查?!稊?shù)安法》首次提出關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈、重要民生、重大公共利益等數(shù)據(jù)是國(guó)家核心數(shù)據(jù),建立數(shù)據(jù)安全審查制度就是為了嚴(yán)格管控國(guó)家核心數(shù)據(jù)的安全,數(shù)據(jù)安全審查是全新的制度,后續(xù)需要進(jìn)一步細(xì)化,具體實(shí)施尚待觀察。而國(guó)家網(wǎng)信辦《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法(征求意見稿)》規(guī)定,經(jīng)過評(píng)估,數(shù)據(jù)出境給國(guó)家政治、經(jīng)濟(jì)、科技、國(guó)防等安全帶來風(fēng)險(xiǎn),可能影響國(guó)家安全、損害社會(huì)公共利益,不得出境??梢?,安全評(píng)估實(shí)質(zhì)上也是一種事前審查機(jī)制,安全審查是由國(guó)家安全相關(guān)部門針對(duì)特定數(shù)據(jù)類型進(jìn)行安全審查,包括數(shù)據(jù)跨境安全審查,而安全評(píng)估則可能成為數(shù)據(jù)跨境常規(guī)操作。
2.對(duì)維護(hù)國(guó)家安全和利益、履行國(guó)際義務(wù)的數(shù)據(jù)出境進(jìn)行管制。根據(jù)《數(shù)安法》第25條,國(guó)家對(duì)與維護(hù)國(guó)家安全和利益、履行國(guó)際義務(wù)相關(guān)的屬于管制物項(xiàng)的數(shù)據(jù)依法實(shí)施出口管制。從規(guī)定來看,國(guó)家安全審查與數(shù)據(jù)出口管制是相互銜接的,后續(xù)國(guó)家可能進(jìn)一步細(xì)化需要審查和管制的數(shù)據(jù)名錄。
3.未經(jīng)主管機(jī)關(guān)批準(zhǔn)不得向境外司法或執(zhí)法機(jī)構(gòu)提供境內(nèi)存儲(chǔ)的數(shù)據(jù)。《數(shù)安法》36條對(duì)國(guó)際司法協(xié)助調(diào)取數(shù)據(jù)進(jìn)行了規(guī)定,明確規(guī)定了境內(nèi)任何數(shù)據(jù)處理者在未經(jīng)主管機(jī)關(guān)批準(zhǔn)的情況下,不得對(duì)外提供,強(qiáng)調(diào)了國(guó)家數(shù)據(jù)主權(quán)和安全?!秱€(gè)保法(二稿)》也進(jìn)行了類似規(guī)定。
4.關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者的數(shù)據(jù)本地化存儲(chǔ)。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者本地化存儲(chǔ)義務(wù)是開展信息處理活動(dòng)的前提,從《網(wǎng)絡(luò)安全法》規(guī)定來看,公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域?qū)儆陉P(guān)鍵信息基礎(chǔ)運(yùn)營(yíng)者。
《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》進(jìn)一步將以下單位列為關(guān)鍵信息基礎(chǔ)實(shí)施運(yùn)營(yíng)者:(1)政府機(jī)關(guān)和能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護(hù)、公用事業(yè)等行業(yè)領(lǐng)域的單位;(2)電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)等信息網(wǎng)絡(luò),以及提供云計(jì)算、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡(luò)服務(wù)的單位;(3)國(guó)防科工、大型裝備、化工、食品藥品等行業(yè)領(lǐng)域科研生產(chǎn)單位;(4)廣播電臺(tái)、電視臺(tái)、通訊社等新聞單位。
普通企業(yè)被識(shí)別為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者可能性較低,處理個(gè)人信息達(dá)到一定數(shù)量的個(gè)人信息處理者目前尚待后續(xù)規(guī)定予以明確。就目前而言,不屬于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的數(shù)據(jù)處理者或小規(guī)模個(gè)人信息處理者數(shù)據(jù)跨境并無明確本地化存儲(chǔ)義務(wù)的規(guī)定。
5.個(gè)人信息類型的數(shù)據(jù)跨境合規(guī)要求將有明確規(guī)定。《個(gè)保法(二稿)》第38條明確個(gè)人信息因業(yè)務(wù)需要跨境向境外提供的要選擇以下三種其中一種:(1)通過網(wǎng)信部門的安全評(píng)估;(2)經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證;(3)按照國(guó)家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同。在此基礎(chǔ)上,個(gè)人信息處理者還應(yīng)當(dāng)向個(gè)人告知境外接收方的身份、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的種類以及個(gè)人向境外接收方行使本法律規(guī)定權(quán)利的方式等事項(xiàng),并取得個(gè)人的單獨(dú)同意。
可見,《個(gè)保法(二稿)》建立的個(gè)人信息跨境的辦法借鑒了歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR),但沒有規(guī)定個(gè)人信息保護(hù)水平充分性認(rèn)定機(jī)制,并且規(guī)定即便采取了安全評(píng)估、認(rèn)證或標(biāo)準(zhǔn)合同條款任一機(jī)制跨境傳輸個(gè)人信息也必須獲得個(gè)人信息主體的單獨(dú)同意,該單獨(dú)同意的合規(guī)要求相較很多國(guó)家和地區(qū)而言是比較嚴(yán)格的。
6.不得向被我國(guó)列入限制或者禁止個(gè)人信息提供清單的境外個(gè)人、組織提供個(gè)人信息。該負(fù)面清單措施是《個(gè)保法(二稿)》第42條規(guī)定針對(duì)境外的組織、個(gè)人從事?lián)p害我國(guó)公民的個(gè)人信息權(quán)益,或者危害我國(guó)國(guó)家安全、公共利益的個(gè)人信息處理活動(dòng)的一種懲罰措施?!稊?shù)安法》沒有作詳細(xì)相關(guān)規(guī)定,但第2條規(guī)定了境外開展數(shù)據(jù)處理活動(dòng),損害我國(guó)國(guó)家安全、公共利益或者公民、組織合法權(quán)益的,依法追究法律責(zé)任。負(fù)面清單屬于法律后果之一。
三、新法下數(shù)據(jù)跨境合規(guī)的思路
《數(shù)安法》于2021年9月1日起施行,《個(gè)保法》預(yù)計(jì)也很快出臺(tái),新法頒布后,企業(yè)個(gè)人信息保護(hù)和數(shù)據(jù)安全的合規(guī)工作上必須以新法為依據(jù)進(jìn)行梳理,數(shù)據(jù)跨境合規(guī)方面的工作應(yīng)該是企業(yè)應(yīng)該關(guān)注的重點(diǎn)內(nèi)容之一。本文結(jié)合前述數(shù)據(jù)跨境含義和目前監(jiān)管規(guī)定基礎(chǔ),梳理了企業(yè)和其他數(shù)據(jù)處理者數(shù)據(jù)跨境合規(guī)工作的思路和路徑,企業(yè)可以結(jié)合自身實(shí)際開展相應(yīng)合規(guī)落地工作。
1.對(duì)數(shù)據(jù)進(jìn)行分級(jí)分類。《數(shù)安法》總體上把數(shù)據(jù)劃分為國(guó)家核心數(shù)據(jù)、重要數(shù)據(jù)和一般數(shù)據(jù)。有關(guān)國(guó)家、地方相關(guān)部門陸續(xù)會(huì)制定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄。建議企業(yè)對(duì)照數(shù)據(jù)目錄結(jié)合自身處理數(shù)據(jù)進(jìn)行分類和細(xì)化。
2.識(shí)別數(shù)據(jù)來源。識(shí)別并非指數(shù)據(jù)來源是否合法、數(shù)據(jù)處理是否正當(dāng)?shù)?,而是識(shí)別所處理的數(shù)據(jù)來自于境內(nèi)還是境外,包括從其他數(shù)據(jù)處理者獲取的數(shù)據(jù)來源情況。
3.進(jìn)行本地化存儲(chǔ)安排。企業(yè)根據(jù)識(shí)別和數(shù)據(jù)分類情況,如涉及重要數(shù)據(jù)和一定數(shù)量個(gè)人信息處理業(yè)務(wù)的,需進(jìn)行數(shù)據(jù)本地化存儲(chǔ)。
4.定期進(jìn)行數(shù)據(jù)安全評(píng)估。建議企業(yè)在安全評(píng)估中增加可能影響國(guó)家安全、社會(huì)公共利益等考量因素。安全評(píng)估有助于識(shí)別企業(yè)在運(yùn)營(yíng)中存在的安全風(fēng)險(xiǎn),在數(shù)據(jù)跨境情況下,可以有效降低企業(yè)法律風(fēng)險(xiǎn)。
5.加強(qiáng)數(shù)據(jù)分級(jí)授權(quán)與使用審批。數(shù)據(jù)訪問控制方面,企業(yè)要逐漸建立根據(jù)“業(yè)務(wù)需要”和“最小權(quán)限”原則,進(jìn)行數(shù)據(jù)使用相關(guān)的權(quán)限管理,嚴(yán)格控制和分配訪問權(quán)限。對(duì)我國(guó)境外機(jī)構(gòu)申請(qǐng)調(diào)取或傳輸數(shù)據(jù)的,需格外注意,特別是境外執(zhí)法機(jī)構(gòu)數(shù)據(jù)調(diào)取,要得到我國(guó)主管機(jī)關(guān)的批準(zhǔn)。
6.區(qū)分個(gè)人信息、重要數(shù)據(jù)和其他類型數(shù)據(jù)跨境安排。個(gè)人信息和重要數(shù)據(jù)跨境規(guī)定已有《個(gè)人信息保護(hù)法》和《網(wǎng)絡(luò)安全法》的規(guī)定,個(gè)人信息可以通過標(biāo)準(zhǔn)合同條款、認(rèn)證機(jī)制和國(guó)家安全評(píng)估任一機(jī)制進(jìn)行跨境傳輸,其他數(shù)據(jù)跨境也將會(huì)由網(wǎng)信辦等相關(guān)部門制定。
四、結(jié)?語(yǔ)
與歐盟通過GDPR及細(xì)化規(guī)定希望建立單一數(shù)字市場(chǎng)的戰(zhàn)略相似,我國(guó)通過《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》以及《網(wǎng)絡(luò)安全法》共同構(gòu)建我國(guó)統(tǒng)一有序自由流動(dòng)的數(shù)字市場(chǎng),其中《數(shù)據(jù)安全法》以安全為底色,為我國(guó)數(shù)字市場(chǎng)發(fā)展提供基礎(chǔ)制度保障,標(biāo)志著我國(guó)數(shù)據(jù)行業(yè)較為野蠻發(fā)展時(shí)代將成為歷史,行業(yè)監(jiān)管將趨于規(guī)范和嚴(yán)格,而數(shù)據(jù)跨境是國(guó)家安全重要內(nèi)容,也是我國(guó)數(shù)字市場(chǎng)與國(guó)際數(shù)字市場(chǎng)對(duì)接的重要工具,不僅可為我國(guó)企業(yè)“出?!北q{護(hù)航,也有利于我國(guó)參與制定數(shù)據(jù)跨境流動(dòng)相關(guān)國(guó)際規(guī)則爭(zhēng)取更多主動(dòng)權(quán)。