文/周芃芃
阅读提示 2021年11月14日,《网络数据安全管理条例(征求意见稿)》(以下简称“《数安条例》”)发布。《数安条例》是《网络安全法》、《数据安全法》和《个人信息保护法》的下位法,是对这三部法律的细化和补充,同时也增设了一些新的制度体系。本文主要对数据跨境传输有关制度进行解读。
一、数据跨境传输前置条件以及例外 《数安条例草案》第三十五条对数据跨境传输的前置条件进行了规定,包括:
数据处理者因业务等需要,确需向中华人民共和国境外提供数据的,应当具备下列条件之一:
1、通过国家网信部门组织的数据出境安全评估;
2、数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证;
3、按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同,约定双方权利和义务;
4、法律、行政法规或者国家网信部门规定的其他条件。
数据跨境传输的例外则在第三十五条第二款进行规定,包括:
数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的,或者为了保护个人生命健康和财产安全而必须向境外提供个人信息的除外。
根据本条规定,数据处理者无论向境外提供什么样的数据,都必须要满足上述的前置条件;在数据跨境传输的例外中,什么是“为订立、履行个人作为一方当事人的合同所必需”、“保护个人生命健康和财产安全而必须”还留待在实践中进一步澄清。
二、个人信息跨境传输的要求 《数安条例草案》第三十六条对个人信息跨境提出了相应要求,包括:数据处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外数据接收方的名称、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外数据接收方行使个人信息权利的方式等事项,并取得个人的单独同意。这与《个人信息保护法》第三十九条,对于个人信息出境,需要取得个人的单独同意要求是一致的。
但当出现本条例第三十五条的例外情形,即出现“为订立、履行个人作为一方当事人的合同所必需”、“保护个人生命健康和财产安全而必须”的情况时,是否需要取得个人的单独同意,还未明确。
三、数据出境安全评估 征求意见稿明确了企业风险自评估和网信部门安全评估两种评估流程。
1、风险自评估:企业的风险自评估为数据处理者向境外提供数据前的必经流程。
2、网信部门安全评估的触发标准:主管机构的安全评估并非必经流程,《数安条例草案》第三十七条规定了需要通过国家网信部门组织的数据出境安全评估的几种情形,包括:
(1)出境数据包含重要数据;
(2)关键信息基础设施运营者和处理一百万以上个人信息的数据处理者向境外提供个人信息。
数据处理者如违反上述义务,根据《数安条例草案》第六十四条,可能被有关部门勒令暂停数据出境,企业及相关负责人则会分别面临顶格罚金为一千万元及一百万元的处罚,包括:
(1)由有关部门责令改正,给予警告,暂停数据出境,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;
(2)情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
四、企业数据出境合规建议 目前,在数据合规领域,层出不穷的监管要求给数据处理者带来了很多挑战。在此背景之下,我们建议具有相关需求的企业做好数据出境合规的工作,包括:
1、对自身的数据进行清查,对于出境需求和场景进行整理,对照有关法律法规,明确合规要求;
2、对于跨国企业,应对做好数据的本地化存储体系,从硬件层面规避数据违规出境的风险;
3、按照要求《数安条例草案》等文件的要求积极开展数据出境风险自评估;
4、与监管部门保持良好沟通,不断完善企业内部的数据出境合规体系,在安全评估的正式规定出台后,依法依规申报开展数据处境安全评估,确保数据跨境活动的合规与安全。