《數據安全法》下數據跨境合規新要求
2021年6月10日,《數據安全法》(下稱“《數安法》”)正式頒布,作為國家安全重要組成部分之一,以總體國家安全觀為主線,首次提出“國家核心數據”概念,構建數據分級分類保護等基本制度,正式確立了我國數據保護領域頂層立法架構。
數據跨境與國家安全緊密相關,無疑是本次《數安法》最值得關注的重點之一?!稊蛋卜ā窐嫿ǖ臄祿缇持贫扰c《網絡安全法》建構關鍵信息基礎運營者數據跨境規定相銜接,與正在審議的《個人信息保護法》(第二次審議稿)》(下稱“《個保法(二稿)》關于個人信息跨境規定共同構建起我國數據跨境的基本制度。本文繼續結合前期探討個人信息保護法系列文章,結合新頒布的《數安法》和《個保法(二稿)》等規定探討數據跨境問題,以期為企業數據跨境合規工作提供思路和參考。
一、如何認定是否屬于數據跨境?
把握數據跨境準確含義是合規的首要前提,但數據跨境本身不是一個法律概念,跨境更多是事實判斷,理解數據是否跨境需要結合具體國家的法律規定和具體場景。
《數安法》出臺前,法律層面除了個別個人信息類型出境有明確監管規定外,數據跨境規定主要由國家網信辦牽頭制定,其中,《個人信息和重要數據出境安全評估辦法(征求意見稿)》規定數據出境是指網絡運營者將在我國境內運營中收集和產生的個人信息和重要數據,提供給位于境外的機構、組織、個人,《個人信息出境安全評估辦法(征求意見稿)》規定數據出境是指向境外提供在我國境內運營中收集的個人信息。
《數安法》延續和完善上述規定,第31條規定“數據出境安全管理”,明確將數據出境從主體上分為兩個體系,即關鍵信息基礎設施運營者和其他數據處理者的數據出境制度。其中關鍵信息基礎設施的運營者在我國境內運營中收集和產生的重要數據的出境安全管理,適用《網絡安全法》的規定,其他數據處理者在我國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。
從上述規定來看,并非任何數據從我國跨境都要受到監管限制,《數安法》界定范圍是在我國境內運營中收集和產生的數據,換言之,在境外收集和產生的數據不在此列,進一步來說,國外收集和產生數據但經我國境內處理后出境是否受到限制?從《數安法》規定來看,沒有明確。
但是,對于個人信息類型的數據,根據《個保法(二稿)》,個保法調整的是在我國境內個人信息處理活動,第38條規定個人信息處理者因業務等需要,確需向境外提供個人信息的,應當至少具備一定條件,也就是說,除我國境內收集和產生的個人信息,境外收集和產生的個人信息在我國境內處理后,出境也要滿足我國關于個人信息出境的相關規定。但是境外收集和產生的個人信息短時間同步到我國境內服務器未經處理后出境并不受個保法限制。
從事實來看,數據跨境并非單純地理意義上跨越國境,也不僅指物理意義上攜帶出境,向境外提供數據的方式有很多,只要境外主體能夠訪問、檢索存儲在我國境內數據即可,數據跨境更多指的是數據在不同數據保護法律制度的國家或地區之間轉移事實。
二、不同類型數據跨境的不同要求
《數安法》規定數據分級分類保護,基于總體國家安全觀下,建立了不同類型和層級的數據跨境體系,允許數據跨境流動,但要在國家監管規定下有序進行。具體而言:
1.可能影響國家安全的數據不得出境。根據《數安法》第24條,對于影響或者可能影響國家安全的數據處理,國家實施安全審查?!稊蛋卜ā肥状翁岢鲫P系國家安全、國民經濟命脈、重要民生、重大公共利益等數據是國家核心數據,建立數據安全審查制度就是為了嚴格管控國家核心數據的安全,數據安全審查是全新的制度,后續需要進一步細化,具體實施尚待觀察。而國家網信辦《個人信息和重要數據出境安全評估辦法(征求意見稿)》規定,經過評估,數據出境給國家政治、經濟、科技、國防等安全帶來風險,可能影響國家安全、損害社會公共利益,不得出境??梢?,安全評估實質上也是一種事前審查機制,安全審查是由國家安全相關部門針對特定數據類型進行安全審查,包括數據跨境安全審查,而安全評估則可能成為數據跨境常規操作。
2.對維護國家安全和利益、履行國際義務的數據出境進行管制。根據《數安法》第25條,國家對與維護國家安全和利益、履行國際義務相關的屬于管制物項的數據依法實施出口管制。從規定來看,國家安全審查與數據出口管制是相互銜接的,后續國家可能進一步細化需要審查和管制的數據名錄。
3.未經主管機關批準不得向境外司法或執法機構提供境內存儲的數據。《數安法》36條對國際司法協助調取數據進行了規定,明確規定了境內任何數據處理者在未經主管機關批準的情況下,不得對外提供,強調了國家數據主權和安全?!秱€保法(二稿)》也進行了類似規定。
4.關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者的數據本地化存儲。關鍵信息基礎設施運營者本地化存儲義務是開展信息處理活動的前提,從《網絡安全法》規定來看,公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域屬于關鍵信息基礎運營者。
《關鍵信息基礎設施安全保護條例(征求意見稿)》進一步將以下單位列為關鍵信息基礎實施運營者:(1)政府機關和能源、金融、交通、水利、衛生醫療、教育、社保、環境保護、公用事業等行業領域的單位;(2)電信網、廣播電視網、互聯網等信息網絡,以及提供云計算、大數據和其他大型公共信息網絡服務的單位;(3)國防科工、大型裝備、化工、食品藥品等行業領域科研生產單位;(4)廣播電臺、電視臺、通訊社等新聞單位。
普通企業被識別為關鍵信息基礎設施運營者可能性較低,處理個人信息達到一定數量的個人信息處理者目前尚待后續規定予以明確。就目前而言,不屬于關鍵信息基礎設施運營者的數據處理者或小規模個人信息處理者數據跨境并無明確本地化存儲義務的規定。
5.個人信息類型的數據跨境合規要求將有明確規定。《個保法(二稿)》第38條明確個人信息因業務需要跨境向境外提供的要選擇以下三種其中一種:(1)通過網信部門的安全評估;(2)經專業機構進行個人信息保護認證;(3)按照國家網信部門制定的標準合同與境外接收方訂立合同。在此基礎上,個人信息處理者還應當向個人告知境外接收方的身份、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法律規定權利的方式等事項,并取得個人的單獨同意。
可見,《個保法(二稿)》建立的個人信息跨境的辦法借鑒了歐盟《通用數據保護條例》(GDPR),但沒有規定個人信息保護水平充分性認定機制,并且規定即便采取了安全評估、認證或標準合同條款任一機制跨境傳輸個人信息也必須獲得個人信息主體的單獨同意,該單獨同意的合規要求相較很多國家和地區而言是比較嚴格的。
6.不得向被我國列入限制或者禁止個人信息提供清單的境外個人、組織提供個人信息。該負面清單措施是《個保法(二稿)》第42條規定針對境外的組織、個人從事損害我國公民的個人信息權益,或者危害我國國家安全、公共利益的個人信息處理活動的一種懲罰措施?!稊蛋卜ā窙]有作詳細相關規定,但第2條規定了境外開展數據處理活動,損害我國國家安全、公共利益或者公民、組織合法權益的,依法追究法律責任。負面清單屬于法律后果之一。
三、新法下數據跨境合規的思路
《數安法》于2021年9月1日起施行,《個保法》預計也很快出臺,新法頒布后,企業個人信息保護和數據安全的合規工作上必須以新法為依據進行梳理,數據跨境合規方面的工作應該是企業應該關注的重點內容之一。本文結合前述數據跨境含義和目前監管規定基礎,梳理了企業和其他數據處理者數據跨境合規工作的思路和路徑,企業可以結合自身實際開展相應合規落地工作。
1.對數據進行分級分類。《數安法》總體上把數據劃分為國家核心數據、重要數據和一般數據。有關國家、地方相關部門陸續會制定本地區、本部門以及相關行業、領域的重要數據具體目錄。建議企業對照數據目錄結合自身處理數據進行分類和細化。
2.識別數據來源。識別并非指數據來源是否合法、數據處理是否正當等,而是識別所處理的數據來自于境內還是境外,包括從其他數據處理者獲取的數據來源情況。
3.進行本地化存儲安排。企業根據識別和數據分類情況,如涉及重要數據和一定數量個人信息處理業務的,需進行數據本地化存儲。
4.定期進行數據安全評估。建議企業在安全評估中增加可能影響國家安全、社會公共利益等考量因素。安全評估有助于識別企業在運營中存在的安全風險,在數據跨境情況下,可以有效降低企業法律風險。
5.加強數據分級授權與使用審批。數據訪問控制方面,企業要逐漸建立根據“業務需要”和“最小權限”原則,進行數據使用相關的權限管理,嚴格控制和分配訪問權限。對我國境外機構申請調取或傳輸數據的,需格外注意,特別是境外執法機構數據調取,要得到我國主管機關的批準。
6.區分個人信息、重要數據和其他類型數據跨境安排。個人信息和重要數據跨境規定已有《個人信息保護法》和《網絡安全法》的規定,個人信息可以通過標準合同條款、認證機制和國家安全評估任一機制進行跨境傳輸,其他數據跨境也將會由網信辦等相關部門制定。
四、結?語
與歐盟通過GDPR及細化規定希望建立單一數字市場的戰略相似,我國通過《數據安全法》和《個人信息保護法》以及《網絡安全法》共同構建我國統一有序自由流動的數字市場,其中《數據安全法》以安全為底色,為我國數字市場發展提供基礎制度保障,標志著我國數據行業較為野蠻發展時代將成為歷史,行業監管將趨于規范和嚴格,而數據跨境是國家安全重要內容,也是我國數字市場與國際數字市場對接的重要工具,不僅可為我國企業“出?!北q{護航,也有利于我國參與制定數據跨境流動相關國際規則爭取更多主動權。