3月22日,国家网信办公布《促进和规范数据跨境流动规定》(以下简称“《促进规定》”),数据出境的三条合规路径得到了优化和完善,极大简化了开展数据出境合规的工作范围、工作程序、工作量,为促进数字经济国际化合作和交流,推动数据高效规范跨境流通注入了一剂“强心剂”,彰显了我国坚定不移推进高水平对外开放的决心。可以预见,数据出境合规工作将迈向快速、全面开展的新阶段 ,此时,有必要全面审视各类可能涉及的个人信息出境场景,以及需要采取的合规举措。本文从剥离具体场景和提出具体建议视角,论述三条合规路径以外其他个人信息出境场景应采取的合规措施,以供相关方参考。
个人信息出境场景,简而言之,是个人信息转移至一个脱离了本国或本地区司法管辖的陌生环境,且接收方的安全保护水平未知。该场景下,个人权利是否能够有效行使?个人权益是否可能遭受侵害?个人信息是否可能被泄露、滥用?上述自然成为了相关方的重要关切。既然可能存在风险,那就应当进行风险管理,而开展评估是识别风险、处置风险的通行做法。因而,《个人信息保护法》第五十五条明确指出:开展“个人信息出境场景”,应当事先开展个人信息保护影响评估。
个人信息保护影响评估(简称PIA)是个人信息保护领域,以个人权益保护为出发点 ,进行风险管理的通用方法,适用于涉及个人信息出境的任何情形。考虑到个人信息自身敏感程度不同、规模不同所带来的风险影响对象、影响范围不同,对于大于一定体量的个人信息出境,国家网信部门设定了申报数据出境安全评估、订立个人信息出境标准合案、通过个人信息保护认证三条合规路径(以下简称“三条合规路径”)。《促进规定》中,明晰了不同情形数据跨境的具体合规路径,其中对于常见跨境贸易活动、履行合同所必需、境外入境信息、人力资源管理、年度累积少于10万人个人信息等相对风险可控的情形做出免于申报安全评估、订立标准合同、通过认证的豁免。之所以可以豁免,其根本还是对于风险前置预判后对风险管理工作的优化、简化 。 上述情形在跨境交流、经济活动中较为普遍,对于国家安全、社会公共利益和公众个人信息权益的影响相对有限,风险相对可控。
对于当年超过100万人个人信息或超1万人敏感个人信息的,其影响面大、数据敏感性高,篡改、泄露、非法利用等的危害大,不仅涉及个人权益,还可能涉及国家安全、公共利益,因此仍需通过网信部门数据出境安全评估的方式完成合规义务。对于当年超10万人且不满100万人个人信息或不满1万人敏感个人信息的,由于其潜在安全风险的影响面仍然较广,需通过标准合同备案、个人信息保护认证方式完成合规义务,订立标准合同和开展认证过程中,为保证个人权益得到有效保障,明确提出个人信息保护影响评估的要求 ,标准合同备案指南中提供了“个人信息保护影响评估报告模板(出境版)”的模板,最新发布的第二版备案指南和2023年第一版相比,新的模板内容有所简化,进一步区分了个人信息保护影响评估与数据出境安全评估的工作内容和工作复杂度。
一是, 不管个人信息出境情形如何,对个人信息出境进行风险管理的 根本逻辑没有变化 ;
二是, 随着个人信息出境规模、敏感 程度下降,出境潜在安全风险 在下降,开展风险管理工作(尤其是出境安全评估/个人信息保护影响评估)的复杂度 在下降;
三是, 豁免出境安全评估、标准合同备案和通过认证的情形,以及合规工作内容的简化,不代表合规工作归零 ,个人信息出境安全风险始终客观存在 ,基础合规义务 仍然存在 。
《个人信息保护法》第三十八条第一款,明确了满足国家网信部门提出个人信息出境相关管理要求,是个人信息跨境提供的必要前提。目前,国家网信部门给出了三条合规路径,引起了高度关注,以至于大家可能忽略了《个人信息保护法》第三十八条的逻辑。那就是国家网信部门没有做出特别规定的,即无法适用三条出境合规路径的,个人信息出境合规工作还需要遵循《个人信息保护法》中关于个人信息跨境提供相关的要求。
这其中,识别出“国家网信部门没有做出特别规定的/无法适用三条个人信息出境合规路径”的场景,并完成《个人信息保护法》《促进规定》中的基础合规要求,就是个人信息出境合规的最后一块拼图。
该思路最为简单直接,《促进规定》第五条(四)中明确,个人信息处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。个人信息处理者仅需要精确计算涉及出境的个人信息数量、准确识别是否涉及敏感个人信息;同时,对与业务规模增长预期等进行判断,确定本年度内不会超出10万人规模,且出境数据不会包含敏感个人信息,即可识别出仅需完成基础合规义务的个人信息出境场景。
该思路是一个全新的视角,也是《促进规定》的最大亮点,《促进规定》第三条、第四条、第五条、第六条中,给出了丰富的豁免条件,经识别满足其中之一条件的个人信息出境场景,仅需完成个人信息出境基础合规义务即可。识别过程中,有以下几点需要引起关注。
《促进规定》第三条 中,国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中,如何识别出境数据是否包含个人信息成为关键,上述商务、交流活动中,其实很难彻底避免个人信息作为出境数据的一部分,因此有两个方面需要重点关切:
一是识别个人信息的科学性、准确性,比如不要把准标识符类数据 (结合其他属性可唯一识别个人信息主体,概念见GB/T 37964-2019《信息安全技术 个人信息去标识化指南》),加密后的个人信息 (见“《促进和规范数据跨境流动规定》答记者问https://www.cac.gov.cn/2024-03/22/c_1712776611649184.htm),去标识化后的个人信息 等视为非个人信息;
二是即使出境数据存在个人信息,《促进规定》第五条、第六条的豁免条件也能适用,因此不宜出现因刻意避免个人信息出境情形而对出境数据是否包含个人信息出现遗漏、错误识别情况。
《促进规定》第四条 给出了全新的逻辑,简而言之,就是出境的个人信息是境外处理产生的个人信息且无境内个人信息参与处理。该场景有两种具体情形:
一是境外处理的个人信息不包含境内自然人的个人信息,根据《个人信息保护法》第三条,该情形不在《个人信息保护法》约束范围,自然是豁免的;二是境外处理的个人信息包含了境内自然人的个人信息,根据《个人信息保护法》第三条,该情形需遵循《个人信息保护法》的要求,则个人信息出境相关规则适用。对于该情形下合规策略的分析,会在后文中展开。
《促进规定》第五条 (一)(二)(三)项非常明确地给出了免于申报安全评估、订立标准合同、通过认证的场景,且与向境外提供的个人信息规模、敏感程度无关。在识别相关场景时一是需准确把握范围 ,比如订立、履行合同需以个人作为一方当事人为前提;二是仍要秉持必要性原则 ,相关条款中强调了“确需”的要求,旨在明确没有相关个人信息的参与,无法达成业务目的;三是注意不要将不同场景进行捆绑、混淆 ,比如从(一)项可以看出,所列出的跨境购物、跨境寄递、跨境支付、机票酒店预订、签证办理等实质上是所提供产品或服务(如一款应用程序/网站)的基本业务功能,如果产品或服务还存在扩展或附加功能(非前述功能),其处理的个人信息存在出境情形,则不属于豁免的范围。
《促进规定》第六条 所引入的“自贸区负面清单机制”可谓是促进数据跨境流通的一大创举,自贸区可在当前法律法规规章制度基础上,基于自贸区现有企业跨境业务特点,制定针对性强的“合规工作涉及的出境场景目录”,彻底消除了自贸区企业在合规场景识别方面的不确定性,是重大利好。当然,负面清单的制定过程也是多方参与的过程,在没有看到实际的负面清单前,尚无法预知负面清单是否能在其他豁免条件基础上进一步增加可豁免的场景。比如,某企业跨境业务涉及年度出境个人信息超过了50万但小于100万,出于个人信息种类单一,使用范围窄等原因,对个人权益影响有限,则可能将该业务场景下涉及100万以上个人信息需要申报数据出境安全评估加入负面清单,如此该企业可免去开展订立标准合同或通过认证的合规义务。结合负面清单的机制原理和现有数据出境管理制度综合推断,负面清单机制将对少量敏感个人信息出境场景的豁免以及出境数据无需担心被识别为重要数据两个视角带来更多帮助。
《个人信息保护法》指出,“向境外提供个人信息”行为是开展个人信息出境合规的前提,国家网信部门发布的《数据出境安全评估办法》、《个人信息出境标准合同办法》以及网安标委发布的《网络安全实践指南-个人信息跨境处理活动安全认证规范》,虽然将“向境外提供个人信息”表述为“数据出境”、“个人信息出境”、“个人信息跨境处理活动”等,但本质含义 并未改变。 《数据出境安全评估申报指南(第二版)》中,所给出的“数据出境”的情形,可作为界定“向境外提供个人信息”情形的依据,涉及的情形包括:
A. 数据处理者将在境内运营中收集和产生的个人信息传输至境外;
B. 数据处理者收集和产生的个人信息存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
C. 符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他数据处理活动。
注:此处用数据处理者,是为了囊括个人信息处理者和受委托处理者两种角色。
基于上述范围,能构成个人信息出境情形的业务场景众多,由于存在企业关联关系和委托关系复杂、出境过程涉及多个角色共同参与、个人行为的介入等因素,不少场景难以清晰界定发送方、接收方,导致无法准确匹配申报数据出境安全评估、签署个人信息出境标准合同、申请个人信息保护认证的要求。比如:
— 境内个人信息处理者境内服务器被境外注册用户查询、调取境内用户的个人信息(如社交、招聘等),境外的接收方为个人。
— 境内个人信息处理者的产品或服务部分业务功能使用了境外的云服务(有可能多个云服务的混合架构),境外云服务商以不触碰租户数据为由无法配合签署合同、认证等。
— 境内个人信息处理者的产品或服务使用的开源代码会将个人信息传输出境外,开源代码发布方无法配合签署合同、认证等。
— 受委托处理者使用了境外的产品或服务,经处理后的个人信息返回至境内。
— 境外的接收方非单个主体,且主体位于多个国家或地区。
— 企业仅在境内运营,由于合作方的网络路由不可控,个人信息的访问行为可能会路由至境外然后再回到境内服务器。
— …………
注:因该情形较复杂,将在“跨境工作站”后续专题工作 中对相关场景进行收集、探讨、分析。
如数据处理者存在暂时无法通过三条路径完成合规工作的人信息出境场景,可进一步识别是否满足《促进规定》第五条、第六条中豁免的条件,如满足则可以明确无需开展三条路径的合规工作,但仍需完成基础合规工作;如不满足豁免条件,目前只能选择在开展基础合规工作时重点关注个人信息出境安全风险,采取充分的安全措施,通过履行PIA义务,充分保障个人权益。如果存在涉及个人信息出境规模大,涉及敏感个人信息,经评估风险较高或者因缺少资源配合无法开展评估的,建议个人信息处理者权衡潜在合规风险,做出决策。
《数据出境安全评估申报指南(第二版)》中,所提出的“数据出境”的范围中,新增了“《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他数据处理活动”情形,因此该情形下个人信息出境合规应当予以重视。该情形可分为两类具体情形探讨:
一是(S4_1 ),在境外处理境内个人信息的个人信息处理者是境内组织或在境内设置了专门机构、指定了代表,该情形下,达不到豁免条件的,境内组织、机构或代表可通过个人信息保护认证方式完成合规义务,达到申报数据出境安全评估条件的,应当向网信部门申报数据出境安全评估。 由于该情形下数据出境仅涉及单个主体,因此往往无法订立个人信息出境标准合同。
二是(S4_2 ),涉及到在境外处理了个人信息,但是情况复杂,比如境外处理者是个人、境外处理者仅受托对个人信息进行备份或转发等简单处理、境外处理者暂未在境内设立专门机构、指定法律代表或暂不具备设立条件等等,无法暂时适配申请个人信息保护认证和申报数据出境安全评估的条件,该情形下的合规策略已经被包含在上一个识别的视角中(S3 ) 。
综上,从四个视角对需要完成个人信息出境基础合规义务的场景进行梳理,其关联关系见下图:
图1 三条合规路径外的个人信息出境合规场景
(出境合规最后一块拼图)
上图中,由于不同场景之间还会存在着交叉关系,结合上文的分析,将所有可能涉及的场景可划分为15个子场景拼图,除了P4拼图仍需履行三条合规路径中的两条外(具体见上文S4_1),其余14个子场景仅需完成个人信息基础合规义务 。 此外,属于P34拼图和P3拼图的,完成基础合规义务后,建议跟踪持续跟踪数据出境政策制度的更新内容或解释说明。
个人信息出境基础合规义务的依据,主要来源于《个人信息保护法》以及《促进规定》的内容,涉及条款包括:
第三十八条 第三款 个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知 境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意 。
第五十三条 本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表 ,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。
第五十五条 有下列情形之一的,个人信息处理者应当事前 进行个人信息保护影响评估 , 并对处理情况进行记录:
第五十六条 个人信息保护影响评估 应当包括下列内容:
(一)个人信息的处理目的、处理方式等是否合法、正当、必要;
(三)所采取的保护措施是否合法、有效并与风险程度相适应。
个人信息保护影响评估报告和处理情况记录应当至少保存三年。
第十条 数据处理者向境外提供个人信息的,应当按照法律、行政法规的规定履行告知、取得个人单独同意 、进行个人信息保护影响评估 等义务。
第十一条 数据处理者向境外提供数据的,应当遵守法律、法规的规定,履行数据安全保护义务,采取技术措施和其他必要措施,保障数据出境安全。发生或者可能发生数据安全事件 的,应当采取补救措施 ,及时向省级以上网信部门和其他有关主管部门报告 。
综上条款内容,可以将个人信息出境基础合规义务归纳为以下几个关键词:告知规则、单独同意、个人信息保护影响评估(PIA)、同等保护标准、事件处置、境内代表 。为便于组织在识别需完成个人信息出境基础合规义务场景后,快速了解具体的合规义务,结合上文图1给出的不同子拼图,梳理以下表格内容,供参考:
就以上合规义务实施视角来看,告知规则和单独同意的实施,可参考GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》 ;境内代表的设立方法可由组织自行决定,如有关部门发布进一步的指导意见遵循即可;同等保护标准以及事件处置属于组织个人信息保护能力建设,可参考GB/T 32573-2020《信息安全技术 个人信息安全规范》 。自《个人信息保护法》发布实施以来,上述合规工作通常在组织开展业务、合规体系建设过程中予以逐步实施,但是对于个人信息保护影响评估(PIA),由于其与三种合规路径之间也存在交叉关联,组织对其仍在观望状态。
三条合规路径外的个人信息出境场景下的PIA工作,是否相较于个人信息出境标准合同备案指南中的内容可进一步简化?是否能够参考GB/T 39335-2020《信息安全技术 个人信息安全影响评估指南》中的方法论?是否能够适配于非典型的个人信息出境场景? 等等,是当前受到密切关注的问题,就此问题的回应,请关注下篇文章:
出境合规的最后一块拼图 ——论三条合规路径外的个人信息出境合规工作如何开展(下篇-评估实施篇)
对“个人信息出境合规最后一块拼图”的分析,旨在呼吁涉及数据出境的相关方不再观望和彷徨,而是通过完整梳理自身可能存在的个人信息出境场景,了解自身应履行的人信息出境合规义务,哪怕是基础的合规义务,对保障个人信息安全、保护个人权益、降低个人信息出境安全风险来说有着重要意义 。 《促进规定》第十二条明确指出,各地网信部门应当加强对数据处理者数据出境活动的指导监督,强化事前事中事后全链条全领域监管,完成三条路径外的个人信息出境合规工作,对下一步应对个人信息保护合规审计以及个人信息出境监督检查工作来说至关重要。此外,对于一些复杂场景、特殊场景,相信后续有关部门还会有各种政策工具、技术文件的更新和指导意见,将进一步帮助组织完成个人信息出境合规工作,消除不确定性,推动数字经济高水平开放迈上新台阶。