99九九国产综合精品

中文
英文 日文

數據出境的監管、條件和標準合同制度評析

作者: 史躍 程婷 程夢珂

數據在當代社會發揮越來越重要的作用,甚至成為與土地、勞動力、資本、技術并列的生產要素;各國出于種種原因,也就“數據主權”展開爭奪。在這一背景下,數據出境成為數據領域避不開且極端重要的一個環節。筆者以此為契機撰寫系列文章,系統分析我國關于數據出境的監管和條件。今天為大家帶來數據出境監管及條件概覽,以及數據標準合同制度要點評析。

一、數據出境的監管規則體系

我國關于數據立法領域的“三駕馬車”:《網絡安全法》《數據安全法》和《個人信息保護法》對數據出境僅作出了非常原則和概括的規定,大量的細節執行條款留給了后續的、低位階的法規進行填補。三部法律關于數據出境的規定有:

表一:數據出境法律規定

也就是說,《網絡安全法》僅提出關鍵信息基礎設施的運營者(以下簡稱“CIIO”)就個人信息和重要數據出境提出了安全評估的要求;《數據安全法》并未對《網絡安全法》有任何新的補充;《個人信息保護法》則相對詳細,不過限定在了個人信息這種數據范圍之內。

此外,為了填補“三駕馬車”中關于數據出境規定的空白,以網信辦為主導,出臺了一系列的規定、征求意見稿和國家標準,這些規定的大致脈絡和核心內容如下:

表二:數據出境規定列表

在上表的9份文件中,未生效的征求意見稿占了7個,生效的文件只有《網絡安全審查辦法》和39335號指南,而這兩份文件的就數據出境的針對性規定是非常少的。因此,大量細節的、有指導意義的規則落入了一系列未生效的征求意見稿中,我們也只能從這些征求意見稿里去分析關于數據出境的監管要求。

二、數據出境的條件

(一) 數據出境的適用情形

數據出境,是指將在中華人民共和國境內運營中收集和產生的個人信息和重要數據,提供給位于境外的機構、組織、個人。這里的“境內”、“境外”需要特別注意并非“海內外”,包含了我國港澳臺地區。數據,則是指在我國境內收集和產生的數據,從境外收集產生的數據、只是途經我國的數據不屬于數據出境的范疇。數據類型限于“個人信息”和“重要數據”。

通過梳理上文提到的法律、法規和規范性文件(無論生效與否),會發現數據出境需要滿足一定的要求,而當達到一定條件后,數據出境的要求將會更加嚴格,可將這種情形稱為“嚴管情形”,除嚴管情形外的其他情形,可稱為“一般情形”。

表三:數據出境適用情形

(二) 數據出境的條件和思路

就一般情形和嚴管情形,數據處理主體在數據出境時需要滿足的合規條件存在區別。一般情形下,數據處理者在數據出境時需要滿足安全自評估/個人信息保護認證/標準合同/國際條約中的一個、必要措施和獲得授權等條件,在嚴管情形下,通過國家網信部門組織的安全評估成為必要條件。具體內容如下:

表四:數據出境條件對比

結合不同情形下的要求,我們梳理出判斷數據出境的合規思路和基本要點如下:

第一,是否構成數據出境;

第二,是否符合了數據出境的基本條件?

第三,是否構成嚴管情形?

第四,是否滿足嚴管情形下的要求?

第五,出境過程中是否發生變化?

三、數據出境中的標準合同

2022年6月30日,國家互聯網信息辦公室(以下簡稱“網信辦”)就《個人信息出境標準合同規定(征求意見稿)》向社會公開征求意見。數據出境是備受關注的問題,我國在這方面的規則又未成體系。盡管我國的《個人信息保護法》等法律法規中多次提到簽訂標準合同是數據出境的方式之一,標準合同由國家網信部門制定,但這份標準合同卻一直未能面世。標準合同是一種常見的、操作性更強的、其他司法轄區廣泛適用的一種數據合規出境手段,因此,網信辦該通知引發了強烈關注。

(一) 標準合同在數據出境中的地位

通過上文法規的梳理,就數據出境而言,境內數據處理者與境外接受者之間簽訂國家機關認可的標準合同是必備條件中的一種選擇,而非絕對必要。但考慮到通過網信部門的安全評估、獲得保護認證和符合國際條約往往更難以滿足,標準合同作為國家機關制定的模板合同,以高認可度、可直接引用、成本低、效率高等特點而更具有實操性,也更受市場主體的青睞,這也是《個人信息出境標準合同規定(征求意見稿)》得到廣泛關注的原因。

(二) 標準合同的關注要點

1. 標準合同內容的演變

從2017辦法開始,網信辦出臺的多個征求意見稿中對標準合同的內容作出過規定,此次通知與前述征求意見稿相比并沒有內容上的新要求。

標準合同的內容演變如下(名稱及標準合同內容):

表五:標準合同內容演變

2.《個人信息出境標準合同規定(征求意見稿)》中標準合同的具體內容

《個人信息出境標準合同規定(征求意見稿)》第六條規定了標準合同包括六個方面的主要內容(詳見表五),該六項內容與所附的標準合同模板對應關系如下:

表六:規定要求與合同內容對照

3. 標準合同的其他注意事項

適用標準合同開展個人信息出境活動時,還應當就所簽訂的標準合同向省級網信部門進行備案,未履行備案程序的,可能會面臨責令改正、停止出境等處罰。

在標準合同履行過程中,如果向境外提供的個人信息的目的、范圍、類型、敏感程度、數量、方式、保存期限、存儲地點和境外接收方處理個人信息的用途、方式發生變化,或者延長個人信息境外保存期限的;或境外接收方所在國家或者地區的個人信息保護政策法規發生變化等可能影響個人信息權益的,應當重新簽訂標準合同及備案。

(三) 對我國標準合同制度的評析

1. 標準合同與風險評估的內容重合

2017辦法、2019辦法、2021辦法和《個人信息出境標準合同規定(征求意見稿)》中,標準合同與個人信息影響保護評估(指自評估,下同)是信息出境兩個必備的條件,缺一不可,這四份征求意見稿在該問題的態度上高度一致。然而,對比四份文件關于風險評估的評估內容和標準合同中的內容,其實也是高度重復的,具體如下:

表七:風險評估與標準合同內容對照

也就是說,數據主體在面臨數據出境時,相當于以兩種不同的形式(風險評估和標準合同)處理分析相同的事項。這兩份文件毫無疑問會產生大量重復的內容,在面臨糾紛、應對監管時,也可能會出現相互引用的場景。

歐盟GDPR的規定中,簽訂標準合同(SCC)是數據跨境傳輸的保護措施中的一種,這些保護措施和其他出境要求中并不直接包含進行影響評估。

歐盟GDPR數據出境流程圖

GDPR的風險評估(PPIA)是列入數據處理者的義務項下而非出境項下,且進行風險評估和簽訂標準合同適用的場景通常情況并不同[注9]。

因此,在數據出境時風險評估和標準合同在高度重合的情況下,同時要求的必要性還需要進一步思考。

2. 對標準合同進行備案的必要性

對標準合同進行備案也是此次《個人信息出境標準合同規定(征求意見稿)》的一個亮點。絕大部分合同的成立、生效都與備案沒有關系,個別合同的效力依賴于批準,備案又不同于批準。知識產權領域,以商標為例,商標的授權許可合同進行備案主要是為了對抗第三人。標準合同本身就是國家機關擬定的模板合同,在此情形下,加之沒有類似的第三人需要對抗,備案的目的和必要性并不清晰。

隨著數據出境的配套文件的逐步出臺,數據出境的合規要求趨勢相對明晰,但具體要求和細節方面仍有很多內容需要進一步的指導和明確。對于企業來講,需要密切關注最新監管動向、行業部門、業務主管部門、當地立法機關、行政機關不斷出臺的參考性文件。我們也會在后續的文章中,向大家逐一分享關于數據出境其他條件的簡介和分析。

參考文獻:

[1] 國家發展和改革委員會、工業和信息化部、公安部、國家安全部、財政部、商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、中國證券監督管理委員會、國家保密局、國家密碼管理局。

[2] http://www.cac.gov.cn/2022-06/30/c_1658205969531631.htm

[3] http://www.cac.gov.cn/2021-11/14/c_1638501991577898.htm

[4] http://www.cac.gov.cn/2021-10/29/c_1637102874600858.htm

[5] http://www.cac.gov.cn/2019-06/13/c_1124613618.htm

[6] http://www.cac.gov.cn/2019-05/28/c_1124546022.htm

[7] http://www.cac.gov.cn/2017-04/11/c_1120785691.htm

[8] https://www.tc260.org.cn/front/postDetail.html?id=20170527173820

[9] PPIA的適用場景為:(1)以自動化為基礎,系統和廣泛的評價與自然人有關的個人方面的情況,包括特征分析;(2)在大規模處理與刑事定罪和犯罪有關的特殊類別數據或個人數據的情況下;(3)在大規模系統性檢測公共可達地區情況時。

SCC適用于數據跨境傳輸場景,是保護措施之一。

  • 作者簡介

    你可能感興趣

  • 99九九国产综合精品