网信办公布数据出境安全评估申报指南
九月 3, 2022
作者:董皓、戴博文
2022年8月31日,国家互联网信息办公室(下称“网信办”)公布了《数据出境安全评估申报指南(第一版)》(下称“《指南》”)。《指南》与网信办此前发布的有关规定一起(点此阅读我们之前的文章),已构成中国数据出境的基本框架。我们预计下一步的执法高峰将在6-9个月内出现。
对于运营过程中确需向境外提供数据,并符合数据出境安全评估适用情形(见下文)的企业来说,应尽快联系数据合规专家,讨论企业的数据传输实践,以避免合规风险、维持业务的可持续发展。
数据出境安全评估适用的情形
根据《个人信息保护法》(下称“《个保法》”)及其下位法规的规定,当数据处理者向境外提供数据,有下列情形之一的,应当通过当地省级网信部门向网信办申报数据出境安全评估:
- 数据处理者向境外提供重要数据;
- 关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
- 自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
- 国家网信部门规定的其他需要申报数据出境安全评估的情形。
(如果跨境数据传输不满足上述条件,可点此阅读小规模数据传输的合规要求。)
何为“向境外提供个人信息”
《个保法》中没有定义何为“向境外提供个人信息”。截至目前,通常的理解是:一家在中国经营的公司将其在境内运营过程中收集和产生的个人信息传输给境外接收者的活动。
《指南》中对“向境外提供个人信息”的定义并未超出上述理解的范围,但其再次强调了网信办的自由裁量权。根据《指南》,以下情形属于“数据出境行为”:
- “数据处理者将在中国境内运营中收集和产生的数据传输、储存至境外。”——《指南》没有明确说明这里的“数据处理者”是否限定于在中国注册的企业,也没有明确说明数据接收方是否一定是外国企业。根据《个保法》第三条的逻辑及各国的实践,如果外国企业从境外向中国个人信息主体直接收集个人信息,似不应包括在“数据出境”的范畴内。实践中,各个企业的数据流向和传输机制都十分复杂,需要个案分析后方可评价合规风险。
- “数据处理者收集和产生的数据存储在境内,但境外的机构、组织或者个人可以查询、调取、下载、导出。”——尽管《指南》没有对这个情境作出限制性规定,但根据《信息安全技术 数据出境安全评估指南(征求意见稿)》第7条的规定,如果有关信息可以通过公开网络被访问到,则不属于需要审查的数据出境行为。
- “国家网信办规定的其他数据出境行为”——这一条款强调了网信办的自由裁量权。
申报材料
《指南》规定,数据传输方申报数据出境安全评估,需要通过所在地省级网信办送达书面申报材料并附带材料电子版,主要包括:
- 公司的主体资格和相关文件;
- 与境外接收方拟订立的数据跨境传输合同(网信办在今年7月公布了《个人信息出境标准合同》模板,点击此处查看我们的评论)
- 数据出境风险自评估报告——《指南》提供了该报告的模板,要求数据传输方详细披露拟跨境传输的数据将如何被转移和保护。
联系我们
对于(中资或外资的)跨国公司的合规工作而言,数据跨境传输已成为一个焦点问题。我们建议企业与经验丰富的数据合规专家一起制定具有可操作性的合规策略。请联系我们对您的数据传输操作进行专业审查,和您一起规划合规行动策略,维持企业业务的可持续发展。
* * * * *
作者董皓系中国和美国纽约州执业律师,拥有多年的专业经验,专注于贸易合规、数据隐私和知识产权领域。
返回