˙
新闻与出版物
数据研究 | 个人数据跨境传输限制之合规梳理
2019年06月25日 发布人:华诚小编

数据研究 | 个人数据跨境传输限制之合规梳理

朱琦

2018年5月25日,被称为欧盟“史上最严”、“保护水平最高的”数据保护规则General Data Protection Regulation (“GDPR”) 正式生效。该规则强大的域外效力使得其对于数据安全的保护并不仅仅限于欧盟境内,在欧盟境外只要是针对欧盟个人数据的处理都将受到GDPR的规制。据此,对于一些在华设有分支机构、处理欧盟个人数据的欧盟企业,和在欧盟境内设有分支机构、处理欧盟个人数据的中国企业等,都要根据新出台的GDPR及时检查合规状态,避免经营合规风险。


但是,针对在华的外资企业和中国本土企业来说,除了受到如GDPR等域外法的限制,在处理中国公民个人数据时,也必须受到我国法律中关于个人数据保护的限制。就我国目前的立法状态来看,对于个人数据的保护,一大重点即个人数据跨境传输的法律规制。本文将从个人数据跨境传输的含义出发,梳理目前对于个人数据传输的法律规制,试图对部分在华外资企业和有国际业务或联系的中资企业提出实务中的数据跨境传输合规建议。


(一)如何界定个人数据的跨境传输?


(1)  个人数据的含义与区分

根据全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017《信息安全技术个人信息安全规范》[1]于2018年5月1日正式生效,其中第3.1条所指的个人数据被明确定义为:以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等[2]


紧随其后,第3.2条规定了个人敏感数据的含义:指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含)儿童的个人信息和自然人的隐私信息属于个人敏感信息[3]。但纵览此规范全文,个人数据中较为隐私、敏感的部分数据,除在征求信息主体明示同意[4]、传输需加密[5]中有额外更高要求,并未体现和非个人敏感信息的其他不同之处。故而,在我们讨论个人数据传输时,对个人数据普遍适用的规定也同样适用个人敏感信息。


除此之外,在信安标委于2017年8月25日发布的《信息安全技术 数据出境安全评估指南(征求意见稿)》B.2.1中提出了重要数据的概念:指出境后如出现泄露、毁损、篡改或滥用等情形,将损害国家安全、经济发展和社会公共利益的数据,意见稿更是规定了包括数据发送方安全保障能力、接收方所在国家或地区政治法律环境、安全事件等级等方面在内的更加严格的出境评估条件。然而,与个人数据和个人敏感数据存在概念交叉不同,重要数据的定义似乎已经上升至国家安全和社会利益的高度。事实上,立法层面也将个人数据和重要数据作了严格区分,如国家互联网信息办公室公布的关于《个人信息和重要数据出境安全评估办法(征求意见稿)》即未将二者统一。所以,对于重要数据跨境传输限制的规定,并不加入本文所讨论的个人数据范畴。


对于国家、党政层面数据,同样值得一提的是在《保守国家秘密法》[6]、《反恐怖主义法》[7]、 《档案法实施办法》[8]、 《关于加强党政部门云计算服务网络安全管理的意见》[9]等法律法规中,国家对于包含国家秘密、恐怖主义信息、国家一级档案、党政敏感信息等数据提出了禁止出境要求。对此,有学者认为:政府数据中涉及国家秘密乃至安全的部分,在属性上已经提出了更高保密性要求,禁止跨境流动本就是应有之义;不涉及国家秘密的部分,如果具备公开属性,则应纳入政府数据开放调整范围,也不牵涉跨境数据管理问题[10]。所以,上述数据均不应包含在个人数据的讨论范畴之内。


综上,笔者认为个人数据应是包含个人敏感数据在内,不同于重要数据和国家、党政层面数据在内的仅涉及自然人身份和活动情况的普通信息。事实上,如若对个人数据的含义作扩大解释,对企业而言,无疑增加了其合规负担。


(2)  跨境传输的含义

去年6月1日起开始正式施行的《网络安全法》[11]在第三十七条[12]正式对数据跨境传输作出限制,个人信息的收集和运用被划分成中国境内和境外。实务中,曾有外资公司上海代表处在向香港分公司传输的中国籍员工个人信息时,误将香港地区理解成境内,认为不受我国个人数据跨境传输的限制,故而没有设置任何风险防范条款。


事实上,虽然网安法没有作出额外定义与解释,根据《国家安全法》[13]的相关解释,“境外”是指中华人民共和国领域以外或者领域以内中华人民共和国政府尚未实施行政管辖的地域。由于特殊历史原因,台湾、香港、澳门都是“领域以内中华人民共和国政府尚未实施行政管辖的地域”,根据 《国家安全法》对“境外”的解释 ,均应该属于“境外”。所以,即使将中国公民的个人数据传输至港澳台地区,也应受到我国数据跨境传输的限制。


(二)现行立法对数据跨境传输的限制梳理

 

总体来说,我国并未形成体系完整的数据跨境传输规制,现有的相关规定散落在各个层级的法律法规和规章制度中。下文即按照法律层级顺序,将重点相关规定作一一梳理。


(1)  法律类

A.《网络安全法》

在网安法中,实际上并没有专门针对数据“传输”的规制。但是,其对数据的收集、使用、安全维护等与传输相关的过程做出了一系列规定,而受到规制的主体,主要分为“关键信息基础设施运营者”和“网络运营者”。那么首先,我们需要对受规制的主体进行概念剖析,以确定这些主体项下的规则是否适用于数据传输中作为传输主体的企业。


以“关键信息基础设施运营者”为规制主体的法律规定主要是网安法第三十七条:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。这主要涉及个人数据本地化处理和安全评估程序。如果适用,对企业来说,收集到的个人数据就有本地存储的严格要求,只有因为业务需要跨境传输的,才能向境外提供,且必须经过安全评估程序。这无疑给很多企业增加了运营成本和负担。


事实上,对“关键信息基础设施”界定和范围的表述在《网安法》制订过程中一直较为模糊:一审稿从行业、用途、用户数量等角度划定其范围[14];二审稿去除了其行业和用途属性,转而强调其在安全方面的特殊重要性[15];三审稿及正式案文则将其行业特性和安全意义结合起来,同时从这两个角度对其进行界定[16]。如前文所述,立法层面并未明确具体企业范围,企业对自身是否会落入“关键信息基础设施运营者”的监管范畴仍存在较多疑虑。此外,笔者认为,监管的落脚点仍然落在严重危害国家安全、国计民生、公共利益等方面,对于个人数据的传输适用本应受到更高保密性限制的政府与国安类数据,并不合适。在国务院等相关部门未出台进一步规定之前,未落入目前规定范围内的企业,尚不必将此条款纳入数据合规要求中。


对于另一主体“网络运营者”,涉及数据传输相关的主要是第41、43条,下文以表格形式一览(仅列举)。 

 

条文序号

条文内容

涉及政策

41

网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。

适用传输前的收集规则、使用行为可以理解为包括传输在内

43

个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

适用传输前的收集、传输完毕后企业继续留存数据。

 

回到概念本身,根据网安法第七十六条,网络运营者是指网络的所有者、管理者和网络服务提供者,但是并未对此概念是否适用企业进行进一步阐述。根据《互联网信息服务管理办法》[17]第二条,互联网信息服务分为经营性和非经营性两类。事实上,国家对经营性互联网信息服务实行许可制度(一般称ICP许可);对非经营性互联网信息服务实行备案制度(一般称ICP备案)。电商、搜索引擎等基本认为是获得经营性许可的互联网企业,而普通利用互联网进行官方宣传、产品推广等信息推介的传统企业一般是没有获得经营性许可的,没有获得经营性许可的企业是否属于网络运营者尚无定论。就此问题,法律没有做出直接解释。但是有学者认为,从《网络安全法》、《互联网信息服务管理办法》的规定来看,无论是像淘宝、京东等提供经营性互联网信息服务的电商,还是仅仅建立网站用于宣传而提供非经营性互联网信息服务的传统企业,亦或是如移动、电信等网络所有者、管理者都应当是“网络运营者”[18]。如此看来,网络运营者为主体的规定是否适用于企业尚待国家进一步出台规定。笔者认为,从网安法的相关规定来看,其内容在后续不以网络运营者为主体的部分意见稿中也得到体现,说明企业受此规制是立法者的题中之义,企业在尚不明确时期严格以此制定合规措施是可行的。


(2)  行政法规类

A.《征信业管理条例》[19]

根据中国人民银行颁布的《征信业管理条例》第二十四条规定,“征信机构在中国境内采集的信息的整理、保存和加工,应当在中国境内进行。征信机构向境外组织或者个人提供信息,应当遵守法律、行政法规和国务院征信业监督管理部门的有关规定”对于此条,其境内处理的主体是征信机构,故而并不涉及普通企业。

 

B.《个人信息和重要数据出境安全评估办法(征求意见稿)》

虽然此办法在2017年就已经通过征求意见阶段,但目前还未正式颁布。同前述法律法规相比,此办法更加密集地对数据的出境安全做出了规定。以下作统一梳理。

 

条文序号

条文内容

涉及政策

2

网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照本办法进行安全评估。

明确提出本地化处理要求和安全评估程序

4

个人信息出境,应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区,并经其同意。未成年人个人信息出境须经其监护人同意。

信息主体同意

8

数据出境安全评估应重点评估以下内容:

 (一)数据出境的必要性;(二)涉及个人信息情况,包括个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等;(三)涉及重要数据情况,包括重要数据的数量、范围、类型及其敏感程度等;(四)数据接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等;(五)数据出境及再转移后被泄露、毁损、篡改、滥用等风险;(六)数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险;(七)其他需要评估的重要事项。

针对企业自行组织出境安全评估的情况

9

出境数据存在以下情况之一的,网络运营者应报请行业主管或监管部门组织安全评估:

(一)含有或累计含有50万人以上的个人信息;(二)数据量超过1000GB;

(三)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;(四)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;(五)关键信息基础设施运营者向境外提供个人信息和重要数据;(六)其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。

行业主管或监管部门不明确的,由国家网信部门组织评估。

企业不得自行组织数据出境安全评估,而应提交主管部门

11

存在以下情况之一的,数据不得出境:

(一)个人信息出境未经个人信息主体同意,或可能侵害个人利益;

(二)数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益;

(三)其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。

严禁出境的三种情形,个人信息如果包含国家、社会层面风险,不得出境;且数据出境严禁侵犯个人利益

12

网络运营者应根据业务发展和网络运营情况,每年对数据出境至少进行一次安全评估,及时将评估情况报行业主管或监管部门。

当数据接收方出现变更,数据出境目的、范围、数量、类型等发生较大变化,数据接收方或出境数据发生重大安全事件时,应及时重新进行安全评估。

企业安全评估频次要求

17

数据出境,是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人。

前述针对数据出境的所有规定,同时适用个人信息和重要数据

   

 (3)  部门规章类

  A.《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》[20]

根据中国人民银行颁布的本通知第六条:在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息。同时,本通知对“个人金融信息”的概念进行了明确阐释:银行业金融机构在开展业务时,或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的个人身份、财产、账户、信用、金融交易和衍生信息。由此看来,这里信息处理的主体是银行业金融机构,上述个人信息不得经其传输至境外。实务中,对于企业来说,若将员工的个人信息提供至合作银行,是没有问题的,但是对其合作银行采集个人数据后的数据跨境传输,国家采取了一系列限制。


(4)  国家标准类

纵观相关国家标准,大多较为具体细致的规定了数据传输前知情同意、数据保护、安全评估流程等。但是因为国家标准并没有强制法律效力,仅对企业数据合规工作有参考作用,故下文笔者将做简单总结。


A.全国信息安全标准化技术委员会《信息安全技术公共及商用服务信息系统个人信息保护指南》

以数据的收集、加工、转移、删除四个阶段为主,规定了个人信息管理者在四个阶段处理数据的原则和义务,着重强调对个人信息的保护。在个人信息的收集过程中,提出了“明示同意”的更高要求。


B. 国家质检总局、国家标准化管理委员会《信息安全技术 数据出境安全评估指南(征求意见稿)》

该指南暂时还未正式颁布,其主要涉及个人信息和重要数据出境的安全评估流程、要点和方法,对企业的安全自评估和主管部门评估做出详细规定。此外,将重要数据按照行业类别进行分类,由于非个人数据,本文在此不多讨论。


C. 国家质检总局、国家标准化管理委员会《信息安全技术 个人信息安全规范》[21]

该指南主要规范了利用信息系统处理个人信息应遵循的原则和应采取的安全措施。对个人信息的收集原则、保护性存储、使用目的结束后的及时删除都做出了详细具体的规定。不过,总体来说,并没有新的亮点出现,重申意义比较大。对 个人信息跨境传输的要求,只是简单列明参照其他国家规定执行。

 

(三)企业数据合规建议


对于企业来说,目前国家层面的个人数据传输政策仍然未形成体系,能够对出境传输行为做到详细规制的,也大多停留在没有法律强制力的国家标准和尚未生效的征求意见稿中。针对目前情况,企业应当做出如下应对:


(1)  对本企业涉及到的数据进行分类,准确识别信息种类,以对应不同规定与要求。对于必须本地化处理的数据,应当做好相应的技术准备;对企业是否落入“关键基础设施运营者”的,应在详细范围出台之前,做好预判,进行合规准备


(2)  应密切关注政策最新动态,特别是已经超过征求意见期但尚未正式颁布的法律法规。如《个人信息和重要数据出境安全评估办法(征求意见稿)》一旦正式颁布,个人信息和重要数据的本地化存储要求以及出境前的安全评估将立即具备法律强制效力。对于没有强制效力的国家标准,也应当密切关注行业动态。企业应在内部政策和对外交易中,针对本地化处理、安全评估,尽可能将即将出台的政策内容进行添加,或以兜底条款表明将遵守可能出台的政策内容,以防后期合规风险


(3)  对于跨国经营的企业,要积极关注和解决数据所在国、加工国和使用国法律在限制跨境传输方面的不同限制






[1] 中华人民共和国国家标准公告2017年第32

[2] 中华人民共和国国家标准GB/T 35273—2017《信息安全技术 个人信息安全规范》附录A

[3] 中华人民共和国国家标准GB/T 35273—2017《信息安全技术 个人信息安全规范》附录B

[4] 中华人民共和国国家标准GB/T 35273—2017《信息安全技术 个人信息安全规范》5.5

[5] 中华人民共和国国家标准GB/T 35273—2017《信息安全技术 个人信息安全规范》6.3

[6] 中华人民共和国主席令第28

[7] 中华人民共和国主席令第6

[8] 中华人民共和国国务院令第676号

[9] 中网办发文[2014]14号

[10] 王融:《数据跨境流动政策认知与建议》,腾讯研究,2018.1.29

[11] 中华人民共和国主席令第53

[12] 《中华人民共和国网络安全法》第三十七条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”

[13]中华人民共和国主席令第29

[14] 参见一审稿第二十五条:“国家对提供公共通信、广播电视传输等服务的基础信息网络,能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统,军事网络,设区的市级以上国家机关等政务网络,用户数量众多的网络服务提供者所有或者管理的网络和系统(以下称关键信息基础设施),实行重点保护。”

[15] 参见二审稿第二十九条:“国家对一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”

[16] 参见三审稿及正式案文第三十一条:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”

[17] 中华人民共和国国务院令第588号

[18] 《网络安全法》系列解读之(一) 大数据企业,你是不是“网络运营者”,首席数据官联盟;

[19] 中华人民共和国国务院令第631号

 

[20]银发[2011]17

[21]中华人民共和国国家标准公告2017年第32 


本网站之内容旨在提供有关华诚的一般信息。本网站之内容不得被视为与访问者建立律师-客户关系,也不视为是为任何具体事宜提供法律意见。网站访问者应向律师咨询以获得专业法律意见。 对于任何争议的特定事实和情况,在没有获得恰当的法律或其他专业意见之前,本所客户和其他网站访问者不能将华诚网站上的任何信息作为采取行动与否的依据。

© Copyright 2000-2015 All Rights Reserved | 沪ICP备15028801号 隐私保护 | 用户反馈

沪公网安备 31010402001317号

Lin