2023-10-07
以案說法:如何理解和應用《規范和促進數據跨境流動規定(征求意見稿)》
作者:
楊建媛
鄔丹 楊呂敏 魏依文
引言
為協助企業更好地理解與應用《征求意見稿》,我們梳理了企業判斷出境合規機制的理論工具,并通過4個實踐案例進一步分析新規的具體應用。
一、理論工具:出境合規機制的判斷與選擇
(一)強制監管的判斷:如果構成特殊的主體、數據性質或數據量,則數據出境應當適用安全評估或其他強監管手段。
1. 主體性質:是否構成特殊主體?
· 關鍵信息基礎設施運營者:如果構成關鍵信息基礎設施運營者,且向境外提供個人信息、重要數據,則應依照有關法律、行政法規、部門規章規定執行,現行法要求進行數據出境安全評估。
· 國家機關:如果構成國家機關,且向境外提供個人信息、重要數據,則應依照有關法律、行政法規、部門規章規定執行,現行法要求進行安全評估。
2. 數據性質:是否構成特殊數據?
· 官方認定的重要數據:如果構成重要數據,則應進行數據出境安全評估。重要數據的認定以相關部門、地區的告知或公開發布為依據,被官方認定的重要數據才需要申報安全評估。
· 特定敏感信息:如果構成涉及黨政軍和涉密單位敏感信息、敏感個人信息,則應依照有關法律、行政法規、部門規章規定執行。
3. 數據量:是否預計一年內出境100萬人個人信息?
· 100萬人/年:預計一年內向境外提供100萬人以上個人信息,則應申報數據出境安全評估。
(二)豁免監管的判斷:如果滿足特定的數據類型、收集地、合法性基礎或數據量,則數據出境無需采取任何出境合規機制。
1. 數據類型:是否不構成特定的數據?
· 不包含個人信息或重要數據:國際貿易、學術合作、跨國生產制造和市場營銷等活動中產生的數據出境,不包含個人信息或者重要數據的,無需采取任何出境合規機制。
此外,根據《網絡安全法》《數據安全法》《個人信息保護法》《數據出境安全評估辦法》《個人信息出境標準合同辦法》,受出境監管的數據主要為個人信息、重要數據,其他數據的出境一般不受監管,除非存在外國司法或執法等特定場景。
· 不屬于自貿區負面清單:自由貿易試驗區可自行制定本自貿區需要納入監管范圍的數據清單(“負面清單”)。對于負面清單之外的數據出境,無需采取任何出境合規機制。
2. 收集地:是否在境外收集、產生個人信息?
· 境外收集:不是在境內收集產生的個人信息向境外提供,則無需采取任何出境合規機制。
3. 合法性基礎:是否滿足特定的合法性基礎?
· 為訂立、履行個人作為一方當事人的合同所必需,如跨境購物、跨境匯款、機票酒店預訂、簽證辦理等,必須向境外提供個人信息,則無需采取任何出境合規機制。
· 按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理,必須向境外提供內部員工個人信息,則無需采取任何出境合規機制。
· 緊急情況下為保護自然人的生命健康和財產安全等,必須向境外提供個人信息,則無需采取任何出境合規機制。
4. 數據量:是否預計一年內出境小于1萬人個人信息?
小于1萬人/年:預計一年內向境外提供不滿1萬人個人信息,則無需采取任何出境合規機制。我們傾向于認為,在計算1萬人時,無需納入上述已被豁免監管的個人信息。
(三)出境合規機制的自由選擇:對于強制監管、豁免監管之外的數據出境,數據處理者可以自行選擇合適的出境合規機制。
1. 數據量:是否預計一年內出境1~100萬人個人信息?
· 1~100萬人/年:預計一年內向境外提供1萬人以上、不滿100萬人個人信息,數據處理者可以自行選擇合適的出境合規機制,包括申報數據出境安全評估、訂立個人信息出境標準合同并備案、或通過個人信息保護認證。
二、案例分析:《征求意見稿》的理解與應用
對于《征求意見稿》的上述規定,我們通過以下四個案例進一步分析新規的具體應用,以便企業參考。
(一)案例1:境外酒店預定場景
案例事實概況:某酒店位于中國境外,通過官方網站及App等線上渠道,面向全球(包括中國境內)的顧客提供酒店相關服務,涉及中國境內顧客超過100萬人。
1. 境外處理者是否需要采取出境合規機制?能否適用“境外收集”的豁免?
《征求意見稿》提供了“境外收集”的豁免,即,不是在境內收集產生的個人信息向境外提供,則無需采取任何出境合規機制。該豁免情形與2017年國家標準《信息安全技術 數據出境安全評估指南(征求意見稿)》中提到的如下兩種情形較為相似:(1)非在境內運營中收集和產生的個人信息和重要數據經由本國出境,未經任何變動或加工處理的,不屬于數據出境;(2)非在境內運營中收集和產生的個人信息和重要數據,在境內存儲、加工處理后出境,不涉及境內運營中收集和產生的個人信息和重要數據的,不屬于數據出境。
在本案例中,個人信息并非前述的先入境、再出境(往往涉及境外個人的個人信息),而是由境外處理者從境外直接向境內個人收集個人信息。《個人信息保護法》并未明確位于境外但受到域外管轄的個人信息處理者是否需要采取出境合規機制,而網信部門在實踐中并未排除該等適用,認為可通過境外處理者在境內設立的專門機構或指定代表執行出境合規機制。根據《征求意見稿》,該情形能否適用“境外收集”的豁免,目前尚未可知,有待網信部門予以澄清。
2. 境外酒店預定能否適用“個人合同所必需”的豁免?
《征求意見稿》中提供了基于三種特定的合法性基礎的豁免,其中一種為:為訂立、履行個人作為一方當事人的合同所必需,如跨境購物、跨境匯款、機票酒店預訂、簽證辦理等,必須向境外提供個人信息,則無需采取任何出境合規機制。“為訂立、履行個人作為一方當事人的合同所必需”這一合法性基礎已被《個人信息保護法》所認可,而《征求意見稿》進一步列舉的典型合同場景均屬于客觀必要的場景,即,不跨境傳輸相應的個人信息給境外服務提供方(如電商平臺及境外賣家、支付平臺及境外銀行、境外航空公司、境外酒店、境外政府機構等),則個人無法進行跨境購物、跨境匯款、預定機票酒店、辦理簽證等活動。該等列舉在一定程度上反映了網信辦對于該合法性基礎的謹慎立場。
本案例屬于《征求意見稿》明確列舉的酒店預訂場景,境外酒店可以為訂立、履行個人合同所必需而出境個人信息,無需采取任何出境合規機制。但出境個人信息的類型、處理目的、處理方式仍受制于該合法性基礎以及企業的合理商業判斷。
(二)案例2:跨國公司人力資源管理場景
案例事實概況:某跨國公司的中國境內子公司統一使用全球總部的人力資源系統處理中國境內員工、求職者的個人信息,從而出境人力資源相關個人信息。
1. 出境員工個人信息能否適用“人力資源管理”的豁免?
《個人信息保護法》為人力資源管理場景提供了專門的合法性基礎,《征求意見稿》也明確提出,“按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理,必須向境外提供內部員工個人信息的”,無需采取任何出境合規機制。相較于求職者,已經入職跨國公司的員工顯然對于其個人信息出境至全球總部具備更為明確的預期,人力資源統一管理亦為跨國公司運作機制的應有之義。
《征求意見稿》為員工個人信息出境場景提供了重大利好,同時需要關注以下兩方面的制約因素:
(1)程序要件:《征求意見稿》依然強調人力資源管理的依據為依法制定的勞動規章制度、依法簽訂的集體合同。根據《勞動合同法》,直接涉及勞動者切身利益的規章制度需要依法履行平等協商和公示程序,而集體合同需要依法履行平等協商和報送程序。
(2)必要性的限制:《征求意見稿》依然強調出境員工個人信息的必要性,可能涉及個人信息種類、處理目的、處理方式等方面,且“出境”個人信息的必要性往往比“(境內)收集”個人信息更難論證。一方面,《個人信息保護法》提出了“必要原則”、“限于實現處理目的的最小范圍”、“實現處理目的所必要的最短時間”、“采取對個人權益影響最小的方式”等指導原則;另一方面,在實踐中,企業應當對上述原則的具體應用享有合理的商業判斷與解釋空間。
2. 出境求職者個人信息能否適用“個人合同所必需”的豁免?
《征求意見稿》關于人力資源管理的豁免情形僅適用于員工,不包括求職者。公司收集、處理求職者個人信息的目的為招聘員工、訂立求職者作為一方當事人的勞動合同,可以考慮能否適用“個人合同所必需”這一豁免情形,關鍵在于如何解釋出境求職者個人信息的必要性,即是否為實現前述目的“所必需”。
如前所述,《征求意見稿》列舉的典型合同場景均服務于個人的跨境業務,個人亦對因參與該等業務而出境個人信息具備明確認知。
本案例中,即使求職者應聘境內公司的職位,在某些情況下,公司如果不出境個人信息確實難以完成招聘流程,例如:對于通過業務考核的求職者,全球總部為滿足監管或內控要求而需對求職者進行合規審查、背景調查,尤其對于強監管行業的從業人員;對于應聘高級職位的求職者,全球總部需要直接對其進行考核。但是,在初步遴選階段、普通職位應聘場景,出境求職者個人信息的必要性論證則存在不確定性,有可能無法適用豁免情形。
(三)案例3:跨國公司系統回遷場景
案例事實概況:某跨國公司的中國境內子公司出境員工、消費者、供應商聯系人的個人信息。該公司現有員工約1.5萬人,每年平均新入職員工約1500人。該公司每年平均出境約50萬消費者的個人信息,但正在向境內回遷消費者管理系統,預計將于2023年年內完成。此外,該公司平均每年出境約100人供應商聯系人的個人信息。
1. 公司能否因回遷大數量級的系統而豁免安全評估?
不同于《數據出境安全評估辦法》《個人信息出境標準合同辦法》中“自上年1月1日起”面向過去的視角,《征求意見稿》在計算人數時采取面向未來的視角,為數據處理者通過減少個人信息出境量而簡化、豁免出境合規機制提供可行路徑:預計一年內向境外提供1萬人以上、不滿100萬人個人信息,數據處理者可以自行選擇合適的出境合規機制。
回遷系統(尤其是涉及大量個人信息的系統)是降低出境量的典型方式。本案例中,公司出境個人信息的數量大部分落在消費者管理系統,如果公司能在短期內完成該系統的回遷,則可以大幅降低未來一年的出境量至遠低于100萬人,不會觸發強制安全評估。
2. 如何計算1萬人?公司能否因預計一年內出境個人信息低于1萬人而豁免出境合規機制?
根據《征求意見稿》,預計一年內向境外提供不滿1萬人個人信息的,不需要申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。問題的關鍵在于,如何預估一年內個人信息的出境數量。
除了系統回遷,還有如下兩種計算口徑可以降低出境量,但尚不明確網信部門是否認可該等計算口徑。結合本案例分析如下:
(1)能否僅計算增量人員:公司每年的增量員工(即新員工)僅為1500人,未達到1萬人。但與此同時,還存在1.5萬現有員工,每年均可能發生信息變化或新增,如在職時間、聯系方式、薪資獎金等,從而出境存量人員的增量數據。在網信部門給出明確、相反的解釋之前,建議公司從謹慎出發仍需計算現有員工的個人信息出境量,從而難以將出境量下降至1萬人以下而豁免出境合規機制。
(2)能否刨除已被豁免的出境信息:如果公司采用為實施人力資源管理所必需這一合法性基礎,且依法制定勞動規章制度、依法簽訂集體合同,則出境員工個人信息無需采用任何出境合規機制。我們傾向于認為,在計算1萬人時,無需納入已被豁免監管的個人信息。此時,公司每年僅出境約100人供應商聯系人的個人信息,從而無需采用任何出境合規機制。
(四)案例4:科技公司出境潛在重要數據、敏感個人信息場景
案例事實概況:某科技公司使用境外關聯公司統一部署的業務系統,上年1月1日至今出境員工敏感個人信息超過1萬人,但預計未來一年內不會超過1萬人;同時使用該系統處理研發數據。公司自評估認為,不排除研發數據中包含重要數據,但尚未接收到任何關于重要數據的官方通知或公告。
1. 針對潛在的重要數據出境,公司是否需要申報安全評估?
依據《數據出境安全評估辦法》,出境重要數據應當申報安全評估。目前,大部分行業、領域的重要數據目錄還處于空白狀態,國家標準《重要數據識別規則》也尚未發布正式稿。《征求意見稿》明確規定,“未被相關部門、地區告知或者公開發布為重要數據的,不需要作為重要數據申報數據出境安全評估”。
基于此,即使公司自評估認為其出境的部分研發數據有可能構成重要數據,只要公司沒有被告知其處理的數據涉及重要數據,或落入正式發布的重要數據目錄范圍,則無需考慮申報數據出境安全評估。
2. 公司出境敏感個人信息,是否仍可適用《征求意見稿》?
《征求意見稿》明確規定,《數據出境安全評估辦法》《個人信息出境標準合同辦法》等相關規定與其不一致的,應按《征求意見稿》執行。此外,《征求意見稿》第八條規定了排除其適用的特殊情形,其中包括:“向境外提供涉及黨政軍和涉密單位敏感信息、敏感個人信息的,依照有關法律、行政法規、部門規章規定執行”。問題在于,如何確定出境敏感個人信息的法律適用。
僅字面理解,確實可能存在如下解讀,即:向境外提供敏感個人信息的,應適用有關法律法規,如《數據出境安全評估辦法》《個人信息出境標準合同辦法》,而不適用《征求意見稿》。但從立法意圖理解,第八條強調特殊主體(國家機關、關鍵信息基礎設施運營者)、或涉及特殊主體(黨政軍、涉密單位)的特殊數據(敏感信息、敏感個人信息),僅在該等特定情形下《征求意見稿》才會被排除適用。
本案例中,如果公司并非黨政軍和涉密單位、亦與該等單位無往來,且預計一年內出境的個人信息(無論是否為敏感個人信息)不會超過1萬人,則可豁免數據出境合規機制。
京ICP備05019364號-1 
京公網安備110105011258
