數安條例百問69、70:關于數據出境安全管理義務與安全報告
小貝案語
11月14日,國家互聯網信息辦公布了《網絡數據安全管理條例(征求意見稿)》。為此,小貝說安全設立《網絡數據安全管理條例(征求意見稿)》(后文簡稱《條例》)解讀專欄,以百問百答的形式對《條例》進行系列解讀。
需要指出,這些解讀只是專家個人觀點,不代表官方意見;且這些解讀針對的是征求意見稿,未來條文本身可能會發生變化,不排除會有新增和刪除。
對應條款
第三十九條 數據處理者向境外提供數據應當履行以下義務:
(一)不得超出報送網信部門的個人信息保護影響評估報告中明確的目的、范圍、方式和數據類型、規模等向境外提供個人信息;
(二)不得超出網信部門安全評估時明確的出境目的、范圍、方式和數據類型、規模等向境外提供個人信息和重要數據;
(三)采取合同等有效措施監督數據接收方按照雙方約定的目的、范圍、方式使用數據,履行數據安全保護義務,保證數據安全;
(四)接受和處理數據出境所涉及的用戶投訴;
(五)數據出境對個人、組織合法權益或者公共利益造成損害的,數據處理者應當依法承擔責任;
(六)存留相關日志記錄和數據出境審批記錄三年以上;
(七)國家網信部門會同國務院有關部門核驗向境外提供個人信息和重要數據的類型、范圍時,數據處理者應當以明文、可讀方式予以展示;
(八)國家網信部門認定不得出境的,數據處理者應當停止數據出境,并采取有效措施對已出境數據的安全予以補救;
(九)個人信息出境后確需再轉移的,應當事先與個人約定再轉移的條件,并明確數據接收方履行的安全保護義務。
非經中華人民共和國主管機關批準,境內的個人、組織不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據。
解讀
《條例》第三十九條規定了數據處理者向境外提供數據時應當履行的義務。該條的設置非常重要。因為在《數據安全法》《個人信息保護法》等上位法規定中,重點是對數據出境的條件予以明確,并建立數據出境安全評估制度。但僅出境條件和出境安全評估制度并不能構成完整的數據出境安全管理制度,還需要明確數據出境過程中相關的責任義務,這是《條例》第三十九條的立法目的。
對于《條例》第三十九條的規定,可以從以下方面去理解:
第一,該條適用于不同條件下的數據出境。即,無論數據經國家網信部門評估出境,還是通過認證方式、標準合同方式出境,均需滿足第三十九條規定的相關義務。
第二,該條進一步明確了“個人信息保護影響評估報告”與數據出境的關系。《個人信息保護法》第五十五條規定,有下列情形之一的,個人信息處理者應當事前進行個人信息保護影響評估,并對處理情況進行記錄:(一)處理敏感個人信息;(二)利用個人信息進行自動化決策;(三)委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息;(四)向境外提供個人信息;(五)其他對個人權益有重大影響的個人信息處理活動。即,個人信息出境前,應當進行個人信息保護影響評估。但這個評估報告如何使用呢?如果數據處理者所作個人信息保護影響評估不準確呢?從《條例》第三十九條第(一)項規定看,這份個人信息保護影響評估報告應當報網信部門,其合理性應當由網信部門判斷。至于報送的方式,可以在出境評估、認證、標準合同等方式中分別具體明確。例如,在“認證”方式中,個人信息保護影響評估報告便有可能需要提交給網信部門前期指定的認證機構。
第三,該條明確了數據處理者應當誠信,不得采取虛假方式實施數據出境。網信部門組織的數據出境評估實際上是個“事前”的活動,數據處理者是否真正按照申報和網信辦的批復向境外傳輸數據呢?目前尚缺乏直接的事中、事后監督措施,故原則上要求,不得超出網信部門安全評估時明確的出境目的、范圍、方式和數據類型、規模等向境外提供個人信息和重要數據。且一旦被網信部門發現數據違規出境,數據處理者應當停止數據出境,并采取有效措施對已出境數據的安全予以補救。這樣的規定也是防止數據出境安全評估制度成為虛設。
第四,該條強調了數據出境后對數據接收方的監督。普遍認為,數據出境后,政府便對境外的數據“望塵莫及”,如發生數據安全事件,只能在境內“干瞪眼”。這種情況顯然是不可接受的,客觀上有必要強調出境后數據的安全保護責任。從全球實踐看,這也是基本共識,且一般通過合同方式實現。《通用數據保護條例》(GDPR)第42條第(2)項規定,數據控制者和處理者應通過合約或其他具有法律約束力的文件,做出有約束力且可強制執行的承諾,以便應用這些保障措施,包括有關數據主體權利的保障措施。特別是,此后歐盟在數據出境的“認證”模式中進一步強調,由于在第三國(或國際組織)中缺乏基于監管機構對數據傳輸進行特定授權或充分性保護認定而形成的義務,故位于第三國的控制者或處理者應當做出額外的承諾,來為認證所規定的保障措施提供可執行性和約束力。承諾的內容包括:執行認證方案中要求的適當保護措施,應包括保護數據主體相關條款,且位于歐盟外數據控制者/處理者之間的認證協議可能還要包括數據接收方承諾遵守認證機制的標準和總體條件(例如,如何使用認證標記等)。需要強調,數據出境無論是否采用“標準合同”方式,發送方和接收方之間都應當有合同。
第五,該條強調了追責問題。數據出境后,一旦出現因數據接收方責任引發的數據安全事件,境內利害關系人很難對境外數據接收方進行追責。這種情況下怎么辦?《條例》規定,此時要由數據發送方接受和處理數據出境所涉及的用戶投訴。此外,《條例》還指出,數據出境對個人、組織合法權益或者公共利益造成損害的,數據處理者應當依法承擔責任。當然,這個責任不是無限大,不是要求數據發送方代接收方受過,具體責任大小應根據實際情況進行判定。
第六,該條為今后網信部門實施監管和檢查提供了支持。除了規定一系列管理措施外,必要時應當對數據處理者的數據出境活動進行監督檢查。當前很多數據處理者采用加密方式向境外傳輸數據,這本身也是保護數據安全的一種手段,并不禁止,但客觀上也的確為監管部門發現違規數據出境行為增加了難度。故《條例》規定,國家網信部門會同國務院有關部門核驗向境外提供個人信息和重要數據的類型、范圍時,數據處理者應當以明文、可讀方式予以展示。
第七,該條考慮了在數據出境活動中保護個人權益的方式。數據出境應當征得個人單獨同意(例外情形除外),但出境的個人信息發生再轉移怎么辦?境外數據接收方可能再費周折找到境內的個人去征得同意嗎?從現實看,此時很難生搬硬套“同意”原則。故《條例》規定,個人信息出境后確需再轉移的,應當事先與個人約定再轉移的條件,并明確數據接收方履行的安全保護義務。即,數據發送方、接收方應當在合同中明確個人信息再轉移事項,并在出境前征得個人單獨同意時,一并將再轉移條件征得個人同意。
第八,該條繼承了上位法對外國司法或者執法機構調取數據的相關規定。《數據安全法》和《個人信息保護法》都規定,非經中華人民共和國主管機關批準,境內的個人、組織不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據。該規定是為了反制美等國家實施的“長臂管轄”“域外執法”行為。如2018年3月,美國頒布《云法案》(全稱《澄清境外數據的合法使用法》),規定如美國政府索取,所有美企必須將儲存在境內外的數據提交給政府。為此,我國在幾部數據安全法律法規中都設立了相應條款予以反制。但實踐中發現,當前有必要對上位法的規定進一步澄清。例如,境內組織或個人主動到國外打官司,因訴訟需要而向國外法院提交證據,這顯然不是反制《云法案》的情況,則此時還需要主管機關批準嗎?如有可能,建議《條例》在后續修改中適當考慮這一問題。
對應條款
第四十條 向境外提供個人信息和重要數據的數據處理者,應當在每年1月31日前編制數據出境安全報告,向設區的市級網信部門報告上一年度以下數據出境情況:
(一)全部數據接收方名稱、聯系方式;
(二)出境數據的類型、數量及目的;
(三)數據在境外的存放地點、存儲期限、使用范圍和方式;
(四)涉及向境外提供數據的用戶投訴及處理情況;
(五)發生的數據安全事件及其處置情況;
(六)數據出境后再轉移的情況;
(七)國家網信部門明確向境外提供數據需要報告的其他事項。
解讀
數據出境情況報告是《條例》規定的一系列報告中的一種。為什么提出對這種報告的要求呢?主要原因是數據出境的幾種條件的適用性由數據發送方自行判斷(例如,發送方如認為不必進行出境評估,則其便不會向網信部門提交出境評估申請),且數據實際出境情況不可能通過技術手段全面掌握(即使監測到了出境的數據,也難以判斷是否合規)。這種情況下,有必要通過企業自我聲明的方式,匯總報告全年度的數據出境情況,便于網信部門充分掌握情況。
除了要反映數據發送方一側的情況外,《條例》還要求報送數據出境后再轉移的情況。這意味著,即使數據已經完成出境,數據發送方也不能當“甩手掌柜”,其仍需關注數據接收方對數據的使用情況,尤其是再轉移情況。為確保這一目的能夠實現,發送方宜在合同中與接收方就此作出約定。
相關文章:
數安條例百問15、16、17、18、19:關于數據處理者安全保護義務
數安條例百問27、28、29、30:關于“一般要求”中的幾個特定考慮
數安條例百問46、47、48:關于生物特征應用和一百萬人以上個人信息處理者的適用
數安條例百問55、56、57、58、59:關于年度評估與對外提供數據的風險評估
數安條例百問60、61:關于征得主管部門同意要求及云安全評估要求
數安條例百問66、67、68:關于數據出境的單獨同意、評估條件與國際協議
數安條例百問74、75、76、77、78:關于平臺規則、隱私政策和算法策略
