數安條例百問66、67、68:關于數據出境的單獨同意、評估條件與國際協議
小貝案語
11月14日,國家互聯網信息辦公布了《網絡數據安全管理條例(征求意見稿)》。為此,小貝說安全設立《網絡數據安全管理條例(征求意見稿)》(后文簡稱《條例》)解讀專欄,以百問百答的形式對《條例》進行系列解讀。
需要指出,這些解讀只是專家個人觀點,不代表官方意見;且這些解讀針對的是征求意見稿,未來條文本身可能會發生變化,不排除會有新增和刪除。
對應條款
第三十六條 數據處理者向中華人民共和國境外提供個人信息的,應當向個人告知境外數據接收方的名稱、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外數據接收方行使個人信息權利的方式等事項,并取得個人的單獨同意。
收集個人信息時已單獨就個人信息出境取得個人同意,且按照取得同意的事項出境的,無需再次取得個人單獨同意。
解讀
《個人信息保護法》第二十三條規定,個人信息處理者向其他個人信息處理者提供其處理的個人信息的,應當向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類,并取得個人的單獨同意。接收方應當在上述處理目的、處理方式和個人信息的種類等范圍內處理個人信息。接收方變更原先的處理目的、處理方式的,應當依照本法規定重新取得個人同意。
而向境外提供個人信息是“向其他個人信息處理者提供其處理的個人信息”的一種特殊情況,故除了繼續履行《個人信息保護法》第二十三條的義務外,還應落實更加嚴格的安全要求。因此,《個人信息保護法》第三十九條規定,個人信息處理者向中華人民共和國境外提供個人信息的,應當向個人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式和程序等事項,并取得個人的單獨同意。該條中,增加了向個人告知“個人向境外接收方行使本法規定權利的方式和程序”的要求,并繼續要求取得個人單獨同意。
但實踐中,很多人反映,收集個人信息和個人信息出境往往不是發生在同一時刻。一般情形下,數據處理者很可能已經收集了個人信息,但在未來的某一時刻決定跨境傳輸信息。出境時追溯個人并取得其單獨同意,往往不現實,可能會嚴重降低數據出境的效率,社會成本過于高昂。
上述擔心有一定道理,但鑒于數據出境屬于敏感事項,故原則上還是應當征得個人單獨同意。但是,《條例》第三十六條也指出,收集個人信息時已單獨就個人信息出境取得個人同意,且按照取得同意的事項出境的,無需再次取得個人單獨同意。這實際上是對個人信息出境減免了一些義務,體現在單獨同意不一定發生在數據跨境時刻,收集個人信息時已單獨就個人信息出境取得個人同意的,也視為個人信息出境的單獨同意。
這一規定與《條例》“附則”中的“單獨同意”有所差別。“附則”中的“單獨同意”強調,其應當在處理數據的時刻作出,這主要是為了使用戶做到足夠的注意,防止用戶在事發前“稀里糊涂”同意。但鑒于數據出境本身比較特殊,在收集時如已盡到告知義務,此時已經可以使用戶做到足夠注意,加之為了取得數據出境安全與便利之間的平衡,故《條例》對數據出境時的單獨同意作了特別規定。
對應條款
第三十七條 數據處理者向境外提供在中華人民共和國境內收集和產生的數據,屬于以下情形的,應當通過國家網信部門組織的數據出境安全評估:
(一)出境數據中包含重要數據;
(二)關鍵信息基礎設施運營者和處理一百萬人以上個人信息的數據處理者向境外提供個人信息;
(三)國家網信部門規定的其它情形。
法律、行政法規和國家網信部門規定可以不進行安全評估的,從其規定。
解讀
《個人信息保護法》第三十八條和《條例》第三十五條均列出了數據出境的幾種條件:
(一)通過國家網信部門組織的數據出境安全評估;
(二)數據處理者和數據接收方均通過國家網信部門認定的專業機構進行的個人信息保護認證;
(三)按照國家網信部門制定的關于標準合同的規定與境外數據接收方訂立合同,約定雙方權利和義務;
(四)法律、行政法規或者國家網信部門規定的其他條件。
《條例》的上述寫法繼承了《個人信息保護法》,但兩者都容易給人錯覺,使人誤認為以上四個條件是并列的。事實上,特定數據出境時,需要通過國家網信部門組織的數據出境安全評估;其他數據出境時,不需要由國家網信部門組織開展評估,此時可以根據具體情況選擇第(二)(三)或(四)種方式。亦即,第(一)個條件與其他條件并不是并列的。
那么,什么情況下需要通過國家網信部門組織的數據出境安全評估呢?《條例》第三十七條列出了以下三種情況:
即,只要是重要數據,則出境時必經安全評估。對個人信息而言,如其屬關鍵信息基礎設施運營者向境外提供,則應經安全評估;如其不屬于關鍵信息基礎設施運營者收集產生的個人信息,則在數據處理者擁有一百萬人以上個人信息時,應對個人信息出境進行安全評估。
對應條款
第三十八條 中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息的條件等有規定的,可以按照其規定執行。
解讀
習近平總書記指出,信息流引領技術流、資金流、人才流。國際貿易的發展,背后是數據的跨境流動在支持。因此,各國之間正在頻繁開展關于數據跨境方面的磋商,有的國家間已經達成了數據跨境協議,或一些國際組織成員國已經聯合簽署了與數據安全有關的貿易協定。
于是問題產生了,如果這些協議或協定之中已對數據出境作了明確安排,那么是以這些協議、協定為準,還是以法律規定的數據出境安全管理制度為準呢?
各國在此方面的做法是一致的:以協議、協定為優先。
最典型的例子是歐盟實施《通用數據保護條例》(GDPR)前后,歐盟與美國簽署的協議。其具體過程如下:
(一)歐盟1995年出臺《個人數據處理及自由流動保護指令》后,應美國商務部要求,經過不斷磋商,歐美簽署了《安全港協議》。其實質是,歐盟承認美國商務部的一攬子安排,即《安全港協議》滿足了指令中“對個人數據進行充分保護”的要求,只要美國企業聲明加入該協議,就可以使歐盟的個人數據流向美國企業,免去了歐盟各國可能對其進行的數據保護方面的審查和訴訟。
(二)斯諾登事件損害了歐美互信,歐盟開始擔心美國政府利用反恐之名獲得美國企業掌握的歐洲個人數據,美歐之間的平衡開始傾斜,歐盟內部出現了廢除該協議的聲音。2015年10月,歐盟高等法院判決《安全港協議》無效。深層次原因有很多,例如:協議只覆蓋了公司保護個人數據情況,沒有覆蓋政府獲取個人數據的情況;沒給歐洲公民救濟措施;美國企業可以根據國內法義務違反協議,但卻不被追究;歐盟各國無權審查美國做法是否合規。
(三)2015年10月起,歐美緊急磋商,應對《安全港協議》失效對美歐商貿往來造成的沖擊。2015年10月26日,歐美就新的跨大西洋數據轉移協議達成原則性一致:美國商務部要有更大的監管力度來確保美國企業保護了歐盟個人數據;要給消費者更多透明度,使消費者了解企業是如何處理個人數據的;設立由美歐雙方共同運行的年度檢查機制。這被稱為《隱私盾協議》。2016年6月12日,《隱私盾協議》被歐盟委員會采納,并于2016年8月1日生效。
(四)歐洲“數字主權”意識的覺醒,使其在實施《隱私盾協議》數年后,對該協議是否能夠充分保護歐盟個人數據進行調查。2020年7月16日,歐盟法院作出判決,認定美歐數據跨境轉移機制《隱私盾協議》無效。至此,歐洲向美國傳輸數據又不得不回到了標準合同條款(“SCC”)等老路上。
目前,歐盟與美國尚未達成新的數據跨境協議。但以上例子卻給了大家一個直觀的關于數據跨境國際協議、協定的例子。既然我國《個人信息保護法》和《條例》都對國際協議、協定的優先級作了規定,就相當于國家正在通過立法作出政策宣示:對達成數據跨境國際協議、協定持積極態度,愿意與各國展開磋商。
相關文章:
數安條例百問15、16、17、18、19:關于數據處理者安全保護義務
數安條例百問27、28、29、30:關于“一般要求”中的幾個特定考慮
數安條例百問46、47、48:關于生物特征應用和一百萬人以上個人信息處理者的適用
數安條例百問55、56、57、58、59:關于年度評估與對外提供數據的風險評估
數安條例百問60、61:關于征得主管部門同意要求及云安全評估要求
數安條例百問66、67、68:關于數據出境的單獨同意、評估條件與國際協議
數安條例百問74、75、76、77、78:關于平臺規則、隱私政策和算法策略
