Copyright © 九泽律师事务所 All Rights Reserved
《规范和促进数据跨境流动规定(征求意见稿)》要点解读
引言
随着国家对于数据安全方面立法愈加完善,监管执法日益加强,数据合规已成为企业合规管理中不可或缺的重要组成部分,2022年8月国家互联网信息办公室发布《数据出境安全评估申报指南(第一版))》(以下简称“《指南》”),对数据出境安全评估申报工作做了进一步细化规定,对企业开展数据出境业务具有重要影响。截止目前,通过公开渠道查询到全国已有二十余家企业成功通过数据出境安全评估;各省网信办还在陆续收到企业的申报材料,截至2023年8月1日,上海市网信办已解答咨询电话4600余通,接收正式申报材料600余件[1]。本文将以《数据出境安全评估办法》、《指南》等规定的申报要求和流程为脉络,浅析企业数据跨境实务中合规管理工作要点内容,供有数据跨境业务的企业作参考,以助企业顺利开展数据跨境业务。
”
一、 分析和识别企业的数据出境情况
(一) 企业应对数据进行合理分类
国家在《数据安全法》中确立了数据安全管理制度,提出了对数据分类分级保护制度。《个人信息保护法》中也要求对个人信息进行分类管理。由此可见,企业在实施数据收集、使用或传输前,需要根据有关规定对企业所涉及的数据情况作分析和识别,从而有的放矢地开展数据合规工作。
1、 企业根据实际情况对数据进行内部分级分类。
如,数据调取权限、业务领域范围、数据重要程度、数据开放保密程度等。
2、 判断数据是否属于“评估申报”的适用场景。
数据出境安全评估并非笼统的涵盖企业全业务场景。在《指南》中对于企业需要申报的数据场景进行了列举式的规定。
3、 判断数据是否已经采取安全保护管理措施。
企业在开展业务过程中对收集、存储和使用收集的数据信息,应当建立信息安全保护机制,加强安全保护措施。根据2023年5月施行的《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022),关键信息基础设施运营者在经营中,不仅需要对数据出境行为做好安全评估申报和管理,更是需要建立健全安全综合保护责任体系,开展技术安全检查的工作,以防APT攻击(Advanced Persistent Threat,高级可持续威胁攻击,又称定向威胁攻击)。
(二)企业应预判处理数据的行为是否属于评估申报规定的数据出境行为
根据第52次《中国互联网络发展状况统计报告》[2],截至2023年6月,网约车、在线旅行预订、网络文学的用户规模较2022年12月分别增长3492万人、3091万人、3592万人,增长率分别为8.0%、7.3%和7.3%,成为用户规模增长最快的三类应用。而对于网约车、在线旅行预订这类应用软件的经营者,在对其收集的数据进行进一步处理时容易出现触及《指南》规定的“数据安全评估申报适用范围“的企业。
其实,数据出境安全评估申报并非仅互联网企业才需要,无论企业涉及的数据是在境内收集和产生,然后传输、存储到境外的行为;还是虽然存储在境内没有主动向境外传输,但境外主体可以查询、调取、下载、导出该境内数据的行为,都属于数据出境行为范畴。对于跨国企业而言,尤其是总部设在境外的跨境经营企业,其数据出境的行为是更为常见的。
在实务中,目前全国已经实际通过安全评估申报的企业不仅涉及电商、软件、计算机行业,也涉及快消、5G、航空、医疗、汽车等领域,其中不乏外商投资企业。如上海首批通过数据安全评估的两家企业[3]——马自达(中国)企业管理有限公司、丝芙兰(上海)化妆品销售有限公司就分别是快消和汽车领域。《指南》对申报数据适用范围和出境行为的进一步明确,大大减轻了数据跨境行为的企业开展申报数据安全评估的工作量。
二、 企业提交申报材料过程中的重点注意事项
(一)申报材料依照申报主体所在地为准提交,共分为两级审核
1、 省级网信办:依据属地原则,企业先向所在地省级网信办提交申报材料。省级网信办主要对申报主体提交的申报材料进行完备性查验,也可以视为形式审查,自收到申报材料之日起5个工作日内完成。
以上海网信办为例:在这个阶段,如果申报材料缺少《指南》规定的材料或者改变申报模板的内容,都是不符合申报完备性查验要求的,网信办会退回给企业并一次性告知需要的补充材料,再次提交重新计算5个工作日的查验期限,目前上海网信办对于提交申报材料没有次数限制[4]。
2、 国家网信办:对申报材料进行实质审查。
在国家网信办审查阶段,国家网信办自收到申报材料7个工作日内会确定是否受理申报,如有需要会告知申报主体补充或更正申报材料,企业要重视补充和更正材料的机会,否则安全评估将会终止。对于情况复杂的,国家网信办会告知评估预计延长时间。评估完成后会书面给与评估结果通知书,对评估结果有异议提出复评申请的,国家网信办的复评结果是最终结论。
3、 咨询途径:官方已公布国家网信办联系方式及各地网信办的联络方式。
在《指南》中国家网信办公布了咨询途径,即联系电话和邮箱,而各地网信办也在各自官方网站公布了数据安全评估申报的咨询电话。以长三角为例,上海网信办在微信公众号“网信上海“公布了咨询电话,浙江网信办是在浙江网信微信公众号上公布咨询联系方式;而江苏网信办不仅在官网公布咨询电话,而且在江苏网信网的首页有专门的链接点击可以进入江苏省数据出境咨询服务平台进行线上咨询。
图:江苏省数据出境咨询服务平台[5]
以下,罗列了几大主要省市网信办关于数据出境安全评估联系方式,以供参考。
(二)申报流程要点
1、材料提交形式:书面材料并附上材料电子版
2、申报流程和时间节点:
图:天津市大数据协会《申报流程图》[6]
企业需要提前准备相关材料和自评估准备工作,预留足够时间用于申报工作,以免对跨境业务造成影响。
图:数据出境安全评估申报重要时间节点
3、 评估的有效期
根据《数据出境安全评估办法》中第十四条规定,“数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算。有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。”
(三)申报材料的注意事项
1、 申报书
企业在准备申报材料时,应当根据《指南》的附件申报材料填表说明尽可能详细填写相关材料,例如,填写数据出境链路时,需要具体阐述链路提供商、链路数量与带宽、境内外落地数据中心名称及机房物理位置、IP地址等。
2、 法律文件
申报材料中需要提交与境外接收方拟订立的相关合同或者其他具有法律效力的文件。对于其他法律效力文件《指南》和填写说明并没有限制其文件形式,数据处理者可以结合实际提交合同、内部制度等法律文件[7]。但是,申报填写要求中对于文件的内容作了规定,即应当有对数据出境相关约定条款,并在提交申报材料时对这部分条款作高亮、线框等显著标识。
3、 企业自评估报告
申报材料中最重要的材料之一是企业自评估报告,企业在前期准备时需要做好充分准备,具体如下:
(1)自评估报告期限。自评估报告必需为申报材料提交前三个月内完成。
(2)相关第三方情况。涉及第三方参与的,还要准备第三方评估内容
(3)要求数据处理者具有安全保障能力。自评估报告中不仅要介绍数据安全管理能力、安全技术能力、还需要提供安全保障措施有效性证明,企业可以通过
(4)境外接收方情况。在自评估报告(模板)填写要求的说明中,不仅要求阐述境外接收方的基本情况和对数据安保处置的情况,还需要提供境外接收方所在国家或地区数据保护的法律要求以及政策要求。
其实,《指南》在自评估报告中要求数据处理者不仅需要阐述自身企业情况,也需要对数据境外接收方的情况作进一步阐述。这和欧美国家对于数据保护相关规定具有类似性, 如欧美国数据隐私框架(DPF)[8]在数据安全认证上就要求提供更加详细的信息,如申请认证主体需要列出在美国的公司或所有子公司的名称和联系方式,如果认证主体要离开DPF计划的相关部分但选择保留部分DPF计划,仍必须每年向美国商务部的国际贸易管理局确认其承诺将继续遵守DPF原则承诺等。
三、 企业开展数据合规管理的重点方向
数字经济已经成为社会发展新动力,而数据安全风险也日益复杂,企业经营者需要引起高度重视。
例如,上海某科技公司为保险类企业提供互联网通信服务,但该公司未建立健全全流程数据安全管理制度,也未采取相应的技术措施和其他必要措施保障数据安全,在数据库存在未授权访问漏洞造成部分数据泄漏被传输到境外IP时,企业非但没有按照规定及时向网信部门报告,还私自删除涉事数据库逃避责任,被上海市网信办依法作出责令改正,给予警告,并处人民币8万元罚款的行政处罚;对公司直接责任人员作出罚款人民币1万元的行政处罚[9]。
又例如,2023年9月1日,国家网信办依法对知网(CNKI)涉嫌违法处理个人信息行为作出网络安全审查相关行政处罚的决定,责令停止违法处理个人信息行为,并处人民币5000万元罚款[10]。
由此可见,对于企业而言,即使根据《数据安全法》、《指南》等规定不需要进行数据出境安全评估申报,但是对于企业而言,仍然应当尽快制定数据安全制度,落实数据合规管理,以免因为“疏忽”导致监管部门的处罚。
(一)建立和完善数据合规管理体系
1、 搭建和完善数据安全治理体系。企业要建立健全符合实际情况的内部数据安全治理制度,分析数据要素,做好数据分类分级,安全审查制度,做好内控监管合规管理体系。
2、 根据数据合规管理要求定期更新企业法律文件模板。建立业务配套的数据合规法律文件审查制度,必要时可联合外部律师团队共同进行法律文件的合规审查。
3、 建立健全数据资产管理规则。对于涉及重要数据和出境安全评估申报的情况要加强重视。
4、 完善和落实数据内控合规制度,包括内容审查机制、用户认证和个人信息保护制度、数据等级分类和处理、第三方访问、设备采购和管理、操作权限设置、数据跨境合规自评估等。
(二)建立数据合规管理组织架构
1、 明确数据合规管理部门和岗位。可以通过设立首席数据官或类似角色的合规岗位来来开展数据合规工作,将数据合规工作引入企业的日常管理运营中。以上海为例,上海市通信管理局通过在电信和互联网行业试点建立首席数据官制度,施行首席数据官备案制度,并于2023年10月30日公告了首批57家电信和互联网企业的首席数据官备案结果[11]。
2、 完善人力资源管理架构。对内,重视法务、业务、技术等多部门协同效应,加强企业内部信息数据处理、流转的权限审批制度;对外,做好客户的个人信息和敏感信息等数据的管理和分级分类,做好数据隐私安全保护。
3、 细化关键岗位的数据安全保护职责和业务合规守则,定期对关键岗位人员开展培训。企业根据业务实际情况细化各数据安全保护岗位的职责和业务合规实施细则,对于关键岗位人员更要定期开展培训,必要时可以邀请相关领域专业人士为企业进行专业培训和讲解。
(三)完善数据合规风险防范体系
1、 搭建和完善数据业务风险防范标准流程,定期审查数据合规相关法律文件。
2、 制定数据合规审批流程,定期开展数据传输风险自评估工作。
3、 加强数据资产合规内控监管和合规审计。企业在业务推进、落地、执行、退出等过程中,要始终保存好数据资产注册凭证和系统日志记录痕迹等资料。
4、 做好IT设施技术信息系统风险防范措施。数据出境依赖IT设备及数个软件系统,企业应在能力范围内尽可能做好风险防范措施,设计应急处置方案以应对在数据出境过程中发生突然情况的处理,包括但不限于数据加密管理、数据脱敏流程、网络防火墙设置、关键设备和专用产品安全认证等。
5、 业务推进过程中,需要明确与第三方就数据安全保障措施等义务进行约定。尤其是需要了解清楚境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境,这对数据出境主体申报评估出境数据安全具有重要影响,这也是数据跨境申报材料填写说明中重点提及的内容。对于涉及跨国跨地区的数据保护法律规定,必要时企业可以与专业律师团队合作开展审核与评估工作。
定义解释:
关键信息基础设施:根据《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022),关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业筹重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全国计民生、公共利益的重要网络设施、信息系统等。
附图:已通过数据出境安全评估企业全国分布情况
结语:
随着国家对数据出境方式、场景、监管要求的明确,企业在开展数据出境业务和内控合规管理过程中要始终保持审慎严谨态度。根据对《指南》申报程序的梳理可以发现,数据出境安全评估虽然只是对企业数据出境业务前的安全评估,其实需要企业对数据业务各方面做好安全防范机制,从日常经营的各个环节和细节上落实好数据安全的合规工作,并且持续保持合规管理工作的开展,这样才能在数据出境安全评估审查中顺利通过审查。数据安全关乎企业切身利益,企业需要对数据安全引起高度重视,完善相关管理制度,采取相应的技术措施和其他必要措施,保障数据安全。
九泽合规团队也将密切关注数据合规领域相关法律规定的变化,对有数据跨境需求的企业提供持续且完善的数据合规法律服务。读者可以持续关注九泽合规团队的系列文章或联系九泽合规团队(jzheguiteam@jiuzelaw.com)作一对一的专项调研,九泽合规团队将为前来咨询的企业做专项合规评估报告供企业参考,为有合规管理需求的企业提供专业、高效的法律合规专项服务。
本文参考资料:
[1] 网信上海《数据出境安全评估政策系列宣讲会(宝山站)召开》https://mp.weixin.qq.com/s/8epYT9kj5gYKAckADQbUlg ,最后访问日期:2023年10月24日
[2] 中国互联网中心,第52次《中国互联网络发展状况统计报告》https://www.cnnic.net.cn/n4/2023/0828/c88-10829.html,最后访问日期2023年10月30日
[3] 网信上海公众号,《上海首批两家企业通过数据出境安全评估》https://mp.weixin.qq.com/s?__biz=MzI1MDE2OTEyNQ==&mid=2651537709&idx=1&sn=c8a2394ce09cbd4d3952f75659bbb5b7&chksm=f279b367c50e3a71bb5eb958bddaf74b167a09f07b8c11d9192b1cedf6b395f32c848ea3abc1,最后访问日期:2023年11月3日
[4] 网信上海公众号,《发布丨数据出境安全评估申报工作实务问答(一)》https://mp.weixin.qq.com/s/PEzV4-LLa2WCg3-LBNeRiQ,最后访问日期2023年11月3日
[5] 江苏省数据出境咨询服务平台,http://ca.jscert.org.cn:32224/ - /login,最后访问日期:2023年10月30日
[6] 天津市大数据协会公众号,《协会聚焦 | 数据出境安全评估该如何申报?》https://mp.weixin.qq.com/s/VD8Ou3RWnS2iKPv7FGoA0Q,最后访问日期:2023年10月31日
[7] 网信上海公众号,《数据出境安全评估申报工作实务问答(二)》https://mp.weixin.qq.com/s/4lYcOmFNVOOtn_YqS6v3HA,最后访问日期:2023年11月6日
[8] DATA PRIVACY FRAMWORK PROGRAM(DPA), https://www.dataprivacyframework.gov/s/program-overview,最后访问日期:2023年10月31日
[9] 网信上海公众号,《数据泄漏被传输境外后擅自删库!某科技公司被上海市网信办依法处罚》https://mp.weixin.qq.com/s/3LKOKFVUM9EMZ_CEdoRVhw,最后访问日期:2023年11月6日
[10] 国家网信办官网,《国家互联网信息办公室对知网(CNKI)依法作出网络安全审查相关行政处罚》http://www.cac.gov.cn/2023-09/06/c_1695654024248502.htm,最后访问日期:2023年11月6日
[11] 网信上海公众号,《关于2023年上海市电信和互联网行业首席数据官备案结果(第一批)的公告》https://mp.weixin.qq.com/s/_1DoCK5OtmRlyH_wBdJxbA,最后访问日期:2023年11月3日