2021年10月29日,網信辦發布了《數據出境安全評估辦法(征求意見稿)》(“本辦法”),作為《網絡安全法》《數據安全法》《個人信息保護法》的配套規則。這不是第一次,甚至不是第二次網信部門就數據出境的規則征求意見,在2017年4月曾發布過《個人信息和重要數據出境安全評估辦法(征求意見稿)》,2019年6月再度發布《個人信息出境安全評估辦法(征求意見稿)》。
與之前不同,此次的《數據出境安全評估辦法(征求意見稿)》是在《網絡安全法》《數據安全法》《個人信息保護法》塵埃落定的基礎上征求意見。
雖然征求意見稿的發布讓數據出境規則稍稍清晰,但仍然有大量內容處于迷霧之中。
一、境外直接處理
《數據出境安全評估辦法(征求意見稿)》的立法以境內處理者為核心,需要履行自評估、申報等多項義務。但如果是境外主體直接收集、使用境內數據,則完全不受本辦法的規制。境外直接處理主要是依據《個人信息保護法》第53條:“境外的個人信息處理者,應當在中華人民共和國境內設立專門機構或者指定代表,負責處理個人信息保護相關事務,并將有關機構的名稱或者代表的姓名、聯系方式等報送履行個人信息保護職責的部門。”看上去只是需要委托代表并報送即可,比起安全評估要容易得多。
數據出境安全評估的“抓手”是將數據傳輸至境外的數據處理者,如果由境外主體面向境內自然人收集,那么境內的自然人顯然不可能去進行數據出境的評估,那么進而導致數據出境安全評估無從下手。
那么這樣的一個可能后果是跨國企業即使在境內存在數據處理者,也會通過法律與IT架構的安排,讓境外主體直接處理數據、境內主體完全與數據隔離,履行報送義務即可,完全規避掉安全評估的各項義務。
如果實踐中出現此種“漏洞”,那么無疑會被跨國企業所利用,進而導致監管部門可能會進一步要求如果有境內實體,海外實體不得直接收集消費者個人信息,給該制度打上補丁。
二、跨境評估與境外報送
另一個《數據出境安全評估辦法(征求意見稿)》未解決的問題是,當數據出境安全評估完成后,境外的接收方是否還需要履行向中國監管部門的報送義務,在境內設立專門機構或任命代表。因為在理論上,境外數據接收方也同樣屬于《個人信息保護法》第3條第2款適用范圍規定的情形之一:
以向境內自然人提供產品或者服務為目的;
分析、評估境內自然人的行為;
法律、行政法規規定的其他情形。
在《數據出境安全評估辦法(征求意見稿)》中對評估事項的羅列,并沒有要求境外接收方提供境內專門機構或代表的信息。我不確定這是意味著數據接收方無需履行報送與境內任命的義務,或是未來會新設接收方境內任命的制度或申報入口。
三、雜項與猜想
申報對象:目前來看,評估辦法是計劃以場景進行劃分,企業如果數據出境場景復雜,需要多次申報以覆蓋不同場景。即申報的門檻是根據主體來界定,但只要出現新的場景就可能需要申報。
申報書:申報書可能是制式的,會由網信部門提供下載或使用在線系統。
合同之一:審查需要提交“數據處理者與境外接收方擬訂立的合同或者其他具有法律效力的文件等”,但并不清楚是僅需要提供與數據處理相關的內容(附件),還是需要提供完整的合同。如果提交根據《個人信息保護法》第38條國家網信部門制定的標準合同,不確定能否達到合同提交的要求。
合同之二:在一些場景下,比如跨國企業內部員工個人信息出境(海外統一管理),可能不存在海外總部與中國境內實體之間的數據處理協議,可能需要提交包含《數據出境安全評估辦法(征求意見稿)》第9條的規章制度。
合同之三:提交的合同或許是需要完成簽署的版本,沒有簽署的合同模板可能不會被受理。但數據出境安全評估存在不通過的可能,可能需要在合同中注明此合同須在通過數據出境安全評估后方可生效,以避免因為沒有通過而造成損失。
申訴:不確定數據出境安全評估是否可以申請行政復議或行政訴訟。在《數據安全法》中,明確了數據安全審查是最終決定,因此無法申請行政復議或行政訴訟。數據出境安全評估的效力并不確定,但大概率不會有救濟措施。
網絡安全審查:網絡安全審查與數據出境安全評估是兩套獨立的制度,但可能會同時觸發,如關鍵信息基礎設施運營者采購海外具有數據收集功能的IT設備,就需要同時完成審查和安全評估。
策略:可能會有企業為規避數據出境安全評估,設立不同實體分別處理不同場景的數據,比如在集團內,公司A負責集團人事數據、公司B負責消費者數據、公司C負責患者敏感個人信息、公司D負責關鍵信息基礎設施運營,互相之間實現隔離數據。