数安条例百问69、70:关于数据出境安全管理义务与安全报告
小贝案语
11月14日,国家互联网信息办公布了《网络数据安全管理条例(征求意见稿)》。为此,小贝说安全设立《网络数据安全管理条例(征求意见稿)》(后文简称《条例》)解读专栏,以百问百答的形式对《条例》进行系列解读。
需要指出,这些解读只是专家个人观点,不代表官方意见;且这些解读针对的是征求意见稿,未来条文本身可能会发生变化,不排除会有新增和删除。
对应条款
第三十九条 数据处理者向境外提供数据应当履行以下义务:
(一)不得超出报送网信部门的个人信息保护影响评估报告中明确的目的、范围、方式和数据类型、规模等向境外提供个人信息;
(二)不得超出网信部门安全评估时明确的出境目的、范围、方式和数据类型、规模等向境外提供个人信息和重要数据;
(三)采取合同等有效措施监督数据接收方按照双方约定的目的、范围、方式使用数据,履行数据安全保护义务,保证数据安全;
(四)接受和处理数据出境所涉及的用户投诉;
(五)数据出境对个人、组织合法权益或者公共利益造成损害的,数据处理者应当依法承担责任;
(六)存留相关日志记录和数据出境审批记录三年以上;
(七)国家网信部门会同国务院有关部门核验向境外提供个人信息和重要数据的类型、范围时,数据处理者应当以明文、可读方式予以展示;
(八)国家网信部门认定不得出境的,数据处理者应当停止数据出境,并采取有效措施对已出境数据的安全予以补救;
(九)个人信息出境后确需再转移的,应当事先与个人约定再转移的条件,并明确数据接收方履行的安全保护义务。
非经中华人民共和国主管机关批准,境内的个人、组织不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
解读
《条例》第三十九条规定了数据处理者向境外提供数据时应当履行的义务。该条的设置非常重要。因为在《数据安全法》《个人信息保护法》等上位法规定中,重点是对数据出境的条件予以明确,并建立数据出境安全评估制度。但仅出境条件和出境安全评估制度并不能构成完整的数据出境安全管理制度,还需要明确数据出境过程中相关的责任义务,这是《条例》第三十九条的立法目的。
对于《条例》第三十九条的规定,可以从以下方面去理解:
第一,该条适用于不同条件下的数据出境。即,无论数据经国家网信部门评估出境,还是通过认证方式、标准合同方式出境,均需满足第三十九条规定的相关义务。
第二,该条进一步明确了“个人信息保护影响评估报告”与数据出境的关系。《个人信息保护法》第五十五条规定,有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:(一)处理敏感个人信息;(二)利用个人信息进行自动化决策;(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;(四)向境外提供个人信息;(五)其他对个人权益有重大影响的个人信息处理活动。即,个人信息出境前,应当进行个人信息保护影响评估。但这个评估报告如何使用呢?如果数据处理者所作个人信息保护影响评估不准确呢?从《条例》第三十九条第(一)项规定看,这份个人信息保护影响评估报告应当报网信部门,其合理性应当由网信部门判断。至于报送的方式,可以在出境评估、认证、标准合同等方式中分别具体明确。例如,在“认证”方式中,个人信息保护影响评估报告便有可能需要提交给网信部门前期指定的认证机构。
第三,该条明确了数据处理者应当诚信,不得采取虚假方式实施数据出境。网信部门组织的数据出境评估实际上是个“事前”的活动,数据处理者是否真正按照申报和网信办的批复向境外传输数据呢?目前尚缺乏直接的事中、事后监督措施,故原则上要求,不得超出网信部门安全评估时明确的出境目的、范围、方式和数据类型、规模等向境外提供个人信息和重要数据。且一旦被网信部门发现数据违规出境,数据处理者应当停止数据出境,并采取有效措施对已出境数据的安全予以补救。这样的规定也是防止数据出境安全评估制度成为虚设。
第四,该条强调了数据出境后对数据接收方的监督。普遍认为,数据出境后,政府便对境外的数据“望尘莫及”,如发生数据安全事件,只能在境内“干瞪眼”。这种情况显然是不可接受的,客观上有必要强调出境后数据的安全保护责任。从全球实践看,这也是基本共识,且一般通过合同方式实现。《通用数据保护条例》(GDPR)第42条第(2)项规定,数据控制者和处理者应通过合约或其他具有法律约束力的文件,做出有约束力且可强制执行的承诺,以便应用这些保障措施,包括有关数据主体权利的保障措施。特别是,此后欧盟在数据出境的“认证”模式中进一步强调,由于在第三国(或国际组织)中缺乏基于监管机构对数据传输进行特定授权或充分性保护认定而形成的义务,故位于第三国的控制者或处理者应当做出额外的承诺,来为认证所规定的保障措施提供可执行性和约束力。承诺的内容包括:执行认证方案中要求的适当保护措施,应包括保护数据主体相关条款,且位于欧盟外数据控制者/处理者之间的认证协议可能还要包括数据接收方承诺遵守认证机制的标准和总体条件(例如,如何使用认证标记等)。需要强调,数据出境无论是否采用“标准合同”方式,发送方和接收方之间都应当有合同。
第五,该条强调了追责问题。数据出境后,一旦出现因数据接收方责任引发的数据安全事件,境内利害关系人很难对境外数据接收方进行追责。这种情况下怎么办?《条例》规定,此时要由数据发送方接受和处理数据出境所涉及的用户投诉。此外,《条例》还指出,数据出境对个人、组织合法权益或者公共利益造成损害的,数据处理者应当依法承担责任。当然,这个责任不是无限大,不是要求数据发送方代接收方受过,具体责任大小应根据实际情况进行判定。
第六,该条为今后网信部门实施监管和检查提供了支持。除了规定一系列管理措施外,必要时应当对数据处理者的数据出境活动进行监督检查。当前很多数据处理者采用加密方式向境外传输数据,这本身也是保护数据安全的一种手段,并不禁止,但客观上也的确为监管部门发现违规数据出境行为增加了难度。故《条例》规定,国家网信部门会同国务院有关部门核验向境外提供个人信息和重要数据的类型、范围时,数据处理者应当以明文、可读方式予以展示。
第七,该条考虑了在数据出境活动中保护个人权益的方式。数据出境应当征得个人单独同意(例外情形除外),但出境的个人信息发生再转移怎么办?境外数据接收方可能再费周折找到境内的个人去征得同意吗?从现实看,此时很难生搬硬套“同意”原则。故《条例》规定,个人信息出境后确需再转移的,应当事先与个人约定再转移的条件,并明确数据接收方履行的安全保护义务。即,数据发送方、接收方应当在合同中明确个人信息再转移事项,并在出境前征得个人单独同意时,一并将再转移条件征得个人同意。
第八,该条继承了上位法对外国司法或者执法机构调取数据的相关规定。《数据安全法》和《个人信息保护法》都规定,非经中华人民共和国主管机关批准,境内的个人、组织不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。该规定是为了反制美等国家实施的“长臂管辖”“域外执法”行为。如2018年3月,美国颁布《云法案》(全称《澄清境外数据的合法使用法》),规定如美国政府索取,所有美企必须将储存在境内外的数据提交给政府。为此,我国在几部数据安全法律法规中都设立了相应条款予以反制。但实践中发现,当前有必要对上位法的规定进一步澄清。例如,境内组织或个人主动到国外打官司,因诉讼需要而向国外法院提交证据,这显然不是反制《云法案》的情况,则此时还需要主管机关批准吗?如有可能,建议《条例》在后续修改中适当考虑这一问题。
对应条款
第四十条 向境外提供个人信息和重要数据的数据处理者,应当在每年1月31日前编制数据出境安全报告,向设区的市级网信部门报告上一年度以下数据出境情况:
(一)全部数据接收方名称、联系方式;
(二)出境数据的类型、数量及目的;
(三)数据在境外的存放地点、存储期限、使用范围和方式;
(四)涉及向境外提供数据的用户投诉及处理情况;
(五)发生的数据安全事件及其处置情况;
(六)数据出境后再转移的情况;
(七)国家网信部门明确向境外提供数据需要报告的其他事项。
解读
数据出境情况报告是《条例》规定的一系列报告中的一种。为什么提出对这种报告的要求呢?主要原因是数据出境的几种条件的适用性由数据发送方自行判断(例如,发送方如认为不必进行出境评估,则其便不会向网信部门提交出境评估申请),且数据实际出境情况不可能通过技术手段全面掌握(即使监测到了出境的数据,也难以判断是否合规)。这种情况下,有必要通过企业自我声明的方式,汇总报告全年度的数据出境情况,便于网信部门充分掌握情况。
除了要反映数据发送方一侧的情况外,《条例》还要求报送数据出境后再转移的情况。这意味着,即使数据已经完成出境,数据发送方也不能当“甩手掌柜”,其仍需关注数据接收方对数据的使用情况,尤其是再转移情况。为确保这一目的能够实现,发送方宜在合同中与接收方就此作出约定。
相关文章:
数安条例百问15、16、17、18、19:关于数据处理者安全保护义务
数安条例百问27、28、29、30:关于“一般要求”中的几个特定考虑
数安条例百问46、47、48:关于生物特征应用和一百万人以上个人信息处理者的适用
数安条例百问55、56、57、58、59:关于年度评估与对外提供数据的风险评估
数安条例百问60、61:关于征得主管部门同意要求及云安全评估要求
数安条例百问66、67、68:关于数据出境的单独同意、评估条件与国际协议
数安条例百问74、75、76、77、78:关于平台规则、隐私政策和算法策略
