数安条例百问66、67、68:关于数据出境的单独同意、评估条件与国际协议
小贝案语
11月14日,国家互联网信息办公布了《网络数据安全管理条例(征求意见稿)》。为此,小贝说安全设立《网络数据安全管理条例(征求意见稿)》(后文简称《条例》)解读专栏,以百问百答的形式对《条例》进行系列解读。
需要指出,这些解读只是专家个人观点,不代表官方意见;且这些解读针对的是征求意见稿,未来条文本身可能会发生变化,不排除会有新增和删除。
对应条款
第三十六条 数据处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外数据接收方的名称、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外数据接收方行使个人信息权利的方式等事项,并取得个人的单独同意。
收集个人信息时已单独就个人信息出境取得个人同意,且按照取得同意的事项出境的,无需再次取得个人单独同意。
解读
《个人信息保护法》第二十三条规定,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
而向境外提供个人信息是“向其他个人信息处理者提供其处理的个人信息”的一种特殊情况,故除了继续履行《个人信息保护法》第二十三条的义务外,还应落实更加严格的安全要求。因此,《个人信息保护法》第三十九条规定,个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。该条中,增加了向个人告知“个人向境外接收方行使本法规定权利的方式和程序”的要求,并继续要求取得个人单独同意。
但实践中,很多人反映,收集个人信息和个人信息出境往往不是发生在同一时刻。一般情形下,数据处理者很可能已经收集了个人信息,但在未来的某一时刻决定跨境传输信息。出境时追溯个人并取得其单独同意,往往不现实,可能会严重降低数据出境的效率,社会成本过于高昂。
上述担心有一定道理,但鉴于数据出境属于敏感事项,故原则上还是应当征得个人单独同意。但是,《条例》第三十六条也指出,收集个人信息时已单独就个人信息出境取得个人同意,且按照取得同意的事项出境的,无需再次取得个人单独同意。这实际上是对个人信息出境减免了一些义务,体现在单独同意不一定发生在数据跨境时刻,收集个人信息时已单独就个人信息出境取得个人同意的,也视为个人信息出境的单独同意。
这一规定与《条例》“附则”中的“单独同意”有所差别。“附则”中的“单独同意”强调,其应当在处理数据的时刻作出,这主要是为了使用户做到足够的注意,防止用户在事发前“稀里糊涂”同意。但鉴于数据出境本身比较特殊,在收集时如已尽到告知义务,此时已经可以使用户做到足够注意,加之为了取得数据出境安全与便利之间的平衡,故《条例》对数据出境时的单独同意作了特别规定。
对应条款
第三十七条 数据处理者向境外提供在中华人民共和国境内收集和产生的数据,属于以下情形的,应当通过国家网信部门组织的数据出境安全评估:
(一)出境数据中包含重要数据;
(二)关键信息基础设施运营者和处理一百万人以上个人信息的数据处理者向境外提供个人信息;
(三)国家网信部门规定的其它情形。
法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
解读
《个人信息保护法》第三十八条和《条例》第三十五条均列出了数据出境的几种条件:
(一)通过国家网信部门组织的数据出境安全评估;
(二)数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证;
(三)按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同,约定双方权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
《条例》的上述写法继承了《个人信息保护法》,但两者都容易给人错觉,使人误认为以上四个条件是并列的。事实上,特定数据出境时,需要通过国家网信部门组织的数据出境安全评估;其他数据出境时,不需要由国家网信部门组织开展评估,此时可以根据具体情况选择第(二)(三)或(四)种方式。亦即,第(一)个条件与其他条件并不是并列的。
那么,什么情况下需要通过国家网信部门组织的数据出境安全评估呢?《条例》第三十七条列出了以下三种情况:
即,只要是重要数据,则出境时必经安全评估。对个人信息而言,如其属关键信息基础设施运营者向境外提供,则应经安全评估;如其不属于关键信息基础设施运营者收集产生的个人信息,则在数据处理者拥有一百万人以上个人信息时,应对个人信息出境进行安全评估。
对应条款
第三十八条 中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。
解读
习近平总书记指出,信息流引领技术流、资金流、人才流。国际贸易的发展,背后是数据的跨境流动在支持。因此,各国之间正在频繁开展关于数据跨境方面的磋商,有的国家间已经达成了数据跨境协议,或一些国际组织成员国已经联合签署了与数据安全有关的贸易协定。
于是问题产生了,如果这些协议或协定之中已对数据出境作了明确安排,那么是以这些协议、协定为准,还是以法律规定的数据出境安全管理制度为准呢?
各国在此方面的做法是一致的:以协议、协定为优先。
最典型的例子是欧盟实施《通用数据保护条例》(GDPR)前后,欧盟与美国签署的协议。其具体过程如下:
(一)欧盟1995年出台《个人数据处理及自由流动保护指令》后,应美国商务部要求,经过不断磋商,欧美签署了《安全港协议》。其实质是,欧盟承认美国商务部的一揽子安排,即《安全港协议》满足了指令中“对个人数据进行充分保护”的要求,只要美国企业声明加入该协议,就可以使欧盟的个人数据流向美国企业,免去了欧盟各国可能对其进行的数据保护方面的审查和诉讼。
(二)斯诺登事件损害了欧美互信,欧盟开始担心美国政府利用反恐之名获得美国企业掌握的欧洲个人数据,美欧之间的平衡开始倾斜,欧盟内部出现了废除该协议的声音。2015年10月,欧盟高等法院判决《安全港协议》无效。深层次原因有很多,例如:协议只覆盖了公司保护个人数据情况,没有覆盖政府获取个人数据的情况;没给欧洲公民救济措施;美国企业可以根据国内法义务违反协议,但却不被追究;欧盟各国无权审查美国做法是否合规。
(三)2015年10月起,欧美紧急磋商,应对《安全港协议》失效对美欧商贸往来造成的冲击。2015年10月26日,欧美就新的跨大西洋数据转移协议达成原则性一致:美国商务部要有更大的监管力度来确保美国企业保护了欧盟个人数据;要给消费者更多透明度,使消费者了解企业是如何处理个人数据的;设立由美欧双方共同运行的年度检查机制。这被称为《隐私盾协议》。2016年6月12日,《隐私盾协议》被欧盟委员会采纳,并于2016年8月1日生效。
(四)欧洲“数字主权”意识的觉醒,使其在实施《隐私盾协议》数年后,对该协议是否能够充分保护欧盟个人数据进行调查。2020年7月16日,欧盟法院作出判决,认定美欧数据跨境转移机制《隐私盾协议》无效。至此,欧洲向美国传输数据又不得不回到了标准合同条款(“SCC”)等老路上。
目前,欧盟与美国尚未达成新的数据跨境协议。但以上例子却给了大家一个直观的关于数据跨境国际协议、协定的例子。既然我国《个人信息保护法》和《条例》都对国际协议、协定的优先级作了规定,就相当于国家正在通过立法作出政策宣示:对达成数据跨境国际协议、协定持积极态度,愿意与各国展开磋商。
相关文章:
数安条例百问15、16、17、18、19:关于数据处理者安全保护义务
数安条例百问27、28、29、30:关于“一般要求”中的几个特定考虑
数安条例百问46、47、48:关于生物特征应用和一百万人以上个人信息处理者的适用
数安条例百问55、56、57、58、59:关于年度评估与对外提供数据的风险评估
数安条例百问60、61:关于征得主管部门同意要求及云安全评估要求
数安条例百问66、67、68:关于数据出境的单独同意、评估条件与国际协议
数安条例百问74、75、76、77、78:关于平台规则、隐私政策和算法策略
