《数据出境安全评估办法》解读暨RCEP框架下的跨境数据合规
跨境数据流动已成为驱动数字化的经济增长的主要力量。RCEP区域内各国或地区间商业的贸易往来,尤其是跨境电子商务,无论是线上或是线下的商业交易、支付结算,与此相关数据信息的跨境传输、调用等活动将愈加活跃,跨境数据流动相关政策法规将在各国本地法律体系以及国际间条约中持续演进并实施。我国国家互联网信息办公室(“国家网信办”)于2022年7月7日发布《数据出境安全评估办法》(以下称“评估办法“),8月31日发布《数据出境安全评估申报指南(第一版)》(以下称“申报指南“)于2022年9月1日生效,与《网络安全法》、《数据安全法》、《个人隐私信息保护法》及相关法律和法规共同构筑我国互联网空间治理和数据信息保护的监督管理要求和法律体系。以下结合对我国数据出境安全评估办法的解读,提示数据信息出境违规风险防范和预警,以期为中国企业海外投资、数据跨境风险管理提供合规建议和实务指引。
中国与东盟十国及其他几个国家共同签署的《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership Agreement, RCEP)于2022年1月1日生效。RCEP框架下就数据跨境流动允许各缔约方进行本地化政策法规予以监管。
RCEP协定书在第八章(服务贸易)、第十二章(电子商务)提出针对数据跨境流动的要求。如第八章第九条第一款,规定各缔约方可以就信息转移和信息处理设置其管理要求,即各缔约方可以本国制度进行监管。尽管第九条第二款要求缔约方不得阻止在其领土内的金融服务提供者为进行日常营运所需的信息转移,包括通过电子方式或其它方式来进行数据转移、进行日常营运所需的信息处理,但前述规定并不阻止各缔约方的监督管理的机构出于监管或审慎原因,要求其领土内的金融服务提供者遵守与数据管理、存储和系统维护、保留在其领土内的记录副本相关的法律和法规,不限制各缔约方保护个人数据、个人隐私,以及个人记录和帐户机密性的权利,包括根据其法律和法规进行保护的权利。
如第十二章涉及有关网络安全、个人隐私等内容,其中第十四条允许各缔约方按各自法律制度体系及措施来监管计算设施的使用或位置,即各缔约方可以针对数据存储和处理进行本地化监管。但缔约方不可以要求以将设施必须置于该缔约方领土之内作为进入该缔约方领土内进行商业活动的前提条件。
企业应当按我国数据出境安全评估办法和申报指南规定,对其数据跨境活动进行梳理、审查和及时评估,切实做好数据出境风险自评估和申报,如若发现有不合规的,应及时整改或采取补救措施,积极与监管有关部门沟通,及时跟进申报进度,以确保企业数据出境合规。评估办法和申报指南明确了数据出境安全评估要求,包括对数据出境安全评估的适合使用的范围、申报方式、流程及材料等具体说明。
根据评估办法 [1] ,数据处理者应当在2023年3月1日前完成2022年9月1日前已经开展的不符合相关规定的数据出境活动的整改。因此我们提议企业应及时梳理并审查对其此前及现在的数据出境活动,开展数据出境安全评估并尽早整改不合规情况。
数据处理者应当在数据出境活动发生前申报并通过数据出境安全评估。如需要与境外接收方签订合同等有关规定法律文件的,应当在该等法律文件签订之前申报数据出境安全评估。若签订在先申报在后的,建议明确以数据出境安全评估申报通过作为合同生效前提条件。
对于通过数据出境安全评估的结果有效期2年届满之后,仍需要继续开展数据出境活动的情形,数据处理者应当在有效期届满60个工作日前重新申报评估。
此外,在国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求,书面通知数据处理者终止数据出境活动的情况下,数据处理者要继续开展数据出境活动的,则应当根据相关要求整改,整改完成后重新申报评估。
违规数据出境行为将可能会引起行政处罚、民事及刑事责任。按评估办法规定,如违反本办法的,将依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人隐私信息保护法》等法律和法规处理;构成犯罪的,依照法律来追究刑事责任。若违反《中华人民共和国数据安全法》第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处10-100万元罚款,对直接负责的主管人员和其他直接责任人员可以处1-10万元罚款;情节严重的,处100-1000万元罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销 营业执照 ,对直接负责的主管人员和其他直接责任人员处10-100万元罚款 [2] 。
数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人隐私信息的情形应当适用该办法进行安全评估 [3] 。申报指南规定的属于数据出境行为的情形包括:(一)数据处理者将在境内运营中收集和产生的数据传输、 存储至境外。如境内的数据处理者通过传输、存储、上载、递送等动作,将其在境内运营中收集和产生的数据提供至境外,包括通过软件或硬件介质等方式,如电子邮件、U盘、移动硬盘、笔记本电脑等。(二)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出。如访问包含重要数据或个人隐私信息的公开网页、境外主体在境外对存储于境内的数据来进行访问、下载或调用。(三)国家网信办规定的其他数据出境行为。
数据处理者向境外提供数据,有以下情形之一的,应当通过所在地省级网信部门向国家网信部门 申报数据出境安全评估 [4] :(一)数据处理者向境外提供重要数据;(二)关键信息基础设施运营者和处理100万人以上个人隐私信息的数据处理者向境外提供个人隐私信息;(三)自上年1月1日起累计向境外提供10万人个人隐私信息或者1万人敏感个人隐私信息的数据处理者向境外提供个人隐私信息;(四)国家网信部门规定的别的需要申报数据出境安全评估的情形。前述情形(一) 涉及重要数据,情形(二)涉及CIIO、个人隐私信息相关的具体人数,情形(三)涉及最长两年内的累计量。
数据处理者需要审查其数据出境活动是否触发评估办法规定的数据安全评估申报,尤其必须要格外注意的是,如跨国企业或跨境商业活动中的日常工作的文件或数据跨境传输,包括电子邮件往来、境内/境外服务器或数据库信息的传输及调用。如前所述数据出境行为包括数据处理者将在境内运营中收集和产生的数据传输、存储至境外;以及数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出。
数据出境安全评估可按两步骤进行:先自行开展数据出境安全自评估,然后再提出申报,由网信部门进行数据出境安全评估。数据处理者在向境外提供数据之前、在申报数据出境安全评估之前,应当事先开展数据出境风险自评估,就各事项逐项说明风险评估情况,重点说明评估发现的问题和风险隐患,及相应采取的整改措施、整改效果。数据出境安全自评估报告是一定要提交的申报材料之一,数据出境安全自评估要点包括出境行为的合法性、境外接收方的义务、数据出境相关合同合规性及出境行为风险等。
数据出境安全自评估的重点评估事项 [5] 包括以下:数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人隐私信息权益维护的渠道是否通畅等;与境外接收方拟订立的数据出境相关合同等法律文件是否充分约定了数据安全保护责任义务;别的可能影响数据出境安全的事项。
数据处理者申报时应提交的材料 [6] ,包括统一社会信用代码证件影印件、法定代表人身份证件影印件、经办人身份证件影印件、授权委托书、数据出境安全评估申报书、与境外接收方拟订立的数据出境相关合同或者其他具有法律上的约束力的文件影印件、数据出境风险自评估报告、其他相关证明材料。国家网信办受理申报后,根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估 [7] 。
数据处理者申报数据出境安全评估,应当通过所在地省级网信办申报数据出境安全评估。省级网信办在收到申报材料后5个工作日内完成申报材料的完备性查验。通过完备性查验的,省级网信办将申报材料上报国家网信办。
国家网信办自收到省级网信办上报申报材料之日起7个工作日内,确定是不是受理并书面通知数据处理者。数据处理者如被告知补充或者更正申报材料,应当及时根据相关要求补充或者更正材料。无正当理由不补充或者更正申报材料的,安全评估将会终止。情况复杂的,数据处理者将被告知评估预计延长的时间。
评估完成后,数据处理者将收到评估结果通知书。对评估结果无异议的,数据处理者须按照数据出境安全管理相关法律和法规和评估结果通知书的有关要求,规范有关数据出境活动;对评估结果有异议的,数据处理者可以在收到评估结果通知书15个工作日内向国家网信办申请复评,复评结果为最终结论。
通过数据出境安全评估的结果有效期为自评估结果出具之日起2年。若在有效期内出现以下情形之一的,则数据处理者应当重新申报评估:向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生明显的变化影响出境数据安全的,或者延长个人隐私信息和重要数据境外保存期限的;境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生明显的变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的;出现影响出境数据安全的其他情形。因此建议数据处理者应当持续对其数据出境行为进行自我监测和审查管理,以避免或防范前述事项发生,或及时采取应对或弥补措施,必要时重新评估。
中国企业赴海外开展投资贸易商业活动,应谨慎注意,不仅要符合中国法律和法规的相关规定,而且应严格遵守境外的当地国的政策法规要求,还应注意符合国际贸易条约如RCEP的有关要求,企业应当以合规经营为原则,对其数据信息跨境加以规范管理。
[1]《数据出境安全评估办法》第二十条,本办法自2022年9月1日起施行。本办法施行前已经开展的数据出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改。
[2]《中华人民共和国数据安全法》第四十六条。《中华人民共和国数据安全法》第三十一条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
董红曼律师,德禾翰通律师事务所管理合伙人,中国东盟生物科技产业联盟法律顾问
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
黑龙江哈尔滨,一男子想把车开回河南老家,可他又嫌路途太远,于是就花3900块钱把车托运回去
梅德韦杰夫最新表态:特别军事行动还有一个目标,“推翻执政的班德拉政权”
国足0-2完败阿曼!2023年收官:11场4胜2平5负,最解气逆转泰国
蔚来一代车型NIO Pilot全配包开启订阅:每月380元,新增领航辅助
三星 QD-OLED、Neo QLED、QLED 电视提前泄露,预计CES 2024 发布