個保法系列解讀 | 個人信息跨境傳輸,企業(yè)要做到這些事
隨著數(shù)字經(jīng)濟(jì)的全球化發(fā)展,頻繁的數(shù)據(jù)跨境流動可能會給國家安全和社會公共利益帶來安全風(fēng)險。在此背景下,近期開始實施的《個人信息保護(hù)法》(以下簡稱“《個保法》”)就規(guī)定了關(guān)于個人信息跨境傳輸?shù)暮弦?guī)要求。
為了進(jìn)一步明確跨境傳輸?shù)木唧w規(guī)范,國家互聯(lián)網(wǎng)信息辦公室近日還出臺了《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》(以下簡稱“《條例》”)和《數(shù)據(jù)出境安全評估辦法(征求意見稿)》(以下簡稱“《辦法》”)來進(jìn)一步細(xì)化相關(guān)內(nèi)容。
為了讓相關(guān)企業(yè)更好地了解《個保法》的合規(guī)要求,TalkingData法務(wù)合規(guī)部帶來了《個人信息保護(hù)法》系列解讀——個人信息跨境傳輸篇。
一、個人信息跨境傳輸
1、什么情形下個人信息可以跨境傳輸?
場景 | 具體情形 | 法律規(guī)范來源 |
評估 | 通過國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評估。 | 《個保法》 |
認(rèn)證 | 數(shù)據(jù)處理者和數(shù)據(jù)接收方均通過國家網(wǎng)信部門認(rèn)定的專業(yè)機(jī)構(gòu)進(jìn)行的個人信息保護(hù)認(rèn)證。 | |
合同 | 按照國家網(wǎng)信部門制定的關(guān)于標(biāo)準(zhǔn)合同的規(guī)定與數(shù)據(jù)接收方訂立合同,約定雙方權(quán)利和義務(wù)。 | |
其他 | 法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。 | |
合同所必需 | 數(shù)據(jù)處理者為訂立、履行個人作為一方當(dāng)事人的合同所必需向境外提供當(dāng)事人個人信息。 | 《條例》 |
必要利益所必需 | 為了保護(hù)個人生命健康和財產(chǎn)安全而必須向境外提供個人信息。 |
(1)涉及跨境傳輸?shù)暮贤瑧?yīng)包含哪些內(nèi)容?
《個保法》特別指出與境外接收方訂立的合同應(yīng)為“國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同”,引入了中國版“標(biāo)準(zhǔn)合同條款”的概念,此規(guī)定其實是借鑒了歐盟的做法,因為GDPR就規(guī)定了簽署標(biāo)準(zhǔn)合同條款是合規(guī)數(shù)據(jù)跨境傳輸?shù)姆绞街唬蓺W盟委員會制定發(fā)布標(biāo)準(zhǔn)合同條款模板。雖然目前網(wǎng)信部門還沒有發(fā)布標(biāo)準(zhǔn)合同模板,但是依據(jù)國家互聯(lián)網(wǎng)信息辦公室出臺的《辦法》的安全評估事項,可看出合同至少應(yīng)充分約定了數(shù)據(jù)安全保護(hù)責(zé)任義務(wù),具體內(nèi)容如下:
條款 | 具體內(nèi)容 |
目的、方式、范圍 | 數(shù)據(jù)出境的目的、方式和數(shù)據(jù)范圍,境外接收方處理數(shù)據(jù)的用途、方式等; |
存儲 | 數(shù)據(jù)在境外保存地點、期限,和達(dá)到保存期限、完成約定目的或合同終止后出境數(shù)據(jù)的處理措施; |
再轉(zhuǎn)移 | 限制境外接收方將出境數(shù)據(jù)再轉(zhuǎn)移給其他組織、個人的約束條款; |
安全補(bǔ)救措施 | 境外接收方在實際控制權(quán)或者經(jīng)營范圍發(fā)生實質(zhì)性變化,或者所在國家、地區(qū)法律環(huán)境發(fā)生變化導(dǎo)致難以保障數(shù)據(jù)安全時,應(yīng)當(dāng)采取的安全措施; |
爭議解決 | 違反數(shù)據(jù)安全保護(hù)義務(wù)的違約責(zé)任和具有約束力且可執(zhí)行的爭議解決條款; |
應(yīng)急處置 | 發(fā)生數(shù)據(jù)泄露等風(fēng)險時,妥善開展應(yīng)急處置,并保障個人維護(hù)個人信息權(quán)益的通暢渠道。 |
(2)如何理解“合同所必需”?
《條例》并沒有對“必需”的認(rèn)定標(biāo)準(zhǔn)予以細(xì)化,建議想基于此理由跨境傳輸?shù)南嚓P(guān)企業(yè),先參考?xì)W盟數(shù)據(jù)保護(hù)委員會發(fā)布的《向數(shù)據(jù)主體提供在線服務(wù)時依據(jù)GDPR第6(1)(b)條規(guī)定處理個人數(shù)據(jù)指南》(Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects)進(jìn)行理解,其指出相關(guān)企業(yè)可基于隱私保護(hù)的立法目的,結(jié)合具體場景來綜合認(rèn)定履行合同的必要性。建議參考以下角度來進(jìn)行判斷:服務(wù)的類型、服務(wù)的特征、合同訂立目的、合同的必要性要素、合同各方的期待、普通用戶是否會合理地設(shè)想到履行合同必然會發(fā)生數(shù)據(jù)處理行為。
此外,歐盟數(shù)據(jù)保護(hù)委員會在此文件中還特別指出改進(jìn)服務(wù)、精準(zhǔn)廣告推送、基于歷史數(shù)據(jù)的個性化推送都不被視為合同履行必要性的理由,但是針對某些服務(wù),個性化展示可以被視為是履行合同的必要行為。
2、個人信息出境在什么情形下應(yīng)進(jìn)行安全評估?
《個保法》規(guī)定,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者確需向境外提供的,應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評估。國家互聯(lián)網(wǎng)信息辦公室通過近日發(fā)布的《條例》和《辦法》對“規(guī)定數(shù)量”進(jìn)行了明確,但是鑒于數(shù)量標(biāo)準(zhǔn)的基準(zhǔn)線較低,可能會導(dǎo)致大量的企業(yè)需進(jìn)行安全評估。
判斷要素 | 具體情形 | 法律規(guī)范來源 |
特殊的數(shù)據(jù)處理者 | 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者收集和產(chǎn)生的個人信息 | 《個保法》、《數(shù)據(jù)安全法》、《網(wǎng)絡(luò)安全法》、《辦法》、《網(wǎng)絡(luò)數(shù)據(jù)安全條例》 |
特殊的數(shù)據(jù) | 處理個人信息達(dá)到100萬人的個人信息處理者向境外提供個人信息 | 《辦法》、《條例》 |
累計向境外提供超過10萬人以上個人信息或者1萬人以上敏感個人信息 | 《辦法》 | |
其他情形 | 國家網(wǎng)信部門規(guī)定的其他情形 | 《辦法》 |
(1)什么是關(guān)鍵信息基礎(chǔ)設(shè)施?
《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》(以下簡稱“《保護(hù)條例》”)延續(xù)了《網(wǎng)絡(luò)安全法》的“重要領(lǐng)域+嚴(yán)重后果”的不完全定義方式,將關(guān)鍵信息基礎(chǔ)設(shè)施定義為公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。關(guān)鍵行業(yè)或領(lǐng)域列舉式定義其實是國內(nèi)外明確關(guān)鍵信息基礎(chǔ)設(shè)施含義的通用方式,例如美國也以第21號總統(tǒng)令的形式確定了十六類關(guān)鍵基礎(chǔ)設(shè)施部門。
《保護(hù)條例》還進(jìn)一步指出,應(yīng)通過重點評估網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等對于本行業(yè)、本領(lǐng)域關(guān)鍵核心業(yè)務(wù)的重要程度;網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露可能帶來的危害程度;對其他行業(yè)和領(lǐng)域的關(guān)聯(lián)性影響來認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施。
3、如何進(jìn)行個人信息出境安全評估?
《個保法》只提出了安全評估的要求,而《辦法》則明確了具體的安全評估流程。
4、在個人信息出境的場景下,相關(guān)企業(yè)應(yīng)特別注意哪些合規(guī)義務(wù)?
《條例》和《辦法》對《個保法》提出的合規(guī)義務(wù)進(jìn)行了細(xì)化,具體如下:
義務(wù) | 具體要求 | 法律規(guī)范來源 |
個人信息影響評估 | 向境外提供個人信息前應(yīng)進(jìn)行個人信息影響評估。重點評估個人信息的處理目的、處理方式等是否合法、正當(dāng)、必要;對個人權(quán)益的影響及安全風(fēng)險;所采取的保護(hù)措施是否合法、有效并與風(fēng)險程度相適應(yīng)。具體的評估流程可參考TD參與編撰的《信息安全技術(shù) 個人信息安全影響評估指南》(GB/T 39335-2020)。 | 《個保法》 |
安全評估 | 屬于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者,或處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的相關(guān)企業(yè)確需向境外提供的,應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評估。(具體分析見問題2) | |
范圍限制 | 不得超出報送網(wǎng)信部門的個人信息保護(hù)影響評估報告和安全評估中明確的目的、范圍、方式和數(shù)據(jù)類型、規(guī)模等向境外提供個人信息。 | 《條例》 |
持續(xù)監(jiān)督 | 采取合同等有效措施監(jiān)督數(shù)據(jù)接收方按照雙方約定的目的、范圍、方式使用數(shù)據(jù),履行數(shù)據(jù)安全保護(hù)義務(wù),保證數(shù)據(jù)安全。 | |
投訴 | 接受和處理數(shù)據(jù)出境所涉及的用戶投訴。 | |
記錄留存 | 存留相關(guān)日志記錄、數(shù)據(jù)出境審批記錄三年以上。 | |
補(bǔ)救措施 | 國家網(wǎng)信部門認(rèn)定不得出境的,應(yīng)當(dāng)停止數(shù)據(jù)出境,并采取有效措施對已出境數(shù)據(jù)的安全予以補(bǔ)救。 | |
再轉(zhuǎn)移 | 個人信息出境后確需再轉(zhuǎn)移的,應(yīng)當(dāng)事先與個人約定再轉(zhuǎn)移的條件,并明確數(shù)據(jù)接收方履行的安全保護(hù)義務(wù)。 | |
法律協(xié)助 | 經(jīng)中國主管機(jī)關(guān)批準(zhǔn)后,境內(nèi)的個人、組織才能向外國司法或者執(zhí)法機(jī)構(gòu)提供存儲于中國境內(nèi)的個人信息。 | 《個保法》 |
網(wǎng)絡(luò)安全審查 | 如果相關(guān)企業(yè)開展個人信息處理活動,影響或可能影響國家安全;或處理100萬人以上個人信息且赴國外上市;或赴香港上市,影響或者可能影響國家安全,需要進(jìn)行網(wǎng)絡(luò)安全審查。《條例》將赴香港上市的申報主體限定為數(shù)據(jù)處理者,即在數(shù)據(jù)處理活動中自主決定處理目的和處理方式的個人和組織,此規(guī)定可能意味著僅受委托處理數(shù)據(jù)的企業(yè)可能不在審查范圍之列,例如云服務(wù)提供商,但是具體的理解適用還需監(jiān)管部門進(jìn)一步明晰。 | 《辦法》、《條例》 |
5、個人信息出境場景對于告知同意有什么特殊要求?
向境外提供個人信息時, 應(yīng)當(dāng)向個人告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使權(quán)利的方式和程序等事項,并獲取單獨同意。對于跨境傳輸場景下的單獨同意機(jī)制調(diào)研情況請見下文。
二、企業(yè)實施情況調(diào)研
經(jīng)過調(diào)研App Store前30款免費APP的跨境傳輸規(guī)則,APP一般會在隱私政策的信息存儲部分披露個人信息跨境情況。絕大部分APP均會指出其在境內(nèi)收集和產(chǎn)生的個人信息會存儲于中國境內(nèi),若部分業(yè)務(wù)涉及跨境傳輸,其會遵守法律法規(guī)的要求。但是目前30款A(yù)PP均沒有在APP初始化展示隱私政策時設(shè)置單獨同意機(jī)制。
*可發(fā)送關(guān)鍵詞「跨境傳輸規(guī)則」,獲取本調(diào)研報告的完整版
約13%的APP在隱私政策中明確指出個人信息僅本地化存儲,不跨境傳輸。例如“國家反詐中心”和“交管12123”(具體截圖如下)。
“國家反詐中心”隱私政策
“交管12123”隱私政策
約80%的APP則會在隱私政策中指出,其原則上會將在中國境內(nèi)運(yùn)營收集和產(chǎn)生的個人信息存儲于中國境內(nèi),如果需要跨境傳輸會履行法律規(guī)定的義務(wù)。這就意味著用戶的個人信息一般本地化存儲,如果出現(xiàn)需要跨境傳輸?shù)膱鼍埃嚓P(guān)企業(yè)會履行單獨的告知同意義務(wù)。例如“微信”和“抖音”(具體截圖如下)。
“微信”隱私政策
“抖音”隱私政策
約7%的APP會在隱私政策中告知存在個人信息存儲在境外或跨境傳輸?shù)那樾巍@纭搬斸敗焙汀霸崎W付”(具體截圖如下)。“云閃付”在隱私政策中特別列出了境外接收方列表,包括應(yīng)用形式、接收地區(qū)、運(yùn)營公司、聯(lián)系方式。
“釘釘”隱私政策
“云閃付”隱私政策
*可發(fā)送關(guān)鍵詞「跨境傳輸規(guī)則」,獲取本調(diào)研報告的完整版
《個保法》構(gòu)建了較為完善的個人信息保護(hù)框架,單獨成章的個人信息跨境規(guī)則為相關(guān)企業(yè)的跨境業(yè)務(wù)運(yùn)營提供了明確的指引,近日發(fā)布的《辦法》和《規(guī)定》在此基礎(chǔ)上進(jìn)一步細(xì)化了相關(guān)內(nèi)容來推動《個保法》的落地實施。作為信通院“個人信息保護(hù)合規(guī)審計推進(jìn)小組”的首批成員單位,TalkingData會在嚴(yán)格遵守《個保法》的相關(guān)規(guī)定的基礎(chǔ)上積極推進(jìn)個人信息保護(hù)工作,完善公司內(nèi)部的合規(guī)體系。
推薦閱讀:
TalkingData——用數(shù)據(jù)說話
每天一篇好文章,歡迎分享關(guān)注
