个保法系列解读 | 个人信息跨境传输,企业要做到这些事
随着数字经济的全球化发展,频繁的数据跨境流动可能会给国家安全和社会公共利益带来安全风险。在此背景下,近期开始实施的《个人信息保护法》(以下简称“《个保法》”)就规定了关于个人信息跨境传输的合规要求。
为了进一步明确跨境传输的具体规范,国家互联网信息办公室近日还出台了《网络数据安全管理条例(征求意见稿)》(以下简称“《条例》”)和《数据出境安全评估办法(征求意见稿)》(以下简称“《办法》”)来进一步细化相关内容。
为了让相关企业更好地了解《个保法》的合规要求,TalkingData法务合规部带来了《个人信息保护法》系列解读——个人信息跨境传输篇。
一、个人信息跨境传输
1、什么情形下个人信息可以跨境传输?
场景 | 具体情形 | 法律规范来源 |
评估 | 通过国家网信部门组织的数据出境安全评估。 | 《个保法》 |
认证 | 数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证。 | |
合同 | 按照国家网信部门制定的关于标准合同的规定与数据接收方订立合同,约定双方权利和义务。 | |
其他 | 法律、行政法规或者国家网信部门规定的其他条件。 | |
合同所必需 | 数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息。 | 《条例》 |
必要利益所必需 | 为了保护个人生命健康和财产安全而必须向境外提供个人信息。 |
(1)涉及跨境传输的合同应包含哪些内容?
《个保法》特别指出与境外接收方订立的合同应为“国家网信部门制定的标准合同”,引入了中国版“标准合同条款”的概念,此规定其实是借鉴了欧盟的做法,因为GDPR就规定了签署标准合同条款是合规数据跨境传输的方式之一,由欧盟委员会制定发布标准合同条款模板。虽然目前网信部门还没有发布标准合同模板,但是依据国家互联网信息办公室出台的《办法》的安全评估事项,可看出合同至少应充分约定了数据安全保护责任义务,具体内容如下:
条款 | 具体内容 |
目的、方式、范围 | 数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等; |
存储 | 数据在境外保存地点、期限,和达到保存期限、完成约定目的或合同终止后出境数据的处理措施; |
再转移 | 限制境外接收方将出境数据再转移给其他组织、个人的约束条款; |
安全补救措施 | 境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区法律环境发生变化导致难以保障数据安全时,应当采取的安全措施; |
争议解决 | 违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款; |
应急处置 | 发生数据泄露等风险时,妥善开展应急处置,并保障个人维护个人信息权益的通畅渠道。 |
(2)如何理解“合同所必需”?
《条例》并没有对“必需”的认定标准予以细化,建议想基于此理由跨境传输的相关企业,先参考欧盟数据保护委员会发布的《向数据主体提供在线服务时依据GDPR第6(1)(b)条规定处理个人数据指南》(Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects)进行理解,其指出相关企业可基于隐私保护的立法目的,结合具体场景来综合认定履行合同的必要性。建议参考以下角度来进行判断:服务的类型、服务的特征、合同订立目的、合同的必要性要素、合同各方的期待、普通用户是否会合理地设想到履行合同必然会发生数据处理行为。
此外,欧盟数据保护委员会在此文件中还特别指出改进服务、精准广告推送、基于历史数据的个性化推送都不被视为合同履行必要性的理由,但是针对某些服务,个性化展示可以被视为是履行合同的必要行为。
2、个人信息出境在什么情形下应进行安全评估?
《个保法》规定,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者确需向境外提供的,应当通过国家网信部门组织的安全评估。国家互联网信息办公室通过近日发布的《条例》和《办法》对“规定数量”进行了明确,但是鉴于数量标准的基准线较低,可能会导致大量的企业需进行安全评估。
判断要素 | 具体情形 | 法律规范来源 |
特殊的数据处理者 | 关键信息基础设施的运营者收集和产生的个人信息 | 《个保法》、《数据安全法》、《网络安全法》、《办法》、《网络数据安全条例》 |
特殊的数据 | 处理个人信息达到100万人的个人信息处理者向境外提供个人信息 | 《办法》、《条例》 |
累计向境外提供超过10万人以上个人信息或者1万人以上敏感个人信息 | 《办法》 | |
其他情形 | 国家网信部门规定的其他情形 | 《办法》 |
(1)什么是关键信息基础设施?
《关键信息基础设施安全保护条例》(以下简称“《保护条例》”)延续了《网络安全法》的“重要领域+严重后果”的不完全定义方式,将关键信息基础设施定义为公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。关键行业或领域列举式定义其实是国内外明确关键信息基础设施含义的通用方式,例如美国也以第21号总统令的形式确定了十六类关键基础设施部门。
《保护条例》还进一步指出,应通过重点评估网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;对其他行业和领域的关联性影响来认定关键信息基础设施。
3、如何进行个人信息出境安全评估?
《个保法》只提出了安全评估的要求,而《办法》则明确了具体的安全评估流程。
4、在个人信息出境的场景下,相关企业应特别注意哪些合规义务?
《条例》和《办法》对《个保法》提出的合规义务进行了细化,具体如下:
义务 | 具体要求 | 法律规范来源 |
个人信息影响评估 | 向境外提供个人信息前应进行个人信息影响评估。重点评估个人信息的处理目的、处理方式等是否合法、正当、必要;对个人权益的影响及安全风险;所采取的保护措施是否合法、有效并与风险程度相适应。具体的评估流程可参考TD参与编撰的《信息安全技术 个人信息安全影响评估指南》(GB/T 39335-2020)。 | 《个保法》 |
安全评估 | 属于关键信息基础设施运营者,或处理个人信息达到国家网信部门规定数量的相关企业确需向境外提供的,应当通过国家网信部门组织的安全评估。(具体分析见问题2) | |
范围限制 | 不得超出报送网信部门的个人信息保护影响评估报告和安全评估中明确的目的、范围、方式和数据类型、规模等向境外提供个人信息。 | 《条例》 |
持续监督 | 采取合同等有效措施监督数据接收方按照双方约定的目的、范围、方式使用数据,履行数据安全保护义务,保证数据安全。 | |
投诉 | 接受和处理数据出境所涉及的用户投诉。 | |
记录留存 | 存留相关日志记录、数据出境审批记录三年以上。 | |
补救措施 | 国家网信部门认定不得出境的,应当停止数据出境,并采取有效措施对已出境数据的安全予以补救。 | |
再转移 | 个人信息出境后确需再转移的,应当事先与个人约定再转移的条件,并明确数据接收方履行的安全保护义务。 | |
法律协助 | 经中国主管机关批准后,境内的个人、组织才能向外国司法或者执法机构提供存储于中国境内的个人信息。 | 《个保法》 |
网络安全审查 | 如果相关企业开展个人信息处理活动,影响或可能影响国家安全;或处理100万人以上个人信息且赴国外上市;或赴香港上市,影响或者可能影响国家安全,需要进行网络安全审查。《条例》将赴香港上市的申报主体限定为数据处理者,即在数据处理活动中自主决定处理目的和处理方式的个人和组织,此规定可能意味着仅受委托处理数据的企业可能不在审查范围之列,例如云服务提供商,但是具体的理解适用还需监管部门进一步明晰。 | 《办法》、《条例》 |
5、个人信息出境场景对于告知同意有什么特殊要求?
向境外提供个人信息时, 应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使权利的方式和程序等事项,并获取单独同意。对于跨境传输场景下的单独同意机制调研情况请见下文。
二、企业实施情况调研
经过调研App Store前30款免费APP的跨境传输规则,APP一般会在隐私政策的信息存储部分披露个人信息跨境情况。绝大部分APP均会指出其在境内收集和产生的个人信息会存储于中国境内,若部分业务涉及跨境传输,其会遵守法律法规的要求。但是目前30款APP均没有在APP初始化展示隐私政策时设置单独同意机制。
*可发送关键词「跨境传输规则」,获取本调研报告的完整版
约13%的APP在隐私政策中明确指出个人信息仅本地化存储,不跨境传输。例如“国家反诈中心”和“交管12123”(具体截图如下)。
“国家反诈中心”隐私政策
“交管12123”隐私政策
约80%的APP则会在隐私政策中指出,其原则上会将在中国境内运营收集和产生的个人信息存储于中国境内,如果需要跨境传输会履行法律规定的义务。这就意味着用户的个人信息一般本地化存储,如果出现需要跨境传输的场景,相关企业会履行单独的告知同意义务。例如“微信”和“抖音”(具体截图如下)。
“微信”隐私政策
“抖音”隐私政策
约7%的APP会在隐私政策中告知存在个人信息存储在境外或跨境传输的情形。例如“钉钉”和“云闪付”(具体截图如下)。“云闪付”在隐私政策中特别列出了境外接收方列表,包括应用形式、接收地区、运营公司、联系方式。
“钉钉”隐私政策
“云闪付”隐私政策
*可发送关键词「跨境传输规则」,获取本调研报告的完整版
《个保法》构建了较为完善的个人信息保护框架,单独成章的个人信息跨境规则为相关企业的跨境业务运营提供了明确的指引,近日发布的《办法》和《规定》在此基础上进一步细化了相关内容来推动《个保法》的落地实施。作为信通院“个人信息保护合规审计推进小组”的首批成员单位,TalkingData会在严格遵守《个保法》的相关规定的基础上积极推进个人信息保护工作,完善公司内部的合规体系。
推荐阅读:
TalkingData——用数据说话
每天一篇好文章,欢迎分享关注
