随着数据资源成为日益重要的生产要素,其合规处理与安全保障也成为企业生产经营中的关键环节,其中,数据跨境流动作为贸易全球化背景下企业经营跨国业务的重要基础,如何保证相关数据出境行为合规有序,是当前监管与市场重点关注的问题。
2022年5月19日,国家互联网信息办公室通过《数据出境安全评估办法》,规定了应当申报数据出境安全评估的情形和安全评估的具体要求。该《评估办法》于2022年9月1日起施行,并要求已经开展的数据出境活动自施行之日起6个月内完成整改。
如今,《评估办法》施行已满一年,部分率先推进申报工作的企业已经收到初步申报结果,从实践角度来看,当前数据出境安全评估申报工作整体流程与方式是否明确?企业在申报过程中又应关注哪些具体问题?
(资料图片仅供参考)
近日,数据保护官(DPO)沙龙“数据出境与合规审计:理解与落实”在上海交通大学凯源法学院举办,来自学界与业界的专家和从业者分享了其进行数据跨境合规实践的认识与经验。
针对当前数据出境安全评估的焦点问题与申报思路,长期聚焦数据跨境合规领域的杉涌律师事务所合伙人张曜结合实际中的合规工作进行了分享。会后,张曜接受了南方财经全媒体专访,就其中的细节问题进行了进一步阐释和分析。
合理规划申报策略
按照一般性思维,企业申报数据出境安全评估只有通过和不通过两种结果,但在实践中,企业面临的情况可能要复杂很多。
张曜指出,数据出境安全评估包含形式审查和实质审查两个阶段,企业在收到形式审查结果后通常会面临两种情况,一是已根据形式审查结果修改提交材料,但此时还未进入到实质审查阶段;二是在收到反馈信息后暂时停止申报流程,等待和观察数据出境的进一步要求,以不变应万变。
在实质审查阶段,安全评估通过的结果也分为两种情况,一是所有与数据出境相关的业务场景都通过了安全评估,另一种是部分场景通过了安全评估。
对于后者而言,实际上也分为两种情况,一种是企业本身涉及数据出境的情况就较少,只有部分简单的场景,例如人事数据申报了安全评估;另一种是企业通过前期的了解,发现自己有部分涉及数据出境的业务场景当前较难通过安全评估,于是在正式评估前将这些场景的申报撤回了,余下未撤回的部分通过了评估。
最后则是企业申报数据出境安全评估失败的情况,这种情况下企业会收到正式的实质审查结果,对企业运转尤其是已经在跑的相关业务,都会产生较大影响。张曜表示,在实质审查结果中,通常会分为两部分,一部分会说明有些数据通过了安全评估,可以正常出境;另一部分会表明未通过审查的场景是什么,哪部分字段不应出境,相关表述都较为明确和清晰。
从结果来看,企业在数据出境安全申报中的重点和难点问题通常集中在哪些方面?又该如何在安全评估中进行针对性内容设置与披露呢?
张曜表示,从当前积累的申报案例总结来看,大致可以总结为以下几个关键点:
一是单独同意,对于ToC的产品和服务,单独同意的势必要嵌入用户的使用过程中,对于拉新等环节产生很大影响。此外,单独同意的告知和同意机制应如何设计,是否需要将不同的单独同意项进行联合考虑,是否需要将不同界面的单独同意界面进行综合考虑,都是企业面临的选择难题。
二是出境必要性,从部分申报失败的案例来看,其对于出境必要性的描述往往较为笼统,对必要性的解释没有精确到每一个字段,而只是根据某一类数据甚至某一大类场景进行介绍。
三是申报思路,数据出境安全评估,顾名思义所有申报内容都要围绕安全评估的逻辑展开,是要为安全评估这个方法和结论服务的,提交申报的内容安排要围绕安全评估的实际需求进行。
“基于对上述已有申报实践的理解,首先提一个简单的建议,无论是自行申报,或是寻求外部机构咨询建议再内部撰写报告,还是完全交由外部机构完成报告,都建议满足申报前提的企业尽早完成申报。”张曜表示,在正式申报结果公布前,企业通常在数据出境方面不会有其他问题出现,不用担心基本业务开展问题。
而问题的关键在于,申报前提应如何界定,怎样判断企业做好了进行申报的准备。从实践角度来看,明确政策导线,合理设计申报策略,基于安全评估的思路安排申报内容,是当前企业需要着重改善的三个方面。
首先,企业应当了解当前数据出境有哪些政策法规要求,出境的渠道方式有哪些选择以及使用对应渠道需要满足哪些条件,绿色通道、一般数据清单这些渠道是否能在合适的情况下成为数据出境的备选方案;
其次,在策略选择上,是提交标准合同还是安全申报评估,不同场景、不同优先级的业务是否可以分批次进行申报,申报与不申报,先报与后报都应经过详细的分析和规划,如何在节省申报成本的同时满足审查需求提升通过率,这是申报策略设计的根本点与出发点;
最后,企业在形式审查阶段往往会发现,监管部门给出的具体要求、需要的信息以及检查的侧重点都可能会出现变化,企业需要对这些变化和重点作出明确的判断,清晰地把握监管的要求并提供对应的内容材料,才能尽快完成申报,顺利通过。
多角度完善安全评估工作
从数据出境安全申报的实际内容来看,在近年来各国都在加强数据合规监管的大背景下,出境接收方的存储使用和法律政策环境往往也在不断变动中,一定程度上加大了国内企业在安全评估申报等合规操作中的复杂性与难度。
当境外接收方的实际业务与经营范围,或其经营环境的政策法律和安全条件发生变化时,作为数据出境安全评估申报的主体应采取哪些措施,以保证申报材料和内容的真实性与有效性?
张曜表示,一方面,企业应当定期对合作的境外接收方业务开展情况和相应的数据处理活动进行检查,例如相应数据处理活动是否严格遵照了法律文件约定的方式、目的、范围等,接收方的存续经营情况是否良好,收方所在地的数据相关法律法规政策与网络安全环境是否出现重大变更……
另一方面,企业应当以“是否提供了类似中国的数据安全保障水平”为核心原则,评估以上存在危险信号的数据处理活动是否存在实质性风险敞口。具体而言,可采取额外的数据处理活动安全保障手段,提升境外接收方数据安全保障能力;对于业务需求相对不高或者合规风险过大而无法通过有效手段进行弥补的境外接收方,及时中止相关数据处理活动(特别是传输和本地访问);对于安全保障能力没有变化、但业务合作模式和数据处理活动发生重大变化的,结合企业自身安全评估周期,适时考虑及时重新申报安全评估或在每两年的评估中予以体现和披露。
此外,针对在实际合作中,对境外接收方的数据安全保障能力进行核验困难较大的情况,张曜则建议,企业应建立统一规范的安全保障能力要求与标准,准备精简、全面的安全保障能力验证工具,结合实际验证接收方提供信息准确性,及时提出合理关切做好书面留档,保证对境外接收方数据安全保障能力的核验能力。
值得注意的是,《个人信息保护法》第三十八条提出,个人信息处理者向境外提供个人信息时,需按照国家网信部门的规定经专业机构进行个人信息保护认证,信安标委也于2022年12月发布了《认证规范V2.0》。今年9月28日,网信办发布《规范和促进数据跨境流动规定(征求意见稿)》(以下简称“出境新规”),指出预计一年内向境外提供1万人以上、不满100万人个人信息,与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的,可以不申报数据出境安全评估。
在当前的数据出境实践中,应如何理解两种合规方式的作用与关系,企业在实际应用中又该怎样结合自身业务特征进行规划?
张曜表示,新规出台后,认证和安全评估构成了两条独立的数据出境合规路径,同时认证也是安全评估的良好补充。
根据现行既有规则,常常认为认证是对于安全评估的有效补充,但不能替代安全评估或个人信息标准合同备案、成为一条独立的合规出境路径。但随着“出境新规”的发布,或将与个人信息标准合同备案相类似,可以成为特定场景下企业可以依赖的数据出境合规工具。
同时,对于必须申报安全评估的企业而言,个人信息保护认证也可以作为个人信息保护合规下的有效补充。认证作为一种软性的社会治理手段,也可以帮助企业在整体数据处理合规和规范化方面更进一步。同时,完成相应的认证也有助于企业塑造积极合规、重视个人信息保护的良好企业形象,助力企业品牌发展。
因此,对于存在数据出境需求但无需申报安全评估的企业而言,认证可以作为个人信息出境标准合同备案之外,另一条可以考虑的数据合规出境路径;对于已经或者将要开展安全评估的企业而言,也可以结合自身实际业务发展情况和数据治理合规体系建设情况,酌情考虑开展个人信息保护认证。
(文章来源:21世纪经济报道)
关键词: