作者按:
今天,国家互联网信息办公室发布了一份重量级的文件——【国家互联网信息办公室关于《规范和促进数据跨境流动规定(征求意见稿)》公开征求意见的通知】。公号君将对此文件做系列分析,供各位参考。第一篇关注在公号君看来,这份文件最大的亮点之处——对数据出境业务必要性判断的放松。这一点的重要性如何强调都不为过。
数据出境安全管理,无非是关注数据出境的必要性、合法性、安全性。无论是个人信息出境标准合同、个人信息保护认证、数据出境安全认证,均围绕着这三个大的方面来设计。
合法性、安全性判断相对明确。合法性即按照我国的法律法规的规定,数据出境是否具备法定要求的要件。一个突出的例子是,在某些情况下是否具备个人同意。安全性的判断即是数据出境后的完整性、保密性、可用性的判断。业界统称为CIA三性的保障。
但必要性的判断,却比较棘手。即在某项业务开展的过程,或者为了完成某项业务的开展,特定的字段是否需要出境,否则将会导致某项业务无法完成。这里面既有商业判断,同时也有从履行我国法律中规定的最小必要原则的判断。
让我们先从商业判断角度来看。以外企为例。外企在中国的分支机构虽然在中国运营,但无论是产品和服务的设计、制造和日常运营,还是人力(具体包括招聘、薪酬、晋升、培训等)、财务(包括预算、支付等)、IT系统(包括邮箱、办公平台、差旅申请等)在内的公司内部治理等方面,绝大多数都与其外国总部对接。即便是落地维护的产品(例如车辆和医疗设备),也涉及维护相关的数据向外国总部报告,而且还存在需要从国外更换零部件的情况。此外,跨国企业依赖高效低成本的全球产业链布局来达到有效控制控制成本的目的,基于此跨国公司往往根据某一国家和地区的比较优势建立相应的辐射于全球的机构。比如基于印度的IT远程技术服务,基于德国的车辆质量分析管理、召回决策机构等。这样的模式高度依赖全球范围内的供应商和服务商的紧密合作以维持良好的运转。
因此,从商业判断来看,企业会普遍认为,企业如何组织自己的商业模式,应当尽可能地被尊重。因此,企业普遍认为其对数据出境必要性的判断,具有优先性。但不可否认的是,企业的判断也经常会出现偏颇,其中也不乏“挂羊头卖狗肉”的情况,因此各国立法对最小必要原则的规定,也都赋予了监管部门做二次判断的权限。此方面外国,特别是欧盟的DPA均有不少案例。
在此背景下,让我们理解一下【国家互联网信息办公室关于《规范和促进数据跨境流动规定(征求意见稿)》公开征求意见的通知】中对必要性判断的设计。
| 具体规定 | 分析 |
四、符合以下情形之一的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证: (一)为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的; (二)按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的; (三)紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的。 | 这个规定就明确了,在规定列明的三个情形中,至少在数据出境安全管理这个环节中,监管部门不(事先)判断数据出境的必要性了。 换句话说,向境外提供数据的一方,对数据出境的必要性的判断,具有了优先性。 熟悉数据出境安全管理工作的同仁,肯定能一下子感受到这个条款的重大意义。 当然,这个规定不排除数据出境后,监管部门开展事中、事后监管的可能性。 但公号君再强调一遍,必要性判断,企业的判断具有了优先性。 |
| 五、预计一年内向境外提供不满1万人个人信息的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。 | 同样,对于这个清醒,监管部门也是将必要性判断的优先性,给了向境外提供数据的一方。 但不排除监管部门的事中、事后的监管。 |
| 六、预计一年内向境外提供1万人以上、不满100万人个人信息,与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的,可以不申报数据出境安全评估;向境外提供100万人以上个人信息的,应当申报数据出境安全评估。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。 | 对“一年内向境外提供1万人以上、不满100万人个人信息”,必要性判断同样是向境外提供数据的一方优先。 因为标准合同是企业双方自行签订。认证是一种能力认证,并不针对特定的数据集。 所以综合看起来,必要性判断均是企业为优先。 但是超过100万人以上,那就回到目前的路径,必要性判断为监管部门的判断为优先。 |
| 七、自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),报经省级网络安全和信息化委员会批准后,报国家网信部门备案。 负面清单外数据出境,可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。 | 自贸试验区掌握了从监管侧来看必要性判断的位阶设置权限。 用大白话来说,自贸区可以设计:在某些情况下,监管必要性判断可以优于企业的判断,也可以设计,在其他情况下,监管必要性位于企业判断之后。 但与此同时,各个自贸区就要承担起相应的决策责任。 |
在系列文章的第一篇,公号君想点出,对于必要性判断,这个最容易引发监管侧和被监管侧之间争议的点,《规范和促进数据跨境流动规定(征求意见稿)》作出了非常重要的设计,从监管侧判断优先,转为企业判断为优先。在这个大的原则之下,各个自贸区还要承担起个性化的制度安排所引发的决策责任。
换句话说,从事前监管,决定性地转变为事中事后监管。这一点怎么强调都不为过。
以上是对《规范和促进数据跨境流动规定(征求意见稿)》现有规定的解读,至于这样的设计或转变的得和失,是另外一个问题。(洪延青)
声明:本文来自网安寻路人,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
