(一)数据处理者向境外提供重要数据;
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。
(一)数据处理者将在境内运营中收集和产生的数据传输、存储至境外;
(二)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
(三)国家网信办规定的其他数据出境行为。
a)反映国家战略储备、应急动员能力,如战略物资产能、储备量属于重要数据;
b)支撑关键基础设施运行或重点领域工业生产,如直接支撑关键基础设施所在行业、领域核心业 务运行或重点领域工业生产的数据属于重要数据;
c)反映关键信息基础设施网络安全保护情况,可被利用实施对关键信息基础设施的网络攻击,如 反映关键信息基础设施网络安全方案、系统配置信息、核心软硬件设计信息、系统拓扑、应急 预案等情况的数据属于重要数据;
d)关系出口管制物项,如描述出口管制物项的设计原理、工艺流程、制作方法等的信息以及源代 码、集成电路布图、技术方案、重要参数、实验数据、检测报告属于重要数据;
e)可能被其他国家或组织利用发起对我国的军事打击,如满足一定精度要求的地理信息属于重要 数据;
f)反映重点目标、重要场所物理安全保护情况或未公开地理目标的位置,可能被恐怖分子、犯罪 分子利用实施破坏,如反映重点安保单位、重要生产企业、国家重要资产(如铁路、输油管道) 的施工图、内部结构、安防等情况的数据,以及未公开的专用公路、未公开的机场等的信息属 于重要数据;
g)可能被利用实施对关键设备、系统组件供应链的破坏,以发起高级持续性威胁等网络攻击,如 重要客户清单、未公开的关键信息基础运营者采购产品和服务情况、未公开的重大漏洞属于重 要数据;
h)反映群体健康生理状况、族群特征、遗传信息等的基础数据,如人口普查资料、人类遗传资源 信息、基因测序原始数据属于重要数据;
i)国家自然资源、环境基础数据,如未公开的水情信息、水文观测数据、气象观测数据、环保监 测数据属于重要数据;
j)关系科技实力、影响国际竞争力,如描述与国防、国家安全相关的知识产权的数据属于重要数 据;
k)关系敏感物项生产交易以及重要装备配备、使用,可能被外国政府对我实施制裁,如重点企业 金融交易数据、重要装备生产制造信息,以及国家重大工程施工过程中的重要装备配备、使用 等生产活动信息属于重要数据;
l)在向政府机关、军工企业及其他敏感重要机构提供服务过程中产生的不宜公开的信息,如军工 企业较长一段时间内的用车信息;
m)未公开的政务数据、工作秘密、情报数据和执法司法数据,如未公开的统计数据;
其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外 利益、生物、太空、极地、深海等安全的数据。
·未公开的政务数据、工作秘密、情报数据和执法司法数据;
·重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据;
·达到国家有关部门规定规模或者精度的基因、地理、矿产、气象等国家基础数据;
·影响关键信息基础设施安全稳定运行的数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据;
·出口管制物项涉及的核心技术、设计方案、生产工艺等相关数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争力有直接影响的科学技术成果数据;
·国家法律、行政法规、部门规章明确规定需要保护或者限制处理的国家经济运行数据、重要行业和领域业务数据、统计数据等;
·其他一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
(一)在保障个人权利方面,《个人信息保护法》规定:
1.向境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意;
2.个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录;
3.个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到个信法规定的个人信息保护标准。
(二)《个人信息保护法》第三十八条规定个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
·依照本法第四十条的规定通过国家网信部门组织的安全评估;
·按照国家网信部门的规定经专业机构进行个人信息保护认证;
·按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
·法律、行政法规或者国家网信部门规定的其他条件。
具体在什么情形下适用不同的出境监管模式,需要根据个人信息数据类型、数据量的不同而确定:
1.按照国家网信部门的规定经专业机构进行个人信息保护认证
《网络安全标准实践指南—个人信息跨境处理活动认证技术规范 》(征求意见稿)规定以下两种情形可通过个人信息保护认证进行数据出境:
a) 跨国公司或者同一经济、事业实体内部的个人信息跨境处理活动;
b)《中华人民共和国个人信息保护法》第三条第二款规定的境外个人信息处理者,在境外处理境内自然人个人信息的活动。(指以向境内自然人提供产品或者服务为目的;分析、评估境内自然人的行为;法律、行政法规规定的其他情形。)
2.按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务
仅通过标准合同进行个人信息出境的,须为未达到出境安全评估规制标准的情形。根据《个人信息出境标准合同规定(征求意见稿)》规定,标准合同生效之日起10个工作日内,向所在地省级网信部门备案,还应提交个人信息保护影响评估报告;标准合同生效后个人信息处理者即可开展个人信息出境活动。
3.出境安全评估
《个人信息保护法》第四十条规定,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。根据《评估办法》的规定,关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息须进行出境安全评估。
4.网络安全审查
根据《网络安全审查办法》,关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查;掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
(一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
(二)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
(四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
(五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务;
(六)其他可能影响数据出境安全的事项。
(一)数据出境的目的、范围、方式等的合法性、正当性、必要性;
(二)境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求;
(三)出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险;
(四)数据安全和个人信息权益是否能够得到充分有效保障;
(五)数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务;
(六)遵守中国法律、行政法规、部门规章情况;
(七)国家网信部门认为需要评估的其他事项。
(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;
(三)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;
(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施;
(五)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;
(六)出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。
另外,对于合同内容,基于数据出境的特点,不应仅仅具有法律条款,还应附有相关附件,就技术、访问控制、管理措施等等内容进行完整约定。
1.省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验。申报材料齐全的,将申报材料报送国家网信部门;申报材料不齐全的,应当退回数据处理者并一次性告知需要补充的材料。
2.国家网信部门应当自收到申报材料之日起7个工作日内,确定是否受理并书面通知数据处理者。
3.国家网信部门受理申报后,根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估。
4.安全评估过程中,发现数据处理者提交的申报材料不符合要求的,国家网信部门可以要求其补充或者更正。数据处理者无正当理由不补充或者更正的,国家网信部门可以终止安全评估。
5.国家网信部门应当自向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估;情况复杂或者需要补充、更正材料的,可以适当延长并告知数据处理者预计延长的时间。评估结果应当书面通知数据处理者。
6.数据处理者对评估结果有异议的,可以在收到评估结果15个工作日内向国家网信部门申请复评,复评结果为最终结论。
后记
作者简介
王岩飞律师
京师深圳律所联合创始人
京师深圳律所法律研究院院长
京师深圳律所数字经济法律事务中心主任
京师深圳律所业务指导委员会委员
数据合规研究院执行院长
广东省律师协会数字经济法律业务委员会副秘书长
深圳市律师协会数据合规专委会副主任
福田区律师工作委员会青年律师工作中心委员