徐丹
跨国企业和外资企业在经营过程中,因业务原因经常需要将个人信息(如客户信息、员工信息等)传输到境外总部。在该数据处理场景下,境内企业作为《个人信息保护法》项下的个人信息处理者,应当满足《个人信息保护法》和其相关配套法规和文件的要求。
《个人信息保护法》第38条为境内企业向境外提供个人信息提供了三个基本的途径:(1)通过国家网信部门组织的安全评估(”安全评估”);(2)经专业机构进行个人信息保护认证(“认证”);(3)按照国家网信部门制定的标准合同与境外接收方订立合同。
《个人信息保护法》生效后,由于缺少针对第38条配套的生效法律文件,一直以来境内企业跨境传输个人信息的行为缺少明确有效的操作指引。
近期,国家互联网信息办公室和全国信息安全标准化技术委员会秘书处发布了一系列文件,使得个人信息跨境传输的行为的法律要求变得更加具体化。
我们梳理了《个人信息保护法》第38条与具体实施文件的对应关系,整理表格如下:
1. 企业应当进行安全评估的情形
根据《数据出境安全评估办法》的规定,如果企业处理数据达到了一定的数量或者向境外提供的是某些类型的数据,则企业应当通过省级网信部门向国家网信部门申报数据出境安全评估。
企业应当进行安全评估的具体情形包括:(1)向境外提供重要数据;(2)企业是关键信息基础设施运营者和处理100万人以上个人信息的企业向境外提供个人信息;(3)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的企业向境外提供个人信息。
2. 安全评估的程序和材料
企业在向网信部门申请安全评估之前,首先应当开展数据出境风险自评估。值得注意的是,《个人信息保护法》第55-56条,也要求企业在向境外提供数据之前,开展个人信息保护影响评估。相较于《个人信息保护法》中的个人信息保护影响评估,《数据出境安全评估办法》所规定的自评估内容更加全面和细致。
此外,企业还应当与境外接收方拟定协议,明确境外接收方的数据安全保护责任。
在向省级网信部门申请安全评估时,企业应当提交申报书、数据出境风险自评估报告、数据处理者与境外接收方拟订立的法律文件和安全评估工作需要的其他材料。如果国家网信部门认为企业的情况不属于应当安全评估的范围,则会向企业发出不予受理通知书,企业可以通过法律规定的其他途径开展数据出境活动(例如,认证或签订标准合同)。
国家网信部门将在书面受理之日起45个工作日内完成数据出境安全评估;如情况复杂或需补正材料,国家网信部门可能会适当延长并告知数据处理者预计延长的时间。通过安全评估的企业会收到网信部门的书面通知,此后企业可以按照申报的事项进行数据跨境传输活动。
通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算。如数据跨境传输的目的、方式及境外接收方的情况发生变化的,企业应当重新申请安全评估。
3. 安全评估的内容
企业提交材料后,国家网信部门将重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要内容包括:
数据出境的目的、范围、方式等的合法性、正当性、必要性;
境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中国法律、行政法规的规定和强制性国家标准的要求;
出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险;
数据安全和个人信息权益是否能够得到充分有效保障;
数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务;
遵守中国法律、行政法规、部门规章情况。
结语
总结来说,企业如果要向境外提供个人信息,则应当满足《个人信息保护法》第38条的三项条件之一,即通过网信部门进行安全评估、在专业机构进行认证或与境外接收方签订标准合同。如企业系关键信息基础设施运营者、向境外提供重要数据,或传输个人信息达到一定数量,则必须进行网信部门的评估。其余企业可以在专业机构认证和签订标准合同中选择合规方式。上文重点介绍了安全评估的适用条件、程序和内容。
达沃在个人信息保护、数据合规方面具有丰富的经验,如有任何相关问题,欢迎垂询。