卫·视角

中国 | 个人信息出境 - 监管更新

12 九月 2023 | 适用法律:: 中国

* 阅读桌面版文章以获得最佳浏览效果

许多在中国大陆经营的企业,无论是跨国公司还是国内公司,都会在日常业务过程中向境外传输个人信息。该等向境外传输个人信息受《中华人民共和国个人信息保护法》(“个保法”)及其配套实施细则的管辖。 

在我们于2022年7月发表的文章《跨境资料转移—— 您不可不知的事情》中,我们简要概述了中国数据处理者合法进行个人信息跨境传输合法的三种途径,分别为:

  1. 通过国家互联网信息办公室(“国家网信办”)的强制性数据安全评估(“安全评估途径”);
  2. 完成专业机构的个人信息保护认证(“认证途径”);或
  3. 在与境外个人信息接收方所签署的合同中加入由国家网信办制定的标准合同条款,并将该等合同提交网信办备案(“标准合同备案途径”)。

上述文章发表后,中国发布了一系列关于向境外传输个人信息的实施细则、标准和指南1  。本文将向读者介绍与境外接收方共享个人信息的不同数据出境途径的主要概念、程序要求和实务影响。 

向境外传输个人信息的场景

最明显的个人信息出境的形式是将在国内业务运营中收集和产生的个人信息传输或存储到中国大陆以外。中国企业经常通过软件或硬件以电子方式向海外实体提供个人信息。例如,一家中国子公司定期通过电子方式向其海外总部提交运营报告和分析,其中包括个人信息。 

此外,跨国公司集团成员(包括中国子公司)经常使用同一办公管理和人力资源系统来处理日常业务流程和人力资源数据,相关数据全部通过国外服务提供商建立的云服务器进行存储和备份。

另一种不太明显的数据出境形式是,个人信息在国内存储,但可在海外访问。同样,海外收集和生成的个人信息被传输到中国大陆进行处理,处理后的数据被传输回国外时,就会发生个人信息再出口。 

一个比较具争议性的场景是,在中国大陆没有任何注册实体存在的海外实体,在向中国大陆个人提供商品或服务的过程中直接收集他们的个人信息。有些人认为,由于这种情况不涉及中国境内的个人信息处理者,因此不应被视为个保法所述的个人信息跨境提供。但也有人认为,对于此类源自中国的个人信息出境,境外个人信息处理者应在境内指定代表按照认证途径申请。在这方面,个保法规定,个人信息跨境提供是在个人信息处理者向境外提供个人信息时发生,因此从法条本身而言与前者的观点更一致。

选择哪条途径?

下面的图表总结了如何决定选择哪种途径将个人信息传输到境外。

如图所示,如果数据处理者是关键信息基础设施运营者(“关键运营者”,定义见下文),或者处理的个人信息数量超过了国家网信办规定的阈值,则该数据处理者必须通过安全评估途径。

如果公司不受安全评估的限制,则可以选择标准合同备案或认证作为向境外传输个人信息的途径。

应当注意的是,向境外传输个人信息应事先取得数据主体的单独同意。

各数据出境路径的前提条件:个人信息保护影响评估

无论通过哪条途径向境外传输个人信息,个人信息处理者都必须完成个人信息保护影响评估(“PIPIA”),以评估拟进行数据传输的合法性、正当性和必要性、相关风险以及输出处理者和海外接收者的个人信息处理和保护工作的范围和方法。换言之,PIPIA用于验证数据处理活动的合规性,识别可能损害数据主体合法权益的风险,以及评估各种数据保护措施的有效性。

PIPIA必须在各数据出境途径申报日期前三个月内完成,由此产生的报告必须包含在各途径的申报文件中。安全评估和标准合同备案的指南均包含PIPIA报告模板。这两个模板有重叠的条款,标准合同备案所采用的模板涵盖的范围更广,如敏感个人信息的处理,而安全评估的PIPIA报告模板则更着重于对国家安全和公共利益的影响和保护。

PIPIA报告模板要求境外数据接收者提供一些信息,包括其基本信息、数据处理的用途和方法、数据安全保护能力、整个数据处理周期的描述等。因此,必须在报告定稿前保证有足够的准备时间以便个人信息处理者和境外数据接收者进行来回沟通。

由于PIPIA是一个自我评估过程,根据个人信息处理者自身的情况,可能需要3到6个月的时间完成。PIPIA报告必须至少保存三年。

安全评估

须接受安全评估的数据出境处理者除需要完成PIPIA外,还必须开展数据出境风险自评估。在实践中,由于PIPIA与风险评估之间存在重叠,风险评估可根据 PIPIA报告进行准备和补充。 

安全评估申请应通过省级网信部门提交给国家网信办。由于安全评估的审查标准不明确,审查和批准过程可能会延缓。 

鉴于安全评估的审理时间较长,拟向境外传输个人信息的数据处理者应确保只有在完成安全评估后方可与境外接收方共享数据。安全评估结果的有效期为两年。 

据报道,大多数安全评估申请人来自电子商务平台、医疗保健、航空、汽车、金融、物流、安全和通信行业。

标准合同备案

个人信息处理者应在所签署标准合同生效之日10个工作日内将标准合同和PIPIA报告提交所在地省级网信部门备案。备案结果将是“通过”或“未通过”。未通过标准合同备案的申请人必须提供补充信息和文件。这使得标准合同备案更像是一种实质上的批准,而不仅仅是一种流程形式。对于省级网信部门将进行何种程度的审查,我们拭目以待。 

与认证途径相比,标准合同备案途径具有更高的时间和成本效率。可以预见大多数符合标准合同备案条件的申请人将是中小型企业,其申请范围将仅限于阈值范围内的个人信息或敏感个人信息的转让。

据报道,2023年6月25日,一家总部位于北京的数据处理公司在标准合同备案法规生效后仅15个工作日就成为全国首家通过了北京网信办的标准合同备案的企业。在本案例中,香港的海外数据接收方是这家北京公司的间接股东。 

由于标准合同备案规定的宽限期将于2023年11月底到期,可以预见未来几个月会有更多的标准合同备案申请被提交。

此外,对于涉及个人信息双向传输的跨境交易,合同双方都需要遵守其注册地或运营地所在国的数据隐私法。这往往会给交易带来额外的障碍,特别是在标准合同的谈判和执行过程中。因此,如何通过谈判达成一份有效且双方同意的合同将成为跨境投资和并购交易的关键问题。

认证

与标准合同备案途径相比,认证(即个人信息处理者进行的数据处理活动经认证符合标准)的优势在于可涵盖多种数据处理情况和多个境外接收方。不过,认证的申请时间可能比标准合同备案申报更长。在中国大陆设有子公司并定期向海外关联公司传输个人信息的跨国公司可能会考虑这一途径。

认证的具体程序包括接受认证委托、技术验证和/或认证机构的现场审核。

据报道,中国网络安全审查技术与认证中心是迄今为止唯一获准进行认证的机构。 

如通过认证,将颁发有效期为三年的认证证书。同时,还将颁发包含跨境处理活动的个人信息保护认证标志,个人信息处理者可在其广告和其他宣传中使用该标志。 

截至本文发表之日,尚未有成功完成认证的案例的报道。 

因外国司法管辖区法律行动调查而向外传输数据

根据《中华人民共和国数据安全法》(“数安法”)第36条,未经中国主管机关批准,不得向外国司法或执法机构提供存储在中国大陆境内的数据。这一限制适用于所有类型的数据,包括个人信息。个保法也包含类似条款(第 41 条),未经中国主管机关批准,禁止向外国司法或执法机构提供个人信息。

然而,无论是数安法还是个保法都没有进一步详细说明此类限制的范围或寻求批准的机制。因此,对于公司来说,应对这些法规并确保合规性是一项挑战。

优化跨国公司跨境数据传输机制的潜在可能性

2023年8月13日,国务院发布了《关于进一步优化外商投资环境和加大吸引外商投资力度的意见》(以下简称“《意见》”),旨在进一步促进外商投资。在《意见》提出的 24 项政策措施中,针对跨国公司对数据安全管控措施方面的疑虑,国务院建议探索便利化的管理机制。

具体而言,《意见》提出了以下主要措施:

  1. 研究为符合条件的外商投资企业建立绿色通道,开展重要数据和个人信息出境安全评估;及
  2. 支持北京、天津、上海和粤港澳大湾区试点制定可跨境自由流动的一般数据清单。 

可自由流动的一般数据清单的引入为跨国公司带来了好消息。具体来说,这可能意味着在日常业务运营中定期向全球总部传输的人力资源数据和客户数据,只要低于一定的门槛,就不再需要进行数据跨境安全评估、提交标准数据传输合同或进行个人信息认证。

虽然实施细则尚未出台,但这是在促进国际数据传输和减少监管负担方面迈出的重要一步。如果《意见》中的两项措施得到实质性落实,企业可望大幅减少数据合规的时间和成本。

结论

中国的数据保护和网络安全监管制度正在迅速发展,给在中国大陆开展业务的公司带来了重大挑战和合规义务。 

中国现行法律所规范的个人信息出境,不仅包括在中国大陆境内收集和生成的个人信息被转移和存储到中国大陆之外的情形,还包括外国实体或个人获授权访问或使用存储在中国大陆境内的任何个人信息的情形。

企业必须密切关注这些领域的立法和执法动态,积极准备必要的合规相关行动,并评估或重新评估哪种途径是合适的,以及如何最大限度地降低个保法下向境外进行个人信息传输的风险敞口。

至于个人信息的海外接收者,可能需要审查中国大陆的个人信息处理者是否选择了适当的途径,并为个人信息出境完成了必要的申请、备案或认证程序。 


这些措施包括 (i) 安全评估、(i) 在安全评估方面,《数据出境安全评估办法》及《数据出境安全评估指南(第一版)》均於2022年9月1日生效;(ii) 在认证方面,《个人信息保护认证实施规则》和《网络安全标准实践指南--个人信息跨境跨境处理活动安全认证规范V2.0分别于2022年11月4日和12月16日生效,以及(iii)在标准合同备案方面,《个人信息出境标准合同办法》《个人信息出境标准合同备案指南(第一版)》均于2023年6月1日生效。

本文件(与任何透过本文件中所列链接可获取的资讯)仅供参考,并不构成法律咨询。在采取或克制任何因本文件内容引发的行动前,应寻求专业法律咨询。

分享

相关经验

作为一家全方位律师事务所,我们能够提供广泛范畴及议题的建议与资讯。以下为部分相关领域

与我们共享同乐

我们乐于分享手上掌握的最新消息和丰富资讯。欢迎让我们了解您的喜好,我们将会定期为您送上您所感兴趣的内容。