衛·視角
中國 | 個人資訊出境 - 監管更新
12 九月 2023 | 適用法律:: 中國
* 閱讀桌面版文章以獲得最佳瀏覽效果許多在中國大陸經營的企業,無論是跨國公司還是國內公司,都會在日常業務過程中向境外傳輸個人資訊。該等向境外傳輸個人資訊受《中華人民共和國個人資訊保護法》(“個保法”)及其配套實施細則的管轄。
在我們於2022年7月發表的文章《跨境資料轉移——您不可不知的事情》中,我們簡要概述了中國資料處理者合法進行個人資訊跨境傳輸合法的三種途徑,分別為:
- 通過國家互聯網資訊辦公室(“國家網信辦”)的強制性資料安全評估(“安全評估途徑”);
- 完成專業機構的個人資訊保護認證(“認證途徑”);或
- 在與境外個人資訊接收方所簽署的合同中加入由國家網信辦制定的標準合同條款,並將該等合同提交網信辦備案(“標準合同備案途徑”)。
上述文章發表後,中國發佈了一系列關於向境外傳輸個人資訊的實施細則、標準和指南1 。本文將向讀者介紹與境外接收方共用個人資訊的不同資料出境途徑的主要概念、程式要求和實務影響。
向境外傳輸個人資訊的場景
最明顯的個人資訊出境的形式是將在國內業務運營中收集和產生的個人資訊傳輸或存儲到中國大陸以外。中國企業經常通過軟體或硬體以電子方式向海外實體提供個人資訊。例如,一家中國子公司定期通過電子方式向其海外總部提交運營報告和分析,其中包括個人資訊。
此外,跨國公司集團成員(包括中國子公司)經常使用同一辦公管理和人力資源系統來處理日常業務流程和人力資來源資料,相關資料全部通過國外服務提供者建立的雲伺服器進行存儲和備份。
另一種不太明顯的資料出境形式是,個人資訊在國內存儲,但可在海外訪問。同樣,海外收集和生成的個人資訊被傳輸到中國大陸進行處理,處理後的資料被傳輸回國外時,就會發生個人資訊再出口。
一個比較具爭議性的場景是,在中國大陸沒有任何註冊實體存在的海外實體,在向中國大陸個人提供商品或服務的過程中直接收集他們的個人資訊。有些人認為,由於這種情況不涉及中國境內的個人資訊處理者,因此不應被視為個保法所述的個人資訊跨境提供。但也有人認為,對於此類源自中國的個人資訊出境,境外個人資訊處理者應在境內指定代表按照認證途徑申請。在這方面,個保法規定,個人資訊跨境提供是在個人資訊處理者向境外提供個人資訊時發生,因此從法條本身而言與前者的觀點更一致。
選擇哪條途徑?
下面的圖表總結了如何決定選擇哪種途徑將個人資訊傳輸到境外。
如圖所示,如果資料處理者是關鍵資訊基礎設施運營者(“關鍵運營者”,定義見下文),或者處理的個人資訊數量超過了國家網信辦規定的閾值,則該資料處理者必須通過安全評估途徑。
如果公司不受安全評估的限制,則可以選擇標準合同備案或認證作為向境外傳輸個人資訊的途徑。
應當注意的是,向境外傳輸個人資訊應事先取得資料主體的單獨同意。
各資料出境路徑的前提條件:個人資訊保護影響評估
無論通過哪條途徑向境外傳輸個人資訊,個人資訊處理者都必須完成個人資訊保護影響評估(“PIPIA”),以評估擬進行資料傳輸的合法性、正當性和必要性、相關風險以及輸出處理者和海外接收者的個人資訊處理和保護工作的範圍和方法。換言之,PIPIA用於驗證資料處理活動的合規性,識別可能損害資料主體合法權益的風險,以及評估各種資料保護措施的有效性。
PIPIA必須在各資料出境途徑申報日期前三個月內完成,由此產生的報告必須包含在各途徑的申報檔中。安全評估和標準合同備案的指南均包含PIPIA報告範本。這兩個範本有重疊的條款,標準合同備案所採用的範本涵蓋的範圍更廣,如敏感個人資訊的處理,而安全評估的PIPIA報告範本則更著重于對國家安全和公共利益的影響和保護。
PIPIA報告範本要求境外資料接收者提供一些資訊,包括其基本資訊、資料處理的用途和方法、資料安全保護能力、整個資料處理週期的描述等。因此,必須在報告定稿前保證有足夠的準備時間以便個人資訊處理者和境外資料接收者進行來回溝通。
由於PIPIA是一個自我評估過程,根據個人資訊處理者自身的情況,可能需要3到6個月的時間完成。PIPIA報告必須至少保存三年。
安全評估
須接受安全評估的資料出境處理者除需要完成PIPIA外,還必須開展資料出境風險自評估。在實踐中,由於PIPIA與風險評估之間存在重疊,風險評估可根據 PIPIA報告進行準備和補充。
安全評估申請應通過省級網信部門提交給國家網信辦。由於安全評估的審查標準不明確,審查和批准過程可能會延緩。
鑒於安全評估的審理時間較長,擬向境外傳輸個人資訊的資料處理者應確保只有在完成安全評估後方可與境外接收方共用資料。安全評估結果的有效期為兩年。
據報導,大多數安全評估申請人來自電子商務平臺、醫療保健、航空、汽車、金融、物流、安全和通信行業。
標準合同備案
個人資訊處理者應在所簽署標準合同生效之日10個工作日內將標準合同和PIPIA報告提交所在地省級網信部門備案。備案結果將是“通過”或“未通過”。未通過標準合同備案的申請人必須提供補充資訊和檔。這使得標準合同備案更像是一種實質上的批准,而不僅僅是一種流程形式。對於省級網信部門將進行何種程度的審查,我們拭目以待。
與認證途徑相比,標準合同備案途徑具有更高的時間和成本效率。可以預見大多數符合標準合同備案條件的申請人將是中小型企業,其申請範圍將僅限於閾值範圍內的個人資訊或敏感個人資訊的轉讓。
據報導,2023年6月25日,一家總部位於北京的資料處理公司在標準合同備案法規生效後僅15個工作日就成為全國首家通過了北京網信辦的標準合同備案的企業。在本案例中,香港的海外資料接收方是這家北京公司的間接股東。
由於標準合同備案規定的寬限期將於2023年11月底到期,可以預見未來幾個月會有更多的標準合同備案申請被提交。
此外,對於涉及個人資訊雙向傳輸的跨境交易,合同雙方都需要遵守其註冊地或運營地所在國的資料隱私法。這往往會給交易帶來額外的障礙,特別是在標準合同的談判和執行過程中。因此,如何通過談判達成一份有效且雙方同意的合同將成為跨境投資和併購交易的關鍵問題。
認證
與標準合同備案途徑相比,認證(即個人資訊處理者進行的資料處理活動經認證符合標準)的優勢在於可涵蓋多種資料處理情況和多個境外接收方。不過,認證的申請時間可能比標準合同備案申報更長。在中國大陸設有子公司並定期向海外關聯公司傳輸個人資訊的跨國公司可能會考慮這一途徑。
認證的具體程式包括接受認證委託、技術驗證和/或認證機構的現場審核。
據報導,中國網路安全審查技術與認證中心是迄今為止唯一獲准進行認證的機構。
如通過認證,將頒發有效期為三年的認證證書。同時,還將頒發包含跨境處理活動的個人資訊保護認證標誌,個人資訊處理者可在其廣告和其他宣傳中使用該標誌。
截至本文發表之日,尚未有成功完成認證的案例的報導。
因外國司法管轄區法律行動調查而向外傳輸資料
根據《中華人民共和國資料安全法》(“數安法”)第36條,未經中國主管機關批准,不得向外國司法或執法機構提供存儲在中國大陸境內的數據。這一限制適用於所有類型的資料,包括個人資訊。個保法也包含類似條款(第 41 條),未經中國主管機關批准,禁止向外國司法或執法機構提供個人資訊。
然而,無論是數安法還是個保法都沒有進一步詳細說明此類限制的範圍或尋求批准的機制。因此,對於公司來說,應對這些法規並確保合規性是一項挑戰。
優化跨國公司跨境資料傳輸機制的潛在可能性
2023年8月13日,國務院發佈了《關於進一步優化外商投資環境和加大吸引外商投資力度的意見》(以下簡稱“《意見》”),旨在進一步促進外商投資。在《意見》提出的 24 項政策措施中,針對跨國公司對資料安全管控措施方面的疑慮,國務院建議探索便利化的管理機制。
具體而言,《意見》提出了以下主要措施:
- 研究為符合條件的外商投資企業建立綠色通道,開展重要資料和個人資訊出境安全評估;及
- 支持北京、天津、上海和粵港澳大灣區試點制定可跨境自由流動的一般資料清單。
可自由流動的一般資料清單的引入為跨國公司帶來了好消息。具體來說,這可能意味著在日常業務運營中定期向全球總部傳輸的人力資來源資料和客戶資料,只要低於一定的門檻,就不再需要進行資料跨境安全評估、提交標準資料傳輸合同或進行個人資訊認證。
雖然實施細則尚未出臺,但這是在促進國際資料傳輸和減少監管負擔方面邁出的重要一步。如果《意見》中的兩項措施得到實質性落實,企業可望大幅減少資料合規的時間和成本。
結論
中國的資料保護和網路安全監管制度正在迅速發展,給在中國大陸開展業務的公司帶來了重大挑戰和合規義務。
中國現行法律所規範的個人資訊出境,不僅包括在中國大陸境內收集和生成的個人資訊被轉移和存儲到中國大陸之外的情形,還包括外國實體或個人獲授權訪問或使用存儲在中國大陸境內的任何個人資訊的情形。
企業必須密切關注這些領域的立法和執法動態,積極準備必要的合規相關行動,並評估或重新評估哪種途徑是合適的,以及如何最大限度地降低個保法下向境外進行個人資訊傳輸的風險敞口。
至於個人資訊的海外接收者,可能需要審查中國大陸的個人資訊處理者是否選擇了適當的途徑,並為個人資訊出境完成了必要的申請、備案或認證程式。