更多類型的數據被納入跨境流動監(jiān)管
在數安條例公布之前,《網絡安全法》《個人信息保護法》《數據安全法》對數據跨境流動僅僅是對個人信息和重要數據這兩個類型來說,但數安條例將數據跨境流動監(jiān)管的數據對象,做了較大擴展。如下表所示:
《網絡安全法》
第三十七條 關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業(yè)務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規(guī)另有規(guī)定的,依照其規(guī)定。
《個人信息保護法》
個人信息
《數據安全法》
第三十一條 關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理,適用《中華人民共和國網絡安全法》的規(guī)定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。
數安條例
第三十五條 數據處理者因業(yè)務等需要,確需向中華人民共和國境外提供數據的,應當具備下列條件之一:
(一)通過國家網信部門組織的數據出境安全評估;
(二)數據處理者和數據接收方均通過國家網信部門認定的專業(yè)機構進行的個人信息保護認證;
(三)按照國家網信部門制定的關于標準合同的規(guī)定與境外數據接收方訂立合同,約定雙方權利和義務;
(四)法律、行政法規(guī)或者國家網信部門規(guī)定的其他條件。
網絡數據(簡稱數據)是指任何以電子方式對信息的記錄。
所以,實際上數安條例對三個上位法對跨境監(jiān)管的范圍,做了比較大的擴展——也就是不再只是針對個人信息和重要數據,還包括其他非個人信息和非重要數據的數據。
在這樣的擴展下,相應地制度就要做變革,至少有兩個方面:一是數據出境安全評估制度,要包括對“非個人信息和非重要數據的數據”的安全評估設計。因為目前的安全評估草案【國家互聯(lián)網信息辦公室關于《數據出境安全評估辦法(征求意見稿)》公開征求意見的通知】中第二條明確規(guī)定:“數據處理者向境外提供在中華人民共和國境內運營中收集和產生的重要數據和依法應當進行安全評估的個人信息,應當按照本辦法的規(guī)定進行安全評估;法律、行政法規(guī)另有規(guī)定的,依照其規(guī)定”。因此,目前的制度設計無法涵蓋“非個人信息和非重要數據的數據”。
二是標準合同覆蓋的范圍需要擴展。最早出現標準合同的規(guī)定出現在《個人信息保護法》,針對的對象自然是個人信息。現在標準合同需要覆蓋重要數據,還需要覆蓋“非個人信息和非重要數據的數據”。
這樣的擴展影響非常重大,比如向境外證監(jiān)部門提供一個財務報表數據,不屬于個人信息,假設也不屬于重要數據,那么也需要根據數安條例第35條的規(guī)定來執(zhí)行。類似的例子還有很多。
個人信息出境即“松了”也“嚴了”
根據數安條例,可以得出至少三個情形是豁免監(jiān)管的。具體如下:
說明
具體實例
第二條 自然人因個人或者家庭事務開展數據處理活動,不適用本條例。
按照這條規(guī)定,個人自主、直接將自身的個人信息、家庭成員、朋友個人信息向境外提供,其個人的提供行為,不受本條例管轄。
這點在我國《個人信息保護法》中的規(guī)定是一致的,也與GDPR規(guī)定一致。
GDPR在Recital 18中明確提出:本條例不適用于自然人在純粹的個人或家庭活動過程中對個人數據的處理,只要這些處理與專業(yè)或商業(yè)活動沒有關系。(This Regulation does not apply to the processing of personal data by a natural person in the course of a purely personal or household activity and thus with no connection to a professional or commercial activity.)
個人自主登陸境外電商網站購買家用產品,并在境外電商網站填寫其個人信息,包括姓名、聯(lián)系方式、收貨地址等。
第三十五條 數據處理者為訂立、履行個人作為一方當事人的合同所必需向境外提供當事人個人信息的,或者為了保護個人生命健康和財產安全而必須向境外提供個人信息的除外。
按照《個人信息保護法》第十三條規(guī)定,“為訂立、履行個人作為一方當事人的合同”而處理個人信息(包括對境外提供個人信息),和基于個人同意的個人信息處理,是不同的合法性事由。
同樣,“為了保護個人生命健康和財產安全而必須向境外提供個人信息”,與《個人信息保護法》中“緊急情況下為保護自然人的生命健康和財產安全所必需”相近,但數安條例的表述中沒有“緊急情況下”。這點是否意味著數安條例做了些許放寬?
個人通過平臺預訂境外的酒店或境外航空公司的機票,平臺將個人的預訂信息傳輸至境外的酒店和航空公司。
第三十八條 中華人民共和國締結或者參加的國際條約、協(xié)定對向中華人民共和國境外提供個人信息的條件等有規(guī)定的,可以按照其規(guī)定執(zhí)行。
這樣的條款也出現在了《個人信息保護法》之中——“中華人民共和國締結或者參加的國際條約、協(xié)定對向中華人民共和國境外提供個人信息的條件等有規(guī)定的,可以按照其規(guī)定執(zhí)行。”
考慮到中國正在申請加入CPTPP和DEPA【見:數字貿易協(xié)定 | DEPA和CPTPP給國內數據本地化和跨境流動管控預留的“自由度”】,那是否意味著只要中國正式加入了這些經貿協(xié)定,國內法律法規(guī)對個人信息的跨境監(jiān)管就可以“豁免”?
當然,這一點不僅需要網信辦,還需要全國人大做出解釋。
其實我們仔細對比《個人信息保護法》第三十八條的規(guī)定,和數安條例第三十五條的規(guī)定,會發(fā)現比較大的區(qū)別。
《個人信息保護法》
第三十八條 個人信息處理者因業(yè)務等需要,確需向中華人民共和國境外提供個人信息的,應當具備下列條件之一:
(一)依照本法第四十條的規(guī)定通過國家網信部門組織的安全評估;
(二)按照國家網信部門的規(guī)定經專業(yè)機構進行個人信息保護認證;
(三)按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務;
(四)法律、行政法規(guī)或者國家網信部門規(guī)定的其他條件。
中華人民共和國締結或者參加的國際條約、協(xié)定對向中華人民共和國境外提供個人信息的條件等有規(guī)定的,可以按照其規(guī)定執(zhí)行。
個人信息處理者應當采取必要措施,保障境外接收方處理個人信息的活動達到本法規(guī)定的個人信息保護標準。
《數安條例》
第三十五條 數據處理者因業(yè)務等需要,確需向中華人民共和國境外提供數據的,應當具備下列條件之一:
(一)通過國家網信部門組織的數據出境安全評估;
(二)數據處理者和數據接收方均通過國家網信部門認定的專業(yè)機構進行的個人信息保護認證;
(三)按照國家網信部門制定的關于標準合同的規(guī)定與境外數據接收方訂立合同,約定雙方權利和義務;
(四)法律、行政法規(guī)或者國家網信部門規(guī)定的其他條件。
數據處理者為訂立、履行個人作為一方當事人的合同所必需向境外提供當事人個人信息的,或者為了保護個人生命健康和財產安全而必須向境外提供個人信息的除外。
《個人信息保護法》并沒有豁免“為訂立、履行個人作為一方當事人的合同所必需向境外提供當事人個人信息的,或者為了保護個人生命健康和財產安全而必須向境外提供個人信息”這兩個場景中的安全評估或認證或合同的義務。但是數安條例第三十五條卻對此做了豁免。因此,可以說數安條例“松了”
于此同時,數安條例相比《個人信息保護法》更加嚴格了。這方面體現在對個人同意這方面。
《個人信息保護法》第十三條規(guī)定——“依照本法其他有關規(guī)定,處理個人信息應當取得個人同意,但是有前款第二項至第七項規(guī)定情形的,不需取得個人同意”。這句話的意思是:《個人信息保護法》第十三條之后各個條文中,如果出現需要征得個人同意,或者個人單獨同意的,只要存在《個人信息保護法》第十三條第二項至第七項規(guī)定情形時,都是可以豁免同意的。
但數安條例第三十六條明確“數據處理者向中華人民共和國境外提供個人信息的,應當向個人告知境外數據接收方的名稱、聯(lián)系方式、處理目的、處理方式、個人信息的種類以及個人向境外數據接收方行使個人信息權利的方式等事項,并取得個人的單獨同意”。就好比說,個人通過平臺預訂境外的酒店或境外航空公司的機票,平臺將個人的預訂信息傳輸至境外的酒店和航空公司。這個例子中,平臺將個人信息傳輸至境外酒店和航空公司,本身就是履行預訂服務合同中的必要,進一步說,平臺履行整個預訂服務所涉及的各種個人信息處理,包括對境外提供個人信息,合法性基礎都不是個人的同意。因此將個人信息傳輸至境外酒店和航空公司這個處理動作,也都不需要征得個人的同意。
這時候問題來了:這時候是否可以認為《個人信息保護法》第十三條中的表述,在法律效力方面是否能夠優(yōu)于數安法的這條規(guī)定?
數據處理者向境外提供數據應當履行的義務
對于數安條例第三十九條和第四十條的規(guī)定,按照個人信息、重要數據、非個人信息且非重要數據的數據,來歸歸類。
非個人信息且非重要數據的數據
采取合同等有效措施監(jiān)督數據接收方按照雙方約定的目的、范圍、方式使用數據,履行數據安全保護義務,保證數據安全;
接受和處理數據出境所涉及的用戶投訴;
數據出境對個人、組織合法權益或者公共利益造成損害的,數據處理者應當依法承擔責任;
國家網信部門認定不得出境的,數據處理者應當停止數據出境,并采取有效措施對已出境數據的安全予以補救;
非經中華人民共和國主管機關批準,境內的個人、組織不得向外國司法或者執(zhí)法機構提供存儲于中華人民共和國境內的數據。
個人信息
同上;以及如下:
不得超出網信部門安全評估時明確的出境目的、范圍、方式和數據類型、規(guī)模等向境外提供個人信息和重要數據
不得超出報送網信部門的個人信息保護影響評估報告中明確的目的、范圍、方式和數據類型、規(guī)模等向境外提供個人信息;
國家網信部門會同國務院有關部門核驗向境外提供個人信息和重要數據的類型、范圍時,數據處理者應當以明文、可讀方式予以展示;
個人信息出境后確需再轉移的,應當事先與個人約定再轉移的條件,并明確數據接收方履行的安全保護義務。
數安條例第四十條“在每年1月31日前編制數據出境安全報告,向設區(qū)的市級網信部門報告上一年度以下數據出境情況”
重要數據
同“非個人信息非重要數據的數據”,以及如下:
不得超出網信部門安全評估時明確的出境目的、范圍、方式和數據類型、規(guī)模等向境外提供個人信息和重要數據
國家網信部門會同國務院有關部門核驗向境外提供個人信息和重要數據的類型、范圍時,數據處理者應當以明文、可讀方式予以展示;
數安條例第四十條“在每年1月31日前編制數據出境安全報告,向設區(qū)的市級網信部門報告上一年度以下數據出境情況”
這里面很有意思的一點是:在第三十九條中,“不得超出網信部門安全評估時明確的出境目的、范圍、方式和數據類型、規(guī)模等向境外提供個人信息和重要數據”,似乎又把安全評估局限于個人信息和重要數據,而非一開始數安條例第三十五條要求的,需要覆蓋“非個人信息且非重要數據的數據”。
對于數據跨境安全網關(數安條例第四十一條),就不做分析了。第四篇文章到此打住。(完)
