随着数字化技术与业务的深度融合,相应的数据安全挑战也随之而来。在经历了数字化转型的过程中,各行业在数据安全方面面临着更为复杂的形势,这与业务模式、数据处理需求以及法律法规等多方面因素的影响,从而导致各行业在数据安全问题上存在着独特而复杂的挑战。
为了促进数据依法有序自由流动,激发数据要素价值,扩大高水平对外开放,国家网信办公布《促进和规范数据跨境流动规定》(附全文),自公布之日起施行。数据出境申报和个人信息出境备案指南第二版发布(附下载),对申报数据出境安全评估、备案个人信息出境标准合同的方式、流程和材料等具体要求作出了说明,对数据处理者需要提交的相关材料进行了优化简化。
对于数据跨境流动安全,我们研究了数据出海合规问题、数据跨境流动合规要求和数据跨境流动安全管理。通过调查本地化监管问题和第三方合作问题,我们提供了数据出海的合规解决方案。同时,我们研究了跨境流动合规认证和合规审计流程,评估了合规要求,提供了跨境数据流动的合规管理建议,并深入分析了数据存储位置与控制、跨境数据审计的实际管理方法。
一、数据出海合规问题
1.1 本地化监管问题
根据2021 年联合国贸易发展委员会( UNCTAD) 统计, 全球 197 个国家中已有 71% 的国家具备个人数据隐私保护立法。
在诸多隐私保护立法中,数据本地化作为数据跨境监管的措施之一,可以视为是强化国家数据主权及本地监管的具体表现形式,反映了一种对跨境数据流动严格管控的监管态度。
1.1.1 数据本地化基本概念
欧盟《非个人数据自由流动框架条例》中定义,“数据本地化是指成员国法律、法规或行政规定中规定的义务、禁止、条件、限制或其他要求,而这些要求对数据存储或数据的其他处理行为做出了特定领域的限制或阻碍”。概览各个国家的立法文件,对于数据主权的管控要求常常不会提供相对简洁精确的范畴描述,针对数据本地化往往会以“影响或可能影响国家安全、社会公共利益”等抽象性表述作为兜底性条款。
数据本地化监管根据数据出境的审核流程和难易程度,可以将数据本地化要求分为获得数据主体明确同意的前提下进行数据跨境传输、在境内存储数据或数据副本(即在承认数据出境必要性的前提下, 基于“本地数据存储或设置副本+其他限制性条款” 出境流程,允许数据跨境传输。此种方式虽然通过限制数据存储,依旧无法有效避免数据出境的潜在安全风险)、禁止数据跨境传输(即本国产生的数据只能在本国存储和处理,禁止向境外传输或从境外访问) 等。
1.1.2 本地化监管现状
纵观全球多个国家在数据本地化要求的制度沿革,宽严程度有所不同。2015年全球互联网治理委员会将全球本地化监管概况为四类:一是数据跨境的地域限制,要求数据必须在境内存储和处理;二是数据位置的地域限制,要求数据必须在境内存储,允许跨境处理;三是基于法律法规许可,在取得数据主体授权的前提下进行数据跨境;四是基于标准体系的数据出境限制,在采取措施确保隐私安全的基础上允许数据跨境。
基本要求 | 具体要求 | 代表国家 | 示例 |
数据跨境的地域限制 | 数据只能在境内存储、处理,仅在特定的条件 下(如国家安全需求) ,经审批出境。 | 美国、韩国 | 美国国防部规定所有为该部门服务的云计算服务提供商须在境内储存数据,美国国家税务局发布规定要求税务信息系统应当位于美国境内等韩国政府规定,除非符合PIPA修正案规定的要求,否则数据控制者不得将个人数据转移到韩国以外的国家/地区 |
数据存储位置的地域限制 | 数据必须在境内存储,满足出境合规条件的情况下可以跨境传输、处理 | 俄罗斯 | 俄罗斯要求运营者在收集个人数据期间,保证在俄罗斯联邦境内数据库中存储俄罗斯联邦公民的个人数据 |
数据必须在境内存有副本,对外转移或处理数据副本无限制 | 印度 2018 DPDP | 印度要求所有个人信息副本需存储在印度境内,政府认定的关键个人信息不能在印度境外以任何方式进行处理。 | |
授权后可转移 | 基于法律法规许可,在取得数据主体授权的前提下进行数据跨境 | 巴西、阿根廷 | 巴西和阿根廷要求银行在获得用户明确书面批准后才可传输其数据 |
无本地化要求,但有出境限制 | 于标准体系的 数据出境限制, 在采取措施确保隐私安全的基础上允许数据跨境 | 欧盟 | GDPR规定欧盟内个人数据可转移至已经确认的具有充分数据保护水平的司法管辖区 |
俄罗斯政府通过不断修订相关立法文件加强对数据本地化的监管。《俄罗斯联邦个人数据法》、《俄罗斯联邦信息、信息技术和信息保护法》要求运营者、信息所有者、信息系统运营商在收集个人数据期间(包括通过互联网等方式),有义务保证在俄境内数据库中记录、系统化、汇集、存储、更正(更新或修改)和摘录俄罗斯联邦公民的个人数据。
2022 年,第 266 号联邦法律中又新增了针对个人数据跨境转移的前置通报程序。第 405 号联邦法律中明确对个人数据和信息传播领域内违法行为的处罚力度,对违反数据本地化要求的运营者最高将处以 1800 万卢布的罚款。
印度个人数据保护法第一版于 2018 年7 月提出,要求所有个人信息副本需存储在印度境内,政府认定的敏感个人信息不能在印度境外以任何方式进行处理。随后的立法版本, 印度政府逐渐淡化了本地化要求, 2019 年法案修订,针对敏感个人信息可以在特定条件下在印度境外传输和处理,但必须存储在印度境内。2023 年法案再次修复,不再要求数据本地化存储,在满足政府规定的条件下,允许将个人信息转移到可信赖的国家或地区。此项规定与欧盟 GDPR 的充分性认定较为类似,但目前印度政府进行充分性认定的具体要求尚不明晰。
欧盟《通用数据保护条例》(GDPR)规定,可以将欧盟境内个人数据转移至已经取得欧盟委员会充分性数据保护认定的司法管辖区,代表其国内法律对于数据的保护程度与欧盟法相匹配。目前,全球范围内已有 13 个国家通过欧盟充分性认定,包括安道尔公国、阿根廷、加拿大(商业组织)、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、瑞士、乌拉圭、韩国和英国。对于向其他司法管辖区跨境处理数据的,应确保数据接收方能够提供充分的数据保护。一直以来, GDPR 被视为世界最严条款,其中的罚款金额和欧盟监管力度也较为严格。
本地化要求针对的数据类型也并非是指全量数据,通常会对不同的数据类型或数据收集主体制定不同的本地化策略。
基本要求常见类型示例 | ||
对特定类型的数据提出本地化要求 | 常见特殊类型生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及未成年人个人信息。 (参考我国《个人信息保护法》敏感个人信息范围) |
印度个人数据保护法(Digital Personal Data Protection Bill)第一版于2018年7月提出,将数据类型分为敏感个人信息和一般个人信息。要求所有个人信息副本需存储在印度境内,在满足合规要求的前提下可以向境外转移;针对关键个人信息不能在印度境外以任何方式进行处理(但也提供了例外条件)。 |
对不同的数据收集主体提出不同的本地化要求 | —— | 美国国防部规定所有为该部门服务的云计算服务提供商须在境内储存数据,美国国家税务局发布规定要求税务信息系统应当位于美国境内等。印度尼西亚在2012 年要求公共电子系统运营商必须将其电子系统和数据放置在印度尼西亚本地。 |
1.2 第三方合作问题
业务开展在多种场景下往往伴随着第三方合作,例如广告营销、用户画像分析、风控等,在从第三方获取数据或委托第三方处理数据过程中,提高业务效率的同时也蕴藏着数据安全风险。各国立法文件中,也对第三方合作提出了诸多要求。
欧盟 GDPR 规定数据控制者在选择合作第三方时,应当选用符合 GDPR条例要求的、具有充分保证的、采取相关技术与措施的能够保障数据主体权利的处理者。在数据控制者与第三方数据处理者合作时,应当采用合同或约定的方式进行协议约束,这类协议约束需包括:
- 数据处理的内容和期限;
- 数据处理的性质和目的;
- 个人数据的类型、数据主体的类型;
- 数据控制者与数据处理者的责任与义务等。
此外,出于对数据主体的权利保护,数据控制者在与第三方数据处理者签订约束协议中,还应当清晰明确地约定第三方的保密义务。
我国《个人信息保护法》将与第三方合作分为三个场景:共同处理、委托、共享,并对不同的场景提出了不同的合规要求:
场景 | 条款概述 |
共同处理 | 第二十条 共同控制者应约定各自权利义务,侵害个人权益时承担连带责任。 |
委托 | 第二十一条 个人信息处理者委托第三方处理个人信息时,应与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督 |
提供 | 第二十三条 个人数据处理者应向个人披露第三方处理相关信息并获取同意;第三方仅能在原有目的、方式及种类范围内进行处理,有变更需重新获取同意。 |
《个人信息保护法》第二十一条规定个人信息处理者委托第三方处理个人信息时,应与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。同时,还进一步规定了受托人的义务,详细如下:
- 受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;
- 委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留;
- 未经个人信息处理者同意,受托人不得转委托他人处理个人信息。
二、数据跨境流动合规要求
2.1 跨境流动合规认证
在跨境合规认证方面欧盟 GDPR 比较具有代表性, GDPR 允许将欧盟境内个人数据转移至已经取得欧盟委员会充分性数据保护认定的司法管辖区,针对不具有充分性认定的国家地区的数据跨境, GDPR 第 46 条提供了几项补偿机制,包括:
- 基于公共机构之间具有约束力和可执行力的协议进行跨境转移;
- 具有约束力的公司规则且该 BCRs 获得了数据保护机关的批准;
- 标准合同条款 数据出口方与数据进口方签署了 SCCs ;
- 基于经批准的行为守则进行转移;
- 基于经批准的认证机制进行转移。
一直以来, SCCs 和 BCRs 是企业比较常用的数据跨境传输认证手段。BCRs 适用于关联企业之间的数据跨境传输,不适用与第三方之间的跨境传输,如果某跨国企业制定了 BCRs 且通过了监管机构批准,则欧盟允许该企业将个人数据从欧盟境内转移至位于欧盟外的关联实体。由于 BCRs 需要获得监管机构批准,参考 EDPB 官网公示的批准企业名单可以看出,此种模式更适用于大型跨国企业,相较于S CCs 此模式实施成本较高。
SCCs 是欧盟提出的标准合同条款,主要目的是保障个人数据在转移至欧盟境外时,通过合同约束的方式使得位于境外的数据接收方同样具备能够对数据主体的个人信息采取与欧盟同等水平的保护能力。最新的 SCCs 标准条款针对数据控制者到处理者、处理者到控制者、处理者到处理者、控制者到控制者四个版本,可以根据数据跨境传输时不同的场景角色签署对应的标准合同条款。
放眼我国的数据跨境合规要求,立法层面《网络安全法》、《数据安全法》明确了重要数据处理者和关键基础设施运营者的数据跨境传输合规义务,通过《个人信息保护法》规定了个人信息出境的三种方式:数据出境安全评估、个人信息保护认证、标准合同,此后又通过《数据出境安全评估办法》、《个人信息出境标准合同办法》等标准规范进一步细化了对数据出境的实施要求。
(一)、数据出境安全评估
- 依据: 《网络安全法》《数据安全法》《个人信息保护法》《数据出境安全评估办法》《数据出境安全评估申报指南(第一版)》等
- 适用条件: 数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息,有下列任意情形的,应向国家网信办申报数据出境安全评估:
- 数据处理者向境外提供重要数据;
- 关键信息基础设施运营者和处理 100 万人以上个人信息的数据处理者向境外提供个人信息;
- 自上年 1 月 1 日起累计向境外提供 10 万人个人信息或者 1 万人敏感个人信息的数据处理者向境外提供个人信息;
- 国家网信部门规定的其他需要申报数据出境安全评估的情形。
- 申报流程:
应当通过所在地省级网信办申报数据出境安全评估,申报方式为送达书面申报材料并附带材料电子版。
省级网信部门应当自收到申报材料之日起 5 个工作日内完成完备性查验。申报材料齐全的,将申报材料报送国家网信部门;申报材料不齐全的,应当退回数据处理者并一次性告知需要补充材料。
国家网信部门应当自收到申报材料之日起 7 个工作日内,确定是否受理并书面通知数据处理者。
- 申报提交材料:
- 申报书;
- 数据出境风险自评估报告;
- 数据处理者与境外接收方拟订立的法律文件;
- 安全评估工作需要的其他材料。
- 评估时长:国家网信部门应当自向数据处理者发出书面受理通知书之日起 45 个工作日内完成数据出境安全评估;情况复杂或者需要补充、更正材料的,可以适当延长并告知预计延长时间。
- 评估结果有效期: 2 年。
(二) 、个人信息保护认证
- 依据: 《个人信息保护法》《个人信息保护认证实施规则》、《个人信息跨境处理活动安全认证规范V 2 . 0 》
- 适用范围: 对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。
- 认证模式: 技术验证 + 现场审核 + 获证后监督
- 认证实施程序: 认证委托、技术验证、现场审核、认证结果评价和批准、获证后监督。
- 认证证书有效期: 3 年
(三) 、标准合同
- 依据: 《个人信息保护法》《个人信息出境标准合同办法》
- 适用条件: 个人信息处理者通过订立标准合同的方式向境外提供个人信息的, 应当同时符合下列情形:
- 非关键信息基础设施运营者;
- 处理个人信息不满 100 万人的;
- 自上年 1 月1 日起累计向境外提供个人信息不满 10 万人的;
- 自上年 1 月1 日起累计向境外提供敏感个人信息不满 1 万人的。
- 备案要求: 在标准合同生效之日起10 个工作日内向所在地省级网信部门备案。备案材料:
- 标准合同;
- 个人信息保护影响评估报告。
2.2 合规审计流程
我国《个人信息保护法》在立法层面将定期合规审计确立为个人信息处理者的一项法定义务。《个保法》第五十四条和第六十四条,分别对个人信息处理者的自主审计和强制外部审计提出了相关要求。自主审计更侧重于企业应加强对自身的审计自查,也可以根据风险导向原则来确定审计频率以及是否使用外部审计资源。对于强制的外部审计,《个保法》明确了“发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。”
在立法要求的基础上,我国相关的行政法规、部门规章以及规范性文件也在进一步强调细化审计义务,比如近期国家网信办提出的《个人信息保护合规审计管理办法(征求意见稿)》,对于自主审计,细化要求了处理超过 100 万人的个人信息处理者及其他情形的定期审计频次,可根据实际情况进行内部审计或委托专业外部机构,对于强制外部审计,则是对于存在较大风险或发送安全事件的企业,个人信息保护职责部门可以要求企业委托专业机构进行合规审计。合规审计的审查要点体现《个保法》及国家标准的要求, 包含个人信息处理规则、个人信息跨境提供、个人信息主体权利保障、个人信息处理者的义务、大型互联网平台特殊责任等方面。
2021 年 12 月,由信通院牵头成立的“ 个人信息保护合规审计推进小组” 发布了《关于推进个人信息保护合规审计的若干建议》,结合前文总结我国监管要求,对于企业开展合规审计流程,可以总结为以下几点:
2.2.1 合规审计计划
对于个人信息处理者、重要数据处理者、大型互联网平台运营者等不同的企业类型,我国个人信息保护现行有效的法律、行政法规做出了不同的规定要求。企业应根据实际业务情况、个人信息使用场景、个人信息处理活动和保护措施以及内部技术能力等,判断自身所属主体类型,确定合规审计工作方向、范围、内容、方式、频次以及实现全覆盖的步骤与周期等,对应开展相关的合规审计工作。
2.2.2 合规审计方案
1. 基本情况调研。制定审计方案前, 应对企业的个人信息处理活动范围、现有个人信息保护建设及执行情况完成初步了解。
2. 确定审计内容。进行综合的风险评估,包括但不限于各业务场景涉及个人信息量级、个人信息种类、个人信息泄露、已识别的安全事件、外部监管压力等。根据现行法律法规要求,参考《关于推进个人信息保护合规审计的若干建议》第三章审计内容, 可从个人信息处理者义务、个人权利实现方式、个人信息处理活动( 包括收集、存储、使用、加工、提供、传输、公开、删除等各个环节)、个人信息跨境提供四方面开展审计。
3. 确定审计人员。应考虑审计人员的能力,包括审计人员对业务流程、信息系统和法律法规要求等方面的熟悉和了解程度。如果内审团队无法满足所需能力,需要考虑联合组织内部其他部门或外部专业机构组成联合项目组共同开展。
2.2.3 合规审计实施
1. 审计组织。如企业拟开展内部审计,应结合审计计划、审计范围等确定内部审计小组成员。审计小组应将审计的目标、实施流程、相关部门需要提供的支持等事项通知到公司内部各个相关部门,为审计的实施做好准备。如企业委托第三方机构开展审计,则企业应该在第三方机构的协助下,确定审计的目标、范围、流程等事项,由第三方机构在审计活动开始之前面向公司内部相关人员召开项目启动会,说明审计的工作计划及相关部门需要提供的支持,以确保后续审计工作的顺利推进。
2. 审计方式。在具体审计时,审计机构可以通过审阅制度、访谈、合规技术测试等方式对现有管理措施进行审查,如审计方案中包含渗透测试等特殊技术方法,需提前做好预案并与有关团队沟通。
2.2.4 合规审计报告
审计报告初步完成,由审计人员征求被审计对象意见,确认是否符合当前实际情形,出具审计报告主要包括以下内容:
- 审计概况:简要介绍审计的目的、范围、时间等基本情况。
- 审计依据:列出本次审计所依据的相关法律法规、政策文件等。
- 审计结论:根据审计结果, 对被审计对象个人信息处理活动的合规性做出结论。
- 审计发现:详细列出在审计过程中发现的问题、疑点等。
- 审计意见:针对审计发现的问题,提出具体的意见和建议。
- 审计建议:针对被审计主体个人信息处理活动存在的问题, 提出改进和完善的建议。
在输出审计报告时,企业应根据审计报告的最终用途、使用对象,在报告内容上作出区别。如审计报告拟向监管部门提交,则需重点关注监管机构关注的风险问题,并对企业遵守相关法律法规的情况进行详细说明。
三、数据跨境流动安全管理
3.1 数据存储位置与控制
基于前文提及的诸多跨境合规监管现状,在考虑数据存储位置与控制方面,我们需遵循各国家的本地化要求以及相关限制性条款。
对于限制本地化的国家,建议按照数据的敏感程度对不同级别的数据类型给予不同的控制措施,大致分为一般个人信息和敏感个人信息:
- 对一般个人信息有本地化要求的国家,如俄罗斯,若开展的业务系统中包含较多个人信息,建议本地部署服务器;
- 对敏感个人信息有本地化要求的国家,如印度 2018 DPDP 要求“ 政府认定的关键个人信息不能在印度境外以任何方式进行处理” ,若业务系统中包含敏感数据较多,从风险控制角度, 建议本地化存储。
对于无本地化要求,但在出境方面具备限制性条款的国家,建议在数据中心选址时考虑具备充分性认定的国家或地区,即该地域的数据保护能力被认可的程度较高,例如通过欧盟充分性认定的 13 个国家。在被国际广泛认可的充分保护国家建立数据中心或数据港,实现业务和数据保护的平衡,有利于降低数据跨境传输的合规风险与合规成本。
在执法层面,一些国家监管机构倾向于将数据保护与其他政策目标相结合,扩大对数据安全立法的应用范畴并增强执法手段。因此,在数据出海控制方面同时建议考虑政治形势、民俗习惯及互联网偏好等地缘因素。
3.2 跨境数据审计
国家安全是国家生存和发展的重要基石。网络安全恰恰是国家安全工作中重要且不可或缺的一环。《国家安全法》《网络安全法》均规定,国家应当建立安全审查制度,就影响国家安全的重大事项和活动进行审查。2011 年,国家网信办对滴滴出行、运满满、货车帮、BOSS 直聘实施网络安全审,审查时间长达一年,在此期间停止新用户注册,2022 年国家网信办对滴滴全球股份有限公司处人民币 80.26 亿元罚款,对滴滴全球股份有限公司董事长兼 CEO 程维、总裁柳青各处人民币 100 万元罚款。同年多部委以《国家安全法》《网络安全法》为依据,联合发布《网络安全审查办法》,对关键信息基础设施运营者采购活动进行审查和对部分重要产品等发起审查进行了详细的规定。
《办法》明确“掌握 100 万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查”,申报网络安全审查可能有以下三种情况:一是无需审查;二是启动审查后,经研判不影响国家安全的,可继续赴国外上市程序;三是启动审查后,经研判影响国家安全的,不允许赴国外上市。
针对已在国外上市企业如存在国家安全风险因素的,可能会引发网络安全审查。另一方面,如果网络安全审查工作机制成员单位认为已经上市的企业存在国家安全风险因素的, 可以根据第十六条规定依职权提请网络安全审查。
当事人申报网络安全审查, 应当提交以下材料:
- 申报书;
- 关于影响或者可能影响国家安全的分析报告;
- 采购文件、协议、拟签订的合同或者拟提交的首次公开募股( IPO ) 等上市申请文件;
- 网络安全审查工作需要的其他材料。
审查流程大致为: 有关运营者申报、网络安全办公室受理( 10 个工作日内确定是否需要审查并书面通知当事人)、形成初步审查意见并发送相关部门和单位征求意见( 30 个工作日,情况复杂可延长 15 个工作日)、相关部门和单位向审查办公室作出书面回复意见( 15 个工作日)、若回复意见一致则审查办公室以书面形式通知运营者;若回复意见不一致则启动特别审查( 45 个工作日,情况复杂可适当延长) 。
因此,通常情况下,网络安全审查将在 45 个工作日内完成,情况复杂的会延长 15 个工作日。对于进入特别程序的审查,审查周期可能会为 90 个工作日或者更长。
本文摘编自安世加发布的《数据安全调研报告》。获取数治 AIGC+X 数据跨境法规工具包,关注我们的公众号“idtzed”回复“DCB”。
加入“数治x”行业社群, 300+ 高质量前沿资料免费下载,不只做个资料党,更开启你的自主个性化学习旅程,在公众号“idtzed”上回复“入”直通:
资料、学习、成长问答助手;
图解、模板、问卷行业工具包;
个人、团队数据素养水准评估;
数治连线产研导师专场直播等。
与我们有更多合作,定制你的数字推广直击目标潜在客户,扫码添加老邪企业微信。
在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵犯到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。