等
保
2.
0
時
代
企業數據傳輸的合規之路(下)
上期主要介紹了等保2.0背景下對企業數據跨境傳輸的影響以及跨境傳輸的認定,本期繼續介紹世界主要國家或組織對跨境傳輸的規定及對企業合規的建議。
1
世界主要國家數據跨境傳輸的管理秩序
在經濟全球化飛速發展的今天,數據的跨境流動變得異常頻繁,已經成為一種不可阻擋的趨勢,許多國家都對數據的跨境流動進行了監管。對數據的跨境傳輸進行管理,實際也是維護網絡空間主權的具體體現。厘清網絡空間中的主權邊界,才能制定數據跨境流通的管理秩序。下面介紹一些域外國家對數據跨境流動的監管政策以及我國目前的相關規定。
(一)歐盟
在立法價值取向上,歐盟側重保護個人權利,數據跨境流動監管政策主要體現在個人數據保護制度上。根據GDPR第五章的規定,對于個人數據出境制定了較為豐富的合法場景,除數據主體同意、履行合同必要等事項之外,還包括數據傳輸至“充分性認定[1]”地區、具有充分保障措施的實體(具有約束力的公司規則、標準合同條款、已批準的行為準則及經批準的認證機制、封印或標識等)等。
(二)美國
2018年3月美國總統特朗普正式簽署CLOUD Act,該法案采取“數據控制者”標準,打破“服務器標準”,允許調取不在美國境內的電信服務或遠程計算機服務的提供者控制、監管的數據。同時,CLOUD Act對數據調取行為的抗辯設置嚴格的條件,僅包括目標對象不是“美國人”且不在美國居住及披露內容的法律義務將給服務者帶來違反“符合資格的外國政府”立法的實質性風險的抗辯,這在一定程度上反映美國試圖打破各國數據本地化政策屏障的意圖。
(三)APEC
2004年APEC成員國達成的《APEC隱私框架》對數據跨境流動進行原則性規定,要求數據控制者將個人信息傳輸到第三方(無論是境內還是境外)應獲得數據主體的同意或者確保數據接收者持續遵守《APEC隱私框架》的原則。為了推進各成員國的統一執行《APEC隱私框架》,APEC委員會在2007年出臺《APEC跨境隱私規則體系》(CBPR)。CBPR體系對數據跨境流動采取認證機制:數據控制者可以自由選擇是否進行CBPR認證。如果通過CBPR認證,數據控制者就被認為滿足了隱私保護要求,可以在APEC區域內實現自由的跨境數據傳輸,而對于獲得認證的數據控制者,將受到該CBPR的約束,隱私責任評估機構可以按照當地法和合同執行跨境隱私規則,隱私執法當局也可以按照本國法對經認證的數據控制者采取相應的執法措施。[2]
(四)我國的數據出境規則
1.數據類型
隨著《網絡安全法》的生效施行,以及陸續出臺的GB/-2017《信息安全技術 個人信息安全規范》(以下簡稱“《個人信息安全規范》”),《個人信息和重要數據出境安全評估辦法(征求意見稿)》(以下簡稱“《評估辦法》”)和《信息安全技術 數據出境安全評估指南(征求意見稿)》(以下簡稱“《評估指南》”)等規范數據傳輸的單位有哪些,均對數據出境進行了不同程度、區分側重的監管。分析其中規則,其本質將數據出境分為三個層次:
據上表:第一層次的公開信息可以通過是否可以從公開渠道訪問、獲取來判斷,較為容易理解。而第三層次禁止出境的國家秘密也有相關法律法規明確規定,比如《中華人民共和國保守國家秘密法》等。[3]因此,此處不對以上兩者展開討論,而是在下文重點討論位于第二層次的個人信息和重要數據如何出境。
2.主體要求
《網絡安全法》第三十七條指出,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據,因業務確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。其后,2017年4月發布的《評估辦法》第二條數據傳輸的單位有哪些,將需經評估的范圍擴大至網絡運營者(不再限于關鍵信息基礎設施的運營者)境內運營收集和產生的個人信息和重要數據。《評估指南》沿用了這一提法。因此,被規范的數據跨境轉移的主體并不僅限于關鍵信息基礎設施的運營者,還包括一般的網絡運營者。
3.評估流程
(1)出境目的評估與安全風險評估
數據出境安全評估首先應當評估數據出境的目的,數據出境目的不具有合法性、正當性和必要性,不得出境。在此基礎上數據出境安全評估應當評估數據出境的安全風險,將數據出境及再轉移后被泄露、損毀、篡改、濫用等風險有效降低至最低限度。
(2)安全自評估與主管部門評估
數據出境安全評估分為兩種,一種是企業自評估,另一種是主管部門評估。
①企業自評估
網絡運營者應當每年開展安全自評估,滿足以下條件之一時應當啟動評估:
1)涉及數據出境的;
2)關鍵信息基礎設施運營者進行數據出境之前的;
3)已完成數據出境安全自評估的產品或業務所涉及的個人信息和重要數據出境,在目的、范圍、類型、數量等方面發生較大變化、數據接收方變更或發生重大安全事件的;
按照行業主管或者監管部門要求啟動的。
②主管部門評估
國家網信部門、行業主管部門根據數據出境類型、數量、范圍、重要程度等,酌情組織開展主管部門評估。具有下列情形之一的,國家網信部門、行業主管部門可啟動主管部門評估:
1)一年內出境的個人信息數量達到國家網信部門、行業部門上報要求的;
2)包含核設施、生物化學、國防軍工、人口健康等領域數據,大型工程活動、還有環境、敏感地理信息數據,以及其他重要數據的;
3)涉及關鍵信息基礎設施的安全缺陷、具體安全防護措施等網絡安全信息的;
4)關鍵基礎設施運營者數據出境的;
5)其他可能影響國家安全、經濟發展和社會公共利益的;
