随着全球化和数字化的加速发展,数据出境已成为企业开展跨国业务的重要手段,但同时也带来了诸多安全和合规挑战。《2024 年数据出境安全合规白皮书》为企业提供了全面的指导,以下是对该报告数据亮点的整理。
一、数据出境安全风险与法律框架
安全风险
合规风险:各国数据出境法律规定不同且不断更新,企业不遵守可能面临罚款、诉讼等风险。
技术风险:数据传输和存储过程中,缺乏加密和隐私保护技术可能导致数据被黑客攻击、拦截或窃取,新技术应用也带来新安全挑战。
业务风险:企业对数据出境风险意识和管理手段不足,可能在业务合作中泄露敏感信息,造成损失。
法律框架
《中华人民共和国网络安全法》:规定网络信息保护基本原则和要求,关键信息基础设施运营者在境内运营中收集和产生的个人信息和重要数据应在境内存储,确需向境外提供的,应进行安全评估。
《中华人民共和国数据安全法》:规定数据处理活动的安全和保密要求,保障国家数据安全,关键信息基础设施运营者在境内运营中收集和产生的重要数据的出境安全管理适用《网络安全法》规定,其他数据处理者的相关管理办法由国家网信部门会同国务院有关部门制定。
《数据出境安全评估办法》:规定中国数据出境安全评估的具体要求和程序,数据处理者向境外提供在境内运营中收集和产生的重要数据和个人信息的安全评估适用本办法。
《个人信息出境标准合同规定》:为保障个人信息在出境后的合法权益,规范个人信息出境活动,个人信息处理者向境外提供个人信息前需进行个人信息保护影响评估。
二、数据出境安全合规路径分析
三种路径
数据出境安全评估:满足一定条件的数据处理者应对出境数据进行安全评估,包括申报书、数据出境风险自评估报告、数据处理者与境外接收方拟订立的法律文件等材料。
个人信息出境标准合同:个人信息处理者通过订立标准合同的方式向境外提供个人信息,需满足特定条件并向所在地省级网信部门备案。
个人信息保护认证:当个人信息出境不满足《数据出境安全评估管理办法》第四条规定时,可执行此路径,依据相关规范指导个人信息处理者开展跨境处理活动。
适用场景和条件
数据安全评估路径:适用于向境外提供重要数据、个人信息等的数据处理者,且在中国境内运营并具有独立法人实体或经法定代表人授权的组织。
个人信息保护认证路径:适用于个人信息处理者向境外提供个人信息的情况,需与境外接收方签订法律文件,开展个人信息保护影响评估等。
标准合同路径:适用于非关键信息基础设施运营者、处理个人信息不满 100 万人、自上年 1 月 1 日起累计向境外提供个人信息不满 10 万人、敏感个人信息不满 1 万人且不构成重要数据的情况。
比较
适用对象:数据出境安全评估适用于个人信息和重要数据的跨境提供行为,个人信息出境标准合同和个人信息保护认证适用于个人信息的跨境提供行为。
具体流程:数据出境安全评估包括申报、受理、评估等环节,评估时限为 45 个工作日;标准合同备案需在生效之日起 10 个工作日内提交备案材料;个人信息保护认证包括认证委托、技术验证、现场审核等程序,认证时限为 70 个工作日。
监管部门:数据出境安全评估由国家网信部门会同国务院有关部门、省级网信部门等监管,标准合同备案由省级网信部门监管,个人信息保护认证由认证机构监管。
所需材料:数据出境安全评估需要申报书、数据出境风险自评估报告、法律文件等;标准合同备案需要标准合同、个人信息保护影响评估报告等;个人信息保护认证需要内控措施证明、合规证明、法律合同等。
有效期:数据出境安全评估有效期为两年,标准合同在有效期内出现特殊情形需重新签订并备案,个人信息保护认证证书有效期为三年。
三、数据出境安全评估申报指南
适用范围
关键信息基础设施运营者向境外提供个人信息或者重要数据。
关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年 1 月 1 日起累计向境外提供 100 万人以上个人信息(不含敏感个人信息)或者 1 万人以上敏感个人信息。
属于《促进和规范数据跨境流动规定》第三条、第四条、第五条、第六条规定情形的,从其规定。
申报方式及流程
数据处理者通过数据出境申报系统提交申报材料,系统网址为https://sjcj.cac.gov.cn。
关键信息基础设施运营者或者其他不适合通过数据出境申报系统申报数据出境安全评估的,采用线下方式通过所在地省级网信办向国家网信办申报数据出境安全评估,申报方式为送达书面申报材料并附带材料电子版,书面申报材料需装订成册。
省级网信办在数据处理者提交申报材料之日起 5 个工作日内完成申报材料的完备性查验,通过完备性查验的,省级网信办将申报材料提请国家网信办受理;未通过完备性查验的,省级网信办向数据处理者告知未通过完备性查验原因。
国家网信办自收到省级网信办提交的申报材料之日起 7 个工作日内,确定是否受理并书面通知数据处理者。
需要补充或者更正申报材料的,数据处理者应当按照告知要求及时补充或者更正材料;无正当理由不补充或者更正申报材料的,国家网信办可以终止安全评估;情况复杂或者需要补充、更正材料的,国家网信办可以适当延长评估时间,并告知数据处理者预计延长的时间。
评估完成后,国家网信办向数据处理者出具评估结果通知书;数据处理者应当按照数据出境安全管理相关法律法规和评估结果通知书的有关要求,规范相关数据出境活动;数据处理者对评估结果有异议的,可以在收到评估结果通知书 15 个工作日内向国家网信办申请复评,复评结果为最终结论。
申报材料
统一社会信用代码证件影印件。
法定代表人身份证件影印件。
经办人身份证件影印件。
经办人授权委托书(模板见附件 A.2)。
数据出境安全评估申报书(模板见附件 A.3)。
与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件影印件。
数据出境风险自评估报告(模板见附件 A.4)。
其他相关证明材料。
四、个人信息出境标准合同备案指南
适用范围
关键信息基础设施运营者以外的数据处理者。
自当年 1 月 1 日起,累计向境外提供 10 万人以上、不满 100 万人个人信息(不含敏感个人信息)的。
自当年 1 月 1 日起,累计向境外提供不满 1 万人敏感个人信息的。
属于《促进和规范数据跨境流动规定》第三条、第四条、第五条、第六条规定情形的,从其规定。
备案方式
个人信息处理者应当在标准合同生效之日起 10 个工作日内,通过数据出境申报系统备案,系统网址为https://sjcj.cac.gov.cn。
备案流程
材料提交:个人信息处理者备案标准合同,应当提交统一社会信用代码证件影印件、法定代表人身份证件影印件、经办人身份证件影印件、经办人授权委托书、承诺书、标准合同、《个人信息保护影响评估报告》等材料。
材料查验及反馈备案结果:省级网信办应当自个人信息处理者提交备案材料之日起 15 个工作日内完成材料查验,并向符合备案要求的个人信息处理者发放备案编号;需要补充完善材料的,个人信息处理者应当在 10 个工作日内提交补充完善材料;逾期未补充完善材料的,可以终止本次备案程序。
补充或者重新备案:在标准合同有效期内出现特定情形的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续。
五、个人信息保护认证指南
适用范围
本规则依据《中华人民共和国认证认可条例》制定,规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。
认证依据
个人信息处理者应当符合 GB/T 35273《信息安全技术 个人信息安全规范》的要求。
对于开展跨境处理活动的个人信息处理者,还应当符合 TC260 - PG - 20222A《个人信息跨境处理活动安全认证规范》的要求。
认证模式
技术验证 + 现场审核 + 获证后监督。
认证实施程序
认证委托:认证机构明确认证委托资料要求,包括但不限于认证委托人基本材料、认证委托书、相关证明文档等;认证委托人按要求提交认证委托资料,认证机构审查后及时反馈是否受理;认证机构根据认证委托资料确定认证方案,包括个人信息类型和数量、涉及的个人信息处理活动范围、技术验证机构信息等,并通知认证委托人。
技术验证:技术验证机构按照认证方案实施技术验证,并向认证机构和认证委托人出具技术验证报告。
现场审核:认证机构实施现场审核,并向认证委托人出具现场审核报告。
认证结果评价和批准:认证机构根据认证委托资料、技术验证报告、现场审核报告和其他相关资料信息进行综合评价,作出认证决定;对符合认证要求的,颁发认证证书;对暂不符合认证要求的,可要求认证委托人限期整改,整改后仍不符合的,以书面形式通知认证委托人终止认证;如发现认证委托人、个人信息处理者存在欺骗、隐瞒信息、故意违反认证要求等严重影响认证实施的行为时,认证不予通过。
获证后监督:监督的频次为认证机构应当在认证有效期内,对获得认证的个人信息处理者进行持续监督,并合理确定监督频次;监督的内容为认证机构应当采取适当的方式实施获证后监督,确保获得认证的个人信息处理者持续符合认证要求;获证后监督结果的评价为认证机构对获证后监督结论和其他相关资料信息进行综合评价,评价通过的,可继续保持认证证书;不通过的,认证机构应当根据相应情形作出暂停直至撤销认证证书的处理。
认证时限:认证机构应当对认证各环节的时限作出明确规定,并确保相关工作按时限要求完成;认证委托人应当对认证活动予以积极配合。
认证证书和认证标志
认证证书:认证证书有效期为 3 年,在有效期内,通过认证机构的获证后监督,保持认证证书的有效性;证书到期需延续使用的,认证委托人应当在有效期届满前 6 个月内提出认证委托,认证机构应当采用获证后监督的方式,对符合认证要求的委托换发新证书;认证证书有效期内,若获得认证的个人信息处理者名称、注册地址,或认证要求、认证范围等发生变化时,认证委托人应当向认证机构提出变更委托,认证机构根据变更的内容,对变更委托资料进行评价,确定是否可以批准变更;如需进行技术验证和 / 或现场审核,还应当在批准变更前进行技术验证和 / 或现场审核;当获得认证的个人信息处理者不再符合认证要求时,认证机构应当及时对认证证书予以暂停直至撤销;认证委托人在认证证书有效期内可申请认证证书暂停、注销;认证机构应当采用适当方式对外公布认证证书颁发、变更、暂停、注销和撤销等相关信息。
认证标志:不含跨境处理活动的个人信息保护认证标志为 “PIP + ABCD”,包含跨境处理活动的个人信息保护认证标志为 “PIP + CB + ABCD”,“ABCD” 代表认证机构识别信息。
认证证书和认证标志的使用:在认证证书有效期内,获得认证的个人信息处理者应当按照有关规定在广告等宣传中正确使用认证证书和认证标志,不得对公众产生误导。
六、数据出境安全合规申报案例
截至目前,成功通过数据出境申报的企业较少,通过率仅为百分之一。例如,首都医科大学附属北京友谊医院与荷兰阿姆斯特丹大学医学中心合作研究项目成为全国首个数据合规出境案例;北京现代汽车有限公司的数据出境申报全系统盘点、全业务申报且全场景获批,成为我国汽车领域首个通过国家互联网办公室审批的数据出境安全评估项目;焦点科技股份有限公司的 “中国制造网外贸电商平台业务” 通过国家网信办数据出境安全评估,成为跨境电商领域全国首个数据合规出境案例。
