題21-1_畫板 1 副本.png)
題21-1_畫板 1.png)
引言
為協(xié)助企業(yè)更好地理解與應(yīng)用《征求意見稿》,我們梳理了企業(yè)判斷出境合規(guī)機(jī)制的理論工具,并通過4個(gè)實(shí)踐案例進(jìn)一步分析新規(guī)的具體應(yīng)用。
一、理論工具:出境合規(guī)機(jī)制的判斷與選擇
(一)強(qiáng)制監(jiān)管的判斷:如果構(gòu)成特殊的主體、數(shù)據(jù)性質(zhì)或數(shù)據(jù)量,則數(shù)據(jù)出境應(yīng)當(dāng)適用安全評估或其他強(qiáng)監(jiān)管手段。
1. 主體性質(zhì):是否構(gòu)成特殊主體?
· 關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者:如果構(gòu)成關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者,且向境外提供個(gè)人信息、重要數(shù)據(jù),則應(yīng)依照有關(guān)法律、行政法規(guī)、部門規(guī)章規(guī)定執(zhí)行,現(xiàn)行法要求進(jìn)行數(shù)據(jù)出境安全評估。
· 國家機(jī)關(guān):如果構(gòu)成國家機(jī)關(guān),且向境外提供個(gè)人信息、重要數(shù)據(jù),則應(yīng)依照有關(guān)法律、行政法規(guī)、部門規(guī)章規(guī)定執(zhí)行,現(xiàn)行法要求進(jìn)行安全評估。
2. 數(shù)據(jù)性質(zhì):是否構(gòu)成特殊數(shù)據(jù)?
· 官方認(rèn)定的重要數(shù)據(jù):如果構(gòu)成重要數(shù)據(jù),則應(yīng)進(jìn)行數(shù)據(jù)出境安全評估。重要數(shù)據(jù)的認(rèn)定以相關(guān)部門、地區(qū)的告知或公開發(fā)布為依據(jù),被官方認(rèn)定的重要數(shù)據(jù)才需要申報(bào)安全評估。
· 特定敏感信息:如果構(gòu)成涉及黨政軍和涉密單位敏感信息、敏感個(gè)人信息,則應(yīng)依照有關(guān)法律、行政法規(guī)、部門規(guī)章規(guī)定執(zhí)行。
3. 數(shù)據(jù)量:是否預(yù)計(jì)一年內(nèi)出境100萬人個(gè)人信息?
· 100萬人/年:預(yù)計(jì)一年內(nèi)向境外提供100萬人以上個(gè)人信息,則應(yīng)申報(bào)數(shù)據(jù)出境安全評估。
(二)豁免監(jiān)管的判斷:如果滿足特定的數(shù)據(jù)類型、收集地、合法性基礎(chǔ)或數(shù)據(jù)量,則數(shù)據(jù)出境無需采取任何出境合規(guī)機(jī)制。
1. 數(shù)據(jù)類型:是否不構(gòu)成特定的數(shù)據(jù)?
· 不包含個(gè)人信息或重要數(shù)據(jù):國際貿(mào)易、學(xué)術(shù)合作、跨國生產(chǎn)制造和市場營銷等活動中產(chǎn)生的數(shù)據(jù)出境,不包含個(gè)人信息或者重要數(shù)據(jù)的,無需采取任何出境合規(guī)機(jī)制。
此外,根據(jù)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《數(shù)據(jù)出境安全評估辦法》《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》,受出境監(jiān)管的數(shù)據(jù)主要為個(gè)人信息、重要數(shù)據(jù),其他數(shù)據(jù)的出境一般不受監(jiān)管,除非存在外國司法或執(zhí)法等特定場景。
· 不屬于自貿(mào)區(qū)負(fù)面清單:自由貿(mào)易試驗(yàn)區(qū)可自行制定本自貿(mào)區(qū)需要納入監(jiān)管范圍的數(shù)據(jù)清單(“負(fù)面清單”)。對于負(fù)面清單之外的數(shù)據(jù)出境,無需采取任何出境合規(guī)機(jī)制。
2. 收集地:是否在境外收集、產(chǎn)生個(gè)人信息?
· 境外收集:不是在境內(nèi)收集產(chǎn)生的個(gè)人信息向境外提供,則無需采取任何出境合規(guī)機(jī)制。
3. 合法性基礎(chǔ):是否滿足特定的合法性基礎(chǔ)?
· 為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需,如跨境購物、跨境匯款、機(jī)票酒店預(yù)訂、簽證辦理等,必須向境外提供個(gè)人信息,則無需采取任何出境合規(guī)機(jī)制。
· 按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理,必須向境外提供內(nèi)部員工個(gè)人信息,則無需采取任何出境合規(guī)機(jī)制。
· 緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全等,必須向境外提供個(gè)人信息,則無需采取任何出境合規(guī)機(jī)制。
4. 數(shù)據(jù)量:是否預(yù)計(jì)一年內(nèi)出境小于1萬人個(gè)人信息?
小于1萬人/年:預(yù)計(jì)一年內(nèi)向境外提供不滿1萬人個(gè)人信息,則無需采取任何出境合規(guī)機(jī)制。我們傾向于認(rèn)為,在計(jì)算1萬人時(shí),無需納入上述已被豁免監(jiān)管的個(gè)人信息。
(三)出境合規(guī)機(jī)制的自由選擇:對于強(qiáng)制監(jiān)管、豁免監(jiān)管之外的數(shù)據(jù)出境,數(shù)據(jù)處理者可以自行選擇合適的出境合規(guī)機(jī)制。
1. 數(shù)據(jù)量:是否預(yù)計(jì)一年內(nèi)出境1~100萬人個(gè)人信息?
· 1~100萬人/年:預(yù)計(jì)一年內(nèi)向境外提供1萬人以上、不滿100萬人個(gè)人信息,數(shù)據(jù)處理者可以自行選擇合適的出境合規(guī)機(jī)制,包括申報(bào)數(shù)據(jù)出境安全評估、訂立個(gè)人信息出境標(biāo)準(zhǔn)合同并備案、或通過個(gè)人信息保護(hù)認(rèn)證。
二、案例分析:《征求意見稿》的理解與應(yīng)用
對于《征求意見稿》的上述規(guī)定,我們通過以下四個(gè)案例進(jìn)一步分析新規(guī)的具體應(yīng)用,以便企業(yè)參考。
(一)案例1:境外酒店預(yù)定場景
案例事實(shí)概況:某酒店位于中國境外,通過官方網(wǎng)站及App等線上渠道,面向全球(包括中國境內(nèi))的顧客提供酒店相關(guān)服務(wù),涉及中國境內(nèi)顧客超過100萬人。
1. 境外處理者是否需要采取出境合規(guī)機(jī)制?能否適用“境外收集”的豁免?
《征求意見稿》提供了“境外收集”的豁免,即,不是在境內(nèi)收集產(chǎn)生的個(gè)人信息向境外提供,則無需采取任何出境合規(guī)機(jī)制。該豁免情形與2017年國家標(biāo)準(zhǔn)《信息安全技術(shù) 數(shù)據(jù)出境安全評估指南(征求意見稿)》中提到的如下兩種情形較為相似:(1)非在境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)經(jīng)由本國出境,未經(jīng)任何變動或加工處理的,不屬于數(shù)據(jù)出境;(2)非在境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù),在境內(nèi)存儲、加工處理后出境,不涉及境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)的,不屬于數(shù)據(jù)出境。
在本案例中,個(gè)人信息并非前述的先入境、再出境(往往涉及境外個(gè)人的個(gè)人信息),而是由境外處理者從境外直接向境內(nèi)個(gè)人收集個(gè)人信息。《個(gè)人信息保護(hù)法》并未明確位于境外但受到域外管轄的個(gè)人信息處理者是否需要采取出境合規(guī)機(jī)制,而網(wǎng)信部門在實(shí)踐中并未排除該等適用,認(rèn)為可通過境外處理者在境內(nèi)設(shè)立的專門機(jī)構(gòu)或指定代表執(zhí)行出境合規(guī)機(jī)制。根據(jù)《征求意見稿》,該情形能否適用“境外收集”的豁免,目前尚未可知,有待網(wǎng)信部門予以澄清。
2. 境外酒店預(yù)定能否適用“個(gè)人合同所必需”的豁免?
《征求意見稿》中提供了基于三種特定的合法性基礎(chǔ)的豁免,其中一種為:為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需,如跨境購物、跨境匯款、機(jī)票酒店預(yù)訂、簽證辦理等,必須向境外提供個(gè)人信息,則無需采取任何出境合規(guī)機(jī)制。“為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需”這一合法性基礎(chǔ)已被《個(gè)人信息保護(hù)法》所認(rèn)可,而《征求意見稿》進(jìn)一步列舉的典型合同場景均屬于客觀必要的場景,即,不跨境傳輸相應(yīng)的個(gè)人信息給境外服務(wù)提供方(如電商平臺及境外賣家、支付平臺及境外銀行、境外航空公司、境外酒店、境外政府機(jī)構(gòu)等),則個(gè)人無法進(jìn)行跨境購物、跨境匯款、預(yù)定機(jī)票酒店、辦理簽證等活動。該等列舉在一定程度上反映了網(wǎng)信辦對于該合法性基礎(chǔ)的謹(jǐn)慎立場。
本案例屬于《征求意見稿》明確列舉的酒店預(yù)訂場景,境外酒店可以為訂立、履行個(gè)人合同所必需而出境個(gè)人信息,無需采取任何出境合規(guī)機(jī)制。但出境個(gè)人信息的類型、處理目的、處理方式仍受制于該合法性基礎(chǔ)以及企業(yè)的合理商業(yè)判斷。
(二)案例2:跨國公司人力資源管理場景
案例事實(shí)概況:某跨國公司的中國境內(nèi)子公司統(tǒng)一使用全球總部的人力資源系統(tǒng)處理中國境內(nèi)員工、求職者的個(gè)人信息,從而出境人力資源相關(guān)個(gè)人信息。
1. 出境員工個(gè)人信息能否適用“人力資源管理”的豁免?
《個(gè)人信息保護(hù)法》為人力資源管理場景提供了專門的合法性基礎(chǔ),《征求意見稿》也明確提出,“按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理,必須向境外提供內(nèi)部員工個(gè)人信息的”,無需采取任何出境合規(guī)機(jī)制。相較于求職者,已經(jīng)入職跨國公司的員工顯然對于其個(gè)人信息出境至全球總部具備更為明確的預(yù)期,人力資源統(tǒng)一管理亦為跨國公司運(yùn)作機(jī)制的應(yīng)有之義。
《征求意見稿》為員工個(gè)人信息出境場景提供了重大利好,同時(shí)需要關(guān)注以下兩方面的制約因素:
(1)程序要件:《征求意見稿》依然強(qiáng)調(diào)人力資源管理的依據(jù)為依法制定的勞動規(guī)章制度、依法簽訂的集體合同。根據(jù)《勞動合同法》,直接涉及勞動者切身利益的規(guī)章制度需要依法履行平等協(xié)商和公示程序,而集體合同需要依法履行平等協(xié)商和報(bào)送程序。
(2)必要性的限制:《征求意見稿》依然強(qiáng)調(diào)出境員工個(gè)人信息的必要性,可能涉及個(gè)人信息種類、處理目的、處理方式等方面,且“出境”個(gè)人信息的必要性往往比“(境內(nèi))收集”個(gè)人信息更難論證。一方面,《個(gè)人信息保護(hù)法》提出了“必要原則”、“限于實(shí)現(xiàn)處理目的的最小范圍”、“實(shí)現(xiàn)處理目的所必要的最短時(shí)間”、“采取對個(gè)人權(quán)益影響最小的方式”等指導(dǎo)原則;另一方面,在實(shí)踐中,企業(yè)應(yīng)當(dāng)對上述原則的具體應(yīng)用享有合理的商業(yè)判斷與解釋空間。
2. 出境求職者個(gè)人信息能否適用“個(gè)人合同所必需”的豁免?
《征求意見稿》關(guān)于人力資源管理的豁免情形僅適用于員工,不包括求職者。公司收集、處理求職者個(gè)人信息的目的為招聘員工、訂立求職者作為一方當(dāng)事人的勞動合同,可以考慮能否適用“個(gè)人合同所必需”這一豁免情形,關(guān)鍵在于如何解釋出境求職者個(gè)人信息的必要性,即是否為實(shí)現(xiàn)前述目的“所必需”。
如前所述,《征求意見稿》列舉的典型合同場景均服務(wù)于個(gè)人的跨境業(yè)務(wù),個(gè)人亦對因參與該等業(yè)務(wù)而出境個(gè)人信息具備明確認(rèn)知。
本案例中,即使求職者應(yīng)聘境內(nèi)公司的職位,在某些情況下,公司如果不出境個(gè)人信息確實(shí)難以完成招聘流程,例如:對于通過業(yè)務(wù)考核的求職者,全球總部為滿足監(jiān)管或內(nèi)控要求而需對求職者進(jìn)行合規(guī)審查、背景調(diào)查,尤其對于強(qiáng)監(jiān)管行業(yè)的從業(yè)人員;對于應(yīng)聘高級職位的求職者,全球總部需要直接對其進(jìn)行考核。但是,在初步遴選階段、普通職位應(yīng)聘場景,出境求職者個(gè)人信息的必要性論證則存在不確定性,有可能無法適用豁免情形。
(三)案例3:跨國公司系統(tǒng)回遷場景
案例事實(shí)概況:某跨國公司的中國境內(nèi)子公司出境員工、消費(fèi)者、供應(yīng)商聯(lián)系人的個(gè)人信息。該公司現(xiàn)有員工約1.5萬人,每年平均新入職員工約1500人。該公司每年平均出境約50萬消費(fèi)者的個(gè)人信息,但正在向境內(nèi)回遷消費(fèi)者管理系統(tǒng),預(yù)計(jì)將于2023年年內(nèi)完成。此外,該公司平均每年出境約100人供應(yīng)商聯(lián)系人的個(gè)人信息。
1. 公司能否因回遷大數(shù)量級的系統(tǒng)而豁免安全評估?
不同于《數(shù)據(jù)出境安全評估辦法》《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》中“自上年1月1日起”面向過去的視角,《征求意見稿》在計(jì)算人數(shù)時(shí)采取面向未來的視角,為數(shù)據(jù)處理者通過減少個(gè)人信息出境量而簡化、豁免出境合規(guī)機(jī)制提供可行路徑:預(yù)計(jì)一年內(nèi)向境外提供1萬人以上、不滿100萬人個(gè)人信息,數(shù)據(jù)處理者可以自行選擇合適的出境合規(guī)機(jī)制。
回遷系統(tǒng)(尤其是涉及大量個(gè)人信息的系統(tǒng))是降低出境量的典型方式。本案例中,公司出境個(gè)人信息的數(shù)量大部分落在消費(fèi)者管理系統(tǒng),如果公司能在短期內(nèi)完成該系統(tǒng)的回遷,則可以大幅降低未來一年的出境量至遠(yuǎn)低于100萬人,不會觸發(fā)強(qiáng)制安全評估。
2. 如何計(jì)算1萬人?公司能否因預(yù)計(jì)一年內(nèi)出境個(gè)人信息低于1萬人而豁免出境合規(guī)機(jī)制?
根據(jù)《征求意見稿》,預(yù)計(jì)一年內(nèi)向境外提供不滿1萬人個(gè)人信息的,不需要申報(bào)數(shù)據(jù)出境安全評估、訂立個(gè)人信息出境標(biāo)準(zhǔn)合同、通過個(gè)人信息保護(hù)認(rèn)證。問題的關(guān)鍵在于,如何預(yù)估一年內(nèi)個(gè)人信息的出境數(shù)量。
除了系統(tǒng)回遷,還有如下兩種計(jì)算口徑可以降低出境量,但尚不明確網(wǎng)信部門是否認(rèn)可該等計(jì)算口徑。結(jié)合本案例分析如下:
(1)能否僅計(jì)算增量人員:公司每年的增量員工(即新員工)僅為1500人,未達(dá)到1萬人。但與此同時(shí),還存在1.5萬現(xiàn)有員工,每年均可能發(fā)生信息變化或新增,如在職時(shí)間、聯(lián)系方式、薪資獎金等,從而出境存量人員的增量數(shù)據(jù)。在網(wǎng)信部門給出明確、相反的解釋之前,建議公司從謹(jǐn)慎出發(fā)仍需計(jì)算現(xiàn)有員工的個(gè)人信息出境量,從而難以將出境量下降至1萬人以下而豁免出境合規(guī)機(jī)制。
(2)能否刨除已被豁免的出境信息:如果公司采用為實(shí)施人力資源管理所必需這一合法性基礎(chǔ),且依法制定勞動規(guī)章制度、依法簽訂集體合同,則出境員工個(gè)人信息無需采用任何出境合規(guī)機(jī)制。我們傾向于認(rèn)為,在計(jì)算1萬人時(shí),無需納入已被豁免監(jiān)管的個(gè)人信息。此時(shí),公司每年僅出境約100人供應(yīng)商聯(lián)系人的個(gè)人信息,從而無需采用任何出境合規(guī)機(jī)制。
(四)案例4:科技公司出境潛在重要數(shù)據(jù)、敏感個(gè)人信息場景
案例事實(shí)概況:某科技公司使用境外關(guān)聯(lián)公司統(tǒng)一部署的業(yè)務(wù)系統(tǒng),上年1月1日至今出境員工敏感個(gè)人信息超過1萬人,但預(yù)計(jì)未來一年內(nèi)不會超過1萬人;同時(shí)使用該系統(tǒng)處理研發(fā)數(shù)據(jù)。公司自評估認(rèn)為,不排除研發(fā)數(shù)據(jù)中包含重要數(shù)據(jù),但尚未接收到任何關(guān)于重要數(shù)據(jù)的官方通知或公告。
1. 針對潛在的重要數(shù)據(jù)出境,公司是否需要申報(bào)安全評估?
依據(jù)《數(shù)據(jù)出境安全評估辦法》,出境重要數(shù)據(jù)應(yīng)當(dāng)申報(bào)安全評估。目前,大部分行業(yè)、領(lǐng)域的重要數(shù)據(jù)目錄還處于空白狀態(tài),國家標(biāo)準(zhǔn)《重要數(shù)據(jù)識別規(guī)則》也尚未發(fā)布正式稿。《征求意見稿》明確規(guī)定,“未被相關(guān)部門、地區(qū)告知或者公開發(fā)布為重要數(shù)據(jù)的,不需要作為重要數(shù)據(jù)申報(bào)數(shù)據(jù)出境安全評估”。
基于此,即使公司自評估認(rèn)為其出境的部分研發(fā)數(shù)據(jù)有可能構(gòu)成重要數(shù)據(jù),只要公司沒有被告知其處理的數(shù)據(jù)涉及重要數(shù)據(jù),或落入正式發(fā)布的重要數(shù)據(jù)目錄范圍,則無需考慮申報(bào)數(shù)據(jù)出境安全評估。
2. 公司出境敏感個(gè)人信息,是否仍可適用《征求意見稿》?
《征求意見稿》明確規(guī)定,《數(shù)據(jù)出境安全評估辦法》《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》等相關(guān)規(guī)定與其不一致的,應(yīng)按《征求意見稿》執(zhí)行。此外,《征求意見稿》第八條規(guī)定了排除其適用的特殊情形,其中包括:“向境外提供涉及黨政軍和涉密單位敏感信息、敏感個(gè)人信息的,依照有關(guān)法律、行政法規(guī)、部門規(guī)章規(guī)定執(zhí)行”。問題在于,如何確定出境敏感個(gè)人信息的法律適用。
僅字面理解,確實(shí)可能存在如下解讀,即:向境外提供敏感個(gè)人信息的,應(yīng)適用有關(guān)法律法規(guī),如《數(shù)據(jù)出境安全評估辦法》《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》,而不適用《征求意見稿》。但從立法意圖理解,第八條強(qiáng)調(diào)特殊主體(國家機(jī)關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者)、或涉及特殊主體(黨政軍、涉密單位)的特殊數(shù)據(jù)(敏感信息、敏感個(gè)人信息),僅在該等特定情形下《征求意見稿》才會被排除適用。
本案例中,如果公司并非黨政軍和涉密單位、亦與該等單位無往來,且預(yù)計(jì)一年內(nèi)出境的個(gè)人信息(無論是否為敏感個(gè)人信息)不會超過1萬人,則可豁免數(shù)據(jù)出境合規(guī)機(jī)制。
京ICP備05019364號-1 .png "備案圖標(biāo).png"){kind=small}
京公網(wǎng)安備110105011258
近日,北京市海問律師事務(wù)所(“本所”)發(fā)現(xiàn),網(wǎng)絡(luò)上存在將一家名為“廣州海問睿律咨詢顧問有限公司”的主體與本所進(jìn)行不當(dāng)關(guān)聯(lián)的大量不實(shí)信息,導(dǎo)致社會公眾產(chǎn)生混淆與誤解,也對本所的聲譽(yù)及正常執(zhí)業(yè)活動造成不良影響。
本所特此澄清,本所與“廣州海問睿律咨詢顧問有限公司”(成立于2025年11月)不存在任何隸屬、投資、關(guān)聯(lián)、合作、授權(quán)或品牌許可關(guān)系,亦從未授權(quán)任何主體以“海問”的名義提供法律咨詢服務(wù),該公司的任何行為與本所無關(guān)。更多詳情,請點(diǎn)擊左下方按鈕查看。
