2022年9月1日《数据出境安全评估办法》正式生效实施,企业数据出境安全合规迫在眉睫。企业在申报数据出境安全评估过程中,需要准备的重要材料包括《数据出境风险自评估报告》和《数据出境合同》等。泰和泰律师事务所海口、北京、成都等地办公室的律师组成的数据出境法律服务团队结合正在进行和即将完成的实操案例,解析《企业数据出境风险自评估报告》和《数据出境合同》起草要点,并提出合规建议。若企业就此有任何问题和服务需求,欢迎随时与系列文章作者泰和泰律师事务所数据出境法律服务团队律师联系。
→《数据出境安全评估办法》整体解读见:《<数据出境安全评估办法>正式发布!企业需关注以下合规要点(附征求意见稿对比表)》
2022年9月1日《数据出境安全评估办法》(以下简称“评估办法”)正式生效实施;2022年8月31日,国家互联网信息办公室正式发布《数据出境安全评估申报指南(第一版)》(以下简称“申报指南”),作为申报数据出境安全评估的配套实操指引。《申报指南》明确要求数据出境申报方需提交“与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件”(以下简称“法律文件”),该要求与《评估办法》第九条的规定相呼应,是企业申报数据出境安全评估的必要材料之一。
值得注意的是,数据出境是一个持续、动态的过程,伴随着这一过程的是行政机关的全方位监管,以保障出境数据的安全。全方位监管包含了事前安全评估以及数据出境后的持续监管。尽管在事前安全评估中监管机构需衡量境外接收方以及拟开展的传输活动的有关情况从而决定是否准许进行数据跨境传输,但是数据处理主体以及嗣后的具体传输过程涉及不同的法域,故而囿于法律壁垒、技术手段限制等原因,监管机构在数据出境的后续监管中面临巨大的困难。因此,监管机构需依托私主体之间的有效法律文件约定达到相应的约束和监管目的。本质而言,数据处理者和境外接收方所缔结的法律文件属于私主体意思自治的范畴,但是行政机关通过强制要求双方制定并遵守法律文件(同时要求相关法律文件应当纳入法律规定的必备条款),以实现其持续、有效监管的目的。可以预见,法律文件将是企业自评估以及网信办进行安全评估的关注重点。
一般而言,法律文件多以合同或协议的方式体现,在数据出境场景下主要表现为“数据出境合同”。法律文件的备置应当遵循“充分约定了数据安全保护责任义务”的总体要求,并包含《评估办法》以及《申报指南》等要求的必备条款,作为开展数据出境活动以及行政监管的重要依托,法律文件的质量直接影响数据出境活动的顺畅度和合法合规性。网信办已于2022年6月30日发布《个人信息出境标准合同》(征求意见稿),因此,针对出境数据涉及个人信息时,未来可参考《标准合同》拟定相关条款,同时需注意若存在多种类型数据(包括个人信息)出境时,应当保证所拟定的法律文件符合前述总体要求和必备条款。本文将从《评估办法》第九条要求的必备条款入手,结合实务经验,简要分析数据出境法律文件备置过程中需关注的要点。
一、数据出境的目的、方式和数据范围,境外接受方处理数据的用途、方式等
拟定的法律文件中,企业应当注意对于数据出境基本信息和资料的澄清,且此澄清应当与自评估报告、申报书等其他申报材料保持一致。同时,需要注意的是,实践中由于企业开展业务的需要,数据出境活动往往会涉及到境外接收方将所接收的数据进行再转移的情况,即在数据跨境传输过程中除了境外接收方以外,还可能会出现受托处理者、次级受托处理者等多重境外第三方主体,此时企业需注意考量缔约主体是否应当予以扩大从而涵盖所有相关主体。考虑到涵盖多重主体的合同约定将会变得十分复杂,加之多重主体涉及的多个法域可能出现的不同法律规定的重叠或冲突,因此企业或许可以尝试在法律文件中通过设计境外接收方负担的义务(例如保密义务、对其他主体引起的法律后果承担连带责任、要求境外接收方与境外第三方主体签订书面协议并提交该协议副本等)约束境外接收方并间接约束其他境外第三方主体。应当注意,法律并未强制规定数据出境缔约主体与所有数据处理的主体之间保持严格一致,因此,我们认为盲目的扩大缔约主体范围会带来法律上的不确定性和复杂性,从而阻碍数据的正常跨境流动。此时,通过设计法律文件中的条款间接达到对相关主体的约束或法律责任的承担转移,对于保障数据安全有序自由流动而言或将更为行之有效。
二、数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施
此条涉及两方面的要求,一方面要求法律文件载明数据在境外保存地点、期限,另一方面需载明数据达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施。
实践中,企业往往可能无法在拟定法律文件的当时明确所有数据境外保存的具体期限,根据业务类型的不同,往往会存在数据处于长期出境且持续更新的状态。面对此情况,企业可以考虑在当前法律文件中约定数据终止保存的触发条件,并明确该条件成就时,境外接收方应当在一段具体且合理的时间内终止数据出境行为并履行相应的数据删除义务。
针对数据在达到保存期限、完成约定目的或法律文件终止后的处理措施,应当及时以删除或匿名化处理等方式有效终止数据跨境传输和保存,但该点往往涉及技术方面的考量,因此,我们建议企业应当在进行相关处理措施的约定时,咨询技术部门,以确保处理措施的有效性和合法性。
三、对于境外接收方将出境数据再转移给其他组织、个人的约束性要求
此条款的拟定一方面为了保障数据出境活动的实际执行与申报审查的一致性,另一方面是为了保护数据和个人信息安全,也即形式和实质上的双重目的,因此,我们认为,此点可能会被监管机构重点关注。建议企业在拟定此条款时,应当注意:
针对在拟定法律文件时能够明确的数据再转移,建议根据我们在第一点中的论述考虑是否扩大缔约主体或设计境外接收方负担的义务,从而达到对相关主体的约束。针对在拟定法律文件时未能明确的再转移,企业应当在所拟定的法律文件中总体确立对于数据再转移的限制。在总体限制的基础上,针对可能发生的数据再转移,企业再行构建相应的义务体系以约束境外接收方。具体而言,该义务体系的建构应当包括:
1.事前的通知报告以及说明义务。此义务应当同时针对数据处理者和监管机构,充分说明数据再转移的合法性、正当性、必要性,同时按照有关法律规定,获取数据主体的同意;
2.事中的监督以及危机处理义务。境外数据接收方应当阐明数据再转移后其应当履行的监督义务,以及在可能出现危及数据传输安全时所采取的危机处理义务,此义务应当从法律以及技术的考量上是不迟延的,对于损害防止或减小是有合理预期的;3.事后的数据处理措施。鉴于数据再转移意味着更多主体参与到数据处理之中,将给数据传输结束后的处理带来更多不确定性。因此,应当要求境外接收方切实履行监督职责,确保事后的数据处理措施安全有效,以最大程度上消除或减小数据再转移结束后可能引发的数据安全问题。
四、境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施
我们认为,此条针对的是危机处理的方案,直接关乎到数据和个人信息安全问题,也是会被监管机构重点关注的条款。值得提出的是,危机处理方案在此类合同的约定中是应有之义,重要性也不容置疑,但是如何在合同中细化危机的具体情况并约定相应的处置方式才是重难点。当前法律中仅从宏观角度规定了几类危机,即:接收方实际控制权或者经营范围发生实质变化、数据传输目的地政策法律环境、网络安全环境以及不可抗力造成的数据安全难以保障。对于企业而言,如在法律文件中照搬此规定,那么境外接收方的自由裁量将会被扩大。然而,此种扩大的自由裁量不可否认地带来数据传输便利的同时,也埋下了更大的法律隐患:若境外接收方利用极大的自由裁量权隐瞒、姑息应当进行危机处置的情况,会直接导致数据安全情况的破坏,伴随而来的行政监管、处罚以及民事、刑事诉讼并不会因为“危机”的定义缺位或不明确而减轻或结束。
因此,为了防止以上法律隐患,我们建议企业应当在法律文件中运用“合理且可预见的标准”对于法律规定的几类危机进行细化,同时在法律文件中要求缔约主体在针对可能出现或已经出现的危机进行处置时,完善相应的报告、论述说明、内部表决、外部评估等义务,以保证危机处置的合理性和有效性。而这些义务的完整履行和相关记录的良好保存,也将会在应对日后可能出现行政监管或讼争时作为证据及抗辩理由。
五、违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式
此条款中要求设置补救措施、违约责任和争议解决方式,我们认为补救措施和违约责任应当作为一个整体进行考量,补救措施应当作为违约责任的一部分,当然违约责任还可以存在多种形式。应当明确的是,监管机构在规定中重点突出了补救措施,故企业在拟定法律文件时也应当遵循监管思路,对其加以重视,补救措施应当在明确具体义务约定的基础上设置,并同时经过技术论证,以达至有效性。此外,就违约责任而言,考虑到当境外接收方违约进而导致数据出现安全风险时,境内数据处理者可能会因此面临监管机构的处罚,故而,我们建议在拟定法律文件时可以考虑将监管机构的处罚内容作为损失列入违约方赔偿范畴,以实现损失的填平。针对于争议解决条款,数据处理者应当充分考虑处理纠纷的时间和经济成本问题,我们建议尽量与境外接收方协调将争议解决机构设置于境内,同时,诉讼和仲裁的采用也应当根据数据处理活动本身的特点以及企业的性质谨慎选择。
六、出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式
此条的重点在于明确出境数据遇到安全风险时的处置。总体而言,此条款的设置应当遵循技术方面的论证,以达致有效性。鉴于监管机构在此条款中明确提出“应急处置”,因此法律文件拟定的思路应当也要与此保持一致,要求缔约主体应当适时采取相应措施,以防止安全风险的发生、减小损失或防止损失进一步扩大。我们建议,针对于可能发生或已发生的安全风险,企业应当约定境外接收方的初步处置义务(以便于最快识别风险和作出合理处置,避免因为境外接收方的处置缺位而造成的严重后果)、境外接收方的及时通知和报告义务、境外接收方的配合义务等风险处置义务。同时,我们建议企业应当同步加强内部政策对于安全风险的识别、分类处置等规定,以最大程度防范和解决数据安全风险。保障个人维护其个人信息权益的途径和方式方面,企业应力求在法律文件中做到相关途径和方式的清楚顺畅,从而有利于数据主体进行投诉建议、危机反应、提出救济要求等。我们建议企业应当在拟定的法律文件中明确受理数据主体权利请求的部门和途径,并针对此部门和途径进行细化约定,使得数据主体的权利救济渠道行之有效,最大程度保障数据主体的合法权益。总体而言,数据出境合同应当以保障数据安全为基础,纳入《评估办法》要求的必备条款,同时结合具体出境数据的类型、范围、规模、场景等,以满足实际使用需求以及符合监管要求。《评估办法》虽未要求在申报时法律文件已实际签署,但作为拟签署的合同类法律文件,其条款必然要经缔约双方的反复讨论和协调,合同的拟定过程并非一蹴而就。虽然《评估办法》专门规定了15个工作日的复评期,但实务中,如若因法律文件、制度文件等存在问题而未通过初步评估,在短短15个工作日的复评期内往往很难完成整改以满足监管要求。因此,建议企业应当早启动早部署,在律师等专业人士的帮助下,提前完成相关法律文件的草拟、磋商、签署工作,确保全面满足数据出境安全评估要求。