编者按: 2022年9月1日《数据出境安全评估办法》正式生效实施,企业数据出境安全合规迫在眉睫。企业在申报数据出境安全评估过程中,需要准备的重要材料包括《数据出境风险自评估报告》和《数据出境合同》等。泰和泰律师事务所海口、北京、成都等地办公室的律师组成的数据出境法律服务团队结合正在进行和即将完成的实操案例,解析《企业数据出境风险自评估报告》和《数据出境合同》起草要点,并提出合规建议。若企业就此有任何问题和服务需求,欢迎随时与系列文章作者泰和泰律师事务所数据出境法律服务团队律师联系。
→《数据出境安全评估办法》整体解读见:《<数据出境安全评估办法>正式发布!企业需关注以下合规要点(附征求意见稿对比表)》背景:近年来,《数据安全法》《网络安全法》《个人信息保护法》《数据出境安全评估办法》(征求意见稿)《信息安全技术 数据出境安全评估指南》(征求意见稿)《个人信息出境标准合同规定(征求意见稿)》等相关法律规范和实操指南频繁出台,体现了国家对数据与网络安全问题的重视,也反映了数据与网络安全领域的强监管趋势。2022年9月1日《数据出境安全评估办法》施行,为有持续开展数据出境相关业务需求的企业提供了一条合法、可行、有效的数据出境路径。
2022年8月31日,国家互联网信息办公室正式发布《数据出境安全评估申报指南(第一版)》(简称《申报指南》),进一步为相关企业规范、有序申报数据出境安全评估提供实操指引。数据出境安全评估是指拟向境外提供达到规定数量的个人信息、重要数据的企业或者属于关键信息基础设施运营者的企业,通过地方网信部门向国家网信办申请数据出境安全性审核的过程。属于以下情形的,企业就必须申报数据出境安全评估:
一是数据处理者向境外提供重要数据;
二是关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
三是自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;四是国家网信部门规定的其他需要申报数据出境安全评估的情形。企业自评估是网信办安全评估的前置程序。根据《数据出境安全评估办法》,数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估。《申报指南》进一步细化了数据出境安全评估申报的适用范围、申报方式及流程、申报材料及要求。在提交数据出境安全评估申报材料时,自评估报告是核心内容。笔者结合实践经验,旨在通过本文解析企业自评估报告中需要重点阐释的主体情况评估情况、安全保障能力评估情况、拟出境数据评估情况等要点,并针对企业在自评估前/过程中的重点及难点问题提出合规建议。
一、自评估报告起草要点解析
《数据安全评估办法》第五条明确规定了数据处理者开展数据出境风险自评估的重点评估事项:
1. 数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
2. 出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
3. 境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
4. 数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
5. 与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等,是否充分约定了数据安全保护责任义务;
6. 其他可能影响数据出境安全的事项。
《申报指南》要求企业在自评估报告中重点强调上述内容。从“数据出境风险自评估报告(模板)”可以看出,自评估报告从自评估工作简述、出境活动整体情况、拟出境活动的风险评估情况、出境活动风险自评估结论几部分展开。其中,拟出境活动的风险评估情况部分需逐项说明上述风险评估情况,重点说明评估发现的问题和风险隐患,以及相应采取的整改措施及整改效果。出境活动整体情况需按顺序详细说明数据处理者基本情况、数据出境涉及的业务和信息系统、出境数据情况、数据处理者安全保障能力情况、境外接收方情况、法律文件约定情况等。总之,企业需真实、完整披露自评估情况,摸底、排查数据出境安全风险,方便监管机构进一步评估,旨在打消监管机构的顾虑,并力求相关整改措施及效果能得到监管机构的认可。
(一)数据主体基本情况评估《申报指南》要求自评估企业在数据出境风险自评估报告中提供数据主体(数据处理者和境外接收方)基本情况。其中数据处理者情况包括“数据处理者的组织或者个人基本信息; 股权结构和实际控制人信息、组织架构信息、数据安全管理机构信息、整体业务与数据情况、境内外投资情况。”首先,自评估企业需如实披露其股权结构、实控人、投资关系等,明确申报主体。例如,大型公司或集团公司往往内设多家子公司,股权投资及业务关系复杂,拟出境数据采集方、数据存储方和数据发送方可能不一致,因此在数据出境申报过程中的主体合规性尤其需要引起注意。其次,自评估企业核实数据主体的基本情况时,不仅需要核查数据主体是否依法设立且目前有效存续,还需要核实境外接收方经营范围与数据接收的类型、内容是否一致。除此之外,自评估企业需核查数据主体是否存在违法犯罪记录,2年内是否在业务经营活动中受到行政处罚和有关主管监管部门调查及整改情况,尤其是否受过数据安全相关领域处罚,是否发生过数据安全相关重大安全风险事件。如果涉及重要数据出境,还需对数据接收方的背景关系进行评估。实践中,律师可以协助自评估企业对数据主体进行网络核查,还可以通过与境外律师合作等方式,充分核实或请求境外接收方进一步披露有关情况,必要时协助自评估企业要求境外接收方出具承诺函、情况说明等。
(二)数据主体安全保障能力情况评估《申报指南》要求自评估企业在数据出境风险自评估报告中如实披露、展开论述数据处理者和数据接收方的安全保障能力并提供有效证明。数据处理者安全保障能力情况包括“数据安全管理能力、数据安全技术能力、数据安全保障措施以及遵守数据和网络安全相关法律法规情况”。实践中,数据主体安全保障能力自评估需要从制度设置和技术能力两个维度展开。数据安全管理能力方面,需详细介绍企业的管理组织体系和制度建设情况,全流程管理、分类分级、应急处置、风险评估、个人信息权益保护等制度及落实情况;数据安全技术能力方面,需具体说明企业在数据收集、存储、使用、加工、传输、提供、公开、删除等全流程所采取的安全技术措施等;数据安全保障措施则需体现出已开展的数据安全风险评估、数据安全能力认证、数据安全检查测评、数据安全合规审计、网络安全等级保护测评等情况并提供相应证明。
(三)拟出境数据及业务情况评估《申报指南》要求自评估企业说明的拟出境数据情况如下:
1. 数据出境及境外接收方处理数据的目的、范围、方式,及其合法性、正当性、必要性;
2. 出境数据的规模、范围、种类、敏感程度;
3. 拟出境数据在境内存储的系统平台、数据中心等情况,计划出境后存储的系统平台、数据中心等;
4. 数据出境后向境外其他接收方提供的情况。
《申报指南》要求自评估企业披露的数据出境涉及业务情况:
1. 数据出境涉及业务的基本情况;
2. 数据出境涉及业务的数据资产情况。结合相关法律规定要求和企业数据出境涉及的业务情况,为了证明拟数据出境活动安全性高及潜在的风险性无/较低,自评估企业需在数据出境风险自评估报告中重点阐释和论述数据出境的目的、范围、方式及其合法性、正当性、必要性,以及出境数据的规模、范围、种类、敏感程度。自评估报告中需详细说明数据收集、存储、使用、加工、传输、提供、公开、删除等数据处理合规情况,体现出境数据全生命周期各环节的合规性。
另外,《申报指南》要求企业承诺申报出境数据的收集、使用符合中华人民共和国有关法律法规规定。
1. 数据出境目的自评估企业数据出境的目的可能有开展业务合作、技术研究、经营管理等,需具体阐述。若自评估企业为全球数据服务提供商时,需重点论述相关数据出境是否有助于境内外企业开展跨境贸易,是否可以促进潜在的跨境交易合作达成。
2. 数据出境方式自评估企业需说明数据出境的方式,如公共互联网传输、专线传输等。提供数据出境的链路相关信息,如链路提供商、链路数量与带宽、境内外落地数据中心名称及机房物理位置、IP地址等。
3. 出境数据规模、范围、种类、敏感程度由于申报数据安全评估的自评估企业的出境数据中包括了达量个人信息、重要数据,自评估企业需如实披露出境数据的规模、范围、种类、敏感程度,以评估可能对国家安全、公共利益、个人或者组织合法权益带来的风险。
(1)达量个人信息出境我国个人信息出境规则主要包括以下三种路径:按照国家网信部门要求申报数据出境安全评估;经专业机构进行个人信息保护认证;制定与境外接收方订立合同,约定双方的权利和义务。若涉及达量个人数据出境,则属于数据出境安全评估的法定适用情形,必然触发数据出境安全评估申报。自评估企业需保证达量个人信息处理符合《个人信息保护法》《信息安全技术个人信息安全规范》《个人信息出境标准合同规定(征求意见稿)》等相关规定。具体而言,需如实披露个人信息(敏感个人信息)主体数量,重点强调出境个人信息的特定目的、出境范围符合最小化原则;论述拟出境个人信息的告知和明示同意以及告知豁免情况,提供用户授权同意书、确认知悉函等样本文件;介绍处理敏感个人信息的充分必要性以及采取的匿名化、脱敏处理等严格保护措施,提供个人信息保护政策/隐私政策等。另外,最好一并附上个人信息保护影响评估(PIA)报告及处理记录和拟签署的个人信息出境合同。
(2)重要数据出境根据《数据出境安全评估办法》第十九条,重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。值得注意的是,基于海量个人信息、一般数据形成的统计数据、衍生数据也有可能属于重要数据。重要数据识别需要考量数据所涉具体行业、领域情况,以及各地区、各部门的监管动态,目前可以参照《信息安全技术 数据出境安全评估指南》附录A“重要数据识别指南”,《工业和信息化领域数据安全管理办法(试行)》《汽车数据安全管理若干规定(试行)》等规定识别拟出境重要数据情况。若涉及重要数据出境,在自评估报告中需介绍数据安全负责人和管理机构及数据安全保护责任,明确各业务场景中数据出境的范围、目的、方式、安全管理各项制度和措施并提供及时更新的版本。其中重点阐释自评估企业内部的数据采集、使用加工制度、数据分类分级制度、数据风险监测制度等管理制度以及对重要数据实施的严格的出境安全操作流程、后续安全保障措施等,保证重要数据出境的安全性以及风险可控。就数据分类分级制度而言,自评估企业应当根据自身所处行业发展特点、企业经营需要、物理技术管理等情况,严格区分用户数据、业务数据、经营管理数据、系统运维数据等,结合行业、领域、主体情况等,划分一般数据、重要数据、核心数据等,强调针对不同类型、级别的数据管理制度以及匹配的技术保障措施。
二、自评估合规建议
《申报指南》明确规定自评估工作需要在申报之日前3个月内完成,且至申报之日未发生重大变化,结合《数据出境安全评估办法》相关规定,已经开展数据出境活动的企业,需尽快开始自评估,并在6个月内完成整改,同时,有数据持续出境需求的企业需在评估结果有效期(2年)届满前60个工作日前重新申报评估,在2年内出现特殊情形,需重新申报评估。因此,企业需谨慎确定并把握申报时间,提前制定数据出境计划和战略,避免应申报而未申报评估或者频繁触发评估申报。《申报指南》要求企业须对所提交的自评估报告及附件材料(佐证材料)的真实性负责。同时,第三方机构需在自评估报告中说明基本情况及参与评估的情况,并在相关内容页上加盖公章。建议企业在自评估前或过程中借助专业第三方机构的力量,开展尽职调查、建设数据合规体系、开展培训与应急演练活动、健全法律文件等,规范数据出境活动,以满足数据出境安全评估申报的要求。
(一)开展尽职调查结合尽调问题与材料清单、数据资产清单、数据分类表格等形式,协助自评估企业梳理拟出境数据规模、范围,识别拟出境数据种类、敏感程度。具体而言,协助企业区分个人信息数据和非个人信息数据、公开数据和非公开数据;结合企业业务模式,研究分析拟出境数据及数据衍生品的重要性,判定拟出境数据是否涉及产业、商业的交易数据集合以及重要行业的统计分析类数据;统计出境数量和规模,尤其涉及个人信息数据的数量、敏感程度。除此之外,协助认定拟出境数据不属于商业秘密、国家秘密。通过与境内外法律服务机构合作,协助自评估企业核查境外接收方情况,如数据出境系基于与境外接收方开展的何种合作、提供的何种产品或服务、是否签署了服务协议或其他合作协议、境外接收方的类型(个人、企业、公共机构、其他组织等)、境外接收方所在国家或地区、自评估企业向境外接收方传输数据的传输期限、传输频率、传输规模等、境外接收方对出境数据的处理目的、处理方式、存储地点和存储期限等。
(二)建设数据合规体系结合相关法律规定,自评估企业需提前建立健全与数据出境安全保障匹配的数据合规体系,包括数据合规管理制度、信息安全管理制度、组织建设和人员管理制度、审计机制、应急预案、投诉与处置策略及安全事件上报机制等,提前进行关键设备和网络产品合规、数据安全能力认证、等级保护备案与测评等,在事前、事中、事后都制定详细的措施,做到事前预防风险、事中保障安全、事后降低风险损失,加强数据安全管理能力和数据安全保障能力,防范数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险。协助自评估企业优化数据的收集、存储、使用、加工、传输、提供、公开等数据处理活动,结合企业现有业务模式,针对不同数据的各个处理流程展开全方位合规风险分析,早发现、早分析、早解决,提出数据合规方面的法律建议,帮助企业根据合规要求调整业务模式,防范企业在与外方数据交易洽谈或项目合作过程中可能产生的重大法律风险。制定、审核、完善企业的《数据合规管理体系》《数据合规法律风险识别手册》《数据合规风险自查清单》《数据合规操作指引手册》《数据处理政策》《数据采集合规制度》《数据使用加工合规制度》《数据存储合规制度》《数据公开发布审核流程》《员工保密制度》《数据供应商准入和管理办法》《第三方合作处理数据的标准合同范本》等日常的数据合规制度。协助自评估企业同步制定和完善数据出境安全评估申报必须具备的数据合规管理制度文件,搭建数据出境安全管理体系,制定并补充完善安全策略、管理制度、出境操作流程等。具体而言,有针对性地制定《数据安全合规官制度》《数据分类分级管理制度》《数据出口管控制度》《数据出境影响和安全评估指南》《出境数据安全审计机制》《重要数据出境安全操作流程》《数据出境投诉与处置策略》《数据安全事件处理制度及应急预案》等制度流程,覆盖数据出境安全总体框架、总体目标、出境原则、重要数据的识别等,将数据出境安全管理制度嵌入自评估企业的日常的数据合规制度中。除此之外,协助企业技术人员,制定和完善信息安全策略、信息安全管理政策、文件管理流程等,具体包括《信息安全政策》、《信息安全管理制度》、《信息安全文件管理流程》等,从战略、制度、流程多方面保障出境数据安全。总而言之,协助自评企业件数数据合规体系,建立健全全流程数据安全管理制度,履行出境数据安全保护义务,实现出境数据全生命周期合规管理。
(三)开展培训与应急演练活动为自评估企业提供数据安全管理教育和培训。结合自评估企业的实际需要,制定数据安全与合规宣传手册、建立人员培训机制等,协助企业定期组织参与数据处理以及技术保障等工作的员工进行数据安全与合规教育培训,确保被培训人员达到培训要求,可以进行数据出境转移相关工作。根据应急预案,协助自评估企业开展应急演练活动并形成记录。当出现数据泄露、数据遗失、数据接收方违约进行数据处理等可能对数据主体权益产生危害以及一切可能危害国家安全、损害公共利益、违反法律的情形时,应立即启动应急预案机制,立即终止数据出境传输,并采取相关措施保护数据主体的权益;同时,立即将对数据主体权益产生威胁的行为、原因以及紧急处置措施等相关信息上报给数据监管机构等。上报内容包括发生紧急情况的时间、数据类型、规模、内容等。
(四)健全法律文件协助自评估企业拟定、修改、完善与数据接收方的合同等法律文件,协助自评估企业与数据接收方谈判,规范合同条款,有效约束境外接收方,满足数据出境安全评估要求。
结语:《申报指南》要求自评估企业对拟申报的数据出境活动作出客观的风险自评估结论,并充分说明得出自评估结论的理由和论据。律师事务所作为第三方机构,律师可以提供专业的咨询和法律服务,不仅可以协助企业编写、修订、提交符合要求的自评估报告,还可以协助企业开展尽职调查、建设数据合规体系、完善法律文件等,建设数据出境标准化流程,助力企业实现数据出境安全形式和实质合规。