数据出境合规101问

Q1.如何判断公司业务行为与场景是否属于数据出境？ 目前谈论最热的“数据出境”，其实早在2017年版的《个人信息和重要数据出境安全评估办法（征求意见稿）》已经给出过解析。数据出境，是指“网络运营者将在中国境内运营中收集和产生的个人信息与重要数据，提供给位于境外的机构、组织、个人”。 同时，本次《办法》的出台，更为我们进一步厘清了“数据出境活动”的明确定义，即包括两种情况： 第一种，是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。 第二种，是数据处理者收集和产生的数据存储在境内，但境外的机构、组织或者个人可以访问或者调用。 企业在判断公司业务行为是否属于“数据出境”的时候，需要注意以下内容： 01判断自己是否是我国个人信息保护法中的“数据处理者” 02该等数据是否是在“境内运营过程中”收集和产生的 03企业的行为是否有涉及“向境外提供”，或被境外“访问或调用”的情况 Q2.如何理解数据出境的“境”？ 我们常说的“出境”和“跨境”，不仅是指物理上跨越国境的行为，更是指从一个司法管辖区域到另一个司法管辖区域的行为，而其中司法管辖区域是既包括独立主权的国家，也包括具有司法独立主权的地区。 经常有客户咨询，中国大陆企业向香港、澳门、台湾地区传输数 据，是否属于出境的行为。当我们对“境”有一个更准确的理解时，该问题便能轻松解决。 01中国大陆与香港、澳门、台湾地区分别属于不同的司法管辖区域 02在《中华人民共和国出境入境管理法》第八十九中曾有对“出境”进行定义，根据规定，出境是指中国内地前往其他国家或者地区，由中国内地前往香港特别行政区、澳门特别行政区，由中国大陆前往台湾地区 03当企业将中国大陆境内收集和产生的重要数据和个人信息向香港、澳门、台湾地区传输时，属于数据出境行为 Q3. 如何准确识别企业行为是否涉及“境内运营”？ “境内运营”是一个经常出现在各个规定、办法、指南中的常见概念，也是我们研究“数据出境”行为的常见概念。根据《2017年信息安全技术 数据出境安全评估指南（征求意见稿）》中的规定，“境内运营（domestic operation）”是指，网络运营者在中华人民共和国境内开展业务，提供产品或服务的活动。 Q4.延伸-外资企业高频问题之一：没有在中国境内注册，但是在境内开展业务，或向境内提供产品或服务的，是否属于境内运营？ 01解决难题的关键点在要看到问题的实质。结合前问法律依据，判断是否属于“境内运营”，不以是否在境内注册为判断依据，如果没有在我国境内注册的网络运营者，但在我国境内开展业务，或向中华人民共和境内提供产品或服务的，仍然属于境内运营 02判断是否“在我国境内开展业务，或向我国境内提供产品或服务的实务因素”，则包括但不限于：是否以为我国境内居民提供服务为目 的，提供产品和服务的过程中是否使用了中文；是否提供了可以用人民币作为结算货币的选项；是否提供了有向中国境内配送物流的服务等等 Q5. 延伸-出海企业高频问题之二：出海企业运营的App仅向境外提供服务，不涉及收集境内的数据，是否属于境内运营？ 判断这个问题的关键，一是看出海企业选择使用哪些主体进行运营，二是看收集的数据是否涉及个人信息与重要数据，三是看是否涉及了收集境内的公民个人信息与重要数据。如果出海企业是选择使用境内主体进行运营，且境内的网络运营者仅向境外机构、组织或个人开展业务、提供商品或服务，但不涉及境内公民个人信息和重要数据的，则不视为境内运营。 Q6. 外资企业高频问题之三：境内主体向另一个位于境内的外资企业的办事处传输数据，是否属于“数据出境”？ 在实务中，有很多看似不是数据出境，但实质上属于数据出境的“迷惑性”情况。判断这些问题的关键，主要看该业务场景是否落入“数据出境”的范围。 如前所述，出境的“境”是指跨越了司法管辖区域的边界，如果是向在我国境内，但不属于我国司法管辖的另一主体，或没有在我国境内注册的另一主体提供了数据，且该数据涉及个人信息和重要数据的，则仍然属于“数据出境”。 Q7.外资企业高频问题之四：数据没有传输也没有存储到中国境外的任何地方，但外资企业在境外的主体可以访问、查看到这些数据，是否属于“数据出境”？ 如前所述，关键是如何理解“境”， 就该问题，本次《办法》公布后，官方也做出了确定的回复，虽然数据没有传输、也没有存储至中国境外的地方，仍然存储在位于中国境内的服务器中，但实际上，该等数据可以被境外的机构、组织、个人直接或间接地访问、查看、调用的，仍然属于“数据出境”，但是如果是属于公开信息，仅通过正常公开网页进行访问等的情况除外。 Q8.外资企业高频问题之五：跨国集团内部的数据传输行为，是否属于“数据出境”？ 同样是如何理解“境”的问题，即便是跨境集团内部的数据传输行为，由于数据是通过境内的网络运营者从境内转移至境外的，如果该等数据也是属于其在境内运营中收集和产生的个人信息和重要数据的，则仍然属于“数据出境”。 因此，在实务中，当涉及跨国集团常发的集团统一采购、人事管理、OA系统、财务管理、文档管理、供应商管理、远程运维等情况时，将可能经常发生企业内部数据流动，并向境外关联主体提供数据的情况，从而可能会落入“数据出境”的范畴，需要特别注意。 Q9.如何识别哪些情况不构成数据出境？ 简而言之，排除了所有属于“数据出境”的情况，则属于不构成数据出境的情况。概括起来，主要有两种情况并不属于数据出境： 第一，没有进行任何加工和处理的“过境中转数据”，即该等数据只 是经由我国境内中转，但没有经过任何的变动或加工处理，则不属于“数据出境”。 第二，即便进行了加工和处理的“过境中转数据”，但该等数据并非是在我国境内产生和收集的个人信息和重要数据，则不属于“数据出境”。 Q10.如何判断业务场景是否涉及处理了“个人信息”？ 判断企业正在处理的数据是否属于“个人信息”，是开展各类数据合规事项最基本的前提，我国《个人信息保护法》就何谓“个人信息”给出了明确的定义，即，个人信息，是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。 从法条内容可以判断，我国个人信息保护法对“个人信息”的定义是非常宽泛的，只要具有识别自然人相关信息的可能性即可被认定为“个人信息”，此外，本法条还进行了反向的规定，只有被真正匿名化处理过的信息，才不属于个人信息。可见，任何可能识别出特定自然人的各种各样的信息，都可能会被认为是“个人信息”。 在实务中，会经常出现有大量看似不是“个人信息”的业务数据，则在判断是否属于“个人信息”时候需要特别注意识别，在出现有可能识别到特定个人的情况下，建议倾向按“个人信息”的标准对待和处理。 Q11.如何判断业务场景是否涉及处理了“敏感个人信息”？ 同样，我国《个人信息保护法》，就何谓“敏感个人信息”也给出了具体的定义，敏感个人信息是指，一旦泄露或者非法使用，容易导 致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。 可见，“个人信息”包括了“敏感个人信息”，并且，法律严格要求了个人信息处理者，只有在具有特定的目的和充分的必要性，并且采取了严格保护措施的情形下，才可以处理敏感个人信息。 实务中企业想要判断其处理的信息是否涉及“敏感个人信息”时，可以结合该等信息对数据主体权益的影响程度、是否属于特殊类型数据、以及结合《信息安全技术-个人信息安全规范》的附录的举例表等进行综合判断。 Q12. 如何判断企业是否涉及处理了“重要数据”？ “重要数据”也是在各个规定、办法、指南中都曾经出现的概念，本次《办法》有对重要数据作出定义，是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。定义中对重要数据的识别主要关注数据产生的影响力。 此外，在2022年1月发布的《信息安全技术 重要数据识别指南（征求意见稿）》中，为企业给出了如何识别出“重要数据”的具体指引，包括识别的基本原则、判断因素和描述格式。 还需特别注意的是，基于海量个人信息形成的统计数据、衍生数据也有可能属于重要数据。 Q13. 如何判断企业是否属于“关键信息基础设施运营者（CIIO）”？ 自《网络安全法》公布以来，“关键信息基础设施运营者”的概念就 持续在各种规定中被使用，后续各项法律规定不断完善后，该概念也逐渐清晰起来。 《关键信息基础设施安全保护条例》第二条为CIIO给出了明确的定义，关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。 关键信息基础设施的确定，通常包括三个步骤， 01确定关键业务 02确定支撑关键业务的信息系统或工业控制系统 03根据关键业务对信息系统或工业控制系统的依赖程度，以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施 同时，条例第九条规定，保护工作部门会结合本行业、本领域实际，制定关键信息基础设施认定规则，并报国务院公安部门备案。制定认定规则考虑的因素包括： （1）网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度； （2）网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度； （3）对其他行业和领域的关联性影响。 目前，企业是否为“关键信息基础设施运营者“是由保护工作部门根据其制定的相应规则组织认定的，认定结果工作部门会通知给运营者。可见，如果企业并没有收到主管部门的认定通知的话，可以认 为企业暂时不属于CIIO。 Q14.何谓“个人信息保护影响评估”？ 个人信息保护影响评估是企业对其个人信息处理活动进行合法合规程度检查、判断企业的个人信息处理活动是否对个人信息主体合法权益造成损害及相关风险、以及评估保护个人信息主体的各项措施有效性的过程。我国《个人信息保护法》中明确规定，在几大特别情形下，企业应当在开展个人信息处理活动之前，先进行个人信息保护影响评估，并且评估报告和处理记录应当至少保存三年。《个人信息保护法》第五十五条则规定了企业需要进行个人信息影响评估的适用范围，包括： 01处理敏感个人信息 02利用个人信息进行自动化决策 03委托处理个人信息 04向其他处理者提供个人信息 05公开个人信息 06向境外提供个人信息 07其他对个人权益有重大影响的个人信息处理活动 个人信息保护影响评估应当包括下列内容： （1）个人信息的处理目的、处理方式等是否合法、正当、必要； （2）对个人权益的影响及安全风险； （3）所采取的保护措施是否合法、有效并与风险程度相适应。 在确定数据出境中需要个人信息保护影响评估的前提下，前不久《个人信息出境标准合同规定（征求意见稿）》进一步的对影响评 估的适用条件，程序，内容进行了细化扩充，在本专题的后续部分将会对问题进行深化解读。 Q15. 何谓“数据出境安全评估”？ 数据出境安全评估是符合要求的企业需要向境外提供重要数据和个人信息时，由企业申报，国家网信部门进行安全性审核的过程。 数据安全评估最初在2017年我国《网络安全法》第三十七条出现，同年的《个人信息和重要数据出境安全评估办法（征求意见稿）》也沿用了此规则，此后，《数据安全法》、《个人信息保护法》以及《信息安全技术 数据出境安全评估指南》等相继在重要数据、数据出境中提出了安全评估的要求。 本次《办法》则是对数据出境安全评估进行了内容的细化。在本专题的后续部分将会对问题进行深化解读。 Q16. 何谓“数据出境风险自评估”？ 自评估是上述安全评估的前置程序，本次《办法》规定，企业在申报数据出境安全评估前，需要开展数据出境风险的自评估。在要求提交的申报安全评估材料中，自评估报告是提交的材料之一。 虽然自评估与个人信息影响保护评估一样都是由企业自主进行的，但是自评估的内容呈现会关系到后续国家网信部的安全