• 重庆律师法律事务服务大厅
  • 重庆律师网值班律师 预约律师
  •     |    
  •  律师微网
  •     |    
  •  律师微信
  •     |    
  •  律师微博
  • 重庆律师网 |  当前位置: 首页 > 律师法学 > 网络科技 > 正文
    重庆律师网资源 :

    [图]个人数据跨境传输限制之合规梳理

    CQLSW.NET   2018-09-05   信息来源:华诚律师事务所   作者:朱琦
    核心提示:对于一些在华设有分支机构、处理欧盟个人数据的欧盟企业,和在欧盟境内设有分支机构、处理欧盟个人数据的中国企业等,都要根据新出台的GDPR及时检查合规状态,避免经营合规风险。

    2018年5月25日,被称为欧盟“史上最严”、“保护水平最高的”数据保护规则General DataProtection Regulation (“GDPR”) 正式生效。该规则强大的域外效力使得其对于数据安全的保护并不仅仅限于欧盟境内,在欧盟境外只要是针对欧盟个人数据的处理都将受到GDPR的规制。据此,对于一些在华设有分支机构、处理欧盟个人数据的欧盟企业,和在欧盟境内设有分支机构、处理欧盟个人数据的中国企业等,都要根据新出台的GDPR及时检查合规状态,避免经营合规风险。

    但是,针对在华的外资企业和中国本土企业来说,除了受到如GDPR等域外法的限制,在处理中国公民个人数据时,也必须受到我国法律中关于个人数据保护的限制。就我国目前的立法状态来看,对于个人数据的保护,一大重点即个人数据跨境传输的法律规制。本文将从个人数据跨境传输的含义出发,梳理目前对于个人数据传输的法律规制,试图对部分在华外资企业和有国际业务或联系的中资企业提出实务中的数据跨境传输合规建议。

    01、如何界定个人数据的跨境传输?

    (1)个人数据的含义与区分

    根据全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017《信息安全技术个人信息安全规范》[1]于2018年5月1日正式生效,其中第3.1条所指的个人数据被明确定义为:以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等[2]。

    紧随其后,第3.2条规定了个人敏感数据的含义:指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含)儿童的个人信息和自然人的隐私信息属于个人敏感信息[3]。但纵览此规范全文,个人数据中较为隐私、敏感的部分数据,除在征求信息主体明示同意[4]、传输需加密[5]中有额外更高要求,并未体现和非个人敏感信息的其他不同之处。故而,在我们讨论个人数据传输时,对个人数据普遍适用的规定也同样适用个人敏感信息。

    除此之外,在信安标委于2017年8月25日发布的《信息安全技术 数据出境安全评估指南(征求意见稿)》B.2.1中提出了重要数据的概念:指出境后如出现泄露、毁损、篡改或滥用等情形,将损害国家安全、经济发展和社会公共利益的数据,意见稿更是规定了包括数据发送方安全保障能力、接收方所在国家或地区政治法律环境、安全事件等级等方面在内的更加严格的出境评估条件。然而,与个人数据和个人敏感数据存在概念交叉不同,重要数据的定义似乎已经上升至国家安全和社会利益的高度。事实上,立法层面也将个人数据和重要数据作了严格区分,如国家互联网信息办公室公布的关于《个人信息和重要数据出境安全评估办法(征求意见稿)》即未将二者统一。所以,对于重要数据跨境传输限制的规定,并不加入本文所讨论的个人数据范畴。

    对于国家、党政层面数据,同样值得一提的是在《保守国家秘密法》[6]、《反恐怖主义法》[7]、《档案法实施办法》[8]、《关于加强党政部门云计算服务网络安全管理的意见》[9]等法律法规中,国家对于包含国家秘密、恐怖主义信息、国家一级档案、党政敏感信息等数据提出了禁止出境要求。对此,有学者认为:政府数据中涉及国家秘密乃至安全的部分,在属性上已经提出了更高保密性要求,禁止跨境流动本就是应有之义;不涉及国家秘密的部分,如果具备公开属性,则应纳入政府数据开放调整范围,也不牵涉跨境数据管理问题[10]。所以,上述数据均不应包含在个人数据的讨论范畴之内。

    综上,笔者认为个人数据应是包含个人敏感数据在内,不同于重要数据和国家、党政层面数据在内的仅涉及自然人身份和活动情况的普通信息。事实上,如若对个人数据的含义作扩大解释,对企业而言,无疑增加了其合规负担。

    (2)跨境传输的含义

    去年6月1日起开始正式施行的《网络安全法》[11]在第三十七条[12]正式对数据跨境传输作出限制,个人信息的收集和运用被划分成中国境内和境外。实务中,曾有外资公司上海代表处在向香港分公司传输的中国籍员工个人信息时,误将香港地区理解成境内,认为不受我国个人数据跨境传输的限制,故而没有设置任何风险防范条款。

    事实上,虽然网安法没有作出额外定义与解释,根据《国家安全法》[13]的相关解释,“境外”是指中华人民共和国领域以外或者领域以内中华人民共和国政府尚未实施行政管辖的地域。由于特殊历史原因,台湾、香港、澳门都是“领域以内中华人民共和国政府尚未实施行政管辖的地域”,根据《国家安全法》对“境外”的解释 ,均应该属于“境外”。所以,即使将中国公民的个人数据传输至港澳台地区,也应受到我国数据跨境传输的限制。

    02、现行立法对数据跨境传输的限制梳理

    总体来说,我国并未形成体系完整的数据跨境传输规制,现有的相关规定散落在各个层级的法律法规和规章制度中。下文即按照法律层级顺序,将重点相关规定作一一梳理。

    (1)法律类

    A《网络安全法》

    在网安法中,实际上并没有专门针对数据“传输”的规制。但是,其对数据的收集、使用、安全维护等与传输相关的过程做出了一系列规定,而受到规制的主体,主要分为“关键信息基础设施运营者”和“网络运营者”。那么首先,我们需要对受规制的主体进行概念剖析,以确定这些主体项下的规则是否适用于数据传输中作为传输主体的企业。

    以“关键信息基础设施运营者”为规制主体的法律规定主要是网安法第三十七条:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。这主要涉及个人数据本地化处理和安全评估程序。如果适用,对企业来说,收集到的个人数据就有本地存储的严格要求,只有因为业务需要跨境传输的,才能向境外提供,且必须经过安全评估程序。这无疑给很多企业增加了运营成本和负担。

    事实上,对“关键信息基础设施”界定和范围的表述在《网安法》制订过程中一直较为模糊:一审稿从行业、用途、用户数量等角度划定其范围[14];二审稿去除了其行业和用途属性,转而强调其在安全方面的特殊重要性[15];三审稿及正式案文则将其行业特性和安全意义结合起来,同时从这两个角度对其进行界定[16]。如前文所述,立法层面并未明确具体企业范围,企业对自身是否会落入“关键信息基础设施运营者”的监管范畴仍存在较多疑虑。此外,笔者认为,监管的落脚点仍然落在严重危害国家安全、国计民生、公共利益等方面,对于个人数据的传输适用本应受到更高保密性限制的政府与国安类数据,并不合适。在国务院等相关部门未出台进一步规定之前,未落入目前规定范围内的企业,尚不必将此条款纳入数据合规要求中。

    对于另一主体“网络运营者”,涉及数据传输相关的主要是第41、43条,下文以表格形式一览(仅列举)。

    回到概念本身,根据网安法第七十六条,网络运营者是指网络的所有者、管理者和网络服务提供者,但是并未对此概念是否适用企业进行进一步阐述。根据《互联网信息服务管理办法》[17]第二条,互联网信息服务分为经营性和非经营性两类。事实上,国家对经营性互联网信息服务实行许可制度(一般称ICP许可);对非经营性互联网信息服务实行备案制度(一般称ICP备案)。电商、搜索引擎等基本认为是获得经营性许可的互联网企业,而普通利用互联网进行官方宣传、产品推广等信息推介的传统企业一般是没有获得经营性许可的,没有获得经营性许可的企业是否属于网络运营者尚无定论。就此问题,法律没有做出直接解释。但是有学者认为,从《网络安全法》、《互联网信息服务管理办法》的规定来看,无论是像淘宝、京东等提供经营性互联网信息服务的电商,还是仅仅建立网站用于宣传而提供非经营性互联网信息服务的传统企业,亦或是如移动、电信等网络所有者、管理者都应当是“网络运营者”[18]。如此看来,网络运营者为主体的规定是否适用于企业尚待国家进一步出台规定。笔者认为,从网安法的相关规定来看,其内容在后续不以网络运营者为主体的部分意见稿中也得到体现,说明企业受此规制是立法者的题中之义,企业在尚不明确时期严格以此制定合规措施是可行的。

    (2)行政法规类

    A《征信业管理条例》[19]

    根据中国人民银行颁布的《征信业管理条例》第二十四条规定,“征信机构在中国境内采集的信息的整理、保存和加工,应当在中国境内进行。征信机构向境外组织或者个人提供信息,应当遵守法律、行政法规和国务院征信业监督管理部门的有关规定”对于此条,其境内处理的主体是征信机构,故而并不涉及普通企业。

    B《个人信息和重要数据出境安全评估办法(征求意见稿)》

    虽然此办法在2017年就已经通过征求意见阶段,但目前还未正式颁布。同前述法律法规相比,此办法更加密集地对数据的出境安全做出了规定。以下作统一梳理。

    (3)部门规章类

    A.《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》[20]

    根据中国人民银行颁布的本通知第六条:在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息。同时,本通知对“个人金融信息”的概念进行了明确阐释:银行业金融机构在开展业务时,或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的个人身份、财产、账户、信用、金融交易和衍生信息。由此看来,这里信息处理的主体是银行业金融机构,上述个人信息不得经其传输至境外。实务中,对于企业来说,若将员工的个人信息提供至合作银行,是没有问题的,但是对其合作银行采集个人数据后的数据跨境传输,国家采取了一系列限制。

    (4)国家标准类

    纵观相关国家标准,大多较为具体细致的规定了数据传输前知情同意、数据保护、安全评估流程等。但是因为国家标准并没有强制法律效力,仅对企业数据合规工作有参考作用,故下文笔者将做简单总结。

    A.全国信息安全标准化技术委员会《信息安全技术公共及商用服务信息系统个人信息保护指南》

    以数据的收集、加工、转移、删除四个阶段为主,规定了个人信息管理者在四个阶段处理数据的原则和义务,着重强调对个人信息的保护。在个人信息的收集过程中,提出了“明示同意”的更高要求。

    B. 国家质检总局、国家标准化管理委员会《信息安全技术 数据出境安全评估指南(征求意见稿)》

    该指南暂时还未正式颁布,其主要涉及个人信息和重要数据出境的安全评估流程、要点和方法,对企业的安全自评估和主管部门评估做出详细规定。此外,将重要数据按照行业类别进行分类,由于非个人数据,本文在此不多讨论。

    C. 国家质检总局、国家标准化管理委员会《信息安全技术个人信息安全规范》[21]

    该指南主要规范了利用信息系统处理个人信息应遵循的原则和应采取的安全措施。对个人信息的收集原则、保护性存储、使用目的结束后的及时删除都做出了详细具体的规定。不过,总体来说,并没有新的亮点出现,重申意义比较大。对 个人信息跨境传输的要求,只是简单列明参照其他国家规定执行。

    03、企业数据合规建议

    对于企业来说,目前国家层面的个人数据传输政策仍然未形成体系,能够对出境传输行为做到详细规制的,也大多停留在没有法律强制力的国家标准和尚未生效的征求意见稿中。针对目前情况,企业应当做出如下应对:

    (1) 对本企业涉及到的数据进行分类,准确识别信息种类,以对应不同规定与要求。对于必须本地化处理的数据,应当做好相应的技术准备;对企业是否落入“关键基础设施运营者”的,应在详细范围出台之前,做好预判,进行合规准备;

    (2) 应密切关注政策最新动态,特别是已经超过征求意见期但尚未正式颁布的法律法规。如《个人信息和重要数据出境安全评估办法(征求意见稿)》一旦正式颁布,个人信息和重要数据的本地化存储要求以及出境前的安全评估将立即具备法律强制效力。对于没有强制效力的国家标准,也应当密切关注行业动态。企业应在内部政策和对外交易中,针对本地化处理、安全评估,尽可能将即将出台的政策内容进行添加,或以兜底条款表明将遵守可能出台的政策内容,以防后期合规风险;

    (3) 对于跨国经营的企业,要积极关注和解决数据所在国、加工国和使用国法律在限制跨境传输方面的不同限制。

    [1]中华人民共和国国家标准公告2017年第32号

    [2]中华人民共和国国家标准GB/T 35273—2017《信息安全技术个人信息安全规范》附录A;

    [3]中华人民共和国国家标准GB/T 35273—2017《信息安全技术个人信息安全规范》附录B;

    [4]中华人民共和国国家标准GB/T 35273—2017《信息安全技术个人信息安全规范》5.5;

    [5]中华人民共和国国家标准GB/T 35273—2017《信息安全技术个人信息安全规范》6.3;

    [6]中华人民共和国主席令第28号

    [7]中华人民共和国主席令第6号

    [8]中华人民共和国国务院令第676号

    [9]中网办发文[2014]14号

    [10]王融:《数据跨境流动政策认知与建议》,腾讯研究,2018.1.29;

    [11]中华人民共和国主席令第53号

    [12]《中华人民共和国网络安全法》第三十七条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”

    [13]中华人民共和国主席令第29号

    [14]参见一审稿第二十五条:“国家对提供公共通信、广播电视传输等服务的基础信息网络,能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统,军事网络,设区的市级以上国家机关等政务网络,用户数量众多的网络服务提供者所有或者管理的网络和系统(以下称关键信息基础设施),实行重点保护。”

    [15]参见二审稿第二十九条:“国家对一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”

    [16]参见三审稿及正式案文第三十一条:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”

    [17]中华人民共和国国务院令第588号

    [18]《网络安全法》系列解读之(一)大数据企业,你是不是“网络运营者”,首席数据官联盟;

    [19]中华人民共和国国务院令第631号

    [20]银发[2011]17号

    [21]中华人民共和国国家标准公告2017年第32号

    延伸阅读 重庆律师业务办理平台 | 重庆值班律师
  • 上一篇文章:电商平台的法律责任之界定 :浅议《电子商务法》第三十八条
  • 网友评论 查看本信息评论 | 举报
    重庆律师网信息,更多精彩在首页,点击直达
    应用法学
    刑事辩护受理
    刑事侦查辩护委托    审查起诉辩护委托
    刑事一审辩护委托    刑事二审辩护委托
    死刑复核辩护委托    刑事再审辩护委托
    诉讼仲裁代理
    买卖合同纠纷代理    借款合同纠纷代理
    租赁合同纠纷代理    房屋买卖纠纷代理
    建设工程纠纷代理    房产开发纠纷代理
    产品责任纠纷代理    网络侵权纠纷代理
    触电损害纠纷代理    铁路运输纠纷代理
    交通事故纠纷代理    人事仲裁纠纷代理
    离婚争议纠纷代理    财产损害纠纷代理
    不当竞争纠纷代理    网络域名纠纷代理
    特许经营纠纷代理    保险金融纠纷代理
    合伙企业纠纷代理    其他民事纠纷代理
      重庆律师网首页|律师行业|律师纪实|律师实务|律师法学|律师执业|律师法规|律师判例|律师智库|律师名册|业务办理  
    律师的甄别
    识别真假律师
    对律师的错误解读
    以什么标准判断律师是否专业
    律师的作用
    为什么需要律师
    律师表现对于胜诉到底有多大影响
    律师告诉您官司打不赢的原因
    律师为什么不给你胜诉的承诺
    如何选择律师
    聘请律师的误区
    找律师,最忌讳说这八句话
    律师不接待的十类当事人
    重庆律师收费
    重庆律师服务收费指导标准
    你知道律师是如何收费的吗
    同样的事情,律师收费可能会不一样
    律师对刑事案件不能实行风险收费
    委托流程
    重庆律师网办理法律事务流程
    咨询律师
    重庆律师法律事务受理大厅
    重庆律师服务
    重庆律师诉讼代理法律事务中心
    重庆律师刑事辩护法律事务中心
    重庆律师专项法律事务办理中心
    重庆律师法律顾问法律事务中心
    All RIGHTS RESERVED © CQLSW.NET 2008-2019  |  重庆律师网版权所有,任何使用均得恪守《重庆律师网使用协议》(查看)联系方式  |  重庆律师网上服务大厅-重庆律师业务办理平台(登录