导/语
2022年7月7日,国家互联网信息办公室出台《数据出境安全评估办法》(以下称《办法》),坚持安全和发展并重,明确了数据出境安全评估的流程和要求,对规范促进数据依法有序流动具有十分重要的制度价值和实践意义,标志着我国数据治理法治实践走出关键一步。《办法》明确了应当申报数据出境安全评估的4种情形、数据出境安全评估的内容及具体流程等,进一步规范数据出境活动。
近日,CSA大中华区三位专家原浩、陈皓和高巍在与云安全联盟大中华区交流表示,目前我国出台的跨境数据相关法规政策已对数据出境机制给了新解法,中国数据出境合规路径与监管体系日渐清晰。《办法》弥补了数据出境的安全漏洞,健全了数据出境安全屏障,有望成为市场增长的新推力。不过,《办法》仍存落地难点,期待未来相关实施细则的进一步细化。相关企业在数据出境活动发生前,应依法开展风险自评估、申报,并通过数据出境安全评估。三位专家分别从法律法条、数据出境、企业应用,共探数据跨境安全管理的趋势。
CSA大中华区隐私与个人信息保护法律工作组组长、江苏竹辉律师事务所合伙人原浩:企业自评估需求迫切 标准合同有待完善
经过了反复讨论和征求意见,《办法》的框架内对个人信息和重要数据出境的规则进行了设定。针对早些的个人信息、重要数据分别设立规则,到现在进行某种程度上的统合,基本上形成了一个比较量化的标准,数据处理者可以基于整体的规则确定适用哪种出境规则标准。
《办法》标准逐渐量化 进一步明确规则
为了配套《办法》,相应标准也在进一步的制定之中。基于目前可量化的计算标准,确定会综合考虑企业的规模、个人信息跟重要数据的量化基数。比方说小规模的组织一般不太涉及重要数据情况,那么在大部分的情况下,可以围绕个人信息出境场景,通过标准合同的方式出境。
最近,国家网信办就《个人信息出境标准合同规定(征求意见稿)》公开征求意见。在此标准合同中,对于小规模企业个人信息的出境,明确量化了若干标准,(一)非关键信息基础设施运营者;(二)处理个人信息不满100万人的;(三)自上年1月1日起累计向境外提供未达到10万人个人信息的;(四)自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。这样在各类体量基准的出境规则之间,就形成了一个比较有效和连续的量化计算要求。这些要求对于企业判定自身数据出境的路径和相应的规则制定,提供了基础的指导意义。
企业自评估需求迫切 标准合同有待完善
数据出境的企业自评估,实际上是一个比较迫切的需求。企业要出境,就应当进行自评估。但是现在正式版的评估办法很明确,企业在申报之前,应当开展数据出境风险自评估。在这种情况下,企业的自评估有一个比较长的预期,可以当确定需要申报数据出境安全评估时,再开始做风险自评估。整体上来讲,时点比以前的规定得更清楚,给企业的准备空间也更充分。
之前对征求意见稿的讨论中,关于数据出境安全评估到底是一个形式上的备案,还是一个实质上的评估存有争议。比方说在标准合同中,明确了标准合同的出境方式采取的是备案制,只要标准合同签订了之后就可以进行数据出境。在标准合同生效或之后,可以去做备案。只要企业的材料是符合备案的要求,比较容易能够获得备案通过,因此说备案是形式上的审查。但是按照《办法》,标准合同的出境方式是一个实质审查。这样一个实质审查,可能会对于企业所提供的所有材料,跟企业实际经营情况进行比较细致和真实的评价,对企业经营状况会有更高的要求。
基于这个判断,简单地举两个例证,一个就是一次性地要求企业提供需要补充的材料。作为行政机构,尽可能避免反复地要求企业补充相关材料。同时也要求评估机构应该具备足够专业的判断能力,判断出企业所提供材料是否充分,如果不够充分需要补充哪些材料。因此对于评估机构即网信机构来讲,有比较高的实质审核而非形式要求。
另外,整个评估过程以前讲是适当延长,但一般不超过 60 天。最终版的《办法》中会看到,实际评估期限会延长无明确设定上限。如果说认为情况非常复杂,需要进行反复研讨,那么有可能评估过程会适当地延长,不局限于45 天或者 60 天。
从监管机构角度,《办法》是中央网信办对网信监管体系赋能的过程。在《办法》中,有大量对于省级网信部门的职责要求。对于省级网信部门,通过赋能和提升,也会把中央网信办的部分行政行为能力,逐步地转化为省级等网信部门自身的监管能力。
中小企业、跨国企业、大企业大平台,挑战各不相同
中小企业可能认为自己不需要去适用《办法》,只需要通过标准合同就可以符合个人信息出境要求。但当翻看标准合同,会发现实际上还是非常复杂的,当中存在一定的业务压力与合规压力。标准合同是一个基线的要求,所以如何去解读和吃透标准合同的内容,同时在境内方和境外方之间,对于标准合同能够达成基本的一致,这并不是一件很简单的事情。对于企业来讲,其自身有业务驱动的要求,企业不会希望由于严格遵从标准合同的要求,最终出现业务合同无法签订的情况,所以对于标准合同本身如何适用,实际上是也会产生不少的纠结。
对于跨国企业,在TC 260 的认证规范中,有设立境内机构作为认证主体的要求。但谈到认证的问题,必然会有一个认证主体和认证范围的界定,在认证规范中两者之间存在很大的解读和适用空间。但是对于企业而言,如果确定的认证主体,未必是未来需要认证的范围,那么有可能仍然会存在法律监管和合规风险。
对需要进行数据安全评估的大企业和平台,最重要的两个挑战,就是重要数据和敏感个人信息的识别。目前对于重要数据的识别,现在还没有比较充分和完整的指南文件出台,但不同的行业,实际上对于重要数据的理解,有很大的差别。对于重要数据以及个人信息在不同情况下的聚合,也会产生重要数据的机制、原理、以及背后因果的差异,实际上我们都缺乏更充分的认识。所以对于重要数据的识别,可能是适用数据出境安全评估办法的一个非常重要的挑战。
敏感个人信息界定存在模糊地带 合规颗粒度要求提高
同样的问题,也存在于敏感个人信息的识别上。个人信息基于其重要性和危害性,会分为一般个人信息和敏感个人信息。但是在不同场景之下,一般的个人信息往往会转化聚合形成敏感信息。同样,敏感这个词词义的本身,就存在一定的主观判断。随着新的一些应用场景如元宇宙的出现,对于敏感个人信息的识别,会成为一个非常重要的问题,它的敏感程度甚至会超过一般意义上我们所理解的敏感信息。比方说虚拟身份的敏感程度是否会超过金融信息,未来也将会是非常大的疑问。虽然网信办和相关的监管机构,提出了不同路径的数据出境要求。但是我们仍然会发现,其实这些路径之间的边界,还是有一些模糊地带。这些模糊地带的存在,会导致合规的颗粒度要求会更高,从而产生要求粒度更细的控制策略部署和实施。
边界模糊也会导致更复杂的问题。基于TC260 的认证规则,相较以前的理解,作为跨国企业在关联方之间和境外的处理者的数据传输,只需要去适用简单版本的合同加认证作为数据出境的规则。但是为了更谨慎地符合中国监管法律的要求,数据出境规则有可能最终变成了适用或者加强适用中国版的标准合同与认证的方法。这就导致在某种程度上,认证和标准合同作为两种单独的数据出境的规则的立法设计的初衷,会受到某种程度的减损或者架空。
最后大家会看到,不管是自评估,还是在标准合同的大量要求会形成一种对企业的“极限施压”。以审计为例,审计会基于企业内部的检查和审核产生,但是它又是一个更独立和第三方的动作。对于中小企业,如果针对个人信息的出境,需要进行单独的审计评估,那又是新一重的压力。如果在协议上,明确要求境外数据接受方进行审计和提供审计结果/报告,但是实际上,数据接受方有可能并未真实地去履行审计义务,也会导致在合同以及评估办法上所设定的法律义务和责任存在落空的风险。
后疫情时代带来变革 应充分调研企业真实需求
从整体来讲,通过赋能给社会化的网络安全服务机构,如律所、咨询机构、认证机构,对于数据出境、整体上数据行业和数字产业的发展,都具有非常积极的意义
最后提一些建议。第一点是:我们可能制定了非常严密、逻辑上也自洽的一个《办法》,但是一定要确认在市场上会存在大量监管的对象可以去遵从和适用规则,这需要及早和持续的调研,本质上也是安全与发展的关系问题。特别是对于我们目前所处的后疫情时代,针对国内的企业进行更充分的调研。目前很多的中小企业业务的发展,以及出境需求的发展,都有很大的这个迫切的和基于业务的真实需求。但是一定要基于他们的真实需求产生监管和指导的规则。否则如果企业流失了,那我们设定再好《办法》也就没有意义。
CSA大中华区数据安全工作组组长高巍:企业在数据出境问题上,面临四大压力与挑战
实际上在《办法》出台之前,业界对于数据出境这块,有效且可以参照的内容始终都是非常有限的。自从今年《办法》的发布,对于国内受监管行业的企业,其实才算是听到了发令枪响。之前只是看到裁判员把发令枪举起来了,一直没有响。那现在终于响了,那大家可以开始认真地起跑了。根据《办法》的要求,去准备建立能力,招聘人员内部去整理针对数据跨境的一系列必要活动,然后遵从法律法规的要求。所以《办法》出台是一件好事,只有规则明确,才能有效地按照规则开展业务。
部分企业存利好 行业挑战与机遇并存
对于出海企业,一方面提高了门槛。以往我们对于出海企业,尤其是在数据出海方面是没有任何限制的。那现在数据出海的门槛提高了。换句话说,对于企业的自身的要求也提高了,达到了一个全球的水准,这意味着我们企业数据出海的能力需要变得更强了,竞争力也更强了。另一个方面,这个其实也是国内企业数据出海业务的有力的保障。过去几年,国内企业在海外频繁地被指责数据跨境以及数据传输方面存在问题。
其实国家在发布《办法》之后,在监管上的要求就跟全球基本上达到统一水平了。因此对于企业来讲,把它们放在与全球同等的水准上去竞争和发展,此举能够对出海企业产生积极的推动作用,提升我国在数据保护方面的整体水平。当然,在这个过程中,企业需要对数据安全和采取的保护措施持续投入。
对于数据安全咨询服务认证企业来说,这是一片蓝海。尽管在去年发布了数据安全法、个人信息保护法之后,企业纷纷进入数据安全领域,考虑到我国在全球经济发展中的地位,这个领域的发展空间非常巨大。可以预见到,随着数据和个人信息监管进一步明确细化,各类企业会进一步加大在这个领域的能力建设与合规投入。
企业面临四大压力与挑战
企业在数据出境问题上,面临四大压力与挑战:
挑战核心之一,是缺乏专业人员。
这是一个新兴且多专业交叉的领域,人才培养还需要一个过程。市场普遍缺乏对于数据出境安全重要性的认知,从管理层到执行层,从业务人员到技术人员。很多企业,现在仍处于管理体系建立的初级阶段,不少企业甚至处于尚未建立管理体系的状态。当然有一些行业的头部企业,已经完成了这个阶段,因此过往的作业还没有做好,现在是需要去补作业的一个状态。有一些行业的头部企业,已经完成了这个阶段,这也体现出企业之间的发展差异。
涉及到数据类的工作的开展,短期个别场景是可以在初始阶段通过人工方式管理和维护,但是缺乏可持续性。所以如果没有专业的管理工具或者自动化手段,数据安全工作的开展其实是难以为继的,很容易变成一个运动式的过程。举例而言,相关话题被领导或者监管关注,我们立项启动一个项目,投入一定的资源和人力,去做一些数据的清点,将信息进行收集和整理,但是很快就会发现,随着这些维护工作不可持续性,导致前一段时间的数据治理工作就停顿下来,到最后,往往就是发现没有人在使用,工作被束之高阁。所以专业的管理工具,其实是能够支撑数据出境安全能够持续发展的一个非常必要的手段。
目前人才市场上数据领域专业人才的岗位众多,但是很难招聘到适合的人才。这对于有志从事数据安全领域工作的人员是一个利好。CSA目前也提供多项与数据安全相关的培训认证项目,如认证数据保护官CDPO认证、数据安全认证专家CDSP认证等,能够帮助大家快速成为行业专家,欢迎大家参加CSA提供的培训和认证,抓住市场发展的红利。
数据出境的安全评估只是数据跨境的一个合法途径。
考虑到国内相当多的企业已经成为全球供应链体系中的重要组成部分,会有多种形态和场景的数据跨境。因此参考全球其他国家地区对于数据跨境治理的方法,我们可以摸索出具有符合本国国情的数据治理模式。这其中,效率可能是一个挑战。对数据安全治理的法律法规和监管要求都是手段,根本目标其实是更好的利用数据创造价值。
对国家未来在数据跨境安全管理方面,建议提供多种灵活多元化的数据跨境合法途径,不仅为监管机构减负,也能够有效提升各类组织的数据跨境效率,这同样是提升在华企业全球竞争力的重要方面。
CSA大中华区专家陈皓:补齐数据出境短板 企业要两条腿走路
《办法》最主要的是针对于关键信息基础设施运营者和大型的互联网平台,对于一般数据量较小的外企,影响不是太大。中小企业更多是另外两条路去走,一是做认证,二是做标准合同。(可参考下图)
在数据出境评估方面,后续比如评估的细则、具体的方法,还需细化和明确。现有的《办法》与原先个保法下的个人信息影响评估要求内容不一样,因此需要相关部门更新之前评估的指南。
此外,网信办是受理数据出境安全评估的窗口,后续各个省级网信办受理窗口需要开放,让企业明确受理渠道,并且需要有一个网站能够让企业提交、跟踪受理进度或者是受理被打回来的原因等等。
期待细分行业指南出台 降低企业焦虑值
在医疗行业中,涉及到跨境的医疗数据本身就被认定为重要数据,但是医疗行业中重要数据的识别指南还没有出台,因此企业的压力在于目前医疗行业中数据定义比较模糊,行业更多的焦虑是在于不确定性和不透明性。后续还需跟踪认证从指南变成实际可执行的操作。只有当有认证的评估方法以及标准合同正式发布,之后企业的焦虑值才会降低。目前企业会面临既无法拿着草案的东西和总部或者和国外的合作伙伴正式签署,同时又面临着越来越严格的监管,因此走到哪一步心里都没底。
在数字化转型的过程当中,到底是采用全球统一的方案,还是需要根据不同国家数据落地要求,选择分散的本地解决方案始终是个问题。因为有一些国家很小,不像中国那么大,业务量也很小,那是否有一些区域性的适用方案可以采用,又比如说把东南亚几个国家合并在一起,这都需要更多的企业法务人员和外部律所一起参与。可以预见,未来在做数字化转型的方案过程当中,在前期的系统架构上会更多地引入法务人员一起讨论和研判,甚至做出一些预测。
基于具体业务场景的指南 形成最佳实践很有必要
除了《办法》以外,也建议能够出配套的案例和指南,比如参考新加坡政府的一些做法或者是GDPR 下具体的工作组,它会出更多的细则和指南指导帮助企业来完成,建议能够出更多基于具体业务场景的指南,从而形成一些最佳实践 ,以便数据的跨境更加能够规范,也更加有利于企业的操作。现在我们更多看到的是顶层从上往下推评估方法,但对于自下而上如何去收集反馈、具体的出境场景,以及可能会在执行当中遇到问题,自下而上反馈实际困难的渠道,还不是太通畅。
除了发布指南,也建议网信办可以组织行业组织开展数据保护的培训和教育,比如CSA的CDPO培训等,指导企业更好的执行最佳实践,完成合规运营。
发表评论
您还未登录,请先登录。
登录