什么情形需要申报国家网信办规定的强制性安全评估?
企业向境外提供数据,有下列情形之一的,应当向国家网信办申报强制性安全评估:
- 向境外提供“重要数据”(定义见下文);或
- 企业:(a) 是关键信息基础设施运营者,或(b)处理100万人以上个人信息;或
- 企业自上年1月1日起累计向境外提供(a)超过10万人的个人信息,或(b)超过1万人的敏感个人信息。
国家网信办还可能要求或规定其他需要申报数据出境安全评估的情形。
数据出境的构成因素是什么?
国家网信办将如何解释和实施《办法》尚需拭目以待,但可能构成数据出境从而受《办法》约束的常见情况如下:
- 在中国有本地业务的跨国公司为其所有全球办事处建立共享工作系统,而中国境外的员工可以通过该系统远程访问在中国境内收集的重要数据或个人信息。
- 中国境外的员工在中国出差期间,可以访问在中国境内收集的重要数据或个人信息。
- 外国实体为向中国数据主体销售商品或提供服务或评估其个人行为之目的,收集该等中国数据主体的个人信息。
什么是“重要数据”?
《网络安全法》中首次提出了“重要数据”的概念,《数据安全法》中再次提及了这一概念。中央政府有待发布国家级重要数据目录,而各地区和各部门的监管机构则需要发布更具体的目录,以进一步确定相关地区和部门的重要数据范围。
2022年1月13日发布了关于重要数据一般识别规则的国家标准征求意见稿1。预期正式的国家标准将很快发布。然而,征求意见稿中未提供具体的定义或例子。建议应针对具体项目进行具体风险分析,以确定相关数据是否构成重要数据。一些部门的监管机构已经开始尝试针对特定部门提供重要数据的具体定义和例子,包括汽车和银行业。例如,根据汽车行业监管机构发布的规则,地质数据、军事区和其他敏感地点的客流和车流,以及汽车充电网络的运营数据均被确定为重要数据。
谁是关键信息基础设施运营者?
关键信息基础设施广义地界定为若被破坏或损害则可能严重危害国家或公共利益的基础设施。在实践中,如果任何实体经部门或地方监管机构告知其被指定为关键信息基础设施运营者,其必须遵守适用于关键信息基础设施运营者的所有要求。但是,即使未被通知指定为关键信息基础设施运营者,也并不意味着肯定不会被列为关键信息基础设施运营者。因此,仍然建议针对具体情况进行具体风险分析。
数据主体的数量按整个集团计算还是按每个子公司计算?
如果一个公司集团在中国有多个关联公司,在确定其是否达到强制安全评估要求的阈值时,该集团可能会被作为一个整体对待,尤其是集团的中国境内关联公司参与集团内部数据共享的情况下。
我们应当非常关注的一点是,从中国政府当局最近的执法行动可以看出,监管机构在评估集团公司收集和处理个人信息或关键数据的数量,以及确定集团内数据活动的主要决策者时,倾向于透过 "公司面纱 "来看待问题。因此,我们建议在自我评估的基础上针对具体情况进行分析。
违反《办法》的法律后果是什么?
违反《办法》规定的,企业及其负责数据隐私的主管人员可能根据《网络安全法》、《数据安全法》和《个人信息保护法》受到处罚。处罚措施包括责令整改、责令停止传输活动,以及5,000万元人民币以下或企业年收入5%以下的罚款,对相关负责的主管人员可能处100万元人民币以下的罚款。违反情节严重的,可能吊销企业执照和/或追究刑事责任。
企业如何做到合规?
对于所有可能构成数据出境的活动,建议进行自我评估和数据映射,以确定这些活动是否适用《办法》。具体而言,企业应确保:
- 针对具体情况进行具体分析,确定其是否为关键信息基础设施运营者,以及其所处理的是否为重要数据或个人信息(包括敏感个人信息)。
- 确定个人数据出境涉及的数据主体的数量。
- 遵守并确保所数据出境的接收者遵守接收者所在外国司法辖区的当地法律所规定的任何及所有数据隐私要求。
- 如果基于自我评估认为触发了强制安全评估要求,企业须咨询国家网信办有关安全评估的程序和手续。
- 根据良好市场实践,采用数据传输和处理协议模板非常重要,协议明确规定了数据传输方和接收方的责任和义务,包括在集团内数据跨境传输以及向中国境外的数据处理者跨境传输的情形。
鉴于《办法》将于2022年9月1日生效,而企业只有6个月时间整改不符合《办法》规定的数据出境活动,我们建议企业组织提前计划,尽早采取行动以确保其数据出境活动符合《办法》的新要求。
- 《信息安全技术重要数据识别指南》(征求意见稿)于2022年1月13日在全国信安标委网站发布。
Client Alert 2022-191b
