#01 滴滴被罚,敲响数据安全警钟
2022年7月21日,网约车市场某头部企业被罚80亿的消息占据网络头条。对此,国家互联网信息办公室(以下简称“网信办”)明文指出,该企业共存在16项违法事实,涉及违法收集用户信息、过度收集用户信息、在未明确告知乘客的情况下分析乘客出行意图信息等。涉及上述行为的相关内容我们已在《光大视角|强监管背景下企业数据处理全流程的合规管理——数据的收集、存储篇》中论述,在此不再展开。
此外,网信办还指出,该企业存在“严重影响国家安全的数据处理活动”“给国家关键信息基础设施安全和数据安全带来严重安全风险隐患”等。尽管网信办此言并未明确该企业是否存在“违法违规开展数据出境活动”的情形,但也没有否认此前网传该企业存在数据不当出境行为的传言。态度微妙,颇值玩味。
伴随着经济全球化的深入与我国本土企业的壮大,相关企业走出去应予鼓励。但是相关企业境外上市,客观上也确实存在安全隐患。以美国为例:据美国推出的《外国公司问责法案》(Holding Foreign Companies Accountable Act),外国发行人连续三年不能满足美国公众公司会计监督委员会(PCAOB)对会计师事务所检查要求的,禁止其证券在美国交易。而避开这一检查的唯一出路即退出美国资本市场。美国监管机构足以以此为由要求相关企业提供其所掌握的用户、道路或其他数据。在这种情形下,即使事实上相关数据并未提供给美国监管机构,但一家拥有敏感数据的国内企业在美国上市并且接受境外国家机构的监管,这一事实本身难免令国家监管部门对数据泄露、数据安全甚至是国家安全产生疑虑。
在全球化与数字经济快速发展之时,企业数据的跨境流动日益频繁,企业应当警惕数据违法违规出境涉嫌的刑事风险,并密切关注数据出境的合规之道;避免因为一时不慎,而给企业造成负面甚至是致命的影响。
#02 企业数据出境合规之路——《数据出境安全评估办法》解读
2022年7月7日,网信办公布《数据出境安全评估办法》(以下简称《办法》),对企业数据跨境流动进行专门规制。经本团队梳理,要点大致如下:
(图1 《数据出境安全评估办法》框架)
1 适用范围:“数据出境”
| 法律规定 | 解读 |
《〈数据出境安全评估办法〉答记者问》: 《办法》所称数据出境活动主要包括:一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。 | “数据出境”包括两种方式: (1)数据物理跨境; (2)境外访问境内数据。 |
2 安全评估的触发条件
《〈数据出境安全评估办法》(第四条)
经梳理,大致包括如下情形——
1. 对数据自身的要求:数据处理者向境外提供重要数据。
2. 对特殊业务主体的要求:关键信息基础设施运营者向境外提供个人信息。
3. 对数据处理规模的要求:处理100万人以上个人信息的数据处理者向境外提供个人信息。
4. 对数据处理频率的要求:
(1)一般情形:自上年1月1日起累计向境外提供10万人个人信息的数据提供者向境外提供个人信息。
(2)敏感数据:自上年1月1日起累计向境外提供1万人敏感个人信息的数据提供者向境外提供个人信息。
3 安全评估的申报准备
适用数据出境安全评估的企业在正式进行安全评估申报前,首先要进行数据出境风险自评估。同时,应按照《办法》准备申报材料。(详见《办法》第5条、第6条)
1.数据出境风险自评估
| 评估时间 | 评估内容 |
| 数据处理者在申报数据出境安全评估前 | (1)境内外双方处理数据的目的、范围、方式等的合法性、正当性、必要性; (2)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险; (3)接收方承诺责任义务及其管理技术水平等能否保障出境数据的安全; (4)数据被泄露、破坏、不法利用的风险,个人信息权益维护的渠道是否通畅等; (5)合同或者其他法律文件是否充分约定了数据安全保护责任义务; (6)其他可能影响数据出境安全的事项。 |
2. 安全评估申报材料
企业申请安全评估的,应当向其所在地的省级网信部门提交以下材料:
(1)申报书;
(2)数据出境风险自评估报告;
(3)数据处理者与境外接收方拟订立的法律文件;
(4)安全评估工作需要的其他材料。
4 安全评估的内容
数据出境安全评估的内容,与前文“数据出境风险自评估”的内容相比增加了两项(详见《办法》第八条):
(1)境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响,境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求;
(2)遵守中国法律、行政法规、部门规章情况。
5 评估流程
《办法》对安全评估全流程进行了明确规定,在此本文对“企业申报准备”至安全评估完成及后续申请复评或重新申报等流程进行了梳理,详见下图。
(图2 数据出境安全评估流程)
6 重新申报评估
国家网信部门就企业的数据出境安全评估通过后,企业并非就此高枕无忧。一方面,该安全评估结果有时效限制;另一方面,即使该结果仍在有效期内,若出现特定法定情形,企业仍需按前文所述的评估流程重新申报评估。(详见《办法》第十四条)
| 重新申报情形 | 评估内容 |
| 1.有效期届满 | 有效期:自安全评估结果出具之日起两年内均有效。 重新申报时间:有效期届满60个工作日前。 |
| 2. 有效期内需重新评估的情形 | (1)向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的; (2)境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的; (3)出现影响出境数据安全的其他情形。如果企业需要继续开展数据出境活动的,需要按照要求整改,整改完成后重新申报评估。 |
#03 企业数据出境涉嫌的刑事风险提示
企业数据违法违规出境除了会构成行政违法行为并受到行政处罚外,亦存在相关刑事法律风险。现实中已然有企业涉嫌非法向境外提供数据、企业相关责任人被施以刑事处罚的先例。如上海某信息科技公司经某境外公司委托,在北京、上海等16个城市及相应高铁线路上进行移动测试和信息、数据收集(其中涉及高铁移动通信专网信号数据,直接用于高铁列车运行控制和行车调度指挥),并通过开通远程登录端口的方式默许境外公司转移数据;此后,相关数据被国家保密行政管理部门鉴定为情报,该公司被认定为非法向境外提供数据,其法定代表人、销售总监、销售被上海市国家安全局以涉嫌《刑法》第111条“为境外刺探、非法提供情报罪”逮捕。
再以此次被罚的该头部企业为例,若其事实上存在将其所掌握的数据提供给美国监管方的行为,则该企业及/或相关责任人可能会涉嫌《刑法》第235条侵犯公民个人信息罪、《刑法》第286条拒不履行信息网络安全管理义务罪、甚至相关危害国家安全相关的罪名等。
因此,数据出境合规要求,为企业的正常经营划定了法律红线与行为边界。企业及相关主管人员务必对此予以重视。事后辩解“不知法”不仅于事无补,已经造成的损害损害国家与社会利益的同时,可能也将企业自身拖入深渊。
结语
近年来,《网络安全法》《数据安全法》《个人信息保护法》等法律法规的先后出台,彰显出国家对数据安全监管的力度与决心。《办法》的颁布,更是为国家加强对数据跨境流动和企业的监管添力赋能。合规是发展的前提,企业应当以头部企业的被罚事件为戒,密切关注国家就数据监管出台的各类文件或指引,落实企业数据合规建设。
