随着数字经济的全球化发展,频繁的数据跨境流动可能会给国家安全和社会公共利益带来安全风险。在此背景下,近期开始实施的《个人信息保护法》(以下简称“《个保法》”)就规定了关于个人信息跨境传输的合规要求。
为了进一步明确跨境传输的具体规范,国家互联网信息办公室近日还出台了《网络数据安全管理条例(征求意见稿)》(以下简称“《条例》”)和《数据出境安全评估办法(征求意见稿)》(以下简称“《办法》”)来进一步细化相关内容。
为了让相关企业更好地了解《个保法》的合规要求,TalkingData法务合规部带来了《个人信息保护法》系列解读——个人信息跨境传输篇。
一、个人信息跨境传输
1、什么情形下个人信息可以跨境传输?
(1)涉及跨境传输的合同应包含哪些内容?
《个保法》特别指出与境外接收方订立的合同应为“国家网信部门制定的标准合同”,引入了中国版“标准合同条款”的概念,此规定其实是借鉴了欧盟的做法,因为GDPR就规定了签署标准合同条款是合规数据跨境传输的方式之一,由欧盟委员会制定发布标准合同条款模板。虽然目前网信部门还没有发布标准合同模板,但是依据国家互联网信息办公室出台的《办法》的安全评估事项,可看出合同至少应充分约定了数据安全保护责任义务,具体内容如下:
(2)如何理解“合同所必需”?
《条例》并没有对“必需”的认定标准予以细化,建议想基于此理由跨境传输的相关企业,先参考欧盟数据保护委员会发布的《向数据主体提供在线服务时依据GDPR第6(1)(b)条规定处理个人数据指南》(Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects)进行理解,其指出相关企业可基于隐私保护的立法目的,结合具体场景来综合认定履行合同的必要性。建议参考以下角度来进行判断:服务的类型、服务的特征、合同订立目的、合同的必要性要素、合同各方的期待、普通用户是否会合理地设想到履行合同必然会发生数据处理行为。
此外,欧盟数据保护委员会在此文件中还特别指出改进服务、精准广告推送、基于历史数据的个性化推送都不被视为合同履行必要性的理由,但是针对某些服务,个性化展示可以被视为是履行合同的必要行为。
2、个人信息出境在什么情形下应进行安全评估?
《个保法》规定,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者确需向境外提供的,应当通过国家网信部门组织的安全评估。国家互联网信息办公室通过近日发布的《条例》和《办法》对“规定数量”进行了明确,但是鉴于数量标准的基准线较低,可能会导致大量的企业需进行安全评估。
(1)什么是关键信息基础设施?
《关键信息基础设施安全保护条例》(以下简称“《保护条例》”)延续了《网络安全法》的“重要领域+严重后果”的不完全定义方式,将关键信息基础设施定义为公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。关键行业或领域列举式定义其实是国内外明确关键信息基础设施含义的通用方式,例如美国也以第21号总统令的形式确定了十六类关键基础设施部门。
《保护条例》还进一步指出,应通过重点评估网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;对其他行业和领域的关联性影响来认定关键信息基础设施。
3、如何进行个人信息出境安全评估?
《个保法》只提出了安全评估的要求,而《办法》则明确了具体的安全评估流程。
4、在个人信息出境的场景下,相关企业应特别注意哪些合规义务?
《条例》和《办法》对《个保法》提出的合规义务进行了细化,具体如下:
5、个人信息出境场景对于告知同意有什么特殊要求?
向境外提供个人信息时, 应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使权利的方式和程序等事项,并获取单独同意。对于跨境传输场景下的单独同意机制调研情况请见下文。
二、企业实施情况调研
经过调研App Store前30款免费APP的跨境传输规则,APP一般会在隐私政策的信息存储部分披露个人信息跨境情况。绝大部分APP均会指出其在境内收集和产生的个人信息会存储于中国境内,若部分业务涉及跨境传输,其会遵守法律法规的要求。但是目前30款APP均没有在APP初始化展示隐私政策时设置单独同意机制。
*可发送关键词「跨境传输规则」,获取本调研报告的完整版
约13%的APP在隐私政策中明确指出个人信息仅本地化存储,不跨境传输。例如“国家反诈中心”和“交管12123”(具体截图如下)。
“国家反诈中心”隐私政策
“交管12123”隐私政策
约80%的APP则会在隐私政策中指出,其原则上会将在中国境内运营收集和产生的个人信息存储于中国境内,如果需要跨境传输会履行法律规定的义务。这就意味着用户的个人信息一般本地化存储,如果出现需要跨境传输的场景,相关企业会履行单独的告知同意义务。例如“微信”和“抖音”(具体截图如下)。
“微信”隐私政策
“抖音”隐私政策
约7%的APP会在隐私政策中告知存在个人信息存储在境外或跨境传输的情形。例如“钉钉”和“云闪付”(具体截图如下)。“云闪付”在隐私政策中特别列出了境外接收方列表,包括应用形式、接收地区、运营公司、联系方式。
“钉钉”隐私政策
“云闪付”隐私政策
“云闪付”隐私政策
*可发送关键词「跨境传输规则」,获取本调研报告的完整版
《个保法》构建了较为完善的个人信息保护框架,单独成章的个人信息跨境规则为相关企业的跨境业务运营提供了明确的指引,近日发布的《办法》和《规定》在此基础上进一步细化了相关内容来推动《个保法》的落地实施。作为信通院“个人信息保护合规审计推进小组”的首批成员单位,TalkingData会在严格遵守《个保法》的相关规定的基础上积极推进个人信息保护工作,完善公司内部的合规体系。
声明
本文版权归属于TalkingData法务合规部,解读内容和调研数据仅供一般参考,不应视为针对特定事件的意见,任何依据本文全部或部分内容做出的判断或决定以及因此造成的法律后果,TalkingData法务合规部不承担任何责任。
如有任何问题,请邮件联系我们:
td_legal@tendcloud.com。