新规下外商投资企业向境外母公司提供境内个人信息的合规准备建议
吴丹君律师团队移动支付网2019/11/19 15:37:55

作者:吴丹君律师 张振君律师助理

《网络安全法》(以下简称“《网安法》”)第三十七条明确了关键信息基础设施运营者因业务需要向境外提供个人信息或重要数据的安全评估义务,《个人信息和重要数据出境安全评估办法(征求意见稿)》将义务主体范围扩大到了所有网络运营者,《个人信息出境安全评估办法(征求意见稿)》(以下简称“《征求意见稿》”)则沿袭了《个人信息和重要数据出境安全评估办法(征求意见稿)》的规定,要求全部网络运营者在进行个人信息出境活动之前必须承担安全评估义务。

同时,《征求意见稿》第二十条还将收集境内用户个人信息并出境的境外机构纳入规制范围,要求境外机构应在境内通过法定代表人或机构履行网络运营者的责任和义务。

因此,《征求意见稿》不仅适用于网络运营者和境外接收者分属不同主体的场合,也适用于两者具有关联关系(例如境内外商投资企业与境外母公司)的情况。在个人信息出境新规正式落地之前,外商投资企业如何做好准备以应对新规落地后的合规风险值得重视。下文将结合《网安法》与《征求意见稿》等法律文件为外商投资企业在新规落地之前的合规准备工作提供建议。

一、总体要求

(一)外商投资企业向境外母公司传输个人信息所应承担的责任和义务

《征求意见稿》所规制的“网络运营者”采用了《网安法》的定义,未就应进行出境安全评估的“网络运营者”的行业、数据规模、数据出境频率等进行任何区分或限定。

而根据《征求意见稿》第二十条,境外机构经营活动中,通过互联网等收集境内用户个人信息,应当在境内通过法定代表人或者机构履行本办法中网络运营者的责任和义务。因此,外商投资企业(以下称“外资网络运营者”)向境外母公司提供在中国境内运营中收集的个人信息(以下简称“个人信息”)时,也应与一般网络运营者承担相同的责任和义务。

因此,在理论上,外资网络运营者无论采用何种形式(比如电子邮件或业务系统)、何种规模和频率将个人信息传输至境外母公司,均需经过安全评估方可进行。比如将外资网络运营者的员工个人信息传输至境外母公司进行集中化管理时即需遵循《征求意见稿》的要求。

(二)评估申报次数要求:至少每两年一次

《征求意见稿》第三条第二款规定,向不同的接收者提供个人信息应当分别申报安全评估,向同一接收者多次或连续提供个人信息无需多次评估。

同时,该条第三款规定,每两年或者个人信息出境目的、类型和境外保存时间发生变化时应当重新评估。

外资网络运营者传输个人信息至境外母公司时,其唯一的接收者为境外母公司,符合向同一接收者多次或连续提供个人信息的条件,因此无需多次评估,但应当至少每两年重新评估一次。若个人信息出境目的、类型和境外保存时间发生变化,也需要进行重新评估;若境外母公司所在国家法律环境发生变化导致合同难以履行的,应当终止个人信息出境合同或者重新进行安全评估。

二、具体工作

综合《征求意见稿》规定,外资网络运营者为新规落地后的个人信息出境活动的合规准备可从以下工作入手:

(一)编制个人信息出境安全风险及安全保障措施分析报告

外资网络运营者在申报个人信息出境安全评估时,个人信息出境安全风险及安全保障措施分析报告是需要提交的材料之一。

提交个人信息出境安全风险及安全保障措施分析报告是一项形式上的要求,其尽管并不直接要求外资网络运营者实质性地改变将个人信息传输至境外母公司的传输行为,但若未满足实体性义务,外资网络运营者向所在地省级网信部门提交的上述报告也将暴露外资网络运营者内部的不合规情况。因此,在落实将境内个人信息提供至境外母公司的相关合规要求时,外资网络运营者可以考虑从个人信息出境安全风险及安全保障措施分析报告的编制出发进行自查,确认外资网络运营者内部是否存在实体性不合规的缺陷并及时进行纠正,以避免为后续的个人信息出境工作带来不利影响。

编制个人信息出境安全风险及安全保障措施分析报告主要需要进行以下工作:

1.自查本地合规情况

网络运营者在运营过程中对任何数据的收集和处理活动都需要符合相应的合规要求,数据跨境传输活动也不例外,本地合规对个人信息出境活动的影响不容小觑。

首先,根据《征求意见稿》第十七条,个人信息出境安全风险及安全保障措施分析报告需要包含网络运营者和接收者的背景、规模、业务、财务、信誉、网络安全能力等。根据《征求意见稿》第六条,个人信息出境安全评估需要重点评估网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件。

因此,外资网络运营者不仅需要自查自身的背景、规模、业务、财务、信誉、网络安全能力以及是否存在损害个人信息主体合法权益的历史、是否发生过重大网络安全事件等情况。还需要提请境外母公司告知有关母公司的上述情况,以预计通过安全评估的可能性。

其次,外资网络运营者需自查其所控制的个人信息的收集、存储和处理等活动是否符合法定要求。比如《征求意见稿》第六条第五项指出,网络运营者获得个人信息是否合法、正当是个人信息出境安全评估的重点评估对象。因此,如果外资网络运营者发现自身在获取个人信息时存在不合规情况,应立即纠正。比如未取得个人信息主体同意的,需要及时补充通知以获取该主体的同意。

《网安法》第四十二条规定,网络运营者未经被收集者同意,不得向他人提供个人信息。将个人信息跨境传输给境外母公司亦为一种“提供”行为,需要得到个人信息主体的事先同意。因此,外资网络运营者在向境外母公司提供个人信息时应当注意取得个人信息主体的同意。

最后,外资网络运营者还需要对个人信息传输至境外母公司的风险进行分析,自查其自身是否构建了完备的个人信息出境制度和技术措施以保障个人信息安全和个人信息主体合法权益。

2.拟订个人信息出境计划

个人信息出境计划是个人信息出境安全风险及安全保障措施分析报告的重要内容之一。

网络运营者在向境外母公司传输信息时,首先需要对信息进行分类,判断信息是否属于个人信息或重要数据。在个人信息中还需区分一般个人信息与个人敏感信息,对不同类型的数据采取不同的安全保障措施。

其次,需考虑向境外母公司提供个人信息的持续时间、涉及的个人信息主体数量、向境外提供的个人信息规模、个人信息出境后是否会再向第三方传输等情况。

外资网络运营者可以与母公司沟通个人信息传输的内容和规模以及提供时间,确定基本内容后拟订适当的个人信息出境计划。

(二)与境外母公司签订个人信息出境合同

1.协商合同条款

在申报安全评估时,网络运营者需要提交其与境外接收者签订的个人信息出境合同。根据《征求意见稿》第十三条,该稿所提及的“合同”还应包括网络运营者与个人信息接收者签订的其他具有法律效力的文件。《征求意见稿》第十三条至第十六条从合同的基本条款、网络运营者的义务条款、接收者的义务条款以及接收者的再次传输条件四个方面详细地列明了合同的必备内容。合同条款的设置需要体现《征求意见稿》第六条第二项的“合同条款能够充分保障个人信息主体合法权益”要求。

根据上文分析,外资网络运营者将个人信息传输至境外母公司与传输至其他主体所需承担的责任与义务是相似的,因此外资网络运营者与境外母公司在个人信息出境活动中亦需依据《征求意见稿》的相关要求签订个人信息出境合同。合同必备条款涉及个人信息主体保护的内容如下:

《征求意见稿》既要求对合同内容进行实质性审查以评估合同条款是否能够为个人信息主体合法权益提供充分保护,亦从合同执行角度要求评估合同是否能够有效落实。

因此,外资网络运营者计划向境外母公司传输个人信息的,如已有个人信息出境合同,应对现有合同条款和执行情况进行审查,以评估是否符合《征求意见稿》的要求,并及时与母公司商谈以补充和修改合同条款中尚不符合要求的内容,重新签订合同或者签署补充协议。若尚未订立合同的,则需就该传输事项依据上述《征求意见稿》要求与母公司就合同内容起草和签署事宜进行沟通以最终签订合同。

《征求意见稿》中还增加了网络运营者应依据个人信息主体的请求,提供个人信息出境合同副本的义务。但合同内容可能会涉及商业秘密等不宜对外披露的内容,因此,建议外资网络运营者可以与境外母公司协商将个人信息出境合同与主业务合同分离,以应对未来因个人信息主体的披露要求所可能导致的商业秘密泄露风险。

2.协商向第三方传输个人信息的合同条款

境外母公司在接收外资网络运营者传输的数据后,可能需要委托其他数据处理者对数据进行处理。此时,在个人信息出境合同中亦需要按照《征求意见稿》第十六条的规定明确境外母公司在接收后向第三方传输的相关情况。

目前我国进行个人信息处理活动的主要合法性基础仍为“同意”,因此对于个人信息再次被传输至第三方的行为,网络运营者不仅要保障个人信息主体的知情权,还需要保障其拒绝的权利。即网络运营者在收到个人信息主体拒绝将其个人信息传输至第三方的通知时,在无其他合法抗辩的情况下,网络运营者需及时通知境外母公司停止向第三方传输的行为。如因向第三方传输个人信息对个人信息主体合法权益带来损害的,外资网络运营者可能需要根据受侵害个人信息主体的主张先行承担赔付责任。

(三)完善外资网络运营者内控制度

根据《网安法》第六条,网络运营者需要采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。《征求意见稿》第八条要求网络运营者应当建立个人信息出境记录并至少保存5年。因此,外资网络运营者需要在原有数据留存制度基础上增加保存个人信息出境记录的制度要求。同时,外资网络运营者还需要根据《征求意见稿》增设年度报告制度,在每年12月31日前将本年度个人信息出境情况、合同履行情况等报所在地省级网信部门。

《网安法》第二十五条规定了网络运营者的网络安全应急处理义务和安全事件报告义务,《征求意见稿》第九条要求网络运营者在发生较大数据安全事件时应及时报告所在地省级网信部门,这是对上述《网安法》第二十五条的进一步细化,外资网络运营者需要在原有的网络安全应急制度上进行补充,以确保在发生较大数据安全事件时能够及时上报所在地省级网信部门。

(四)提前制定无法通过安全评估的应对方案

《征求意见稿》虽未如《个人信息和重要数据出境安全评估办法(征求意见稿)》一般明示“境内存储为原则,跨境传输为例外”要求,但该稿取消了《个人信息和重要数据出境安全评估办法(征求意见稿)》第七条的网络运营者自评估程序以及第九条向有关部门申报安全评估的前置条件,将所有个人信息出境活动纳入需要向省级网信部门申报安全评估的范围,这实际上增加了个人信息出境的难度和合规要求。

因此若该《征求意见稿》正式生效,外资网络运营者能否顺利、及时地通过个人信息出境安全评估以将个人信息传输给境外母公司存在较大的不确定性。所以,外资网络运营者需要提前考虑如何应对无法通过安全评估的情形。

提高外资网络运营者和境外母公司的个人信息安全保护能力,完善个人信息出境合同条款以充分保障个人信息主体合法权益,向网信部门证明合同能够得到有效执行等方法可以成为一条选择路径。

在成本可控的情况下,外资网络经营者与其境外母公司可以将采取数据本地化处理纳入考虑范围。尤其是对于经营过程中可能会涉及大量个人信息出境活动的企业(比如跨境云服务企业)而言,建议外资网络运营者权衡个人信息出境合规成本、数据本地化处理成本以及跨境传输后可得收益等种种因素,并与境外母公司沟通以决定是否选择数据本地化处理。

此外,根据《网安法》第四十二条,经过处理无法识别特定个人且不能复原的信息可以不经被收集者的同意向他人提供。《信息安全技术个人信息安全规范》(GB/T 35273—2017)3.13亦指出,个人信息经匿名化处理后所得的信息不属于个人信息。因此,若境外母公司对个人信息的可识别性没有要求,外资网络运营者可以在对个人信息进行匿名化处理后向境外母公司提供,此时亦无需经过安全评估。但需要注意的是,匿名化处理指的是通过对个人信息的技术处理,使得个人信息主体无法被识别,且处理后的信息不能被复原的过程。若被处理后的信息仍可以被复原为个人信息的,该经过处理的信息仍应当被视为个人信息,在向境外母公司进行传输前仍需先通过网信部门的安全评估。

三、结语

虽然《个人信息出境安全评估办法(征求意见稿)》尚未实际生效,目前外资网络运营者在向境外母公司传输个人信息时只需获取个人信息主体的同意即可满足合规要求。但个人信息出境制度日趋规范和严格,就目前《征求意见稿》的文本而言,该稿生效后将不提供缓冲期,因此网络运营者需要尽早准备、积极应对。

编制个人信息出境安全风险及安全保障措施分析报告、签订个人信息出境合同与制定无法通过安全评估的应对方案都是可提前进行的准备。其中,提前编制个人信息出境安全风险及安全保障措施分析报告有利于外资网络运营者审视企业内部合规缺陷,同时完善网络安全内控制度;提前进行个人信息出境合同的磋商和沟通亦有助于境外母公司理解中国境内网安立法,为外资网络运营者提供更多支持;预先制定无法通过安全评估的应对方案则有利于防患于未然,避免外资网络运营者在新规正式落地后措手不及而影响正常经营。

境内外商投资企业向境外母公司提供在中国境内运营中收集的个人信息时的合规工作流程

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。

展开全文
相关阅读
资讯查询取消