背 景
2024年3月22日,在翘首等待了近半年后,数据出境企业终于迎来了国家互联网信息办公室(" 网信办")发布的《促进和规范数据跨境流动规定》(" 《规定》")。《规定》发布同时,网信办也发布了关于《规定》的答记者问(" 《答记者问》"),对《规定》内容进行补充说明。同日,网信办还发布了《数据出境安全评估申报指南(第二版)》(" 《安全评估申报指南》(第二版)")《个人信息出境标准合同备案指南(第二版)》(" 《标准合同备案指南》(第二版)")(统称为" 《第二版指南》")来推进《规定》的配套实施。
《规定》终于靴子落地,对数据出境企业而言是重大利好。总体而言,《规定》放宽了对企业数据出境的限制、为企业提供多个豁免条件、提高了履行数据出境义务的出境个人信息的数量门槛,从而降低了企业的合规难度。关于《规定》的具体内容以及对企业的影响,详见我们在 《促进和规范数据跨境流动规定》与新监管形势下企业数据出境合规的应对和挑战(一)一文中的分析。
在本篇文章中,我们将对《安全评估申报指南(第二版)》和《标准合同备案指南(第二版)》的重要变化、企业如何应对进行分析。
一、《第二版指南》的发布
值得注意的是,《数据出境安全评估申报指南(第一版)》和《个人信息出境标准合同备案指南(第一版)》(统称为" 《第一版指南》")并未随着《第二版指南》的颁布而被宣布废止,新旧指南如何衔接还不明确。我们理解,网信办未明确废止旧指南可能是考虑到《规定》发布前已经开始数据出境安全评估和标准合同备案程序企业的特殊情况。
根据网信办《答记者问》中的说明," 在《规定》施行前已经申报数据出境安全评估、提交个人信息出境标准合同备案,根据《规定》无需开展上述程序的,数据处理者可以按照原程序进行,也可以向所在地省级网信部门撤回申报、备案"。如此类企业选择按照原程序继续申报或备案,但却又被要求必须遵守《第二版指南》,则会导致此类企业不得不撤回原申报/备案材料、修改大量文件并改变提交方式,增加了此类企业的工作负担。
对于从安全评估转为标准合同备案的企业,由于这种变化发生在《规定》发布之后,且涉及撤回原申报、新提交备案文件的流程,因此这些企业可能需要按照《标准合同备案指南》(第二版)来修改备案材料。
以上仅为我们根据《规定》和网信办《答记者问》相关内容的推测,网信办对文件形式的具体要求以及企业如何切换适用《第一版指南》和《第二版指南》,仍有待观察。我们最近遇到某地方网信办要求此前已被通知提交纸质版标准合同备案材料的一家企业,撤回该备案,重新通过线上系统进行备案,但该要求是否适用所有企业目前仍不明确。
对于正处于安全评估、标准合同备案和个人信息保护认证程序中的企业,如需按照《第二版指南》继续原程序或需从安全评估转为标准合同备案或个人信息保护认证,则还应关注《安全评估申报指南》(第二版)和《标准合同备案指南》(第二版)在申报/备案方式及流程、申报材料要求等方面发生的变化,并据此更新相关材料。
二、《第二版指南》下申报/备案方式及流程的主要变化
1、申报/备案方式
根据《第二版指南》,数据出境安全评估改为原则上进行线上申报,而标准合同则是统一改为线上备案。无论是安全评估申报还是标准合同备案,线上申报/备案都需要通过网信办的数据出境申报系统(网址:https://sjcj.cac.gov.cn)进行,关于该系统的介绍可查阅《数据出境申报系统使用说明》(第一版)(" 《申报系统使用说明》(第一版)")。关键信息基础设施运营者或者其他不适合通过数据出境申报系统申报数据出境安全评估的数据处理者适用线下方式申报。
另外,对于个人信息保护认证,《答记者问》提到企业可以通过登录个人信息保护认证管理系统(网址:https://data.isccc.gov.cn)进行申请。
2、申报/备案流程
《安全评估申报指南》(第二版)进一步细化了查验程序,包括新增对完备性查验结果、未通过完备性查验原因的告知。《标准合同备案指南》(第二版)则进一步精简了查验程序,将通知备案结果和发放备案编号的流程进行整合,明确对符合备案要求的个人信息处理者直接发放备案编号。
《申报系统使用说明》(第一版)说明,企业可通过该系统查看安全评估申报/标准合同备案项目状态。其中,提交申报后项目在系统中的状态主要包括"正在完备性查验"、"未通过完备性查验"、"已报送,等待受理"、"已受理,正在评估"、"正在评估中"、"正在评估(需补充材料)"、"已完成评估(通过)"几种情况;提交备案后项目在系统中的状态主要包括"上报"、"补充审核"、"审核通过"几种情况。
在《第二版指南》颁布前,根据我们的经验,企业申报/备案材料动辄上百页,且还涉及打印、签章、刻制光盘、与网信办预约线下提交时间、上门提交等种种繁琐工作。《第二版》指南提供的线上申报/备案的方式无疑为企业带来了较大便利。企业可以通过在线方式提交文件、接收网信办反馈、补充提交材料;企业还可以通过在线系统比较方便查看其申报/备案项目进展情况,极大地节省了企业的时间、人力以及金钱成本。
《申报系统使用说明》(第一版)操作流程示意图(如下)中还体现了企业撤回申报/备案项目的操作选项。示意图1显示,对处于补充审核状态的标准合同备案项目,企业可进行"撤回上报"操作;示意图2显示,对处于正在评估(需补充材料)状态的安全评估申报项目,企业也可进行"申请撤回"操作。企业可以根据自身实际情况来进行灵活操作。
示意图1
示意图2
三、《第二版指南》对申报/备案材料要求的主要变化
在《第二版指南》中,这几份文件基本保持未变:
- 申报/备案材料清单
- 《个人信息出境标准合同》
- 《承诺书》(模板)
- 《经办人授权委托书》(模板)
下述文件变化较大:
- 《数据出境安全评估申报表》(模板)(" 《申报表》")
- 《数据出境风险自评估报告》(模板)(" 《自评估报告》")
- 《个人信息保护影响评估报告》(出境版)(模板)(" 《影响评估报告》")
我们将重点分析这三份文件的主要变化和影响。
1、《申报表》
网信办对《申报表》的内容进行了大幅度的简化,包括不再要求填写境外接收方负责人证件信息、境外接收方数据安全责任人和管理机构信息、数据出境链路情况、相关条款在法律文件中的页码及条款。根据我们的经验,在实践中境外接收方人员比较抵触将其证件信息用于出境安全评估相关信息填报;对于数据出境链路信息,有的企业收集起来也有困难,现在这类企业的问题可得到缓解。此外,简化后的《申报表》也减少了重复内容,减轻了企业校对材料的工作量。
新《申报表》还有一些新的要求,其中包括:
- 填写重要数据出境规模;
- 分场景对拟出境情况和境外接收方情况进行说明并对出境个人信息涉及自然人范围一致的场景进行合并;
- 对当年已出境数量、未来三年出境数量及两者的关系进行说明等。
企业应对此类细节变化予以关注,判断是否涉及缺失信息,以便及时开展相应调研工作。
新《申报表》还存在一些不明确的地方。例如:"按自然人(去重)统计数量"填写处理个人信息规模的具体含义并不清晰,无法确定是要填写去重后的自然人数量还是按照去重后的自然人数量统计的数据规模。此外,《申报表》的变动还为《自评估报告》的相关内容带来了不确定性;在《第一版指南》的填表说明中,数据出境链路包含链路提供商、链路数量与带宽、境内外落地数据中心名称及机房物理位置、IP地址等信息。但该填表说明已被《第二版指南》删去,这导致在撰写《自评估报告》时,关于数据出境链路情况的披露程度变得不够明确。针对上述问题,企业可以咨询网信办以寻求具体指导。
对于线上申报,企业现在可直接在系统页面中完成《申报表》所需信息填写,无需再提交《申报表》。线下申报仍需完成纸质版《申报表》的填写和提交。
2、《自评估报告》
网信办对《自评估报告》的内容也进行了较大幅度的简化,包括不再要求说明:
- 境外接收方所在国家或地区的网络和数据安全法律法规情况;
- 境外接收方处理数据的全生命周期描述。
《自评估报告》其他简化要求还包括,例如:
- 对数据处理者基本情况、数据处理者安全保障能力情况、境外接收方情况、法律文件约定情况说明的要求从"详细说明"变为"简要说明";
- 将原(二)数据出境涉及业务和信息系统情况和(三)拟出境数据情况进行了整合;
- 不再要求参与自评估的第三方机构在相关内容页上加盖公章。
与此同时,《自评估报告》提出的以下新要求值得企业注意:
- 将原"说明出境数据的规模、范围、种类、敏感程度"改为以列表形式对数据项名称、内容描述、出境必要性、示例以及备注进行说明;
- 按照当年的出境自然人数量(去重),预估未来3年的出境数量;
- 涉及个人信息出境的,需提供履行《个人信息保护法》第三十九条规定的情况说明及佐证材料,包括告知义务和取得个人的单独同意等,若属于《个人信息保护法》第十三条第一款第二项至第七项规定情形的,不需取得个人同意。
如我们在 《促进和规范数据跨境流动规定》与新监管形势下企业数据出境合规的应对和挑战(一)一文中的分析,实践中企业自身对出境必要性的判断可能与网信办的看法有所不同。根据我们的经验,网信办通常不接受单纯以使用境外系统作为出境的必要性,为最大程度上得到网信办认可,比较好的做法是基于业务本身跨国性的角度展开具体说明。
根据我们的经验,告知及单独同意的佐证材料不仅需在《自评估报告》中进行说明,还应向网信办提交。为此,企业应尽早开展相关准备工作,包括起草各个场景的《个人信息出境单独同意书》、取得相关人员的单独同意。由于网信办对材料的一致性有较高要求,在起草《个人信息出境单独同意书》时应尤其注意确保个人信息出境的目的、方式、范围、接收方情况等内容与各申报材料对应内容严格保持一致。
3、《影响评估报告》
《影响评估报告》基本没有新增内容,主要进行了内容的删减,删减的部分包括:
- 评估工作开展情况(含起止时间、组织情况、实施过程、实施方式等);
- 个人信息处理者个人信息保护能力情况(含个人信息安全管理能力、个人信息安全技术能力、个人信息保护措施有效性证明);
- 利用个人信息进行自动化决策情况的说明;
- 境外接收方所在国家或地区个人信息保护政策法规情况;
- 境外接收方处理个人信息的全流程过程描述。
对从安全评估转为标准合同备案的企业,需要将安全评估下的《自评估报告》改为《影响评估报告》。总体而言,企业根据《第一版指南》准备的《自评估报告》通常可以覆盖《第二版指南》下关于《影响评估报告》的大多数要求,因此文件更新主要涉及删减工作,但企业也需逐项对标《第二版指南》的具体要求来统一相关表述。
4、《个人信息出境标准合同》
对从安全评估转为标准合同备案的企业,需要签订《个人信息出境标准合同》。对于尚未考虑过该合同版本的企业而言,需要尽早和境外接收方沟通该合同版本的内容,并争取境外接收方的理解和配合,以便顺利签署该合同版本来进行备案。
随《规定》发布的《第二版指南》对《第一版指南》进行了较大精简和优化,总体而言,企业的合规负担有所减轻。但《第二版指南》各文件中要求企业回答的内容和细节仍然较多,对于尚未开展过数据出境合规工作的企业而言可能不易理解。此外,根据我们的经验,网信办对于文件内容撰写的规范性、同一文件不同部分以及不同文件对同一问题描述的一致性、文件模板需"逐项对标"回答,甚至字体及格式均有较高要求。对于这些问题,企业需予以充分重视,以便有效推进安全评估以及备案工作的顺利进行。
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
