数据跨境新规豁免了我的义务,那还需做什么吗?

发布时间:2024-05-07

文 | 史宇航 汇业律师事务所 合伙人

一、数据跨境新规豁免了什么,还剩什么?

在千呼万唤中,《促进和规范数据跨境流动规定》终于颁布并施行,对六类数据出境的场景进行了豁免,不用再考虑安全评估、标准合同、保护认证的要求。这个新规委实让很多跨国企业松了一口气。

“安全评估/标准合同/认证”是数据出境合规中的核心内容,需要直面中央或省级的监管部门,这导致数据出境项目中对材料各方面的颗粒度要求都较为细致,需要投入较大的人力物力开展尽调、整改、沟通的工作。

回归到《个人信息保护法》中,数据出境的合规本身是一个系统性的工程,当企业被免于“安全评估/标准合同/认证”,并不意味着可以刀枪入库、马放南山,不用再考虑数据出境的问题。相反,有数据出境需求的企业仍有不少义务需要履行。

640.jpg

被免予“安全评估/标准合同/认证”的企业在向境外传输数据时,仍然需要:

1.具备必要性:确需向境外提供个人信息(《个人信息保护法》第38条)

2.安全保障措施:保障境外接收方处理个人信息的活动达标(《个人信息保护法》第38条)

3.增强式告知:告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项(《个人信息保护法》第39条)

4.具备合法性基础:通常选择单独同意(《个人信息保护法》第13、39条)

5.签署数据处理协议:即使不考虑跨境因素,数据的对外合作也需要签署合同,而且是要式合同(《个人信息保护法》第20、21、23条)

6.开展个人信息保护影响评估:个人信息保护影响评估虽然是标准合同备案的材料之一,但这也是一项单独的合规义务(《个人信息保护法》第55、56条)

7.合规审计与持续合规:个人信息合规审计制度箭在弦上,而数据出境会成为个人信息合规审计的一部分。(《个人信息保护法》第54、64条)

可见,即使企业的数据出境被免于“安全评估/标准合同/认证”,也需要基于仍然适用的法律义务开展各项数据出境的合规工作,开展尽调、整改、沟通等工作。

二、数据处理协议重要性升格

数据处理协议本就是连接境内外主体法律关系的桥梁,也是受此次新规影响最大数据出境合规工作之一。而且,新规的生效让围绕着数据处理协议的工作量可能不减反增。

原本无论是进行数据出境的安全评估,还是签署标准合同,协议中的可选项都并不多。签署个人信息出境的标准合同自不必说,官方提供了合同模板,除了附录外没有太多需要推敲的内容。即使是安全评估项目,为了方便评估顺利通过也通常会参考标准合同的模板起草数据出境的协议。因此在新规之前,数据处理协议并不是合规工作的重头戏。

新规施行后,被豁免“安全评估/标准合同/认证”的企业反而需要重视数据处理协议。此前没有调整空间的签约主体数量、协议语言版本、合同结构、权利义务、管辖法院等都成为了可以讨价还价的事项。比如标准合同,能否多对多签署是一个有争议的话题,但现在可以直接在数据处理协议中加入甲方、乙方、丙方、丁方,并赋予不同的角色定位……此外,双语合同、外文合同都成为了可选项,甚至可以参考GDPR下的SCC去设计一份协议,也能满足合规要求。

概言之,随着标准合同的既定框架可以被突破,数据处理协议的作用更加重要,数据流、资金流会更加复杂多变。我们可以预期数据处理协议的起草、审阅、谈判工作会成为此类数据出境项目里新的工作重点。

三、影响评估+合规审计,首尾相望的合规闭环

个人信息保护影响评估在个人信息保护工作中类似于一项“看门义务”,负责在项目正式启动前对合法性、风险以及对策进行评估。通常来说,出境的必要性、是否进行告知、如何获得单独同意、协议是否符合条件通常都是影响评估的事项。因此起到了看门人的作用,在此基础上,可能再去做安全评估,或者直接递交影响评估报告用于标准合同备案。

在新规施行后,对被豁免“安全评估/标准合同/认证”的企业来说,个人信息保护影响评估并没有废除,反而可以成为一种合规留档的方式。

传统上,企业如果希望证明自己过往如何获取单独同意、某个时段隐私政策的文本是什么,并不容易。这也导致企业在发生争议或面临监管部门需要举证时可能拿不出客观的证据。但一份在邮件系统中有留痕的个人信息保护影响评估报告通常可以通过电子数据的方式验证内容的真实性,帮助企业证明某个时段具体的合规措施。

因此,在企业被豁免“安全评估/标准合同/认证”后,个人信息保护影响评估报告就成为了合规的护身符,尤其是在发生争议后,本身就需要拿出报告证明自己履行义务,并且通过报告证明自己完成了其他义务。

另外,在数据跨境新规尘埃落定之后,个人信息合规审计就成为了下一只待落下的靴子。在2023年夏天网信办发布的《个人信息保护合规审计管理办法(征求意见稿)》中,数据出境被明确列为检查项之一,其报告内容,预期也可以发挥与个人信息保护影响评估类似的固定证据作用,并且可以在项目启动前后相互呼应,起到证据链的作用。

在自媒体发达,碰瓷式维权盛行以及企业普遍降本增效的背景下,企业在个人信息出境领域也可能会面临越来越多的纠纷,面向纠纷开展数据出境合规工作会成为新的趋势。

四、关注变化

唯一不变的是变化本身,对没有固定形态的数据更是如此。企业业务的增长、产业链的转移、新质生产力的运用、法规的更新……都可能导致被豁免“安全评估/标准合同/认证”的企业触发监管的阈值。在最极端的情况下,企业的某一项数据突然被监管部门划定为重要数据也不是不可能。因此,关注变化、及时了解自己企业的数据处理情况就成为数据治理的一项重要课题。

数据出境的合规无法一劳永逸,当前豁免“安全评估/标准合同/认证”固然值得欣喜,但无法成为躺平的理由。数据出境是一项繁杂、需要持续关注的事项,受地缘政治、技术革命、业务形态等多方面的影响,需要持续挂在数据合规的工作列表中,以确保在变化来临时,能够是有备而来。

 


返回列表