策略研究 | 从滴滴被罚事件看我国数据出境合规的三重路径

01

近日，互联网巨头“滴滴”收到了国家网信办开出的高达80.26亿元人民币的罚单。在网信办答记者问中，滴滴的违法行为包括：违法收集或过度收集用户个人信息、个人敏感信息，利用个人信息进行自动化决策未保证透明度，频繁索取非功能必要权限，处理个人信息未同步告知处理目的，以及因涉及国家安全依法不公开的严重影响国家关键信息基础设施安全和数据安全的数据处理活动。

去年7月2日，网信办仅在滴滴赴美上市两天后就以防范国家数据安全风险、维护国家安全、保障公共利益为由对其实施网络安全审查。中国信息安全研究院左晓栋曾称，对滴滴审查的重点是重要数据和公民个人信息的出境安全风险[1]。因此，滴滴被罚最重要的原因之一是重要数据和个人信息出境导致国家安全受到威胁的那些依法不公开的事项。

滴滴事件是中国企业数据出境合规的历史性标志事件， 它极大地推动了国内数据出境的立法进程。 2022年6月24日， 全国信息安全标准化技术委员会秘书处 正式发布《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》（简称《跨境安全认证规范》）。6月30日，国家网信办发布《个人信息出境标准合同规定（征求意见稿）》（简称《出境标准合同规定》）。7月7日，国家网信办又公布《数据出境安全评估办法》（简称《数据出境评估办法》）并计划于9月1日起正式施行。至此，对应着我国《网络安全法》《数据安全法》和《个人信息保护法》中对数据出境的规定，具体实施数据和个人信息出境的三重路径初具雏形。

一、适用情形分析

《跨境安全认证规范》《出境标准合同》《数据出境评估办法》三者进一步细化和落实了《网络安全法》第37条、《数据安全法》第31条和《个人信息保护法》第38条、第40条的规定，明确了个人信息的出境可适用三种途径，而重要数据的出境必须适用国家网信部门安全评估的路径。

根据《个人信息保护法》第38条、第40条，《数据出境评估办法》第4条，《跨境安全认证规范》第1条及《出境标准合同规定》第4条，可整理出如下表格：

数据出境安全评估的适用范围较广：

首先，重要数据的出境必须向国家网信部门申报出境安全评估；

其次，关键信息基础设施运营者或处理100万人以上个人信息、或自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者，从事个人信息的出境必须向国家网信部门申报出境安全评估。

个人信息跨境处理活动安全认证的适用范围是非常特定的，其仅适用于四种情形下对个人信息跨境处理活动进行个人信息保护认证：

（1）跨国公司内部；

（2）同一经济、事业实体下属子公司之间；

（3）关联公司之间；

（4）为向境内自然人提供产品或服务，或分析、评估境内自然人的行为等，在境外处理境内个人信息的活动。

前三种情形为具有稳定的内部管理关系或业务关系的公司之间的个人信息跨境处理活动进行个人信息保护认证；第四种情形为境外产品或服务提供商在境外处理境内个人信息，如境内自然人在境外电商平台购物，境外个人信息处理者可通过其在境内设置的专门机构或指定代表申请认证。

标准合同的适用则需要个人信息处理者同时满足非关键信息基础设施运营者，且处理个人信息不满100万人，且自上年1月1日起累计向境外提供未达到10万人个人信息及累计向境外提供未达到1万人敏感个人信息，才可以通过签订标准合同向境外提供个人信息。

二、企业路径选择

对于企业来说，必须根据企业自身的数据处理身份和不同的场景，选择适用不同路径。

首先，企业应判断是否向境外提供重要数据。

如果是提供重要数据，那么必须进行国家网信部门的安全评估，不能适用另外两种路径。至于重要数据的判断，《数据出境评估办法》第19条规定，重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。具体的重要数据的目录、内容和识别规则依据行业主管部门制定的法律规范确定。

其次，企业应准确定位自己是否属于关键信息基础设施运营者。

根据《关键信息基础设施安全保护条例》第10条，重要行业和领域的主管部门、监督管理部门负责组织认定本行业、本领域的关键信息基础设施，并需要将认定结果通知运营者，因此凡是接到主管部门告知的企业均自觉履行关键信息基础设施运营者的法定义务。

再次，企业应准确统计和核算其处理个人信息或向境外提供个人信息的个人信息主体数量是否达到出境安全评估规定的人数。在此应注意，100万、10万、1万的规定数量，是指“人数”而非“个人信息的条数”。

最后，企业应为数据和个人信息的出境签署尽量完备的法律文件，并确保法律文件对境外接收方所规定义务的履行和监督管理。

《数据出境评估办法》第5、8、9条规定了数据处理者应与境外接收方订立数据出境相关合同或者其他具有法律效力的文件等，且该法律文件应当明确约定数据安全保护责任义务；《跨境安全认证规范》第4.1条规定个人信息处理者和境外接收方之间应当签订具有法律约束力和执行力的文件。对于企业来说，《数据出境评估办法》和《跨境安全认证规范》中规定的具有法律效力的文件可以参考《出境标准合同规定》中的合同模板，且不低于前述标准合同的保护要求。

三、企业需要做的准备

在三种路径下，企业应注意做好以下要求：

1. 满足同等保护原则

《数据出境评估办法》第8条规定，数据出境安全评估事项之一是境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求；《跨境安全认证规范》在第3条中提出了六项基本原则，其中第四项“同等保护原则”规定，个人信息处理者和境外接收方应当确保个人信息跨境处理活动达到个人信息保护相关法律法规规定的个人信息保护标准；《出境标准合同规定》在规定起首就写明“为了确保境外接收方处理个人信息的活动达到中华人民共和国相关法律法规规定的个人信息保护标准”。

上述规定都要求境外接收方不仅要达到《个人信息保护法》所规定的个人信息保护标准，还要达到其他法律和行政法规规定的保护标准，如《网络安全法》《数据安全法》，及未来可能生效的《网络数据安全管理条例》等，《数据出境评估办法》还要求达到强制性国家标准的要求。

《数据出境评估办法》《跨境安全认证规范》和《出境标准合同规定》所要求的同等保护原则，有利于进一步严格确保出境数据的安全，对数据处理者的数据出境合规提出了符合立法目的和出境监管的要求。企业需要将此要求作为重要条款放入与境外接收方的相关协议中，以对境外接收方进行约束和适当的风险分配，并应确保境外接收方提供真实材料来证明其具有达到我国相关法律法规、强制性国家标准规定的数据保护标准的能力。

2. 进行事前评估

《数据出境评估办法》第5条规定，数据处理者在申报数据出境安全评估前，应当开展数据出境风险自评估，重点评估数据出境和境外接收方处理数据的目的、范围、方式，出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险等。

《跨境安全认证规范》第4.4条和标准合同第5条规定，个人信息处理者应事前进行个人信息保护影响评估，包括向境外提供个人信息活动是否合法、正当、必要，所采取的保护措施是否与风险程度相适应并有效等。数据出境风险自评估与个人信息保护影响评估的目的都是通过评估的手段发现风险，在评估内容上也存在相似之处，但是个人信息保护影响评估更加侧重对个人权益的影响，自评估还关注给国家安全、公共利益等带来的风险。尽管两者在概念上存在差异，在具体操作上，自评估与个人信息保护影响评估可以合并开展，进而避免重复评估而造成的资源浪费[2]。

3. 与境外接收方签订完备的法律文件

《数据出境评估办法》第9条规定，数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务。《跨境安全认证规范》第4.1条规定，个人信息处理者和境外接收方之间应当签订具有法律约束力和执行力的文件，确保个人信息主体权益得到充分的保障。《出境标准合同规定》则直接为企业实施个人信息跨境传输提供了合同模板。依此，企业为合法实施数据和个人信息的跨境传输，应与境外接收方签订完备的法律文件，确保出境数据和个人信息的安全。

4. 切实履行监督义务

根据《数据出境评估办法》第5、9、14条，《跨境安全认证规范》第5.2条，《出境标准合同规定》第5条和《个人信息出境标准合同》第3条，在数据、个人信息出境中和出境后，数据处理者、个人信息处理者还应对境外接收方进行充分的监督，包括：

（1）数据出境中和出境后是否遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等，个人信息出境后是否遭到泄露、损毁、篡改、滥用等，若遭遇此类风险，境外接收方是否妥善开展应急处置并保障个人维护其个人信息权益的途径和方式；

（2）境外接收方将出境数据再转移给其他组织、个人，是否履行了相应的约束性义务；

（3）境外接收方的实际控制权或者经营范围是否发生实质性变化，若是，境外接收方是否采取了相应的安全措施；

（4）境外接收方所在国家、地区数据安全保护政策法规、个人信息保护政策法规和网络安全环境是否发生变化以及是否发生其他不可抗力情形导致难以保障数据和个人信息安全，若是，境外接收方是否采取了相应的安全措施等；

（5）在超出为实现处理目的所必要的最短存储期限后，除非取得个人信息主体关于存储期限的单独同意，境外接收方是否对个人信息（包括所有备份）进行删除或匿名化处理；

（6）境外接收方是否采取有效的技术和管理措施，是否确保授权处理个人信息的人员履行保密义务，并建立最小授权的访问控制策略，使前述人员只能访问职责所需的最小必要的个人信息，且仅具备完成职责所需的最少的数据操作权限，以此保障个人信息处理安全等。

四、结语

滴滴事件的重要启示之一是数据出境绝不仅仅是只关涉企业自身利益的企业行为，企业必须从国家安全、公共利益、个人信息主体权益保护等多重角度来监督和管理数据出境。对于需要进行数据出境的企业来说，需根据自身情况选择合法的数据出境合规路径，切不可因一时的利益追求置数据出境的合规安全于不顾。滴滴事件的警钟务必长鸣！

感谢中央财经大学2021级法律硕士智佳琦同学对本文提供的支持和帮助。

参考文章：

1. 参见南方周末：《中国信息安全研究院左晓栋：“对滴滴审查的重点是重要数据的出境安全风险”》，载http://www.infzm.com/wap/#/content/209140，最后访问日期2022年7月25日。

2. 王新锐、卢璟等：“《数据出境安全评估办法》主要制度和常见误解”，载，最后访问日期2022年7月25日。

律师介绍

刘卉律师

清华大学民法学博士，拥有近十六年的法律从业经验

北京市物权法研究会 理事

策略律师事务所数据合规项目组成员

EXIN数据保护官（DPO）&信息安全官(ISO)双认证律师

栾树 实习律师

加拿大蒙特利尔大学国际商法学与北美普通法学硕士

策略律师事务所数据合规项目组成员

业务领域：

投资移民诉讼

数据安全与隐私保护

特别声明：以上仅代表笔者个人观点，不代表策略律师及策略律师事务所出具的任何形式之法律意见。如有意向就相关议题进一步交流探讨，欢迎与本所联系！