【中国数据跨境传输】中国：跨境数据传输监管在中国的发展

过去的一个月对每个人来说都很忙。正如你现在可能已经听说的，中国网信办和其他机构最近发布了一系列法规、条例草案和指导方针，将改变中国的跨境数据传输环境。

由于这些新规定，我们收到了许多客户的询问，他们希望了解新规定将如何影响他们的业务。

因此，为了让我们的主要客户了解不断变化的监管环境，我们为您整理了这本关于中国出境数据传输法律制度新发展的特刊。

本特刊将向读者简要介绍中国跨境数据传输法规最近发生的变化。它涉及以下不同的跨境数据传输法律机制：

• CAC进行的跨境数据传输安全评估；
• 跨境数据传输标准合同；和
• 跨境数据传输认证。

我希望你觉得这个特别版有帮助。

中国发布跨境数据传输安全评估规则

2022年7月7日，中国网信办发布了《出境数据传输安全评估办法》（“《办法》”），自2022年9月1日起施行。《办法》于2017年、2019年和2021年进行了三轮公众咨询，最终定稿。

《办法》最后共有20条。我们在《措施》中确定了11个主题，涵盖：

No.	Topic	Articles
1.	Purpose and scope	1 & 2
2.	Important data	19
3.	Security assessment triggers	4 & 14
4.	Data transfer legal documents	9
5.	Self-assessments	5
6.	Security assessment applications	6
7.	Security assessments	3, 8, 10, 11 & 14
8.	Security assessment timescales	7, 12 & 13
9.	Confidentiality obligations	15
10.	Liability	16, 17 & 18
11.	Effective date and transitional period	20

在下文中，我们将依次讨论我们确定的每一个主题。

目的和范围——第1条和第2条

《办法》的明确目的是“规范出境数据传输活动，保护个人信息权益，保护国家安全和社会公共利益，促进数据安全自由跨境流动”（第1条）。

第2条还指出，本办法适用于数据处理者通过其在中国的业务收集和生成的涉及重要数据和个人信息的出境数据传输的安全评估。基于第二条，《办法》似乎不适用于数据处理者从中国境外收集和生成的个人信息。

重要数据——第19条

《办法》对出境数据传输中的重要数据进行了定义。重要数据在中国法律法规中是一个模糊的概念，需要CAC和相关行业监管机构进一步完善。目前，这个术语只在汽车数据领域和一些法规草案中得到了进一步的定义。下面我们将《办法》中的定义与《车辆数据安全管理若干规定（试行）》（“试行规定”）中的核心定义进行比较。

出站数据传输安全评估办法	车辆数据安全管理若干规定（试行）	评论
本办法所称重要数据，是指篡改、损坏、泄露或者非法获取、使用可能危害国家安全、经济运行、社会稳定、公共卫生安全等的数据。	“重要数据”是指一旦被篡改、破坏、泄露或非法获取或使用，可能危及国家安全或公共利益，或侵犯个人或组织合法权益的任何数据，包括以下数据： [省略示例]	这两个定义都是基于风险的，尽管它们所考虑的后果略有不同。我们大胆地提出了更显著的差异。 由于CAC参与了这两项法规的制定，差异表明，重要数据的定义通常是：如果违反，可能危及国家、公众或个人利益的数据。

安全评估触发因素——第4条和第14条

如果数据处理机构：

1. 打算转移重要数据；
2. 是打算转移个人信息的关键信息基础设施运营商（“CIIO”）；
3. 是一名个人信息处理者，处理了100多万人的个人信息；
4. 自上一年1月1日以来，累计对外转移个人信息超过10万人；
5. 自上一年1月1日以来，累计向境外转移敏感个人信息超过1万人；和
6. 属于CAC规定的其他情形。

在许多行业，公司是否会被视为CIIO仍不清楚。尽管现有和未来的法规存在不确定性，但一个更直接的判断是，除非主管当局通知公司已被确定为CIIO，否则公司不是CIIO。

据了解，许多公司更希望看到触发安全评估的个人信息传输量阈值的提高。

在以下情况之一时，也可以重新触发安全评估：

1. 海外收件人的处理细节发生变化，这将影响数据的安全性，或者数据的保留期将延长；
2. 数据安全保护政策和立法以及网络安全环境发生任何变化，或海外接收方所在地发生不可抗力事件，
3. 数据处理方或海外接收方的实际控制权发生变化，或数据传输协议发生任何变化，这将影响出境数据的安全；或
4. 存在可能影响数据安全的任何其他情况。

数据传输法律文件——第9条

《办法》规定，数据导出方和数据导入方之间关于出境数据传输的法律文件应包括：

1. 对外数据传输的目的和方法、数据的范围以及数据处理的目的和方式；
2. 数据保留的地点和期限，以及保留期限届满、转让目的完成或协议终止时的义务；
3. 限制向外传输数据给他人；
4. 当海外接收方、目的国的法律、监管环境和网络安全环境发生重大变化，或发生不可抗力事件，难以确保数据安全时，应采取的安全措施；
5. 数据安全保护义务被违反时的补救措施、违约责任和争议解决；和
6. 当数据面临安全漏洞风险时，适当的应急处置要求，并确保个人保护其个人信息权益的渠道和方式。

与此相关的是，CAC还于2022年7月30日发布了《个人信息出口标准合同规定草案》，其中也涉及出境数据传输，并包含一份标准合同草案，该草案是为在不会触发《办法》下的安全评估的情况下使用而准备的。虽然它们肯定有一些相似之处，但企业不应认为签署标准合同符合《办法》的要求。

自我评估——第5条

在触发安全评估之后，但在提出安全评估申请之前，数据处理器应进行自我评估。数据处理人员在自我评估过程中需要解决以下因素：

1. 转让的合法性、合法性和必要性，以及海外接收方处理数据的目的、范围和方式；
2. 出境数据的数量、范围、类型和敏感性，以及出境数据可能对国家安全、公共利益以及个人和组织的合法权益构成的风险；
3. 境外接收方承担的责任和义务，以及境外接收方履行此类责任和义务的管理和技术措施及能力，是否能够确保出境数据的安全；
4. 出境数据在出境数据传输期间和之后遭受数据泄露（包括未经授权的继续传输）的风险，以及个人是否有畅通的渠道来维护其个人信息和其他数据的权益；
5. 数据传输协议或其他文件中是否充分规定了数据安全保护责任和义务；和
6. 可能影响出站数据传输安全的其他事项。

上述一些因素也是《个人信息保护法》（“PIPL”）要求的个人信息保护影响评估（“PIPIA”）的主题。我们认为，企业应同时考虑PIPL和《办法》下的所有评估因素，并进行一次综合自我评估，这将具有成本效益。

安全评估申请——第6条

安全评估申请应包含：

1. 申请表；
2. 自我评估报告；
3. 出站数据传输协议的副本；和
4. CAC要求的其他材料。

安全评估——第3、10、8、11和14条

根据《办法》第三条，对外数据传输的安全评估应当将事前评估与持续监督、自我评估和安全评估相结合。

CAC安全评估的实质内容与上述自我评估有很大重叠，但以下事项除外：

1. 数据安全保护政策和立法以及海外接收方所在国家或地区的网络安全环境对出境数据安全的影响；境外接收方的数据保护水平是否符合中国法律、行政法规和强制性国家标准的要求；
2. 遵守中国的法律、行政法规和部门规章；和
3. CAC认为需要评估的其他事项。

我们注意到，上文第1）项似乎描述了类似于欧盟的“转移影响评估”的内容，数据处理者不应在其自我评估报告中涵盖这些内容。由于政府部门资源有限，我们怀疑他们会否根据个别情况作出评估。因此，我们想知道目前是否存在中央转移影响评估清单，未来是否可以访问，以及如何管理和更新。

如果CAC需要额外材料，而数据处理者拒绝提交，CAC可以终止安全评估。

根据第14条，除非发生重新触发事件，否则安全评估的结果有效期为两年。数据处理者需要在到期后申请重新评估。

安全评估时间表——第7、12和13条

安全评估申请需要提交给相关省级CAC，CAC应在最长5个工作日内确认文件的完整性。然后，申请文件将提供给中央CAC，中央CAC可能需要长达7个工作日的时间来决定是否接受实质性审查的申请，实质性审查从发布书面接受申请之日起最多需要45个工作日。因此，在正常情况下，申请和接受安全评估的整个过程可能需要长达57个工作日（约2.5个月）。

然而，《办法》允许CAC在“案件复杂或有材料需要补充或更正……”的情况下“酌情”延长完成安全评估的截止日期

数据处理机构如对评估结果有异议，应在收到评估结果后14个工作日内申请重新评估。根据第15条，重新评估的结果是最终的。

保密义务——第15条

根据法律要求，参与安全评估的机构和工作人员必须对他们在工作中了解到的任何信息保密。这包括任何国家机密、个人隐私、个人信息、商业机密、机密商业信息和其他数据。

责任——第16、17和18条

任何人都可以向CAC举报违反本办法的行为。

CAC在数据传输实施过程中发现通过安全评估的出站数据传输不再符合《办法》的，可以通知数据处理方终止此类传输。如果数据处理者需要继续进行此类转移，则应在申请重新评估之前“按要求进行整改”。目前尚不清楚这一点的全部含义，但它表明，CAC最终可能会解释或解释数据传输协议，并决定这些协议是否得到了正确执行，或者他们可能会在评估后对传输附加条件，或者两者兼而有之。

违规行为将根据《网络安全法》、《数据安全法》或《PIPL》以及其他法律法规进行处理，具体取决于数据处理器、数据和违规性质。我们注意到，违反PIPL的行为可能会受到最高的处罚，具体而言，最高可达5000万元人民币或违法者上一年收入的5%。

生效日期和过渡期——第20条

《办法》自2022年9月1日起施行。这意味着，自2022年9月1日起，任何相关的出站传输都只能在数据处理器通过安全评估后进行。对于在2022年9月1日之前进行的出境数据传输，应在2022年09月1日后的6个月内完成“整改”。目前尚不清楚这是否意味着数据处理器必须在6个月的宽限期内通过安全评估，或者在这段时间内提交安全评估申请就足够了。尽管如此，考虑到这些截止日期、可能的延误、2022年春节假期和其他因素，我们建议数据处理者尽快提交安全评估申请。

总结

安全评估的要求显然给许多企业的运营增加了一层繁重的合规负担。触发安全评估的个人信息的各种阈值很低，可能会影响许多在中国开展业务的跨国公司。这些新要求也造成了一些不确定性，尤其是在依赖跨境数据传输开展业务的实体中。在《办法》全面生效并使安全评估的处理在实践中标准化之前，这种不确定性不会得到解决。

可能受到安全评估制度约束的企业应该立即采取行动——评估其数据流，重新谈判其跨境数据传输合同，并确保其数据保护做法符合《办法》和其他中国法律法规的要求。在高风险地区运营的企业也可能希望开始制定应急计划，以防被禁止将某些数据转移出中国。