结合《评估申报指南(第二版)》和《标准合同备案指南(第二版)》明确了哪些行为属于“数据出境”,包含
(一)数据处理者将在境内运营中收集和产生的数据传输至境外;
(二)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
(三)在中华人民共和国境外处理境内自然人个人信息等其他数据处理活动。
因此,在判断是否涉及“数据出境”时,企业需要重点关注:
1. 该等数据是否在“境内运营过程中”收集和产生;
2. 企业的行为是否属于“向境外提供”,或可以被境外“查询、调取、下载、导出”;
3. 在境外处理境内自然人个人信息等其他数据处理活动,是否符合《个人信息保护法》第三条第二款情形,即在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,包括
①以向境内自然人提供产品或者服务为目的
②分析、评估境内自然人的行为
③法律、行政法规规定的其他情形。
(一)是否在“境内运营过程中”收集和产生
在判断数据是否属于在“境内运营过程中”收集和产生前,应厘清“境内”及“境内运营”的含义。
对于“境内”的含义,我国目前分为“国境内”和“关境内”两种类型。“国境内”指国家行使主权的领土范围,其指代范围包括中国大陆、香港特别行政区、澳门特别行政区、台湾地区(以下合称港澳台地区);“关境内”则指使用同一海关法或实行同一关税制度的区域。根据《中华人民共和国出入境管理法》附则中提到的定义,“出境”指由中国内地前往其他国家或地区,包括由中国内地前往香港特别行政区、澳门特别行政区,由中国大陆前往台湾地区。在这种定义下港澳台地区属于“境外”范围。
《网安条例(征)》第十三条提出“数据处理者赴香港上市,影响或者可能影响国家安全的”需按有关规定申报网络安全审查。从该条规定可以推断出,数据跨境相关法律法规在对“境内”的进行定义时也倾向从“关境内”的角度进行解释,即认为由中国大陆向港澳台地区传输数据的行为属于“出境”行为。
对于“境内运营”,目前行业内普遍认为,“境内运营”是指网络运营者在中国境内开展业务,提供产品或服务。实践中,若企业运营的产品仅向境外提供服务,且不收集境内数据,此种情况不属于“境内运营”。同时,如果境内的网络运营者仅向境外机构、组织或个人开展业务、提供商品或服务,不涉及处理境内的个人信息和重要数据,此种场景也不纳入“境内运营”的范围。
(二)是否属于三种典型数据出境行为
企业实践中涉及的数据出境行为通常分为以下三种类型:
1. 数据处理者将在境内运营中收集和产生的数据传输、存储至境外
在实践中,可能被认定为数据出境的场景包括:
a) 通过具有数据传递功能的介质向境外提供数据(图1)
具有数据传递功能的软件或硬件等物理介质可以包括电子邮件、FTP、跨境搭建的 VPN、API 或常见的 U 盘、移动硬盘或便携式笔记本等。该场景属于较容易识别的数据出境场景。
b) 将数据上传或存储至位于境外的服务器或云端(图2)
如果企业使用的信息系统、软件平台或数据库的服务器或云端部署在境外(如跨国企业使用境外服务商运营及/或部署的信息系统),也会构成境内主体主动向境外传输数据。
c) 经由第三方向境外传输数据 (图3)
此外,境内主体和境外主体之间的数据传输活动往往还会涉及第三方。例如,境外主体委托境内或境外第三方供应商代为收集境内运营中产生的数据。在这种情形下,尽管境外主体未直接收集数据,但如果第三方供应商是受境外主体委托而处理数据,则境外主体是数据处理者,并因此很可能被认定是数据的境外接收方。
2. 收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出(公开信息、网页访问除外) (图4)
在判断是否属于数据出境行为时,也应关注“境外主体获取/访问境内数据”这个因素,即无论境内主体与境外主体如何实施数据传输行为,只要存在境外数据处理者查询、调取、下载、导出于境内运营中产生的数据的情况,则属于数据出境。
由此可见,跨国公司、同一经济/事业实体下属子公司或者关联公司访问、调用、下载、导出存储于境内数据的行为也属于数据出境。例如,外国公司在中国投资设立的企业(即 FIE)的境外母公司对 FIE 存储于中国服务器中相关数据进行访问的行为属于数据出境。
3. 在境外处理境内自然人个人信息等其他数据处理活动
除“数据处理者将在境内运营中收集和产生的数据传输、存储至境外”和“收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出”外,《评估申报指南(第二版)》和《标准合同备案指南(第二版)》明确提出了第三种出境行为:“符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他个人信息处理活动”。
具体而言,《个人信息保护法》第三条第二款规定,“在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一)以向境内自然人提供产品或者服务为目的;
(二)分析、评估境内自然人的行为;
(三)法律、行政法规规定的其他情形。
对于“以向境内自然人提供产品或者服务为目的”,可以理解为以我国为目标市场并以个人为对象的跨境交易。对于相关境外个人信息处理者是否以我国为目标市场,应当综合多种因素对其商业意图进行判断,如境外处理者的网站、应用程序使用中文对相关产品和服务进行标识、介绍;将人民币作为支付货币或者接入我国境内支付工具等,可以表明该境外处理者将我国作为目标市场。
对于“分析、评估境内自然人的行为”,与《通用数据保护条例》(欧盟第2016/679 号条例)(下称 GDPR)下“监控”(Monitoring of EU Customers'Behaviour)的概念类似。GDPR Recital 24 中规定“为了确定处理活动是否可以被视为监控,需要确定自然人是否在互联网上被跟踪记录,或者潜在地后续使用个人数据处理技术,包括对自然人进行数据画像特别是做出自动化决策,或者对其个人偏好、行为或态度做出分析或预测”。参考上述概念,“分析、评估”可以理解为通过持续记录、追踪相关个人信息,并通过后续的处理技术,对个人的行为习惯、兴趣爱好或者经济、健康、信用状况等作出分析或预测。
例如,一名中国用户浏览某招聘平台的国际版网站查看海外求职市场的招聘信息,并注册了用户账号。位于美国的该平台总部对该名中国用户的个人信息进行了分析、评估,并在此基础上向其发送了求职工作岗位相关的个性化推送。此种场景符合在中国境外“分析、评估境内自然人的行为”,因此属于数据出境行为。
而“法律、行政法规规定的其他情形”为兜底性条款。考虑到新技术新应用的发展可能为规制个人信息处理活动带来挑战,兜底性条款为相关法律、行政法规应对跨境处理活动管理过程中出现的新问题,提供了必要的适用空间与灵活性。
来源:环球律师事务所等团队
401
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
