在盘点跨境传输数据的数量时,企业可关注以下要点:
(一)在空间维度方面
在《跨境流动规定》发布实施前,统计跨境传输数据的数量时应全面考虑数据处理流程中所涉及的相关方。例如,除公司收集的用户个人信息外,企业内部员工及客户、供应商等商务联系人的信息均属于个人信息,适用数据出境的一般规则。因此,企业在统计个人信息数量时,尤其在判断是否达到了数据出境安全评估的门槛时,不仅需要计入 C 端用户数量,也应计入内部员工及客户、供应商等 B 端联系人的数量。
但根据《跨境流动规定》第七条第二款和第八条第二款以及《<促进和规范数据跨境流动规定>答记者问》可推知,目前企业在统计跨境传输数据的数量是否达到适用数据出境制度的门槛条件前,应先评估是否属于《跨境流动规定》提出的豁免情形,即
(1)国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的不含个人信息和重要数据的数据向境外提供;
(2)境外个人信息在我国处理且没有境内个人信息或者重要数据参与时,其后续向境外提供;
(3)为订立、履行个人作为一方当事人的合同确需向境外提供个人信息;
(4)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理确需向境外提供员工个人信息;
(5)紧急情况下为保护自然人的生命健康和财产安全确需向境外提供个人信息;(6)关键信息基础设施运营者以外的数据处理者自当年 1 月 1 日起累计向境外提供不满 10 万人个人信息且不含敏个人信息;
(7)自由贸易试验区内数据处理者向境外提供负面清单外的数据。
如果属于以上除了第(6)项以外的豁免情形,则不需要再计入累计数量。同时,《<促进和规范数据跨境流动规定>答记者问》《数据出境安全评估申报书(模板)》等进一步明确:
(i)在盘点跨境传输的个人信息数量时,应以自然人为单位去重后的统计结果为准;
(ii)对于境外接收方数量众多、范围不确定、无法逐一列举的,可以在申报时提供统计数据(关于此项要求的实际操作方式还有待监管部门提供更为详细的解释说明)。
此外,统计跨境数据数量时,除从境内传输数据至境外这一场景,境外访问境内运营中收集的数据也属于数据跨境传输的场景之一,其涉及的数据量也应算入跨境传输的数据总量中。
例如,境外员工访问国内数据库以及外籍员工出差到中国访问境内数据库等场景下涉及的数据量也应算入出境数据总量进行评估。数据出境申报者可以考虑通过网络流量监测的方式,对数据出境行为进行检测,检测、记录跨境数据传输的方式、跨境数据传输目的 IP、通过 IP地址库识别从境内传输数据至境外或境外访问境内数据的数量。根据咨询监管机构的结果,境外数据处理者访问境内数据这一情形的数据数量应以境外处理者可访问的数据数量计算。
(二)在时间维度方面
《评估办法》和《标准合同办法》在计算出境数据数量时以“自上年 1 月 1日起”为计算起始时间点,统计企业自上年 1 月 1 日起累计向境外提供的个人信息/敏感个人信息数量。《跨境流动规定》发布实施后,不再谈论上一年度累计个人信息出境数量问题,而是以“当年 1 月 1 日”起为基准、计算至申报数据出境安全评估之日。虽然两种统计方式都是以企业历史以往对外传输数据量为判断标准,但后者缩短了计算出境数据数量的时间周期,一定程度上提高了适用数据出境制度的门槛条件。
此外,需要注意的是,《数据出境风险自评估报告(模板)》还要求涉及个人信息出境的数据处理者,不仅需要在自评估报告中按照自然人(去重)统计当年的出境数量,还需预估未来 3 年的出境数量。
扫一扫
8万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
