公安三所网络安全法律研究中心
近年来,我国加快完善数据出境管理相关立法,持续探索数据出境制度设计并总结实践经验,对数据出境管理体系进行动态调整,目前已形成以个人信息和重要数据为主要规制对象,以数据出境安全评估、个人信息保护认证、个人信息出境标准合同为常态化路径的数据出境制度,实现兼顾事前、事中与事后监管,适应新形势下数据安全与发展的需要。数据处理者开展数据出境活动应当遵守相关要求,避免产生违规出境法律责任。
《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》共同构建起我国数据出境管理基本框架,数据出境安全评估、个人信息出境标准合同、个人信息保护认证成为数据出境的常态化路径。《数据出境安全评估办法》《个人信息标准合同办法》《促进和规范数据跨境流动规定》《个人信息保护认证实施规则》等配套措施对上述数据出境路径做出细化规定,数据处理者开展数据出境活动,应当准确适用数据出境路径。
在适用的优先级别上,数据出境安全评估、个人信息出境标准合同以及个人信息保护认证3种路径非并列关系,作为强制性义务,数据处理者应首先判断自身是否适用数据出境安全评估路径。属于:(1)关键信息基础设施运营者向境外提供个人信息或者重要数据;(2)关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息情形之一的,应当申报数据出境安全评估。不属于上述情形的,可以选择通过个人信息出境标准合同或是个人信息保护认证进行出境。
另外,数据处理者基于以下情形向境外提供我国境内个人信息,可免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。一是为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息;二是按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;三是紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息;四是为履行法定职责或者法定义务,确需向境外提供个人信息;五是关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)。另外,自贸区内数据处理者,适用“负面清单制度”开展数据出境活动。
数据出境路径的具体适用情况见下表:
数据处理者存在下列情形之一的,应当承担相应法律责任:
(一)未经数据出境安全评估、个人信息标准合同备案、个人信息保护认证,擅自向境外提供数据的;
(二)未通过数据出境安全评估、个人信息标准合同备案、个人信息保护认证,仍将数据向境外提供的;
(三)超出安全评估/合同备案/保护认证时明确的数据出境目的、方式、范围和种类、规模等向境外提供数据的;
(四)其他违反数据出境管理要求的情形。
数据处理者违反数据出境管理要求,开展数据出境活动的,监管部门依据《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》给予相应行政处罚,相关法律条款规定如下:
《网络安全法》
第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
第六十六条 关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
第四十六条 违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
第三十八条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。
个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
第六十六条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
第三十五条 符合下列条件之一的,网络数据处理者可以向境外提供个人信息:
(一)通过国家网信部门组织的数据出境安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)符合国家网信部门制定的关于个人信息出境标准合同的规定;
(四)为订立、履行个人作为一方当事人的合同,确需向境外提供个人信息;
(五)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息;
(六)为履行法定职责或者法定义务,确需向境外提供个人信息;
(七)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息;
(八)法律、行政法规或者国家网信部门规定的其他条件。
第三十七条 网络数据处理者在中华人民共和国境内运营中收集和产生的重要数据确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。网络数据处理者按照国家有关规定识别、申报重要数据,但未被相关地区、部门告知或者公开发布为重要数据的,不需要将其作为重要数据申报数据出境安全评估。
第三十八条 通过数据出境安全评估后,网络数据处理者向境外提供个人信息和重要数据的,不得超出评估时明确的数据出境目的、方式、范围和种类、规模等。
除上述行政责任外,数据处理者未依法履行告知义务、未获得个人单独同意,或超出“履行合同所必需”的范围向境外提供个人信息等,构成对个人信息权益侵害的,应当承担民事侵权责任;情节严重的,还可能构成《刑法》第253条之一规定的“侵犯公民个人信息罪”。另外,数据处理者擅自将数据传输至境外,若相关数据被依法认定为“国家秘密”或“情报”,还可能构成《刑法》第111条规定的“为境外窃取、刺探、收买、非法提供国家秘密、情报罪”,依法承担刑事责任。
根据《网络安全法》《数据安全法》《个人信息保护法》,国家网信部门负责统筹协调网络安全、数据安全和个人信息保护工作以及相关监督管理工作,国务院电信主管部门、公安部门等在各自职责范围内承担安全监管职责。法律责任部分,对于有权处置的监管部门,《网络安全法》《数据安全法》采用“有关主管部门”表述,《个人信息保护法》采用“履行个人信息保护职责的部门”表述。网信、电信、公安部门属于“有关主管部门”“履行个人信息保护职责的部门”范畴,有权针对数据违规出境行为做出行政处罚。
作者:胡柯洋 公安部第三研究所助理研究员
转载请注明来源:“公安三所网络安全法律研究中心”微信公众号
责编:
审核:白信强
责编:白信强