Details

企业实务中的数据出境场景辨析(上)


《个人信息保护法》和《数据出境安全评估办法》(后文简称“安全评估办法”)生效以来,涉及数据业务的企业需要满足相应合规要求,主要包括自查是否存在数据出境行为、出境数量是否触达安全评估的申报要求、为数据出境行为设立法定依据等问题。为此,我们整理了实务中遇到的几个典型场景,分为上、下两个篇幅,提示企业如果存在类似行为模式,就可能构成个人信息的出境,进而可能需要适用出境安全评估办法向网信部门进行申报。


以下示例仅供参考,具体项目请以向网信部门的咨询回复意见为准。


场景一 :将境内个人信息存储在海外服务器 ///


D公司是一家为中国企业和个人开展海外金融业务的中国公司。为满足某海外国家针对个人金融数据的本地化要求,D公司购买了部署在该国的云计算服务器,用以存储和处理通过其App和web端收集到的中国境内个人的金融信息。D公司认为自己是应企业或个人用户要求而向境外金融机构提供个人信息,相当于已有用户的授权同意,因此不属于企业自身主动向境外提供个人信息,也无需按《个人信息保护法》《数据出境安全评估办法》及其它相关法律法规为其个人信息出境做合规管理。


分析 ///

根据网信办最新发布的《数据出境安全评估申报指南(第一版)》(后文简称“申报指南”),向境外提供数据的行为模式主要有两种:一是公司将在境内运营中收集和产生的数据传输、存储至境外,二是公司虽然将收集和产生的数据存储在境内,但境外的机构、组织或者个人可以查询、调取、下载及导出。因此,并非只有公司存在自身向境外机构或个人主动传输个人信息的数据处理行为模式时,才能被认定为“向境外提供数据”,D公司直接将在中国境内收集的个人信息存储在海外服务器上,也符合指南中第一种行为模式的描述,从而构成了数据出境


此外,D公司亦混淆了征得用户授权同意与需要为其数据出境行为做合规管理之间的关系。“向境外提供个人信息”,作为个人信息处理活动的一种,本身应当具备《个人信息保护法》第三十九条规定的“取得个人信息主体单独同意”,或第十三条规定的为履行合同所必需、为履行法定职责或义务所必需等其他法定情形之一;然而,在此基础上,D公司还应为自身的个人信息出境行为满足《个人信息保护法》第三十八条下的法定条件之一,即,通过安全评估、进行个人信息保护认证或与境外接收方签订数据出境标准合同。取得用户的单独同意与满足数据跨境“三件套”条件之一(通过安全评估/进行个人信息保护认证/签订数据出境标准合同)之间并非“二选一”的关系,而是应当同时满足。


场景二 :使用境外第三方SDK服务 ///


X公司是一家运营时尚购物平台的跨国公司,其App在中国应用商店上架并为中国顾客提供海淘服务,相关数据处理依托地理位置在中国境内的服务器进行。为保障该App相关功能的实现和安全稳定运行,X公司在该App中接入了若干海外服务商提供的第三方SDK——与这些SDK服务提供商之间的服务协议,均是X集团公司下属某境外主体签订的。X公司不确定在此种情形下,公司使用境外第三方SDK服务是否构成中国法意义下的数据出境,并需要为出境行为进行合规管理。


分析 ///

我国《个人信息保护法》第三条第一款规定,本法适用于在中国境内处理自然人个人信息的行为。因此,由于X公司运营的App依托中国境内服务器进行个人信息的处理,属于在中国境内处理,其就App进行的个人信息处理行为应当受到我国个保法的规制。至于在App中接入境外服务商提供的第三方SDK是否构成数据出境,则要看此类第三方SDK是否依托境外的服务器进行个人信息的处理。一般第三方服务提供商会在其服务协议及隐私政策中写明自身存储用户个人信息的位置或将用户个人信息传输至何处进行数据处理。例如,X公司使用的一款用于用户身份证件识别的第三方SDK就在服务协议中注明其提供相关服务依托的服务器位于法国某地。此外,个保法第三条第一款是以处理行为是否发生在中国境内进而判定其是否受到其规制,因此,与境外第三方SDK提供商签订与个人信息处理相关的服务主体是境内还是境外注册的公司,与个保法及其个人信息出境规则对X公司处理行为的适用,并没有直接关联。


场景三 :为用户提供和海外机构沟通的平台 ///


A公司是一家主要为中国个人用户提供医疗健康咨询服务的中国公司。为更好地解决用户在医疗方面的某些诉求,A公司引入了一些海外医疗机构入驻其App及PC端服务平台——用户可以通过A公司自主研发的聊天系统在App及PC端直接与海外医疗机构的专业人士进行沟通;聊天记录存储在A公司中国境内的服务器上,海外医疗机构亦可以登录A公司为其创建的系统管理后台查看与用户的历史聊天记录。A公司认为自身可能不存在数据出境行为,因为其没有主动收集并向境外提供个人信息,只是为用户提供了自身向境外提供个人信息的通道。


分析 ///

即时通讯软件、视频会议软件等聊天工具的使用,由于用户可选择与在世界各地的通讯方自由交流,因而几乎一定会涉及到通信内容中涵盖的个人信息出境的问题。然而,若通讯内容仅存储在用户终端设备,如微信在《隐私保护指引》中告知用户“我们不会收集你的聊天记录。你在微信中的聊天记录会存储在你的终端设备,你可以选择自行备份、删除或在不同设备中转移”,则公司侧没有收集和存储通信内容中涵盖的个人信息,也就无法向境外提供。


不过,在上述场景中,A公司主动创设了为用户与特定海外机构建立联系、传递个人信息的通道,并且将用户与海外机构间的通信内容存储在公司侧服务器上,允许海外机构登录其管理后台进行查阅——因此,A公司自身虽然没有主动向海外医疗机构传输用户的个人信息、也未具体设定出境个人信息的种类,但其数据处理模式仍属于将收集和产生的数据存储在境内并允许境外机构查询、调取,符合指南中第二种行为模式的描述,从而构成了数据出境。另外,由于A公司提供的是与医疗健康相关的咨询服务,亦应预见到用户极可能与海外医疗机构分享个人生物识别、生理健康相关的敏感信息,因此在上述场景中应按出境敏感个人信息计算涉及个人信息主体数量是否会触发安全评估机制。


Back Next