数安条例百问66、67、68：关于数据出境的单独同意、评估条件与国际协议

数据安全君

小贝案语
11月14日，国家互联网信息办公布了《网络数据安全管理条例（征求意见稿）》。为此，小贝说安全设立《网络数据安全管理条例（征求意见稿）》（后文简称《条例》）解读专栏，以百问百答的形式对《条例》进行系列解读。

需要指出，这些解读只是专家个人观点，不代表官方意见；且这些解读针对的是征求意见稿，未来条文本身可能会发生变化，不排除会有新增和删除。

对应条款
第三十六条 数据处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外数据接收方的名称、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外数据接收方行使个人信息权利的方式等事项，并取得个人的单独同意。
收集个人信息时已单独就个人信息出境取得个人同意，且按照取得同意的事项出境的，无需再次取得个人单独同意。

解读
《个人信息保护法》第二十三条规定，个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。
  
而向境外提供个人信息是“向其他个人信息处理者提供其处理的个人信息”的一种特殊情况，故除了继续履行《个人信息保护法》第二十三条的义务外，还应落实更加严格的安全要求。因此，《个人信息保护法》第三十九条规定，个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。该条中，增加了向个人告知“个人向境外接收方行使本法规定权利的方式和程序”的要求，并继续要求取得个人单独同意。
  
但实践中，很多人反映，收集个人信息和个人信息出境往往不是发生在同一时刻。一般情形下，数据处理者很可能已经收集了个人信息，但在未来的某一时刻决定跨境传输信息。出境时追溯个人并取得其单独同意，往往不现实，可能会严重降低数据出境的效率，社会成本过于高昂。
  
上述担心有一定道理，但鉴于数据出境属于敏感事项，故原则上还是应当征得个人单独同意。但是，《条例》第三十六条也指出，收集个人信息时已单独就个人信息出境取得个人同意，且按照取得同意的事项出境的，无需再次取得个人单独同意。这实际上是对个人信息出境减免了一些义务，体现在单独同意不一定发生在数据跨境时刻，收集个人信息时已单独就个人信息出境取得个人同意的，也视为个人信息出境的单独同意。
  
这一规定与《条例》“附则”中的“单独同意”有所差别。“附则”中的“单独同意”强调，其应当在处理数据的时刻作出，这主要是为了使用户做到足够的注意，防止用户在事发前“稀里糊涂”同意。但鉴于数据出境本身比较特殊，在收集时如已尽到告知义务，此时已经可以使用户做到足够注意，加之为了取得数据出境安全与便利之间的平衡，故《条例》对数据出境时的单独同意作了特别规定。

对应条款
第三十七条 数据处理者向境外提供在中华人民共和国境内收集和产生的数据，属于以下情形的，应当通过国家网信部门组织的数据出境安全评估：

（一）出境数据中包含重要数据；
（二）关键信息基础设施运营者和处理一百万人以上个人信息的数据处理者向境外提供个人信息；
（三）国家网信部门规定的其它情形。
法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

解读
《个人信息保护法》第三十八条和《条例》第三十五条均列出了数据出境的几种条件：
  
（一）通过国家网信部门组织的数据出境安全评估；
（二）数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证；
（三）按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同，约定双方权利和义务；
（四）法律、行政法规或者国家网信部门规定的其他条件。
  
《条例》的上述写法继承了《个人信息保护法》，但两者都容易给人错觉，使人误认为以上四个条件是并列的。事实上，特定数据出境时，需要通过国家网信部门组织的数据出境安全评估；其他数据出境时，不需要由国家网信部门组织开展评估，此时可以根据具体情况选择第（二）（三）或（四）种方式。亦即，第（一）个条件与其他条件并不是并列的。
  
那么，什么情况下需要通过国家网信部门组织的数据出境安全评估呢？《条例》第三十七条列出了以下三种情况：

即，只要是重要数据，则出境时必经安全评估。对个人信息而言，如其属关键信息基础设施运营者向境外提供，则应经安全评估；如其不属于关键信息基础设施运营者收集产生的个人信息，则在数据处理者拥有一百万人以上个人信息时，应对个人信息出境进行安全评估。

对应条款
第三十八条 中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。

解读
习近平总书记指出，信息流引领技术流、资金流、人才流。国际贸易的发展，背后是数据的跨境流动在支持。因此，各国之间正在频繁开展关于数据跨境方面的磋商，有的国家间已经达成了数据跨境协议，或一些国际组织成员国已经联合签署了与数据安全有关的贸易协定。

于是问题产生了，如果这些协议或协定之中已对数据出境作了明确安排，那么是以这些协议、协定为准，还是以法律规定的数据出境安全管理制度为准呢？
  
各国在此方面的做法是一致的：以协议、协定为优先。
  
最典型的例子是欧盟实施《通用数据保护条例》（GDPR）前后，欧盟与美国签署的协议。其具体过程如下：
  
（一）欧盟1995年出台《个人数据处理及自由流动保护指令》后，应美国商务部要求，经过不断磋商，欧美签署了《安全港协议》。其实质是，欧盟承认美国商务部的一揽子安排，即《安全港协议》满足了指令中“对个人数据进行充分保护”的要求，只要美国企业声明加入该协议，就可以使欧盟的个人数据流向美国企业，免去了欧盟各国可能对其进行的数据保护方面的审查和诉讼。
  
（二）斯诺登事件损害了欧美互信，欧盟开始担心美国政府利用反恐之名获得美国企业掌握的欧洲个人数据，美欧之间的平衡开始倾斜，欧盟内部出现了废除该协议的声音。2015年10月，欧盟高等法院判决《安全港协议》无效。深层次原因有很多，例如：协议只覆盖了公司保护个人数据情况，没有覆盖政府获取个人数据的情况；没给欧洲公民救济措施；美国企业可以根据国内法义务违反协议，但却不被追究；欧盟各国无权审查美国做法是否合规。
  
（三）2015年10月起，欧美紧急磋商，应对《安全港协议》失效对美欧商贸往来造成的冲击。2015年10月26日，欧美就新的跨大西洋数据转移协议达成原则性一致：美国商务部要有更大的监管力度来确保美国企业保护了欧盟个人数据；要给消费者更多透明度，使消费者了解企业是如何处理个人数据的；设立由美欧双方共同运行的年度检查机制。这被称为《隐私盾协议》。2016年6月12日，《隐私盾协议》被欧盟委员会采纳，并于2016年8月1日生效。
  
（四）欧洲“数字主权”意识的觉醒，使其在实施《隐私盾协议》数年后，对该协议是否能够充分保护欧盟个人数据进行调查。2020年7月16日，欧盟法院作出判决，认定美欧数据跨境转移机制《隐私盾协议》无效。至此，欧洲向美国传输数据又不得不回到了标准合同条款（“SCC”）等老路上。
  
目前，欧盟与美国尚未达成新的数据跨境协议。但以上例子却给了大家一个直观的关于数据跨境国际协议、协定的例子。既然我国《个人信息保护法》和《条例》都对国际协议、协定的优先级作了规定，就相当于国家正在通过立法作出政策宣示：对达成数据跨境国际协议、协定持积极态度，愿意与各国展开磋商。

【下期预告】
69、如何理解数据出境的安全管理义务？
70、如何理解数据出境安全报告？

【往期链接】
0、条例正文
1、《条例》的定位及其同《数据安全法》和《个人信息保护法》的关系是什么？
2、如何理解《条例》的结构？
3、如何理解《条例》名称中使用的是“网络数据”？
4、如何理解数据处理者？
5、如何理解《条例》的域外效力？
6、如何理解《条例》的不适用范围？
7、如何理解数据分类分级保护制度？
8、如何理解数据分类分级管理？
9、如何理解重要数据？
10、如何理解重要数据与个人信息的关系？
11、如何组织识别重要数据和核心数据？
12、如何理解重要数据和核心数据目录？
13、如何理解数据开发利用？
14、如何理解数据交易管理制度？
15、如何理解数据处理者的安全保护义务？
16、如何理解等级保护、关键信息基础设施安全保护与数据安全的关系？
17、如何理解对发现安全缺陷、漏洞、风险时提出的补救措施要求？
18、如何理解数据处理者的应急处置义务？
19、如何理解重要数据或者十万人以上个人信息事件的处置义务？
20、如何理解向第三方提供个人信息或发送重要数据的安全要求？
21、如何理解“单独同意”？
22、为什么要求留存个人同意记录？
23、如何理解《条例》提出的网络安全审查要求？
24、《条例》规定的网络安全审查与《数据安全法》规定的数据安全审查是什么关系？
25、为什么对数据处理者赴国外上市和赴香港上市分别提出不同的审查要求？
26、为什么对大型互联网平台运营者在境外设立总部或者运营中心、研发中心提出安全要求？
27、为什么对合并、重组、分立或解散、破产提出数据安全要求？
28、为什么要对国家机关专门提出数据安全要求？
29、如何理解对自动化工具访问、收集数据的安全要求？
30、《条例》提出数据安全情况披露要求是基于什么考虑？
31、如何理解对“合法、正当、必要”提出的要求？
32、为什么增加了对处理个人信息“频次”“时机”的要求？
33、为什么要细化对个人信息处理规则的要求？
34、如何理解对个人信息处理规则提出的“清单形式”？
35、为什么要在个人信息处理规则中对第三方代码、插件提出要求？
36、无法对掌握开源第三方代码的个人信息处理规则怎么办？
37、为什么要细化对“同意”的要求？
38、为什么规定不得以改善服务质量等为由强迫要求用户同意处理个人信息？
39、什么叫做“频繁”征求同意？
40、对个人同意行为有效性存在争议时如何处理？
41、如何理解“十五个”工作日的删除个人信息要求？
42、如何理解“无法避免采集”场景？
43、《条例》从哪些方面保障个人行使查询、复制等权利？
44、如何理解个人信息转移请求？
45、如何理解个人请求直接对外转移个人信息的条件？
46、《条例》对生物特征应用的规定是基于什么考虑？
47、如何理解对生物特征识别的必要性、安全性评估？
48、如何理解重要数据处理者的要求适用于一百万人以上个人信息处理者？
49、如何理解《条例》对建立对个人信息保护制度和重要数据安全制度的侧重点不同？
50、如何理解对数据安全负责人和数据安全管理机构的要求？
51、为什么要求数据安全负责人有权直接向网信部门反映情况？
52、如何理解重要数据处理者的备案要求？
53、如何理解对重要数据处理者的培训要求？
54、如何理解重要数据处理者采购网络产品和服务的要求？
55、如何理解对重要数据处理者和赴境外上市数据处理者的年度数据安全评估要求？
56、如何理解对外提供数据的风险评估要求？
57、对外提供数据前由谁实施风险评估？
58、对外提供数据前所作的风险评估报告怎么使用？
59、《条例》提出的数据安全风险评估与以前的风险评估有什么区别？
60、共享、交易、委托处理重要数据前需要遵循什么规定？
61、如何理解云计算安全评估制度？
62、为什么要单设“数据跨境安全管理”一章？
63、如何理解数据出境？
64、为什么在数据出境的“认证”条件中，要求数据接收方也要经过个人信息保护认证？
65、如何理解个人信息出境的例外要求？

  总编辑|小贝