数据出境的境外接收方和再转移安排要审什么?
数据出境路径判断前,应先核对境外接收方身份与所在地、处理目的方式范围期限、数据类型数量、保护措施和再转移边界;若涉及个人信息,还应核对个人权利保障,不能只写“集团内部”或云服务商名称。
数据出境材料里写“集团内部使用”或列出一家云服务商,仍不足以说明数据实际交给谁、在哪里处理、用于什么目的,以及能否继续交给其他主体。
吕箐翎律师的判断是:在选择安全评估、个人信息出境标准合同、个人信息保护认证或其他路径之前,应先把每个境外接收方及其再转移安排核实到可验证的主体、数据和权限范围。接收方身份、所在地、处理边界或再转移事实缺失时,路径判断没有可靠事实基础;本轮也不能反过来用某一种路径名称替代这些材料。
接收方要核到具体主体,而不是商业标签
第一步应确认境外接收方的完整身份、所在地及其在项目中的实际角色。同一集团可能有多个法人主体、运营主体或技术服务主体;同一云服务品牌下也可能存在不同的签约方、实际处理方和后续服务方。“集团公司”“海外总部”“云平台”都不是足以闭合判断的接收方信息。
涉及个人信息出境时,《中华人民共和国个人信息保护法》要求告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息种类,以及个人向境外接收方行使法定权利的方式和程序。因而,合同名称或采购订单只能作为线索,还要与实际接收主体和数据流向相互对应。
处理边界要与出境数据逐项对应
对每个接收方,应分别核对处理目的、处理方式、使用范围和期限,并对应具体的数据类型和数量。只写“业务支持”“系统优化”或“全球协同”,无法说明为什么需要这些数据、接收方能够进行哪些处理,也无法判断实际范围是否超出申报或约定材料。
保护措施同样要落到当前接收关系,包括接收方采取什么安全措施、谁能够访问、发生权限或处理范围变化时如何记录;若涉及个人信息,还要核对个人权利如何获得保障。一般数据或重要数据则应按适用的数据安全规则、合同约定和实际数据流向核验,不能仅凭《网络数据安全管理条例》或《中华人民共和国数据安全法》等法律名称推定某个接收方已经采取了充分措施。
再转移不能藏在概括授权里
接收方可能把数据进一步交给关联公司、分包服务商或其他主体。首轮材料应明确:是否允许再转移,在什么条件下可以发生,可能涉及哪些接收主体或范围,再转移可以用于什么目的、处理哪些数据,以及原接收方与后续接收方分别承担什么责任。
还应核对再转移是否改变最初的处理目的、方式、期限和数据范围,现有合同、安全措施及记录能否覆盖这种变化;若涉及个人信息,还要核对个人权利保障是否随之改变。写有“可向关联方或合作伙伴提供”的概括条款,不能证明再转移边界已经闭合;但材料不完整也不等于可以直接断言再转移违法,应先列明缺失的主体、条件、范围或责任事实。
本轮不替项目选择出境路径
《促进和规范数据跨境流动规定》等规则会影响具体项目的路径判断,但是否适用安全评估、标准合同、认证或特定便利化安排,需要结合数据类型、数量、处理者情况、出境场景和现行规则另行判断。本文不提供统一阈值,也不以接收方位于某一国家或地区为由预设当地法律结论。
先形成接收方与再转移核验表
第一轮应为每个境外接收方记录具体主体、所在地、角色、目的、方式、范围、期限、数据类型与数量和保护措施;若涉及个人信息,再记录个人权利保障;如允许再转移,再增加触发条件、后续接收范围、处理边界、记录方式和责任分配。一般数据或重要数据按适用数据安全规则、合同和实际流向核验。相应事实可以由合同、数据清单、系统配置、供应链说明或能够证明同一事项的其他材料闭合。缺项时先标记待核事实,不选择出境路径,也不把“集团内部”或云服务商名称写成审查结论。
参考资料
- [1] 《促进和规范数据跨境流动规定》
- [2] 《中华人民共和国个人信息保护法》
- [3] 《网络数据安全管理条例》
- [4] 《中华人民共和国数据安全法》