目前《个人信息保护法》在数据跨境监管领域设置有三条合规路径,分别是:数据出境安全评估、个人信息出境标准合同备案和个人信息出境保护认证。不管是哪条合规路径,都需要评估数据出境的必要性。目前,本团队收到了大量数据出境合规评估需求,如跨境电商境内用户个人信息出境、外资企业员工个人信息及客户个人信息出境等。
鉴于,不同业务场景的差异以及审查评判标准的不确定,导致判断数据出境行为是否具有必要性成为数据出境合规评估的重点和难点。
“出境必要性”评估标准的模糊为企业数据出境活动带来了不确定性,因此,本文梳理了判断数据“出境必要性”的参考维度,就个别场景下的“出境必要性”进行分析,以期为企业数据出境合规提供参考与借鉴。
01
与此相对应的是,某些推荐性标准对“必要性”作了进一步的解释,如国家市场监督管理总局、国家标准化管理委员会发布的《信息安全技术 个人信息安全规范》中认为,“必要性”应满足“直接关联”、“最低频率”以及“最少数量”的要求,“直接关联”指收集的个人信息的类型应与实现产品或服务的业务功能有直接关联,“最低频率”指自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率,“最少数量”指间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。除此之外,针对APP收集使用个人信息行为的“必要性”, 国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅发布的《App违法违规收集使用个人信息行为认定方法》中要求“业务功能关联性”、“业务功能实际需要频度”, 国家市场监督管理总局、国家标准化管理委员会发布的《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》则要求“最小范围”、“直接相关”。
综上所述,就个人信息处理的“必要性”而言,需要考虑个人信息类型、个人信息规模、个人信息处理频率三大维度:一是就个人信息类型而言要求“直接关联”,收集个人信息应与业务功能直接关联,即若没有该等个人信息的参与,业务功能无法实现;二是就个人信息规模而言要求“最少数量”,即实现业务功能的最少数量;三是个人信息处理频率而言要求“最低频率”,即实现业务功能所必需的最低频次。
在具体的个人信息处理场景中,确定收集的个人信息类型、规模、频率,不仅需要从对个人信息主体权益影响最小的角度考虑,也需要考虑个人信息处理者的商业利益、提供服务的成本、数据资产的价值发挥等因素。
02
根据《数据出境安全评估办法》及其申报指南、《个人信息出境标准合同办法》及其备案指南、《个人信息跨境处理活动安全认证规范V2.0》来看,需要从数据出境的目的、范围、方式来判断“出境必要性”,故,较之“收集行为”主要从“范围”必要性的判断,“出境必要性”的判断维度更广。
截止目前,暂无针对“出境必要性”的内涵解释,亦无针对“出境必要性”的评判标准,《信息安全技术 数据出境安全评估指南》(草案)也仅从“范围”角度对出境行为必要性判断做出提示,因此,较之“收集行为”的必要性判断,“出境必要性”判断更难以把握。
我们结合实践经验,基于自身观点,尝试通过表格的形式对“出境必要性”进行初步分析,以供参考。
03
数据出境必要性判断:
2.范围:
(1)直接关联:向境外传输的个人信息为订单信息、收货地址、姓名、手机号码,与实现发货和交付义务密切关联,具有关联性。
(2)最少数量:因软件权限控制以及操作管理,海外仓供应链工作人员仅可根据工作需要访问相应的个人信息;
(3)最低频率:因软件权限控制以及操作管理,海外仓供应链工作人员仅在工作需要时,即海外商品发货和交付时,访问相应的个人信息。
因此,该数据出境“范围”满足“必要性”要求。
3.方式:为了满足海外商品发货和交付义务,海外仓供应链工作人员通过访问具备严格权限控制、操作管理和安全控制的内部供应链系统,获取用户收货信息,从而造成境内用户个人信息出境,该“方式”为实现业务需要所必须且具备安全性。若不访问该内部供应链系统,则难以获取收货信息以及安全性难以保证。
(二)海外旅游
数据出境场景:海外旅游服务提供者,为了履行为境内用户提供海外旅游服务的义务,需要预定海外酒店,因此,向海外酒店服务提供方提供境内用户的姓名、手机号、护照号。
数据出境必要性判断:
1.目的:该数据出境行为为海外旅游服务提供者履行海外旅游服务义务,完成酒店预定所必须,若不向境外酒店方提供境内用户的姓名、手机号、护照号,则无法预定酒店,因此该数据出境行为为“业务必须”,满足“必要性”要求。
2.范围:
(1)直接关联:向境外传输的个人信息为姓名、手机号、护照号,与预定酒店密切关联,具有关联性。
(2)最少数量:仅向境外酒店方提供居住该酒店的用户个人信息;
(3)最低频率:仅在预定海外酒店时,向境外酒店方提供用户个人信息。
因此,该数据出境“范围”满足“必要性”要求。
3.方式:为了履行预定酒店,提供海外旅游服务义务,在境外酒店方运营的APP填写境内用户订房信息,引起境内用户个人信息出境,该“方式”为实现业务需要所必须,若不使用境外酒店方运营的APP,则难以预定酒店。
如跨国集团因全球人力资源集中管理的目的,统一采购境外服务提供商的人力资源管理系统,境内分子公司使用该等管理系统,导致员工个人信息向境外传输的行为,是否满足“出境必要性”要求,目前存在争议,监管部门可能认为员工个人信息本地化处理即能满足进行人力资源管理、绩效评估、薪酬福利等需要,就“目的”而言,不具有“出境必要性”,但公司仍可以通过业务需求性、替代方案成本性、数据类型、数量以及频次的控制等综合论述。
如公司为了在发生网络灾难事件时,及时恢复运行状态,因此建立异地灾备中心,为了保障灾备中心的安全性及有效性,将灾备中心建立在境外,因此导致数据出境,对于该数据出境场景是否满足“必要性”要求,也存在争议,监管部门可能认为在中国大陆境内一定物理距离建立灾备中心即能满足保障网络运行安全的需求,就“目的”而言,不具有“出境必要性”,但公司仍可以通过对建立境外异地灾备中心的的业务合理性、技术合理性、替代方案成本性等综合论述。
04
鉴于“出境”与“收集”属于不同场景,故,“必要性”的讨论不可简单等同,即使《信息安全技术 数据出境安全评估指南》(草案)从“范围”角度对出境行为必要性判断做出提示,但对于依据《数据出境安全评估办法》、《个人信息出境标准合同备案》等规定对“目的、范围、方式”必要性的统筹判断是远远不够的。
“出境必要性”评估需要综合论述,既可以从“法定因素”“业务因素”“成本因素”角度考虑出境“目的”必要性,又需要从“直接关联”“最少数量”“最低频率”角度考虑“范围”必要性,还需要从“对个人信息主体权益的最小影响”角度考虑“方式”必要性。必要性不足将引发不允许出境或部分字段不允许出境的后果,可见,“出境必要性”为出境评估中的重点和难点,若企业无法自我评估“出境必要性”,建议寻求专业团队的协助。
