据此,我们以科创板上市审核问询为样本,以数据生命周期的不同阶段为节点,分别梳理在特定数据阶段审核问询的焦点,并分析对应的企业案例,进而为企业做好数据治理工作建立合规框架,提供操作指引。
本研究分为五个篇章,分别是数据收集篇、数据存储篇、数据使用篇、数据出境篇和数据安全篇。本文是第四篇,关乎数据出境环节。
一
上市审核对数据出境的问询要点
除了经济属性外,数据资源有着显著的安全属性。因而在数据出境环节,考虑到个人隐私、国家安全和公共利益保护,发审委会尤为关注企业数据出境的合规情况。
通过案例检索,发审委对企业数据出境环节的问询要点如下:
|
序号 |
问题描述 |
|
1 |
个人信息是否合规出境 |
|
2 |
重要数据(如人类遗传资源信息)是否合规出境 |
|
3 |
数据境外销售是否符合国家数据安全和个人信息保护的法律法规 |
二
数据出境合规的代表性案例
就上述问询要点,我们选取了两个申报上市相关代表性案例分析如下。
根据北京海天瑞声科技股份有限公司(以下简称“海天瑞声”)公开的招股说明书,海天瑞声是一家面向全球的AI训练数据服务商,为境内外AI全产业链中的企业和科研机构提供开发训练所需的数据和服务。其招股说明书披露,海天瑞声的境外客户遍布美国、韩国、日本等国家和地区,2019年其境外收入占主要业务收入的49.6%。
就海天瑞声数据产品与定制服务的境外销售,发审委重点关注这一行为是否符合国家数据安全和个人信息保护的法律法规,以及是否符合境外出口限制等相关法规。
对此,保荐机构和发行人律师回复:对于数据出境涉及的数据安全及个人信息保护问题,目前国内相关法规仅提出了原则性要求,尚无正式出台的具体细则及配套规定。同时,根据核查结果,海天瑞声已经采取了保障数据安全出境的合规性措施:
-在数据出境前,告知被采集人并取得其授权同意;
-在与境外客户订立合同前,对境外客户的数据安全和个人信息保护能力进行评估;
-在与境外客户签订的合同中,约定双方就数据安全和个人信息保护的权利和义务,包括约定双方的个人信息处理活动遵守数据安全保护相关法规等内容;
-在数据内容方面,海天瑞声仅将经技术处理后的训练数据提供给境外客户,不涉及提供被采集对象的个人身份信息;
-在处理方式方面,海天瑞声研发使用一体化数据处理平台,采用技术措施以减少数据接触范围;
-制定和公开《个人信息保护政策》,定期开展个人信息安全影响评估,包含评估境外客户履约情况。
对于数据出境涉及的境外出口限制问题,通过核查数据信息境外销售限制的相关法律法规[1],海天瑞声向境外销售的数据不涉及健康医疗数据和人类遗传资源信息,海天瑞声亦不属于关键信息基础设施的运营者,符合数据境外出口限制的法律要求。
据百济神州有限公司(BeiGene, Ltd.,以下简称“百济神州”)的招股说明书披露,百济神州是研发、生产创新型药物的生物科技公司,除自主研发外,百济神州也与国外制药公司开展合作研发项目。同时,根据招股说明书,百济神州与美国安进公司进行多管线战略合作,其中某项目的临床研究涉及人类遗传资源信息的收集,需要得到中国人类遗传资源管理办公室(“人遗办”)的审核批准,目前该项目申请已被推迟。在招股说明书的风险揭示章节,百济神州表示其数据出境存在合规风险,尤其是对于人类遗传资源信息和科学数据的出境问题。
人类遗传资源信息的跨境传输需要适用2019年7月生效的《人类遗传资源管理条例》。该条例要求,如果人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构提供或者开放使用,应向国务院科学技术行政部门备案或者提交信息备份。此外,根据2021年3月生效的《刑法修正案(十一)》,非法采集国家人类遗传资源,或未经审查将人类遗传资源信息向境外组织、个人及其设立或实际控制的机构提供或者开放使用的行为,将被定为犯罪,面临刑事处罚。
对于科学数据的跨境转移,根据《科学数据管理办法》,对外交往与合作中需要提供涉及国家秘密的科学数据的,需要按照保密管理规定程序报主管政府部门批准。鉴于国家秘密的定义无法明确,百济神州在国内进行的临床前研究或临床试验的结果可能涉及科学技术中的秘密事项,该类科学数据跨境转移前需要获得批准。
三
企业数据出境的合规指引
目前我国有关数据出境的法规和标准均未正式生效。但根据监管趋势,结合《个人信息保护法(草案)》《个人信息和重要数据出境安全评估办法(征求意见稿)》和《信息安全技术数据出境安全评估指南(征求意见稿)》(以下简称“评估指南”),我国数据出境的监管方式以安全评估为主,受监管的数据类型主要包括个人信息和重要数据。
参考海天瑞声和百济神州的案例,当企业的业务经营涉及数据出境时,应注意如下事项:
由于个人信息关乎数据主体的所有权、自决权甚至隐私权,《个人信息保护法(草案)》规定,个人信息处理者向境外提供个人信息的,应当向个人告知境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使权利的方式等事项,并取得个人的单独同意。
因此,在向境外提供个人信息前,建议企业通过用户协议和隐私政策等路径,单独列明信息出境的细节,并取得个人的明确授权。
按照《评估指南》的标准,重要数据是境内收集、产生的不涉及国家秘密,但与国家安全、经济发展、公共利益密切相关的数据。对此,《数据安全管理办法(征求意见稿)》提出,企业应当在向境外提供重要数据前报经行业主管监管部门同意。例如,百济神州向境外提供人类遗传资源信息,就需要获得人遗办的审核批准。
鉴于上述文件均未正式生效,建议企业参考《重要数据识别指南》,先行判断出境数据是否与“国家安全、经济发展、公共利益”紧密相关,同时密切关注行业监管动态,及时咨询主管部门以保证重要数据出境的合规性。
此外,如果出境数据涉及国家秘密,除了应获得主管政府部门批准外,企业还应当与接受方签订保密协议。
根据目前数据出境的各类法律规范草案,安全评估是衡量数据出境合规性的主要措施,包括主管部门评估和安全自评估。
参考《评估指南》,安全评估的要点详见下表:
|
要点 |
具体要求 |
|
|
出境目的 |
合法性 |
不属于法律法规明令禁止的 |
|
不属于国家网信部门、公安部门、安全部门等有关部门认定不能出境的 |
||
|
正当性 |
个人信息主体已同意 |
|
|
或虽未经个人信息主体同意但存在危及公民生命财产安全等紧急情况 |
||
|
不违反相关主管部门规定 |
||
|
必要性 |
履行合同义务所必需的 |
|
|
同一机构、组织内部开展业务所必需的 |
||
|
我国政府部门履行公务所必需的 |
||
|
履行我国政府与其他国家和地区、国际组织签署的条约、协议所必需的 |
||
|
其他维护网络空间主权和国家安全、经济发展、社会公共利益和保护公民合法利益需要 |
||
|
个人信息安全 |
类型与敏感程度 |
识别个人信息中所包含的信息类型,并判断其是否涉及个人敏感信息 |
|
数量 |
涉及的信息主体数量是否达到一定量级,此时会出现数据汇集后的衍生价值 |
|
|
范围 |
出境个人信息范围是否符合最小化原则 |
|
|
技术处理情况 |
是否使用技术措施进行有效的数据脱敏处理 |
|
|
重要数据安全 |
类型 |
参考《重要数据识别指南》识别重要数据类型 |
|
数量 |
数量越大,对国家安全、经济发展和公共利益的影响越大 |
|
|
范围 |
重要数据出境范围是否符合最小化原则 |
|
|
技术处理情况 |
是否使用技术措施进行有效的数据脱敏处理 |
|
|
数据发送方的安全保护能力 |
管理制度保障能力 |
安全管理制度、人员管理能力、合同约束情况、有效审计机制、应急处置能力、申诉管理机制 |
|
技术手段保障能力 |
传输安全技术、安全事件应对能力、整体技术防护体系、访问控制能力、发送日志保留、数据全周期审计能力、定期安全评估、中转保障技术 |
|
|
数据接收方的安全保护能力 |
接收方主体背景 |
审核是否有真实有效的主体资质 |
|
是否曾出现数据安全事件且及时有效处置 |
||
|
重要数据出境应审核接收方的股东构成 |
||
|
管理制度保障能力 |
安全管理制度、人员管理能力、合同约束情况、有效审计机制、应急处置能力 |
|
|
技术手段保障能力 |
安全事件应对能力、整体技术防护体系、访问控制能力、接收日志保留、数据全周期审计能力、存储介质安全管理 |
|
|
数据接收方所在国家/地区的政治法律 环境 |
个人信息相关 |
现行的个人信息保护法律法规及普遍适用的标准情况 |
|
加入的区域或全球性的个人信息保护方面的组织,以及所做出的具有约束力的承诺 |
||
|
落实个人信息保护的机制 |
||
|
重要数据相关 |
数据安全方面现行的法律法规及普遍适用的标准情况 |
|
|
主管数据安全的执法机构和相关司法机构 |
||
|
执法机构、司法机构等部门调取数据的权力和法律程序 |
||
|
与其他国家或地区之间是否缔结有关数据流通、共享等方面的双边或多边协定,包括在执法、监管等方面数据流通、共享的双多边协定 |
||
上述评估要点基本覆盖了企业在数据出境全流程应当关注的安全事项。我们建议企业参考上述评估要点,组织业务、法律、安全、技术、管理相关的专业人员,建立数据出境安全自评估工作组,根据评估结果修正数据出境计划,从而降低合规风险。
注释:
本研究下一篇为数据安全篇,我们将总结在数据安全方面的审核问询焦点、代表性案例及合规指引。
相关系列文章
声明:本微信文章仅为交流探讨之目的,不得视为广悦数据合规研究院或其律师出具的正式法律意见,任何仅依照本文的全部或部分内容而做出的行为及因此带来的后果均由行为人自行负责。如果您需要法律意见或有意就相关议题进一步交流,可以通过电子邮件与我们联系,E-mail:hlw@wjngh.cn 。
