数据违法违规出境上海公布2起案件所透露出来的信息
——未落实网络数据跨境安全管理要求,导致数据违法违规出境
案例四:某酒店管理企业违法违规出境用户数据案
【基本案情】
该企业主营业务为酒店管理,主要为顾客提供酒店住宿、度假、餐饮等国际旅行服务,因酒店在线上预定场景涉及数据出境,向网信部门申报了数据出境安全评估,但在收到国家网信部门《评估结果通知书》明确相关个人信息数据项出境必要性不足的情况下,未能采取切实有效措施,仍违法违规出境境内自然人个人信息,其行为违反《个人信息保护法》和《网络数据安全管理条例》有关规定。
网信部门依法责令企业限期改正,并予以罚款处罚。
案例五:某物业管理企业违法违规出境用户数据案
【基本案情】
该企业主营业务包括物业管理、酒店管理等全球服务,其运营的APP主要帮助用户管理会员账号和预订,办理入住手续。经查,该企业在未申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情况下,自行向境外提供用户住宿信息,且涉及金融账户等敏感个人信息,其行为违反《个人信息保护法》和《网络数据安全管理条例》有关规定。
网信部门依法责令企业限期改正,并予以警告处罚。
核心信息总结
两起案件的通报同时披露了监管部门的发现路径:
对已申报数据出境安全评估的企业,监管会在评估结束后进行回访抽查;
对未申报的APP,则通过SDK抓包和流量监测,定位境外回传行为。
案例四:酒店管理企业
跨国酒店常用的架构是全球部署架构的CRM系统,往往默认回传全量用户画像(如宗教信仰、详细喜好、非必要联系人、国内发票信息,卡号和金融账户信息)。
能进行处罚首先排除是“履行合同所必需”等豁免条款,监管审查深入到了字段级,必要性是审查关键点,非必要个人信息跨境的企业以全球统一系统架构不能作为传输非必要字段的抗辩理由。
即网信认为预订服务不需要这么多数据,某些字段出境必要性不足,禁止出境。
案例五:物管+酒店APP
这类企业通常运营APP,帮助用户管理会员和入住。企业可能认为服务器在云端(境外)是技术架构问题或者认为自己数据量小不需要做评估。但在法律上只要APP收集的数据存到了境外服务器就是数据出境(又叫远程直采),那么远程直采一定会涉及大量非必要个人信息。
处罚逻辑反直觉的部分,抗拒监管的后果比完全裸奔更严重?监管目前倾向于首违不罚/轻罚(案例五),给企业整改机会。
但对于已经明确告知了红线(案例四),企业依然越线的,监管将予以重罚。看来明知故犯是跨境执法重点打击的对象。
技术架构没有整改(案例四),企业收到结果后可能因为技术架构切割困难(全球架构系统改不动)或业务部门坚持,没有在技术上截断那些被否决的字段继续跨境传输个人信息(如企业没有开发基于数据颗粒度的访问控制网关进行数据监控和截流)。
