引言
时隔《规范和促进数据跨境流动规定(征求意见稿)》发布半年后,不少企业翘首以盼的《促进和规范数据跨境流动规定》(以下简称《规定》)于2024年3月22日由国家互联网信息办公室发布。正式《规定》再次强调了部分数据出境场景无需履行申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证(以下简称“数据出境的前置性规定”)的数据合规义务,这无疑给中小型跨境投资企业减轻了商业往来的负担,而《规定》还对一些细节进行了调整,并于公布之日起实施,这也显示出了网信部门对跨境数据流动进一步支持的态度。本文结合实践经验,对《规定》条文进行逐条速评。
第一条
为了保障数据安全,保护个人信息权益,促进数据依法有序自由流动,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,对于数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的施行,制定本规定。
点评
本条为《规定》之制定目的,旨在明确数据安全,个人信息保护相关法律中比较模糊、可能存在歧义的相关规定。
第二条
数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
点评
首先,该条强调了数据处理者对重要数据的识别和申报责任,对于“重要数据”的具体界定标准,在《规定》公布的前一天,国家标准《数据安全技术 数据分类分级规则(GB/T 43697-2024)》正式发布,该规则在附录G部分明确列举“重要数据”的17项考虑因素以及相应的示例,对企业判断重要数据提供政策依据。其次,该条将重要数据是否需要申报的“举证责任”移转至了各地区和相关部门,若企业未被相关部门、地区通知需处理重要数据,或相关部门、地区未公开发布的重要数据目录和清单,则企业无需将某类数据作为重要数据申报数据出境安全评估,这一方面减轻了企业的合规压力,另一方面也倒逼相关部门、地区尽快建立健全数据分级制度和发布重要数据目录和清单。
第三条
国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
点评
《规定》明确了免予履行数据出境前置性规定的的数据场景:国际贸易、跨境运输、学术合作、跨国生产制造、市场营销。相较于《征求意见稿》,《规定》进一步放宽企业的数据合规义务:
(1)拓宽了数据场景,网信办将“跨境运输”也纳入可以免予履行数据出境前置性规定的数据场景;
(2)扩大了数据的生命周期范围,使该条更具有实践意义。因为多数场景中数据的产生和收集是一并发生的。《征求意见稿》仅规定在特定的数据场景中“产生”的数据向境外提供时可以免予履行数据出境前置性规定,《规定》明确数据的“收集”也应纳入本条的管理范围,例如境外企业若使用国内的存储类云服务则可以免予履行数据出境前置性规定义务。但是提请注意事项为跨境传输数据当中不应包括“个人信息或者重要数据”。
第四条
数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
点评
明确规定在境外收集和产生的个人信息,在中国境内进行处理过程中不涉及个人信息或重要数据的免于申报。同时企业应注意,如未来可能适用该条豁免规定,应当注意将从境外收集、产生的数据与境内的数据相分离,防止在处理过程中境内外数据发生混同,进而无法被认定为“数据仅过境”,从而错失豁免机会。
第五条
数据处理者向境外提供个人信息,符合下列条件之一的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
(1)
为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的;
(2)
按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;
(3)
紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;
(4)
关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。
前款所称向境外提供的个人信息,不包括重要数据。
点评
第一款“个人为履行合同所必需提供”的场景包括跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等需要向境外提供个人信息的情形。提请注意这是个人向境外平台为履行合同之目的的情形,如果境内机构收集个人信息向境外机构提供个人信息的,仍需遵守数据出境前置性规定。
第二款与《征求意见稿》无异。根据法律和规章制度,人力资源管理所必需的数据需要出境的可以得到豁免,但是如何证明向境外提供员工个人信息是“确需”的问题,仍未得到很好的回应。
第三款强调紧急情况下为保护自然人的生命健康和财产安全,可以采取豁免制度,但“紧急”到何种程度才可以受豁免仍存疑。如滥用该条款,有可能导致中国患者的健康数据被境外势力掌握,因此拥有患者医疗数据的机构或组织应该审慎使用该条款。
第四款首次明确非关键信息基础设施运营者向境外传输批量个人信息进行豁免的原则,但也同时明确了不包含敏感个人信息。
第六条
自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。
自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
点评
《规定》设计了自贸区负面清单机制,这意味着自贸区内的企业向境外提供除负面清单的数据,可以免予履行数据出境的前置性规定的义务。这无疑对于各自贸区是机会也是挑战,各地区自贸区应尽快完善负面清单制度,在促进数据流动的同时保证数据安全。上海市临港新区作为排头兵,于2024年2月8日编制发布了《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》,规定了重要数据目录和一般数据清单的管理要求。企业对于重要数据目录和一般数据清单中的数据,应向管委会进行申请备案。为其他自贸区制定出推动《规定》落地的制度提供了思路。
第七条
数据处理者向境外提供数据,符合下列条件之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
(1)
关键信息基础设施运营者向境外提供个人信息或者重要数据;
(2)
关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。
属于本规定第三条、第四条、第五条、第六条规定情形的,从其规定。
第八条
关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。
属于本规定第三条、第四条、第五条、第六条规定情形的,从其规定。
点评
第七条和第八条是对于数据类型和具体数据出境数量的限制性规定,具体见下表格。值得注意的是网信部门在《规定》答记者问中特别明确了在上述累计数据出境的数量的计算过程中,一是以自然人为单位进行计算;二是不需要计入豁免情形(《规定》第三条、第四条、第五条第一款第一项至第三项、第六条规定情形的)的相应数据量。
信息类型 | 累计出境数量 (自当年1月1日起算) | 应当履行的前置性数据合规义务 |
关键信息基础设施运营者 | ≥1人的个人信息 | 申报数据出境安全评估 |
非关键信息基础设施运营者 | ≥100万人个人信息 (不含敏感个人信息) | 申报数据出境安全评估 |
≥1万人敏感个人信息 | 申报数据出境安全评估 | |
10万人至100 万人个人信息 (不含敏感个人信息) | 订立个人信息出境标准合同或者通过个人信息 保护认证 | |
<1万人敏感个人信息 | 订立个人信息出境标准合同或者通过个人信息保护认证 | |
<10万人个人信息 (不含敏感个人信息) | 不需要履行任何数据出境前置性规定的义务 |
第九条
通过数据出境安全评估的结果有效期为3年,自评估结果出具之日起计算。有效期届满,需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的,数据处理者可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请。经国家网信部门批准,可以延长评估结果有效期3年。
点评
规定数据出境安全评估结果的时限,较之前2年的有效期,《规定》将有效期延长至3年,经过国家网信部门批准,最多还可延长到6年。大大减轻了企业数据出境合规的负担。
第十条
数据处理者向境外提供个人信息的,应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。
点评
再次申明数据处理者的数据出境合规义务。值得注意的是,向境外提供个人信息时,即使数据处理者符合数据出境的豁免条款,也必须对个人信息保护进行影响评估,以及履行告知和取得个人的单独同意。
第十一条
数据处理者向境外提供数据的,应当遵守法律、法规的规定,履行数据安全保护义务,采取技术措施和其他必要措施,保障数据出境安全。发生或者可能发生数据安全事件的,应当采取补救措施,及时向省级以上网信部门和其他有关主管部门报告。
点评
强调数据处理者的数据安全保护义务以及风险处置义务。
第十二条
各地网信部门应当加强对数据处理者数据出境活动的指导监督,健全完善数据出境安全评估制度,优化评估流程;强化事前事中事后全链条全领域监管,发现数据出境活动存在较大风险或者发生数据安全事件的,要求数据处理者进行整改,消除隐患;对拒不改正或者造成严重后果的,依法追究法律责任。
点评
强化各地网信部门的指导监督、风险查处、检查执法职能作用,其中对于发现“发现数据出境活动存在较大风险或者发生数据安全事件的”,只要求数据处理者及时整改、消除隐患,给予了较宽松的罚则。针对“拒不改正或者导致严重后果的”情况,则仍模糊规定了依法追究法律责任,涉及企业可根据《数据出境安全评估办法》和《个人信息出境标准合同办法》中的具体罚则内容自行判断可能承担的法律责任。
第十三条
2022年7月7日公布的《数据出境安全评估办法》(国家互联网信息办公室令第11号)、2023年2月22日公布的《个人信息出境标准合同办法》(国家互联网信息办公室令第13号)等相关规定与本规定不一致的,适用本规定。
点评
根据新法优于旧法,规定了《规定》适用的优先性。
第十四条
本规定自公布之日起施行。
点评
注意《规定》自2024年3月22日起开始实施。