一、前言
距离2023年9月28日国家互联网信息办公室发布《规范和促进数据跨境流动规定(征求意见稿)》(“《征求意见稿》”)近6个月,备受期待的《促进和规范数据跨境流动规定》(以下简称“《数据出境新规》”)终于于2024年3月22日正式公布实施。《数据出境新规》延续了《征求意见稿》促进数据跨境流动的总体趋势,在保持对重要数据以及敏感个人信息的谨慎态度的同时,将极大降低具有强必要性或仅由于内部管理需要出境相关信息的数据处理者的合规负担。
此外,《数据出境新规》进一步明确了自贸区在便利数据出境方面的作用。自贸区数据出境负面清单制度的引入将在《数据出境新规》规定的豁免场景以外为符合相关适用条件的数据处理者带来更多的数据跨境便利。
在诸如近期美国出台的限制访问敏感数据行政令等法规为跨国公司经营和海外拓展带来更多不确定性和障碍的时点,《数据出境新规》针对性地解决了此前数据出境安全评估和标准合同备案工作中存在的问题,和近期发布的促进新质生产力发展和便利外资经营的政策相呼应,体现了监管者便利数据全球流动和利用的决心。
二、修订要点
(一) 延续了《征求意见稿》促进数据流动的趋势,释明和增加豁免场景,调整计算区间和触发数量门槛
《数据出境新规》基本采纳了《征求意见稿》列举的豁免数据出境前置程序的情形,但进一步释明和补充了豁免情形。
01
数量触发门槛
相较于《征求意见稿》,《数据出境新规》与《数据出境安全评估办法》以及《个人信息出境标准合同办法》保持一致,对个人信息与敏感个人信息规定了不同的数量门槛;针对数量统计窗口,《数据出境新规》明确自“当年1月1日起累计”,不再使用从上一年度起算的要求。此外,在计算是否达到触发门槛的数量时,需先剔除《数据出境新规》第5条规定的豁免情形下涉及数据量,即先判断是否具有豁免业务情形,再判断豁免情形外的数据量是否达到触发门槛。具体内容总结如下:
02
增加豁免情形示例及适用的具体条件
- 【履行合同所必需】为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的。
《数据出境新规》相较于《征求意见稿》新增了跨境寄递、跨境支付、跨境开户、考试服务的场景列举,增加了更多履行合同所必需的具体业务场景以供参考。
- 【人力资源场景】按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的。
《数据出境新规》相较于《征求意见稿》明确这一豁免场景需满足“跨境”人力资源管理的目的,在判断是否属于豁免情形时需具体判断是否符合该条的限定条件。
- 【紧急情况豁免】紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的。
03
明确过境数据豁免的具体要求
《数据出境新规》进一步细化描述了《征求意见稿》规定的数据过境场景,即:针对在境内处理自境外收集和产生的个人信息后向境外提供,且处理过程中未引入境内个人信息或重要数据的场景,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
该条豁免依然有利于在我国境内开展海外数据处理业务的企业。例如:企业在开展出海业务过程中,境外分支机构可能需要在海外收集数据并将其传输至境内总部/数据处理中心进行汇总分析,然后再支持其在出海目的地开展业务或者允许海外分支机构跨境访问该等数据。如果企业在此过程中没有引入境内的个人信息或者重要数据,则企业对该等数据出境场景无需履行数据出境安全评估或标准合同备案的义务。
(二) 重要数据相关规定
在重要数据识别与安全管理环节,《数据出境新规》强调数据处理者应当按照相关规定识别、申报重要数据。目前,各行业、地区的重要数据目录制定工作仍在推进过程中。其中,汽车行业已通过《汽车数据安全管理若干规定(试行)》确定了重要数据识别标准与报送规则。其他部分行业、地区也通过有益探索取得了一定成果。例如:上海通信管理局曾组织多家重点电信和互联网企业开展重要数据和核心数据识别认定及目录备案工作,确定了上海市电信和互联网行业首批重要数据和核心数据目录并报送工业和信息化部。然而,对于大多数数据处理者而言,其所属行业、地区可能尚无已落地的重要数据识别、申报机制,现阶段可参考近日全国网络安全标准化技术委员会发布的《数据安全技术 数据分类分级规则》(GB/T 43697-2024)附录G 重要数据识别指南开展重要数据识别工作,并履行《数据安全法》所规定的数据安全保护义务。
在重要数据出境环节,《数据出境新规》延续了《数据出境安全评估办法》的要求,明确数据处理者向境外提供重要数据均应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估,不适用任何《数据出境新规》规定的豁免情形。不过,针对长期以来重要数据边界模糊的问题,《数据出境新规》明确“未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估”,采用自上而下的被动申报路径,减轻了数据处理者在数据出境环节的重要数据识别负担,与《征求意见稿》的规定保持一致。
(三) 敏感个人信息
《数据出境新规》第七条、第八条明确了因向境外提供敏感个人信息而需要开展安全评估、标准合同备案、个人信息出境保护认证的数量门槛。
相较于《征求意见稿》,《数据出境新规》再度将敏感个人信息作为触发数据出境安全评估、标准合同备案义务的考量因素,具体的数量门槛也与《数据出境安全评估办法》以及《个人信息出境标准合同办法》保持一致。因此,豁免场景之外的敏感个人信息出境将仍然需要遵守数据出境安全评估、标准合同备案的规定,受制于较为严格的监管要求。不过,如前文所述,相较于《数据出境安全评估办法》以及《个人信息出境标准合同办法》,《数据出境新规》提出了新的统计区间,仅考虑“当年”数据而非自“上年”起算。此外,《数据出境新规》及监管机关的答记者问均明确,在统计该等数量时,需首先剔除豁免情形中的数据出境量,再判断剩余数据量是否会触发数据出境安全评估、标准合同备案义务。
(四) 自贸区规则明晰和调整
《数据出境新规》进一步明确了自贸区在促进数据跨境流动上的职能,对其制定负面清单的权利进行了明晰和调整。
01
遵从国家数据分类分级制度体系
《数据出境新规》第六条强调自由贸易试验区(“自贸区”)应在国家数据分类分级保护制度框架下制定相关清单,因此自贸区内针对“重要数据”的认定规则不存在特殊性,自贸区内的金融、汽车、医药等特殊领域企业也应重点关注分类分级制度下重要数据的认定范围。
02
需向网信和国家数据局备案
《数据出境新规》第六条明确自贸区可制定数据出境“负面清单”,仅清单内的数据出境前需要履行相关前置程序,清单外数据出境可豁免申报、备案等前置义务。相关“负面清单”制定后需经省级网络安全和信息化委员会批准,报国家网信部门、国家数据管理部门备案。实践中, “负面清单”会进一步细化数据出境管理的颗粒度,有效助力自贸区先行探索更为高效、便利的数据跨境流动路径。自贸区内的数据处理者可以据此进一步判断自身的数据出境行为是否需要遵守申报、标准合同备案等义务。
除了《数据出境新规》明确规定的“负面清单”外,我们也注意到,部分地方性条例(例如:《北京市外商投资条例(草案征求意见稿)》)还提及了制定可自由流动的一般数据清单、为符合条件的外商投资企业建立绿色通道等便利企业数据出境的新途径。
03
明确适用范围为自贸区内数据处理者
《数据出境新规》第六条强调,自贸区规则适用于“自贸区内数据处理者”向境外提供“负面清单外的数据”。目前,已有部分自贸区在数据跨境鼓励政策上作出探索尝试并进一步明确适用范围,如:
- 天津:《中国(天津)自由贸易试验区企业数据分类分级标准规范》适用于:天津自贸试验区内企业在生产经营过程中产生、收集、存储、传输和处理的数据,但不包括涉及国家秘密的数据、政务数据。
- 上海:《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》适用于:(1)在临港新片区范围内登记注册的,或(2)在临港新片区开展数据跨境流动相关活动的数据处理者。
除上海、天津之外,北京、江苏等地也在逐步推进数据跨境流动利好政策的制定工作,企业可持续予以关注。
三、具体问题Q&A
Q1:《数据出境新规》对涉及数据出境的数据处理者意味着什么?
如上文所述,《数据出境新规》进一步放宽了触发标准合同备案以及数据出境安全评估的门槛数量。对于绝大部分2B业务企业而言,其数据出境量显著小于《数据出境新规》规定的每年10万人,如该等企业亦不涉及敏感个人信息或重要数据出境,将无需就相关数据处理活动申报数据出境安全评估、进行标准合同备案、或者通过个人信息保护认证。
Q2:就落入到豁免场景的数据出境,还需要做什么?
《数据出境新规》规定的豁免场景仅针对监管程序,而非彻底豁免数据出境相关的实质性合规义务,监管部门会从事中事后的角度对数据出境安全事件和安全风险进行持续监测。
与《征求意见稿》的规定类似,《数据出境新规》第十一条再次重申,数据处理者向境外提供数据时,应当遵守法律、法规的规定,履行数据安全保护义务,保障数据出境安全,并及时向监管部门(包括省级以上网信部门和其他有关主管部门)报告发生或者可能发生的数据安全事件。这一规定将适用于全部数据出境活动。
就个人信息出境而言,数据处理者仍然需要满足相关法规对于合法性、正当性和必要性的要求,履行包括告知、取得个人单独同意、进行个人信息保护影响评估等合规义务。与《征求意见稿》相比,《数据出境新规》第十条明确规定和强调了这些义务。此外,《数据出境新规》第十一条还要求企业采取技术措施和其他必要措施。我们理解,这些措施将至少包括《个人信息保护法》第五十一条、《数据安全法》第二十七条以及《网络安全法》第二十一条规定的一系列技术和管理措施,例如:制定内部管理制度和操作规程、对个人信息实行分类管理、采取相应的加密或去标识化等安全技术措施、合理确定个人信息处理的操作权限、定期对从业人员进行安全教育和培训、制定并组织实施个人信息安全事件应急预案等。这些措施仍然需要企业在日常活动中逐步落实。
此外,重要数据的识别与保护仍将是企业需要落实的必要合规制度。新规就重要数据出境做了有利于企业的规定,相关数据处理者仅需就被告知或公开发布的重要数据申报数据出境安全评估,但仍有必要结合近期网安标委发布的《数据安全技术 数据分类分级规则》中的重要数据识别指南落实重要数据识别工作以及相关的合规义务。
Q3:《数据出境新规》规定第五条第(1)-第(3)项等场景下的出境场景的豁免是否还考虑10万人和100万人的门槛?
《数据出境新规》在第五条下就数据出境场景的豁免进行了列举,包括跨境背景下的合同订立和履行、人力资源管理、保护生命健康和财产安全等场景所必需的个人信息出境将免于监管申报或认证义务。同时,《数据出境新规》还从数据出境量的角度对评估和申报义务进行了分类,要求自当年1月1日起,累计出境达到10万人以上、不满足100万人个人信息(不含敏感个人信息)的一般数据处理者需要就相关个人信息出境进行标准合同备案或通过认证;以及,累计出境超过100万人个人信息的,需进行数据出境安全评估。
一般情况下,针对《数据出境新规》第五条第(1)-第(3)项下的场景化豁免将无需考虑数据出境量的影响。即,如相关数据出境满足前述场景化条件的,即使其出境量达到1年累计10万人或100万人以上,亦无需进行标准合同备案或数据出境安全评估。
不过,企业还需注意由于数据处理量或数据出境量带来的数据性质的变化。在某些行业和地区的重要数据目录或识别指南中,数据处理量或数据出境量达到一定门槛(例如,10万人或100万人)的个人信息将被认定为重要数据。此时,即使其仍然落入到前述豁免场景,相关数据处理者仍需按照重要数据出境的要求,就相关个人信息出境申报数据出境安全评估。
Q4:第五条(1)-(3)项等场景下的出境,如包含敏感数据字段的,是否还适用?
如出境数据中包含敏感个人信息而不涉及重要数据,则仍然可以适用豁免。《数据出境新规》第七、八条均明确,属于第五条规定情形的,从其规定,即第五条系独立于第七、八条的特别条款。针对第五条(1)-(3)项的特殊场景,如果出境字段包含敏感个人信息,无论是否触发申报安全评估或者标准合同备案、个人信息保护认证的数量门槛,均得以适用豁免。
Q5:就已有的数据出境安全评估和标准合同备案项目,应该如何处理?
网信部门在就《数据出境新规》答记者问时,明确回答了这一问题,具体包括:
- 《数据出境新规》施行前已经通过数据出境安全评估的数据出境活动,数据处理者可以根据申报事项继续开展。
- 《数据出境新规》施行前未通过或者部分未通过数据出境安全评估,根据《规定》免予申报数据出境安全评估的数据出境活动,数据处理者可以依法通过订立个人信息出境标准合同、通过个人信息保护认证等其他途径向境外提供个人信息。
- 《数据出境新规》施行前已经申报数据出境安全评估、提交个人信息出境标准合同备案,根据《数据出境新规》无需开展上述程序的,数据处理者可以按照原程序进行,也可以向所在地省级网信部门撤回申报、备案。
根据上述回答,尚未申报评估、提交备案或已经申报评估、提交备案但暂未收到最终结论的企业,都可以结合本企业数据出境的场景、出境的数据类型和数量以及《数据出境新规》的内容,调整数据出境的合规方案,选择合适的数据出境途径。
Q6:对于《数据出境新规》豁免范围以外的数据处理者,如何利用自贸区规则便利相关数据出境?
《数据出境新规》在《征求意见稿》的基础上重申了自贸区在促进数据跨境流动上的重要作用。自贸区将有权创设负面清单,对于符合条件的数据处理者仅就负面清单上的数据出境活动有申报数据出境安全评估、进行标准合同备案、或者通过个人信息保护认证的义务。在近期一些自贸区发布的规则里,还规定了例如数据出境一般数据清单等白名单机制。根据公开消息,上海自贸区临港片区已经制定完成了涉及智能网联车、公募基金投研、生物医药临床试验和研发、跨国公司集团管理等在内的首批清单目录。
作为促进数据流动的先行地,可预期的是,自贸区在负面清单、一般数据清单等机制的设置上将为数据处理者保留更大的空间和灵活度。根据《数据出境新规》仍需进行数据出境安全评估或者标准合同备案的数据处理者将有可能通过自贸区获取进一步的数据跨境便利。尤其是对于此前在数据出境安全评估或标准合同备案上遇到阻力的数据处理者而言,和相关自贸区保持紧密的沟通,寻求通过自贸区通道实现合法合规的数据跨境流通将具有非常重要的现实意义。
四、结论
便捷的数据跨境流动一直是数字经济全球化发展的基础。在平衡国家安全和保障对数据主体的保护的同时,通过具有高确定性、可落地的数据跨境制度满足经济发展的需求也是各国数据治理的重心。数据跨境新规参考和借鉴了国际实践,以促进数据跨境流动、确保数字经济发展为出发点,对此前的数据跨境制度进行了积极和有效的调整,将极大减轻众多企业的数据跨境合规负担,被广泛视作跨境经贸合作的利好。
虽然立法者和监管者促进跨境数据流动的态度在此前的《征求意见稿》中已经有了清晰的体现,在乍暖还寒的国际数据监管背景下,悬而未决的新规以何种方式落地一直都是众多相关企业的关注所在。正式版本的跨境新规打消了此前的种种顾虑,为合法合规数据出境带来了更高的确定性。作为从业者,我们乐见新规的落地,也期待其为作为新质生产力的数据要素的开发和利用带来更广阔的空间。
附录:《数据跨境新规》与《征求意见稿》修订对比
(来源:汉坤律师事务所)
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
