一、导读
2023年9月28日,国家互联网信息办公室发布《规范和促进数据跨境流动规定(征求意见稿)》,拟对当时已落地的数据跨境合规监管机制进行实质性调整,对数据跨境传输的一些具体场景做出了豁免,释放了绿色通道的积极信号。然而这一征求意见稿却迟迟未真正落地,相关企业密切关注这一动态,我们所服务的数据出境项目也部分停滞。直至2024年3月22日晚,网信办正式发布并实施了我们盼望已久的《促进和规范数据跨境流动规定》(以下简称“《规定》”),这无疑是振奋人心的利好消息!
这一《规定》到底重要到什么程度呢?在当今经济全球化背景下,无论是跨境贸易(包括传统贸易)还是企业出海,均不存在没有数据跨境流动作为支撑的业务场景。数据流动早已和人的流动、物的流动、资金的流动融为一体。因此,数据跨境流动不仅仅是技术的问题、数据本身的问题,毫不夸张地说,它是关系到国家经济发展和全球化数据流通的重大问题。而《规定》相较于征求意见稿,最大的变化就是“名称”——征稿的“规范”在前,“促进”在后,《规定》则是先“促进”后“规范”——这看似小小的顺序调整,实则体现我国促进数据开放、流通的决心;再结合《规定》具体的内容,不难发现其宽严相济、收放兼顾的风格,更是进一步释放了加快开放、促进数字经济发展的政策导向以及守住数据安全底线的信心。本文作者将从征稿与正式稿的逐条对比中,展开对《规定》的最新解读。
二、内容解读
问题1:《规定》的第二条新增了“数据处理者应当按照相关规定识别、申报重要数据”,那么重要数据的范围是什么?
作者解读:根据《数据出境安全评估办法》第19条规定,重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。而根据《规定》,任何一条重要数据的出境都需要做安全评估申报。但实践中,一般企业很难自行识别、判断相关数据被不当使用是否会影响、危害国家安全。而且现阶段,也没有看到任何行业、地区公开发布过《重要数据目录》。所以在相关重要数据目录发布之前,没有被要求编制重要数据目录或收到相关官方机构通知的企业,有再等待、观望的空间。至于,作为数据处理者的企业依据本条内容,希望进行主动识别、申报重要数据的,可以参考本月最新发布的《数据安全技术 数据分类分级规则》(GB/T43697-2024)的附录G:重要数据识别指南,来进行判断。
问题2:以上几条是很多企业非常关注的数据跨境的豁免情形,其中最为显著的变化是增加了“数据过境”的豁免情形,对这一新豁免如何解读呢?
作者解读:《规定》第四条强调了未引入境内个人信息或重要数据的前提下,无需承担申报/备案/认证的前置义务。这一条主要收益的对象企业很多,例如在国内建设跨境数据中心、面向海外市场提供跨境云服务的企业;主营业务公司在境外,由于境内人力、技术成本较低,将所收集的海外数据传输至境内,进行未添加境内数据的数据加工处理的企业等。
问题3:在这些无需前置审批的特定场景内,有什么点需要注意呢?
作者解读:除数据数量这一触发门槛外,还需要注意“履行合同所必须”和“人力资源管理所必须”都要进行严格的限缩解释。
“履行合同所必需”中的“必需”,指的是有且只有通过处理某类个人信息的行为,方能实现合同目的。同时,还要兼顾保护个人信息权益的比例原则,结合社会公众的合理期待或者行业惯例来综合判断。
“人力资源管理所必需”则需要结合《劳动合同法》的规定进行判断。例如,跨国集团如若仅以在集团内部发出某一人事制度即作为豁免依据,可能并不足够。这种“必需”的判断还会结合其是否与员工平等协商、是否通过工会、职工代表大会讨论的程序,以及制度公开的时长和数据跨境传输的时间等因素。
问题4:《规定》第六条提到了自贸区的数据跨境新规,目前有已经具体落地的吗?
作者解读:这是自贸区的特惠措施,简单来说是指自贸区可以制定需要进行前置审批的“数据负面清单”,在经过省级网信办审批并报送国家网信办备案后,清单以外的数据跨境均无需经过前置审批程序。目前,上海临港区已基本编制完成智能网联汽车车辆远程诊断、公募基金市场投研信息、跨国公司集团管理、生物医药临床试验和研发等20个场景的跨境流动分级分类的首批清单目录,在完成论证后将于近期对外发布。本条内容明确了下放自贸区数据跨境管理权责的态度,一方面有利于将出海企业、外资企业引进自贸区设立分支机构或总部,另一方面也预示着未来自贸区设立离岸数据关口、发展离岸数据处理服务产业,产生新的经济增长点的态势。
问题5:《规定》的第七、八条涉及数据数量,数量不同措施不同,相对此前有什么明显的变化可以总结吗?
作者解读:首先,最大的变化是计算数量的逻辑变了。征稿的逻辑是以“预计一年内向境外提供”的数据量为监管依据,原《数据出境安全评估办法》的逻辑是以数据处理者本身“拥有多少数据量”为监管依据。而《规定》的逻辑是折中了上面两者,采用以“过去一段时间内”数据处理者向境外传输多少数据为监管依据。这样的逻辑相较于其他计算标准,能够更准确地统计一段时间内对外传输数据的体量,也更好地预测了未来传输数据的体量,判断标准更为客观。
其次,触发不同出境监管路径的阈值变了,很大程度上减少了企业的负担。
(1)自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的,无需前置审批;
(2)自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,前置审批可在标准合同及个人信息保护认证中二选一;
(3)向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息,应数据出境安全评估。
最后,对于如何计算数据数量,在答记者问中官方也给予了回应。
“计算周期为自当年1月1日起至申报数据出境安全评估之日,数量以自然人为单位去重后的统计结果为准。属于《规定》第三条、第四条、第五条第一款第一项至第三项、第六条规定情形的,不计入累计数量。”
问题六:对于《新规》,律师有什么启示和建议吗?
作者解读:我们认为,《规定》的要求只是针对监管程序的豁免,并非代表着跨境传输数据的企业可以有实质性合规义务的豁免。例如,对于跨境传输个人信息,即便不需要申报评估、进行标准合同备案或是开展个人信息保护认证,也应当主动采取合规措施,满足《个人信息保护法》对于数据出境的合法性、正当性、必要性的条件,采取必要合规措施实现数据传输的安全,完成个人信息保护影响评估,并兼顾数据主体的权益保护,履行告知且取得单独同意,获得相关授权。
三、总结与启示
综合上述解读,作者认为,《规定》响应了市场诉求,为企业做出了减负,是适应并迎合了目前经济发展的重大举措。此前在观望之中的企业,和还未履行数据跨境的前置实质性合规义务的企业,更应当做好自身的数据合规工作,以求应着促进国际贸易合作、推动合作互惠的数字经济的东风,让企业经营和业务发展行稳致远!
来源:北京京师珠海律所
扫一扫
389
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
