![](../../img/imgIndex/xlk_logo2.png)
2023年9月28日,国家互联网信息办公室发布《规范和促进数据跨境流动规定(征求意见稿)》(以下简称“《数据跨境规定》”),向社会公众公开征求意见。本次《数据跨境规定》的发布实质上豁免了多个数据出境场景下企业的安全评估、保护认证、签订标准合同的合规义务,降低企业合规成本的同时,提升数据跨境流通的效率与便利。本文将从数据出境的监管现状出发,介绍《数据跨境规定》的主要亮点以及对企业开展数据出境合规工作的影响。
一、数据出境的监管现状
当前我国有关数据跨境的法律规定分散于《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法律法规中,为了推动相关规定的有效落实,国家有关部门陆续出台了《数据出境安全评估办法》《个人信息保护认证实施规则》《个人信息出境标准合同办法》等一系列规定和指南,为我国数据出境提供了具体的落地方案,并对企业的数据出境行为提出了明确的指引和规范。
根据目前的监管架构,数据出境共有三大路径:(1)申报并通过数据出境安全评估;(2)通过个人信息安全保护认证;(3)订立个人信息保护标准合同。(三大路径的适用情形、合规要点等,请详见《团队原创丨关于数据出境三大路径的十问十答》)我国对数据出境活动设置了不同的门槛,但即使是相对成本较低的标准合同路径,也有着较为严格的适用条件和备案要求,给企业带来了较大的合规压力。在数据出境安全管理方面,监管机构的审查主要侧重于数据出境的必要性、合法性和安全性。其中,由于企业和监管机构对出境必要性的理解存在差异,这容易在数据出境评估和备案工作中引发问题,增加企业的合规成本和监管负担。为了应对社会公众对上述问题的关切,《数据跨境规定》大幅调整了数据出境安全管理的适用标准,对于具有强出境必要性的数据跨境传输活动豁免或减轻其评估备案义务,以推动建立更加便利化的数据跨境流动安全管理体系。
二、新规四大亮点
虽然《数据跨境规定》全文仅11条规定,但其内容具有重大意义。这些规定反映了我国在监管数据出境方面的思路转变,从以往的“一刀切”事前监管转向了选择性事前监管,强化数据出境活动的事前事中事后均衡监管。为了避免“过度约束”的风险,《数据跨境规定》明确了一些常见出境场景的豁免情形,并提高了安全评估、标准合同备案、保护认证的触发要求。同时,规定也将一定的权力下放给地方自贸区,以适应不同地区的需求。
(一)明确数据出境安全管理规则的规范对象
为减少不必要的监管,提高数据跨境流动的效率与便利,《数据跨境规定》第一至三条从数据跨境流动安全管理机制的规范对象入手,明确提出以下数据/个人信息出境时无需开展安全评估、订立标准合同或通过保护认证(统称为“数据出境前置程序”):
1.非个人信息且非重要数据的一般数据
《数据跨境规定》第一条明确提出一般数据(不包含个人信息或者重要数据)的出境活动,无需申报安全评估、订立标准合同或者通过保护认证。这条规定本质上是对现行规定和实践惯例的重申和书面确认,并没有对现有规则进行修改。
2.未经“官方认证”为重要数据的,无需作为重要数据申报安全评估
按照现行规定,对于向境外提供重要数据的情况,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。虽然有关指引提出数据处理者可根据相关规定(例如《汽车数据安全管理若干规定(试行)》)和行业标准来确定重要数据,但在实际应用中,重要数据的识别一直是个难题,因为重要数据分布的行业和范围多种多样,且大多数行业的重要数据目录尚未制定。为了帮助企业解决这一困惑,《数据跨境规定》第二条明确规定,如果企业同时满足以下两个条件:(1)未被相关部门或地区告知数据为重要数据,且(2)相关部门、地区未公开发布将其列为重要数据的,那么这些企业可以不需要进行重要数据的数据出境安全评估的申报工作。这一规定有望为企业降低不确定性,提供更明确的指导。
3.非境内收集产生的个人信息
根据《数据跨境规定》,对于不是在境内收集产生的个人信息向境外提供的情况,无需进行安全评估申报、标准合同订立或保护认证。境外数据入境再出境可分为两种情况:
(1)境外个人信息未经任何变动或加工处理直接向境外提供的,无需完成前置审批要求。例如,国际旅行社接收境外个人信息后,直接传输给境外的酒店、航空公司等。
(2)境外个人信息在境内处理后再流出境外的,如果在加工处理过程中牵涉到境内个人信息的处理或新的个人信息生成,企业仍需履行相应的出境合规义务,不得豁免前置程序要求。此外,还有学者认为,如果经加工后的个人信息可以反映我国某项敏感技术的状况,那么该数据的出境也应当受到严格保护,不得适用本条豁免情形。
(二)明确豁免的具体场景
《数据跨境规定》采用了《个人信息保护法》中同意豁免规定的部分表述,规定在以下三种场景中可豁免数据出境前置程序:
首先,为订立、履行个人作为一方当事人的合同所必需的跨境传输行为。这里强调了跨境传输行为与合同义务履行之间应具有密切和实质的联系,而非基于商业考量。《数据跨境规定》第四条明确列举了四个典型场景,包括跨境购物、跨境汇款、机票酒店预订和签证办理。在这些情境下,数据跨境流动活动是数据控制者无法自主决定且必须发生,或者是数据主体基于自愿要求的。
其次,为实施人力资源管理,必须向境外提供内部员工个人信息。这里需要注意两点:第一,数据跨境传输的目的必须是为了实施人力资源管理,这通常是指为履行劳动合同、建立劳动关系所必要的操作,例如发放薪资、办理社保、公积金管理等。举例来说,集团公司委托境外第三方代为发放薪资的情况就不适用于这一豁免情形,因为跨境传输行为与雇佣合同发放薪资并无必要性关联。第二,可以豁免的数据仅包含“内部员工个人信息”,即与企业签订了劳动合同、应遵守企业劳动规章制度的员工个人信息。企业如需出境外包人员的个人信息,还需完成数据出境前置程序。
最后,在紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的,也无需就相关数据完成出境前置程序。
(三)调整数据出境路径的触发门槛
考虑到很多集团公司处理的个人信息体量庞大,但实际出境数量却不多的实际情况,新规不再一刀切地从整体处理数量和已出境数量上要求企业履行数据出境前置程序要求。与《数据出境安全评估办法》和《个人信息出境标准合同办法》的规定不同,《数据跨境规定》强调了“预计一年内”的计算时限,并设定了1万和100万两个重要节点,重新塑造了数据出境三大合规路径的触发条件。具体而言,不同数据出境量的合规要求如下:
当前的数据出境监管体系,主要关注的是(1)企业整体的数据处理数量以及(2)自上一年1月1日已经出境的个人信息数量(区分个人信息和敏感个人信息)。对于第一点,实践中存在很多集团公司处理的个人信息体量庞大,但实际出境数量却不多的情况,要求其履行安全评估、保护认证、标准合同备案可能会加重这些企业的合规负担。因此,《数据管理规定》将视角从总体处理数量转向了出境数量,即仅以向境外提供的个人信息数量为标准。对于第二点,现有规定侧重于过去已出境的个人信息数量。举个例子,如果A企业自上年1月1日起共出境了15万人的个人信息,那么A企业应当按照现有规定履行数据出境安全评估义务。而根据《数据跨境规定》,监管侧的重点转变为未来一定时期内的出境数量,对于上述A企业的情况,如果A企业预计未来1年内向境外提供个人信息的数量不满100万人的,那么A企业可以选择其他合规路径,不用申报数据出境安全评估。
对于新旧法的衔接问题,《数据跨境规定》第十一条明确,《数据出境安全评估办法》、《个人信息出境标准合同办法》等相关规定与《数据跨境规定》不一致的,按照《数据跨境规定》执行。由此可知,如上述规定在正式稿中得以保留,那么预期出境量将成为唯一考量因素。然而,“一年”期限应如何确定、预期出境数量如何计算等操作层面上的问题还有待正式稿发布时予以澄清。
(四)建立自贸区特殊规则
《数据跨境规定》第七条规定,自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),报经省级网络安全和信息化委员会批准后,报国家网信部门备案。负面清单外的数据出境可以无须完成数据出境前置程序。
该规定引入了负面清单制度,赋予自由贸易试验区更多的自主权。但由于每个自贸区的重点业务不同,并且数据流转较为灵活,如何保证负面清单操作尺度的一致性,以及哪些企业的数据出境活动可以适用本条豁免前置义务,还需要国家网信办和各自贸易区制定相应的细则予以明确,这些细则将为各企业提供更具体的指导,确保其在数据跨境传输方面的合规性。
三、新规影响
虽然《数据跨境规定》目前仍处于征求意见阶段,但其对数据跨境流动规则的调整将对已经提交或正在准备进行数据出境安全评估和标准合同备案的企业产生较大影响。除了涉及到“预计一年”期限和预期出境数量的计算问题以及新旧规定的衔接外,在实操层面,中国企业如何就监管要求的变化与境外接收方进行沟通协商也将成为一项挑战。针对新规规定,企业可参考以下步骤进行数据出境合规工作:
1. 梳理数据出境的具体场景,分析三大路径的适用性。企业可根据《数据跨境规定》现有文本内容对数据出境合规项目进行整体评估,包括梳理目前数据出境的具体场景和数量,估算未来一年的出境数量,判断是否可以豁免数据出境的三大合规机制。
2. 确保数据出境的合法性。根据《数据跨境规定》,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。企业如选择通过个人同意出境其个人信息的,应确保已经获得向境外提供个人信息所涉及的所有个人信息主体的同意,以确保具备“合法性”基础。
3. 持续推进个人信息保护影响评估工作,完成个人信息保护影响评估报告。根据《个人信息保护法》第55条规定,向境外提供个人信息的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录。因此,即使企业符合《数据跨境规定》的豁免条件,仍需开展个人信息保护影响评估工作,并在评估报告中论证相应的豁免情形。此外,企业还应当完善内部数据安全能力建设,切实履行数据安全保护义务以及安全事件发生时的报告义务。
4. 持续关注《数据跨境规定》的制定进展。鉴于个人信息出境标准合同备案工作的过渡期限即将届满,而新规还处于征求意见阶段,数据出境相关的合规工作仍应继续进行,而非直接终止。在持续观察规定的出台和生效情况的同时,企业应做好仍然需要进行安全评估、保护认证、订立标准合同的准备,以应对后续可能出现的变化,做到以不变应万变。
重要提示:本文章并非提供法律或其他意见,请勿基于本文章内容采取或不采取任何行动。
作者:吴丹君律师团队
首发:微信公众号“大数据法律研究”
公司决议下次,股东是否打赏的卡死了肯德基阿里
观韬中茂上海办公室合伙人,律商联讯LexisNexis网络安全合规专家、首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。
专注于互联网、数据信息合规领域,就网络安全和数据信息的合规事项为客户提供咨询及全流程合规整改服务。精耕于网络安全合规领域.
执业领域:
互联网|数据信息、兼并收购、外商直接投资、酒店等
曾为众多跨国公司和外国公司的在华投资、并购以及日常运营提供法律服务。
我也要当作者思想共享 知识变现
点读是点睛网APP中的一款全民学法的人工智能(AI)新产品。它能“识字”和“朗读”,它使“读屏”变“听书”,解放读者的眼睛和颈椎。它使“讲课”变“写作”,解放讲师的时间和身心。
在点睛网PC或APP端注册,登录点睛网PC端个人后台,点击“我的文章”,填写作者信息并上传文章。当第一篇文章通过编辑审核后,即成为点睛网的正式作者。
作者在点睛网个人中心发布文章,编辑审核合格的才能呈现给读者。作者只能发布自己写的文章,不能发布或转发他人的文章。更不能发布有违法律法规、政府规定,或公序良俗、文明风尚、社会和谐等文章。
作者文章上传后,编辑将在工作日最晚不超过24个小时、非工作日最晚不超过48个小时内完成审核。审核未通过的,说明理由。文章评论的审核,参照以上周期。
本网服务属虚拟电子产品,通过第三方平台支付,退费程序复杂且成本畸高。所以, 一经购买成功,概不支持退费请您理解。谢谢!
本网服务属虚拟电子产品,通过第三方平台支付,退费程序复杂且成本畸高。所以, 一经购买成功,概不支持退费请您理解。谢谢!