2024年3月22日,国家互联网信息办公室(“国家网信办”)正式发布《促进和规范数据跨境流动规定》(“《规定》”)[1],优化调整数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度。同日,国家网信办还对外发布了更新版《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》[2],简化了安全评估申报和标准合同备案的流程、方式和材料,配合推动数据出境制度的整体更新。针对新出台的数据出境规定,我们对《规定》中的企业合规要点进行了简要整理,以便涉及数据跨境流动的企业在后续合规审查和完善中加以参考。
新规预览
1. 数据出境制度的豁免情形
一般情况下,为确保数据合规出境,企业需遵循既有的数据出境制度,视出境数据类型、数量和场景等因素申报数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证,即传统的数据出境三大监管路径。
此次《规定》明确了不同的数据出境制度豁免情形:
l 在国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据,若不包含个人信息或重要数据的,可免于传统三大监管路径。
该情形的设立有利于境内外企业间的贸易活动、学术交流,但国内企业/机构等还需注意特定行业或地区的重要数据目录或指南中可能会将出境量达到一定门槛的数据作为重要数据保护,从而不能适用本豁免情形。
l 从境外收集和产生个人信息,传输至境内处理后再向境外传输,期间未引入境内个人信息或重要数据的,可免于传统三大监管路径。
这一规定实质减轻了提供面向海外的数据云服务的国内企业的合规负担,同时也将吸引各类企业将我国作为“离岸数据中心”开展“两头在外”的离岸数据加工处理业务,有利于促进我国数据交易的进一步发展。
l 向境外提供个人信息(不包含重要数据),但符合以下条件之一的(见下表),可以免于传统三大监管路径。其中,条件1-3项覆盖了常见的跨国贸易场景、跨国人力资源管理场景和紧急情况场景,实际大幅减轻了跨国企业的交易和管理成本。
1:【履行个人合同】为订立、履行个人作为一方当事人的合同,确需向境外提供个人信息的 |
2:【人力资源管理】按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的 |
3:【紧急情况豁免】紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的 |
4:【未达累计门槛】非关键信息基础设施运营者的数据处理者自当年1月1日起累计向境外提供不满10万人非敏感个人信息的 |
值得注意的是,追溯《规定》征求意见稿中对于人力资源管理的豁免,彼时规定为“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的”,但在生效《规定》中,则修改为“确需向境外提供员工个人信息的”,“必须”改为“确需”,我们倾向于认为这可能是网信部门基于此前安全评估申报及标准合同备案的审核经验,适当放松对跨国企业跨境传输员工个人信息的限制。
重要数据如何识别?
对于何为“重要数据”,《数据安全法》规定主要由各地区、各部门按照数据分类分级保护制度确定本区域/部门/行业领域内的重要数据具体目录,并对列入目录的数据进行重点保护。企业可参考最新发布的《数据安全技术 数据分类分级规则》(GB/T 43697-2024)[3]中的附录G《重要数据识别指南》以及相关地区部门发布的目录。一方面,《规定》第2条已明确指明重要数据会由相关部门、地区告知或公开发布,若未被公开为重要数据,则企业无需将该等数据作为重要数据申报数据出境安全评估。但同时,企业仍需结合相关部门已发布的目录以及《数据安全技术 数据分类分级规则》对于自身业务中的数据进行分类分级,识别是否可能落入相关重要数据目录的范围,并完成相应合规义务。
2. CIIO与非CIIO数据出境的监管路径划分
《规定》将数据处理者分为两大类:关键信息基础设施运营者(“CIIO”)和关键信息基础设施运营者以外的其他数据处理者,并在《规定》第7、8条列出了数据处理者可分别适用申报数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证、以及适用豁免/特别规定的三种监管路径情形。
(1)CIIO的数据出境监管路径
根据《关键信息基础设施安全保护条例》,关键信息基础设施是指一旦遭到破坏、丧失功能或数据泄露,就可能严重危害国家安全、国计民生、公共利益的重要网络设施和信息系统等,常涉及如公共通信和信息服务、能源、交通、水利、金融等重要行业领域。企业无需自行评估是否为CIIO,相关行业和领域的主管部门会将认定结果通知CIIO,若未被通知认定结果则可以认为不属于CIIO。
向国家网信部门申报数据出境安全评估 | CIIO向境外提供个人信息或者重要数据 |
豁免或适用自贸区特别制度 | 符合前述豁免场景或自贸区负面清单制度的(《规定》第3、4、5、6条) |
由此可看出,通常情况下,CIIO一旦向境外提供个人信息或重要数据,都需要承担较重的数据出境合规义务,但特定场景因素可超越数据处理者类型因素,在符合豁免场景的情况下仍可免于数据出境安全评估申报。
(2)其他数据处理者的数据出境监管
非CIIO的其他数据处理者的数据出境监管则相对放宽,可依照出境数据的类型和自当年1月1日起的累计信息数量情况分三类进行。
向国家网信部门申报数据出境安全评估 | 向境外提供重要数据 |
自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息) | |
自当年1月1日起累计向境外提供1万人以上敏感个人信息 | |
与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证 | 自当年1月1日起,累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息) |
自当年1月1日起累计向境外提供不满1万人敏感个人信息 | |
豁免或适用自贸区特别制度 | 符合前述豁免场景或自贸区负面清单制度的(《规定》第3、4、5、6条) |
个人信息如何累计计算?
首先,可以明确的是以上跨境传输数据量门槛是以自然人为单位去重后的统计结果。例如,跨国企业的国内子公司在员工入职资料管理场景中出境A员工的个人信息,同时在为A员工申请福利场景中也出境其个人信息,则应在不同场景中去重后计为1人。
其次,累计计算人数应去除属于《规定》第5条前三项的情形。此处值得讨论的是敏感个人信息的出境是否也被包括在前述豁免情形中,即,《规定》明确了1万人的敏感个人信息门槛,那么该1万人的数量是否应去除《规定》第5条提及的“履行个人合同”、“人力资源管理”和“紧急情况豁免”而向境外提供敏感个人信息的数量?基于《规定》第5条第1-3项中并未在豁免情形中的个人信息中标明“(不含敏感个人信息)”,同时,结合国家网信办就《规定》答记者问[4]中的回复,我们理解如企业在豁免情形中向境外同时传输了一般个人信息和敏感个人信息,则敏感个人信息对应的人数也不应累计计入1万人的数量中。
3. 预留自贸区负面清单制度探索空间
《规定》第6条规定了自由贸易试验区(“自贸区”)可以探索施行负面清单制度,在自贸区内的数据处理者(不区分是否为CIIO),若向境外提供负面清单之外的数据,可以免予适用传统的三大数据出境监管路径。不过若在自贸区负面清单未出台前,自贸区内的数据处理者的数据出境活动仍应依照国家数据出境安全管理有关规定执行。
对自贸区而言,自贸区若要制定区内的数据负面清单,相关清单须遵循国家数据分类分级保护制度框架,经省级网络安全和信息化委员会批准,并报国家网信部门、国家数据管理部门备案。
企业可以多关注不同自贸区出台的相应清单目录和标准合同指南等法规和政策文件,不同自贸区(上海、北京、天津等地自贸区)和特定区域(如粤港澳大湾区等)对鼓励促进数据流动的行业领域、数据类型以及累计数量等会有不同的政策导向和规定,企业可持续关注其中可能发布的利好数据流动的监管动态。
4. 《规定》其他制度要点
除以上重点需关注的条款内容外,《规定》还明确点出了数据出境监管的其他制度内容。
l 《规定》第9条将数据出境安全评估结果的有效期调整为3年。针对需要继续开展数据出境活动且无必要重新进行申报评估的,新增了申请延长评估有效期制度,数据处理者可在有效期届满前60日申请延长,经国家网信部门批准后,评估结果可继续延长3年。
l 《规定》第10、11条也对数据处理者的其他数据合规义务作出提醒,除数据出境合规义务外,数据处理者还需履行取得个人单独同意、个人信息保护、数据安全保护等义务。
企业合规提示
1.《规定》基调:促进交易,细化全链条监管
初步来看,《规定》对外释放了积极的促进数据流动和跨境交易信号,同日更新的配套《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》文件也较初版简化了程序性流程规定,实质上有助于企业降低合规成本,提高履行数据合规义务透明度。
同时,为企业降低程序性合规负担不意味着数据出境合规实质性监管的放松,《规定》第12条强调各地网信部门应强化事前事中事后的全链条全领域监管,监管思路从以往偏向事前监管转向全链条监管,实际上加强了对企业全业务流程履行数据合规义务的实质性要求。
2. 新旧制度的合规衔接应对
企业可依据自身不同的数据出境合规情况,参考《规定》和相关政策解读选择适合的衔接应对方式。
l 已通过数据出境安全评估的,可继续数据出境
l (部分)尚未通过数据出境安全评估,但根据《规定》可以免予评估的,可改为通过订立个人信息出境标准合同或通过个人信息保护认证等其他途径实施数据出境
l 已经申报数据出境安全评估、提交个人信息出境标准合同备案,根据《规定》无需开展上述程序的,可以按照原程序进行,也可以向所在地省级网信部门撤回申报、备案
3. 定期记录信息数量,加强内部合规记录
考虑到《规定》中对所涉及的数据数量规定为自当年1月1日起累计至数据出境安全评估之日,且需要刨除豁免场景下的数据数量并进行数据去重,对出境数据的数量统计存在一定精确度要求,特别是对于有常年数据出境业务需求的企业,宜建立常态化的数据记录盘点制度以应对行政核查要求。
《规定》中数据出境的全链条细化监管意味着企业履行数据出境合规义务不能只在出境前“突击合规”,需要通盘考虑整个信息出境流程中的所有数据合规义务,并留存相应文档或活动证明记录,从而能在监管部门进行事后监管/评估以及政策发生调整时可以及时提供相应合规证明。
注释:
[1] https://www.cac.gov.cn/2024-03/22/c_1712776612187994.htm
[2] https://www.cac.gov.cn/2024-03/22/c_1712783131692707.htm
[3] https://www.tc260.org.cn/upload/2024-03-21/1711023239820042113.pdf
[4] 网信中国:《促进和规范数据跨境流动规定》答记者问,链接:https://mp.weixin.qq.com/s/-Y-dY_HL21jHTFQsMbeiVQ?scene=21#wechat_redirect
特别声明
本文仅供参考,不构成律师的正式意见,不应被看作是采取任何法律行动或进行法律决策的依据。文中所述仅代表作者个人观点,并不反映作者所服务的任何机构或客户的立场。
相关人士
专业领域
相关推荐
