2023年9月28日,互联网信息办公室(“网信办”)发布关于《规范和促进数据跨境流动规定(征求意见稿)》(《规定》)公开征求意见的通知。《规定》的发布反映出网信办对《国务院关于进一步优化外商投资环境加大吸引外商投资力度的意见》中“探索便利化数据跨境流动安全管理机制”的积极响应,亦释放出为企业减轻数据跨境传输监管负担的信号。本文主要围绕《规定》可能为企业数据出境合规工作带来实质影响的条款进行梳理,以求为跨国公司及涉及数据跨境的企业在实务中提供一些参考和支持。
一、帮助企业进一步理解“合规路径”、“重要数据”的现有规定
自《数据出境安全评估办法》、《个人信息出境标准合同办法》实施以来,诸多企业对其是否应当申报数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证(“合规三路径”)、是否属于“重要数据”持有者存疑。
此次《规定》正面回应了企业的疑惑。其中《规定》条明确了在国际贸易、学术合作、跨国生产制造和市场营销等活动中不包含个人信息或者重要数据的,无需开展任一“合规三路径”。《规定》着重强调了“国际贸易、学术合作、跨国生产制造和市场营销”,我们理解可能的原因在于前述场景是企业生产经营过程中常见的场景,并且相应场景下的数据传输具有一定的紧迫性与时效性,为避免影响企业正常生产经营,减轻数据合规工作的负累,监管机构在本次征求意见稿中予以了回应。
《规定》第二条解决了诸多企业关于“其是否持有重要数据”的困扰,未被相关部门、地区告知或者公开发布为重要数据的,则无需就重要数据进行申报。在《规定》发布前,实操中的主流观点认为,企业应结合重要数据识别等相关规定、标准文件等,自行对企业拥有的数据进行审查,官方未发布行业内的重要数据目录,并不免除企业进行数据审查的责任。本次征求意见稿中,监管部门将重要数据的认定主体明确为相关部门或地区,降低了重要数据认定的不确定性,也为企业履行重要数据合规义务提供了较为清晰的指引。
二、明确了无需采取任一“合规三路径”的豁免情形
《个人信息保护法》、《数据出境安全评估办法》、《个人信息出境标准合同办法》以及《关于实施个人信息保护认证的公告》,明确了应当申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的具体情形。
但是自前述规定实施以来,无论是数据出境安全评估的申报,亦或是个人信息出境标准合同的订立与备案,实践中大多存在需要企业进行补充资料的情况,企业履行合规义务的成本和监管部门开展监管工作的成本均较高,在企业的理解与监管部门的理解存在偏差的情况下,尤是如此。
为解决此困境,《规定》第三至五条、第七条规定了企业无需采取任一“合规三路径”的豁免情形,但需注意的是这仅是监管流程上的豁免,企业仍需履行法律法规要求的保障出境数据安全等实质合规义务:
- 不是在境内收集产生的个人信息向境外提供的;
该规定承接了2017年《信息安全技术 数据出境安全评估指南(征求意见稿)》第3.7条注2、注3[i]的规定,对入境个人信息再度出境的做了例外规定,我们理解这是因为此类个人信息对安全、社会公共利益以及境内个人主体的权益可能产生的影响较小,从而放宽对此类个人信息的监管力度。
- 为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的;
根据《个人信息保护法》第十三条第(二)项规定,“为订立、履行个人作为一方当事人的合同所必需”属于无需取得个人同意即可处理个人信息的情形,《规定》在此明确将该情形豁免在“合规三路径”之外。跨境购物、跨境汇款、机票酒店预订、签证办理是个人日常生活中高频出现的情景,且在合同当事人一方为个人的情况下,个人对其个人信息的出境应是明确知晓并同意的,因此减轻企业在该情形下的监管合规负担具有一定的合理性。但是需注意个人信息应限定于“所必需”的范围之内。
- 按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的;
根据《个人信息保护法》第十三条第(二)项规定,“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”亦属于无需取得个人同意即可处理个人信息的情形。现实情况下,跨国企业为了集团统一化管理,往往会使用统一人力资源管理系统,不可避免的会涉及个人信息的跨境传输,而跨国企业为更好履行合规义务,则会选择就人力资源场景采取“合规三路径”之一。我们认为,人力资源场景下的个人信息跨境传输具有内部性、稳定性、常规性等特点,较其他类型的跨境交易而言风险较小,《规定》对该场景进行豁免具有合理性,并将更好地落实加大吸引外商投资力度的意见。
- 紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的;
“紧急情况下为保护自然人的生命健康和财产安全所必需”亦是《个人信息保护法》第十三条第(四)项规定的无需取得个人同意的情形,在紧急情况下仍要求个人信息处理者履行“合规三路径”后再行传输个人信息不具有可行性,对于紧急情况下的豁免,是保障公民权利以及落实前述规定的应有之义。
- 预计一年内向境外提供不满1万人个人信息的;
《规定》的该项豁免对于处理个人信息数量超过一百万,但在未来一年内出境个人信息较少的企业利好,具体可见下文第三部分的分析。
- 自由贸易试验区自行制定的负面清单之外的数据出境的;
我们理解,《规定》承接了《国务院关于进一步优化外商投资环境加大吸引外商投资力度的意见》第十四条[ii]的内容,即试点探索形成可自由流动的一般数据清单,允许自由贸易试验区自行制定本自贸区需要采取“合规三路径”的数据清单,又称负面清单,经批准及备案程序后,负面清单外的数据出境可以豁免。
三、调整了申报数据出境安全评估及订立标准合同的数量标准
对比《数据出境安全评估办法》、《个人信息出境标准合同办法》与《规定》的内容可以发现,《规定》调整了申报数据出境安全评估以及订立标准合同的数量统计标准,由此前侧重于过去两年的出境个人信息数量,转变为侧重于统计企业未来一年出境个人信息数量,分为三档,详见下表。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
《规定》一定程度上提高了触发申报数据出境安全评估的门槛。例如,此前处理100万人以上个人信息的数据处理者,即使出境少量的个人信息仍需进行数据出境安全评估申报,但根据对《规定》的理解,如该条得以实施,即使是处理100万人以上个人信息的数据处理者,若预计未来一年向境外提供不满100万人的个人信息,亦可无需申报数据出境安全评估。此外,关于敏感个人信息的出境,《规定》第八条要求“依照有关法律、行政法规、部门规章规定执行”,那么,《规定》第五条及第六条中的“1万人个人信息”、“1万人以上、不满100万人个人信息”是否可以包含敏感个人信息尚不明确,如不包括敏感个人信息,则意味着企业跨境传输敏感个人信息不能适用《规定》第五条和第六条的标准。后续《规定》正式出台后,敏感个人信息的出境值得关注。
四、监管覆盖事前中后全流程
《规定》虽然对于特定场景下的数据出境简化了行政审批程序,减轻了企业“合规三路径”方面的压力,但是并未放松对数据安全保障的要求,并再次强调,数据处理者应当遵守法律、行政法规的规定,履行数据安全保护义务,保障数据出境安全;发生数据出境安全事件或者发现数据出境安全风险增大的,应当采取补救措施及时向网信部门报告。《规定》强化了事前事中事后全流程监管,这意味着,即使企业在部分场景下无需通过监管部门的事前审批,但仍需严格履行其他方面的数据合规义务,为数据出境全流程提供安全保障。
五、结语
《规定》的尽快出台,将实质性解决部分企业在落实合规义务过程中的困惑,一定程度上降低企业在监管程序方面的合规成本,但是对于数据安全的实质保护方面企业仍不应松懈,需继续从管理措施、技术措施等方面保障数据安全。此外,《规定》仍有模糊之处,如豁免场景中提及的“所必需”的个人信息是否可由企业自行论证,敏感个人信息出境的数量标准等。我们将持续关注《规定》的发布动态,并期待正式出台的《规定》为企业的数据出境合规工作提供详细指引。
注释:
[i] 2017年8月25日《信息安全技术 数据出境安全评估指南(征求意见稿)》第3.7条规定:注2:非在境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动或加工处理的,不属于数据出境。注3:非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的,不属于数据出境。
[ii] 《国务院关于进一步优化外商投资环境加大吸引外商投资力度的意见》第十四条:探索便利化的数据跨境流动安全管理机制。落实网络安全法、数据安全法、个人信息保护法等要求,为符合条件的外商投资企业建立绿色通道,高效开展重要数据和个人信息出境安全评估,促进数据安全有序自由流动。支持北京、天津、上海、粤港澳大湾区等地在实施数据出境安全评估、个人信息保护认证、个人信息出境标准合同备案等制度过程中,试点探索形成可自由流动的一般数据清单,建设服务平台,提供数据跨境流动合规服务。
作者简介
特别声明
本文仅供参考,不构成律师的正式意见,不应被看作是采取任何法律行动或进行法律决策的依据。文中所述仅代表作者个人观点,并不反映作者所服务的任何机构或客户的立场。