網上投稿
2024年3月22日,國家互聯網信息辦公室(以下簡稱“國家網信辦”)發布了《促進和規范數據跨境流動規定》(以下簡稱“《數據跨境新規》”),在廣受持續關注和討論的2023年9月28日《規范和促進數據跨境流動規定(征求意見稿)》(以下簡稱“《征求意見稿》”)發布近半年后,終于靴子落地,對數據跨境規范機制作出了明確調整。
此外,國家網信辦同步發布了《數據出境安全評估申報指南(第二版)》和《個人信息出境標準合同備案指南(第二版)》,對數據處理者需要提交的相關材料進行了優化簡化,同步開通了“數據出境申報系統”。
《數據跨境新規》解決了眾多日資企業客戶持續關注的豁免范圍等熱點問題,下文將就其中要點簡要做出解讀。
第一、出臺背景
關于《數據跨境新規》的出臺背景,國家網信辦負責人在答記者問中做出了詳細介紹,即國家網信辦結合數據出境安全管理工作實際,制定《數據跨境新規》,對現有數據出境安全評估、個人信息出境標準合同、個人信息保護認證等數據出境制度的實施和銜接作出進一步明確,“適當放寬數據跨境流動條件,適度收窄數據出境安全評估范圍”,在保障國家數據安全的前提下,“便利數據跨境流動,降低企業合規成本”。
我國積極促進數據依法有序自由流動,相繼制定實施《網絡安全法》《數據安全法》《個人信息保護法》,并先后公布了《數據出境安全評估辦法》《個人信息出境標準合同辦法》《關于實施個人信息保護認證的公告》《數據出境安全評估申報指南》《個人信息出境標準合同備案指南》等實操文件,對數據處理者申報安全評估、備案標準合同等的方式、流程及需提交的材料等具體要求作出了說明,構建了數據出境的基本法律體系。
然而實踐中,僅以備案為例,就出現了申報數量較多,申報材料審核嚴格,審核周期較長,各地審核尺度松緊不同等,導致給企業造成較重負擔及不確定性,影響數據正常流動,另外,較多企業在等待《征求意見稿》特別是其中豁免條款的落地,處于對政策的持續觀望狀態,反而導致數據合規遲遲未能落實,數據安全持續存在保護漏洞。
而此次《數據跨境新規》結合了監管實際,響應了對外開放需求,為廣大企業特別是涉及國際交易、跨國企業,明確了數據跨境合規操作路徑,放寬了數據特別是個人信息之跨境流動條件,減輕數據跨境合規負擔、便利數據跨境流動,可謂是重大利好調整。
第二、重要數據的識別
數據跨境合規的三路徑是指通過數據出境安全評估、簽訂個人信息出境標準合同并備案、通過個人信息保護認證(以下合稱“合規三路徑”)。
對大部分關鍵信息基礎設施運營者以外的一般數據處理者企業而言,合規路徑的必要性及路徑選擇首先取決于是否識別重要數據。
《數據跨境新規》第二條明確了“未被相關部門、地區告知或者公開發布為重要數據的,數據處理者不需要作為重要數據申報數據出境安全評估”但同時又規定“數據處理者應當按照相關規定識別、申報重要數據”。
可見是否重要數據的識別責任在于企業,本企業數據是否“未被相關部門、地區告知或者公開發布為重要數據”有賴于檢索、判別的工具及專業能力而且各地區、各部門公布的文件存在散落、不定時更新等特點,對大部分企業來說可能并不具備,為預防風險,建議在必要時尋求外部專業團隊協助。
第三、數據跨境合規三路徑的豁免
一、一般數據(不含個人信息或重要數據)豁免
《數據跨境新規》第三條明確了“國際貿易、跨境運輸、學術合作、跨國生產制造和市場營銷等活動中收集和產生的數據向境外提供,不包含個人信息或者重要數據的,免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證”,可見“不包含個人信息或者重要數據”的一般數據,可豁免合規三路徑,自由流動。
二、境外個人信息過境處理豁免
《數據跨境新規》第四條明確了“數據處理者在境外收集和產生的個人信息傳輸至境內處理后向境外提供,處理過程中沒有引入境內個人信息或者重要數據的,免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證”。可見境外收集和產生的個人信息到境內處理后再出境的,只要處理過程中“沒有引入境內個人信息或者重要數據的”,可豁免合規三路徑,自由流動,反之如果處理過程中“引入境內個人信息或者重要數據的”,則需依法辦理合規三路徑手續。
三、不含重要數據的個人信息基于特定出境目的豁免
《數據跨境新規》第五條規定“數據處理者向境外提供個人信息,符合下列條件之一的,免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證“:
(一)為訂立、履行個人作為一方當事人的合同,如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等,確需向境外提供個人信息的;
(二)按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理,確需向境外提供員工個人信息的;
(三)緊急情況下為保護自然人的生命健康和財產安全,確需向境外提供個人信息的;
前款所稱向境外提供的個人信息,不包括重要數據。
可見,不含重要數據的個人信息基于上述特定目的出境的,可豁免合規三路徑。
只是,針對“按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理,確需向境外提供員工個人信息的”情形,僅適用于不具備獨立法人地位的代表處,還是同樣能適用于境外公司在境內設立的具備獨立法人地位的獨資公司或合資公司呢?存在解讀的不確定性。該情形中“實施跨境人力資源管理”是日資企業較為普遍存在的情形,但跨國集團關聯公司之間因各國各地區勞動法制度存在較大差異,統一制定 “勞動規章制度”或簽訂統一版本的“集體合同”的可能性不高,為此從“按照依法制定的勞動規章制度和依法簽訂的集體合同”這一限定嚴格解讀的,境外公司在境內設立的具備獨立法人地位的獨資公司或合資公司不能適用的可能性較高。此時,只能進一步探討是否可以適用下文數量豁免。
四、不含重要數據的個人信息基于出境數量豁免
《數據跨境新規》第五條(四)規定“關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供不滿10萬人個人信息(不含敏感個人信息)的”且該個人信息不包含重要數據的,免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。
可見符合非“關鍵信息基礎設施運營者”,“自當年1月1日起累計向境外提供不滿10萬人個人信息(不含敏感個人信息)”,且該個人信息不包含重要數據這三個條件的,可豁免合規三路徑。
大部分日資企業非“關鍵信息基礎設施運營者”,出境的個人信息數量很少,且不涉及重要數據、敏感個人信息,大概率可以符合該三個條件從而豁免合規三路徑。當然,反之如不符合任一條件得,則不能依據本項豁免。如前所述,相關信息是否涉及重要數據、是否屬于敏感個人信息,如企業不具備識別工具及專業能力,建議尋求外部專業團隊的協助。
五、基于未來自貿區制定的負面清單豁免
《數據跨境新規》第六條賦予了自由貿易試驗區在國家數據分類分級保護制度框架下,可以自行制定區內需要納入合規三路徑管理范圍的數據清單(以下簡稱“負面清單”),該負面清單經省級網絡安全和信息化委員會批準后,報國家網信部門、國家數據管理部門備案。
自由貿易試驗區內企業向境外提供負面清單外的數據,可以豁免合規三路徑。
例如,中國(上海)自由貿易試驗區臨港新片區制定了《數據跨境流動分類分級管理辦法(試行)》,自2024年2月8日起試行,有效期至2025年2月7日,該辦法對數據跨境流動進行分類分級管理,保障數據安全、高效、自由有序跨境流動,將先行先試制定相關數據清單。
第四、數據出境安全評估的范圍調整
《數據跨境新規》第七條及第八條分別對合規三路徑的門檻做了調整。
第七條 數據處理者向境外提供數據,符合下列條件之一的,應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估: (一)關鍵信息基礎設施運營者向境外提供個人信息或者重要數據; (二)關鍵信息基礎設施運營者以外的數據處理者向境外提供重要數據,或者自當年1月1日起累計向境外提供100萬人以上個人信息(不含敏感個人信息)或者1萬人以上敏感個人信息。 屬于本規定第三條、第四條、第五條、第六條規定情形的,從其規定。 第八條 關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)或者不滿1萬人敏感個人信息的,應當依法與境外接收方訂立個人信息出境標準合同或者通過個人信息保護認證。 屬于本規定第三條、第四條、第五條、第六條規定情形的,從其規定。 |
《數據跨境新規》出臺前的合規三路徑必要性門檻梳理如下:
《數據跨境新規》將合規三路徑必要性門檻調整如下:
可見,此次調整將合規三路徑的必要性門檻適度放寬了,將便利于廣大企業特別是外資企業的數據跨境流動。
第五、通過數據出境安全評估結果的有效期
《數據跨境新規》將通過數據出境安全評估結果的有效期由《數據出境安全評估辦法》中規定的2年延長至3年,自評估結果出具之日起計算。同時,增加數據處理者可以申請延長評估結果有效期的規定。有效期屆滿,需要繼續開展數據出境活動且未發生需要重新申報數據出境安全評估情形的,數據處理者可以在有效期屆滿前60個工作日內通過所在地省級網信部門向國家網信部門提出延長評估結果有效期申請。經國家網信部門批準,可以延長評估結果有效期3年。
第六、個人信息保護合規的強調
盡管有上述的合規三路徑的豁免及必要性門檻調整,《數據跨境新規》在第十條、第十一條強調了個人信息出境時在合規三路徑之外的以下其他法定義務仍需得到嚴格遵守。
1、告知、取得單獨同意、PIA義務
按照法律、行政法規的規定履行告知、取得個人單獨同意、進行個人信息保護影響評估等義務。
2、采取數據安全保護措施義務
遵守法律、法規的規定,履行數據安全保護義務,采取技術措施和其他必要措施,保障數據出境安全。
3、采取補救措施及報告義務
發生或者可能發生數據安全事件的,應當采取補救措施,及時向省級以上網信部門和其他有關主管部門報告。
第六、建議
一、已辦或正在辦理的合規三路徑的企業應對
根據國家網信辦負責人在答記者問中的答復,應區分必要性情況及辦理進展分別處理:
1、《數據跨境新規》施行前已經通過數據出境安全評估的數據出境活動,數據處理者可以根據申報事項繼續開展。
2、《數據跨境新規》施行前未通過或者部分未通過數據出境安全評估,根據《數據跨境新規》免予申報數據出境安全評估的數據出境活動,數據處理者可以依法通過訂立個人信息出境標準合同、通過個人信息保護認證等其他途徑向境外提供個人信息。
3、《數據跨境新規》施行前已經申報數據出境安全評估、提交個人信息出境標準合同備案,根據《數據跨境新規》無需開展上述程序的,數據處理者可以按照原程序進行,也可以向所在地省級網信部門撤回申報、備案,當然目前為止客戶大多選擇繼續進行。
二、尚未采取合規三路徑等的企業應對
企業應根據《數據跨境新規》評估判斷企業所涉數據情況及合規必要性,確定相應合規策略。
1、 重要數據、敏感個人信息的識別
如上所述,數據的識別是判斷如何合規出境的前提,而該識別存在難度,企業需要緊跟各地區、各行業隨時發布的政策,及時作出準確識別并保留必要證據,降低合規風險。
2、出境情形判斷
出境數量如何判斷、是否屬于豁免情形等,企業需要結合自身實操情況進行慎重判斷,并保留必要證據,降低合規風險。
3、個人信息保護的其他法定義務
如上所述,《數據跨境新規》靴子已落地,國家政策已經明朗,對于大部分此前仍在觀望中尚未采取任何個人信息合規措施的企業而言,即使不涉及數據出境、或者即使出境所需的合規三路徑被豁免,企業涉及個人信息處理或涉及個人信息出境的,仍需履行其他的法定個人信息安全保護義務,保障個人信息安全,其中包括了告知、獲得單獨同意、制作PIA報告、采取數據安全保護措施等。