文:上海君倫律師事務所
2023年9月28日,國家互聯網資訊辦公室發佈了《規範和促進資料跨境流動規定(徵求意見稿)》(以下簡稱“《規定》”),向社會公開徵求意見。該《規定》共計十一條,首次規定了不需要事前監管的資料場景、暫緩對重要資料的認定以及提出自由貿易區負面清單制度。這標誌著中國資料跨境流通進入了新的發展階段。筆者以《規定》內容為基礎,結合實踐經驗,淺談資料出境制度的新變化、新發展。
一、出臺背景
國內視資料跨境交易為資料要素市場建設和外商投資優化的重要因素,而國際上歐美間資料流程通的重新建立也對全球範圍內的資料流程通產生了影響。因此,該《規定》也是中國參與國際資料流程通生態建設的最新嘗試。
在此之前,《個人資訊保護法》第三十八條明確規定了個人資訊處理者因業務需要確需向中華人民共和國境外提供個人資訊的,需具備下列條件之一:1. 通過國家網信部門組織的安全評估;2. 按照國家網信部門的規定經專業機構進行個人資訊保護認證;3. 按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務;4. 法律、行政法規或者國家網信部門規定的其他條件。因此,可以理解若企業涉及資料出境,則需選擇資料出境安全評估、個人資訊處理活動安全認證規範以及個人資訊出境標準合同辦法(以下簡稱“資料出境的前置性規定”)這三條路徑之一。
該《規定》最大的變化是對這些現有規定進行了調整,豁免了部分資料出境事前監管義務,降低了企業的資料合規成本。上海市資料交易專家委員會委員陳吉棟指出,《規定》的出臺意味著中國對於資料出境的立法價值追求發生了轉變,從資料主權和資料安全轉向促進資料跨境流通和資料交易。其對重要資料的認定放寬以及多種場景下的義務豁免,有助於促進跨境資料流程通和商業活動的便利。
二、《規定》亮點
亮點一:部分資料出境場景無需履行資料出境的前置性規定
《規定》首次提出符合以下場景的,個人資訊處理者無需履行申報資料出境安全評估、訂立個人資訊出境標準合同或通過個人資訊保護認證的資料合規義務:
01、不包含個人資訊或重要資料的國際貿易、學術合作、跨國生產製造和市場行銷等活動中產生的資料出境;
02、不是在境內收集產生的個人資訊向境外提供;
03、為訂立、履行個人作為一方當事人的合同所必需,如跨境購物、跨境匯款、機票酒店預訂、簽證辦理等,必須向境外提供個人資訊的;
04、按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理,必須向境外提供內部員工個人資訊的;
05、緊急情況下為保護自然人的生命健康和財產安全等,必須向境外提供個人資訊的;
06、預計一年內向境外提供不滿1萬人個人資訊的。
根據筆者的實務經驗,目前對於資料出境合規有需求的企業類型多涉及跨境貿易、生產製造、行銷,資料類型多涉及從事履行合同所必須提供個人資訊的跨境服務,此《規定》未來的出臺,會大大減輕企業開展資料出境合規工作的負擔,為更多對外投資企業、外商投資企業、小微企業創造更寬鬆的營商環境。
亮點二:對於適用資料出境的前置性規定的個人資訊的數量作出調整
首先,《規定》出臺之前只要涉及出境的資料均應該履行資料出境的前置性規定義務,且個人信息量或累積量越大其前置審查力度越高。此次《規定》直接豁免了一些小微型跨境公司的資料出境合規義務,對於個人資訊出境量不大,即預計一年內不滿1萬人資訊的,可以不再履行資料出境的前置性規定義務,即使是敏感資訊。這對於以前無論多少資料量,只要涉及資料出境均需前置監管的規則是一個突破性的革新。對於規模較小的跨境企業來說,該規定減輕了其履行資料合規義務的負擔,為其創造了更好的營商環境。另外,對於預計一年內向境外提供1萬人以上、不滿100萬人的個人資訊,網信辦也放鬆了前置監管,不再要求個人資訊處理者申報出境安全評估,只需要做備案或認證即可。
下表是新舊規定中企業如何履行資料出境的前置性義務的歸納總結:
| 法律依據 | 統計方式 | 前置性規定 | 個人資訊數量 |
| 《資料出境安全評估辦法》
第四條 |
上一年度累計個人資訊數量 | 需要申報資料出境安全評估 | 1. 處理100萬人以上個人資訊;
2. 自上年1月1日起累計向境外提供10萬人個人資訊或者1萬人敏感個人資訊 |
| 《個人資訊出境標準合同辦法》
第四條 |
需要訂立個人資訊出境標準合同 | 處理個人資訊不滿100萬人的 + 自上年1月1日起累計向境外提供個人資訊不滿10萬人的 + 自上年1月1日起累計向境外提供敏感個人資訊不滿1萬人的 | |
| 《個人資訊保護法》
第三十八條 |
/ | 需要通過個人資訊保護認證 | 其他出境資料 |
| 《規範和促進資料跨境流動規定(徵求意見稿)》
第五條 |
預計一年內個人資訊數量 | 不需要申報資料出境安全評估、訂立個人資訊出境標準合同、通過個人資訊保護認證 | 預計一年內向境外提供不滿1萬人個人資訊的 |
| 《規範和促進資料跨境流動規定(徵求意見稿)》
第六條 |
不需要申報資料出境安全評估 | 預計一年內向境外提供1萬人以上、不滿100萬人個人資訊+與境外接收方訂立個人資訊出境標準合同並向省級網信部門備案或者通過個人資訊保護認證的 |
其次,《規定》是對《資料出境安全評估辦法》和《個人資訊出境標準合同辦法》對於出境個人資訊數量適用何種前置性義務的全新解讀,其刪除了對關鍵資訊基礎設施運營者的限制,也刪除了敏感個人資訊的概念,僅按照信息量的多少將出境個人資訊的前置性義務履行的劃分了三個檔次,筆者在下表中做了歸納總結以供參考。這樣全新的劃分也更有利於企業自查時更快速的確認應該履行哪檔前置性義務:
|
_ |
個人資訊數量 | 履行前置性義務 |
| 第一檔 | 個人資訊數量<1萬 | 不需要履行任何資料出境的前置性義務 |
| 第二檔 | 1萬≤個人資訊數量<100萬 | 選擇訂立個人資訊出境標準合同;
或通過個人資訊保護認證 |
| 第三檔 | 100萬≤個人資訊數量 | 申報資料出境安全評估 |
亮點三:新增自貿區負面清單
《規定》第七條將自貿區作為資料跨境流動的先行試點地區,提出負面清單制度,對於資料出境事宜給予了自貿區極大的自由空間。自貿區可自行制定本自貿區需要納入資料出境安全評估、個人資訊出境標準合同、個人資訊保護認證管理範圍的資料清單,報經省級網路安全和資訊化委員會批准後,報國家網信部門備案。該舉措能夠有效提高中國自貿區的資料跨境流通效率,也有利於吸引更多企業落地自貿區從而帶動經濟發展。
該負面清單制度是對2023年8月13日國務院發佈的《關於進一步優化外商投資環境加大吸引外商投資力度的意見》中“探索便利化的資料跨境流動安全管理機制”“試點形成可自由流動的一般資料清單”的落實。在《規定》未發佈之前,被稱為“國際資料試驗田”的上海市臨港區國家已進行初步探索,根據《中國(上海)自由貿易試驗區臨港新片區條例》中規定,自貿區通過制定低風險跨境流動資料目錄的形式,促進跨境資料的自由流動。如今臨港區對跨境資料流程動的探索,已讓跨境支付、跨境直播、數位技術、數位內容等服務貿易領域的經濟活動在此地加速集聚。臨港區試點的成功,進一步論證了儘快落地自貿區負面清單的必要性。
亮點四:注重事中補救,事中事後監督
《規定》豁免了部分企業或企業的業務履行資料出境的前置性規定的義務,但這並不意味著對資料出境合規要求的降低。《規定》第九條提出在發生資料出境安全事件或資料出境安全風險增大時,應當採取補救措施。這意味著企業應當關注出境的資料的全生命週期,不是僅完成事前審查就結束了。而《規定》第十條也強調了各地方網信部門的事中事後監督責任,完善了整體的監督流程,在降低資料出境門檻的同時將監管目光放在整個資料出境全流程之中。
三、亟待解決的問題
此次《規定》徵求意見稿的意見回饋時間僅七個工作日,可見國家對於該放寬資料出境“門檻”的急迫性和決心,但筆者認為《規定》還存在以下問題亟需進一步完善和明確:
Q1、部分規定過於籠統
《規定》第三條,不是在境內收集產生的個人資訊向境外提供,可以不履行資料出境的前置性規定,那麼如果資料在境外收集,但在境內進行存儲、傳輸、加工、利用,再傳輸至境外,是否可以避免履行資料出境前置性規定的義務?另外,這裡的“境內收集”是指地理意義上的境內還是網路意義上(如伺服器埠)的境內?
《規定》第四條第一款第二款第三款都出現在了“必需”和“必須”的字眼,以第四條第一款為例,“為訂立、履行個人作為一方當事人的合同所必需,必須向境外提供個人資訊的”,那麼對於“必須”的理解是否應該有一個標準或者具體的解釋。在之前的申請資料出境安全評估的實踐過程中,企業申請被網信辦拒絕的一個很重要的原因是資料出境缺乏“必要性”,那麼這裡對於必須含義的理解是否又會使企業陷入是否需要履行資料出境前置性義務的不確定性之中?
《規定》第九條“發生資料出境安全事件或發現資料出境安全風險增大的,應當採取補救措施”。這裡僅規定了資料處理者採取補救措施的義務,並未規定如何補救,“及時向網信部門報告”也沒有具體的時間限制。
Q2、相關制度規定待完善
《規定》第二條“未被相關部門、地區告知或者公開發佈為重要資料的,資料處理者不需要作為重要資料申報資料出境安全評估。”對於重要資料的界定從《資料安全法》《個人資訊保護法》出臺後就一直較為模糊。目前還是僅有較少的部門、地區、行業制定並發佈重要資料目錄。那麼重要資料目錄的空缺可能會導致未被明確為重要資料的資料不需要通過資料出境安全評估,影響國家資料安全。
《規定》第七條自貿區可自行制定其自貿區的負面清單,國家網信辦擬在自貿區推行負面清單制度初衷很好,但實踐起來難度較大。如前所述,上海市臨港自貿區已先行建立跨境流動資料目錄,但在實踐中仍存在負面清單無法將重要資料窮盡的問題。根據21世紀經濟報導對臨港跨境數科總經理李晶的專訪,李晶指出目前資料數量大、種類多,各個行業主管部門掌握的資料樣本基礎也不是很豐富,導致負面清單可以涵蓋的資料範圍相對很小。目前一些關係到國家關鍵基礎設施或國家安全的資料已被列入負面清單,但在這一清單外的資料還有十倍、百倍的空間仍處於混沌狀態。因此,落實該條內容,建立各自貿區的負面清單任重而道遠。
《規定》第十條強化網信部門的事前事中事後監管,對於事前監管手段現已明確,但事中和事後的監管措施還需要更詳細的規章制度去完善。該條中“拒不改正”“嚴重後果”的程度及具體情形也需進一步地明確和解釋。
Q3、新舊規定的銜接問題
《規範和促進資料跨境流動規定(徵求意見稿)》作為資料出境管理制度的巨大變革,與之前的《資料出境安全評估辦法》《個人資訊出境標準合同辦法》確有不一致之處。雖《規定》第十一條說明相關規定與本規定不一致的,按照本規定執行,但是在新規未施行舊規未廢止時提交申請,或目前根據舊規要求正在整改的企業,未來新規施行後網信辦應該按何標準監管?對於《規定》第五條“預計一年內向境外提供不滿1萬人個人資訊的”,預計一年內該從何時開始計算?這些問題仍待明確。
結語
雖然《規定》存在上述仍待解決的問題,但其無疑是對《資料出境安全評估辦法》《個人資訊出境標準合同辦法》發佈後,企業和網信辦在實踐中遇到困難的回應和解釋。同時也展現了國家對於減輕企業資料合規負擔,促進資料跨境流動發展的決心和信心。我們期待《規定》的正式出臺,為資料跨境流動注入新的活力,為跨國企業提供更好的營商環境,為我們資料合規工作者提供更明確的指引。
