引言
時隔《規範和促進數據跨境流動規定(征求意見稿)》發佈半年後,不少企業翹首以盼的《促進和規範數據跨境流動規定》(以下簡稱《規定》)於2024年3月22日由國家互聯網資訊辦公室發佈。 正式《規定》再次強調了部分數據出境場景無需履行申報數據出境安全評估、訂立個人資訊出境標準合同、通過個人資訊保護認證(以下簡稱“數據出境的前置性規定”)的數據合規義務,這無疑給中小型跨境投資企業減輕了商業往來的負擔,而《規定》還對一些細節進行了調整,並於公佈之日起實施,這也顯示出了網信部門對跨境數據流動進一步支持的態度。 本文結合實踐經驗,對《規定》條文進行逐條速評。
第一條
為了保障資料安全,保護個人資訊權益,促進數據依法有序自由流動,根據《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》等法律法規,對於數據出境安全評估、個人資訊出境標準合同、個人資訊保護認證等數據出境制度的施行,製定本規定。
點評
本條為《規定》之製定目的,旨在明確資料安全,個人資訊保護相關法律中比較模糊、可能存在歧義的相關規定。
第二條
資料處理者應當按照相關規定識別、申報重要數據。 未被相關部門、地區告知或者公開發佈為重要數據的,資料處理者不需要作為重要數據申報數據出境安全評估。
點評
首先,該條強調了資料處理者對重要數據的識別和申報責任,對於“重要數據”的具體界定標準,在《規定》公佈的前一天,國家標準《數據安全技術數據分類分級規則(GB/T 43697-2024)》正式發布,該規則在附錄G部分明確列舉“重要數據”的17項考慮因素以及相應的示例,對企業判斷重要數據提供政策依據。 其次,該條將重要數據是否需要申報的“舉證責任”移轉至了各地區和相關部門,若企業未被相關部門、地區通知需處理重要數據,或相關部門、地區未公開發佈的重要數據目錄和清單,則企業無需將某類數據作為重要數據申報數據出境安全評估,這一方面減輕了企業的合規壓力,另一方面也倒逼相關部門、地區儘快建立健全數據分級制度和發佈重要數據目錄和清單。
第三條
國際貿易、跨境運輸、學術合作、跨國生產製造和市場行銷等活動中收集和產生的數據向境外提供,不包含個人資訊或者重要數據的,免予申報數據出境安全評估、訂立個人資訊出境標準合同、通過個人資訊保護認證。
點評
《規定》明確了免予履行數據出境前置性規定的的數據場景:國際貿易、跨境運輸、學術合作、跨國生產製造、市場行銷。 相較於《征求意見稿》,《規定》進一步放寬企業的數據合規義務:
(1)拓寬了數據場景,網信辦將“跨境運輸”也納入可以免予履行數據出境前置性規定的數據場景;
(2)擴大了數據的生命週期範圍,使該條更具有實踐意義。 因為多數場景中數據的產生和收集是一併發生的。 《征求意見稿》僅規定在特定的數據場景中“產生”的數據向境外提供時可以免予履行數據出境前置性規定,《規定》明確數據的“收集”也應納入本條的管理範圍,例如境外企業若使用國內的存儲類雲服務則可以免予履行數據出境前置性規定義務。 但是提請注意事項為跨境傳輸數據當中不應包括“個人資訊或者重要數據”。
第四條
資料處理者在境外收集和產生的個人資訊傳輸至境內處理後向境外提供,處理過程中沒有引入境內個人資訊或者重要數據的,免予申報數據出境安全評估、訂立個人資訊出境標準合同、通過個人資訊保護認證。
點評
明確規定在境外收集和產生的個人資訊,在中國境內進行處理過程中不涉及個人資訊或重要數據的免於申報。 同時企業應注意,如未來可能適用該條豁免規定,應當注意將從境外收集、產生的數據與境內的數據相分離,防止在處理過程中境內外數據發生混同,進而無法被認定為“數據僅過境”,從而錯失豁免機會。
第五條
資料處理者向境外提供個人資訊,符合下列條件之一的,免予申報數據出境安全評估、訂立個人資訊出境標準合同、通過個人資訊保護認證:
(1)
為訂立、履行個人作為一方當事人的契约,如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等,確需向境外提供個人資訊的;
(2)
按照依法製定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理,確需向境外提供員工個人資訊的;
(3)
緊急情况下為保護自然人的生命健康和財產安全,確需向境外提供個人資訊的;
(4)
關鍵資訊基礎設施運營者以外的資料處理者自當年1月1日起累計向境外提供不滿10萬人個人資訊(不含敏感個人資訊)的。
前款所稱向境外提供的個人資訊,不包括重要數據。
點評
第一款“個人為履行契约所必需提供”的場景包括跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等需要向境外提供個人資訊的情形。 提請注意這是個人向境外平臺為履行契约之目的的情形,如果境內機构收集個人資訊向境外機構提供個人資訊的,仍需遵守數據出境前置性規定。
第二款與《征求意見稿》無異。 根據法律和規章制度,人力資源管理所必需的數據需要出境的可以得到豁免,但是如何證明向境外提供員工個人資訊是“確需”的問題,仍未得到很好的回應。
第三款強調緊急情况下為保護自然人的生命健康和財產安全,可以採取豁免制度,但“緊急”到何種程度才可以受豁免仍存疑。 如濫用該條款,有可能導致中國患者的健康數據被境外勢力掌握,囙此擁有患者醫療數據的機构或組織應該審慎使用該條款。
第四款首次明確非關鍵資訊基礎設施運營者向境外傳輸批量個人資訊進行豁免的原則,但也同時明確了不包含敏感個人資訊。
第六條
自由貿易試驗區在國家數據分類分級保護制度框架下,可以自行製定區內需要納入數據出境安全評估、個人資訊出境標準合同、個人資訊保護認證管理範圍的數據清單(以下簡稱負面清單),經省級網路安全和信息化委員會準予後,報國家網信部門、國家資料管理部門備案。
自由貿易試驗區內資料處理者向境外提供負面清單外的數據,可以免予申報數據出境安全評估、訂立個人資訊出境標準合同、通過個人資訊保護認證。
點評
《規定》設計了自貿區負面清單機制,這意味著自貿區內的企業向境外提供除負面清單的數據,可以免予履行數據出境的前置性規定的義務。 這無疑對於各自貿區是機會也是挑戰,各地區自貿區應儘快完善負面清單制度,在促進數據流動的同時保證資料安全。 上海市臨港新區作為排頭兵,於2024年2月8日編制發佈了《中國(上海)自由貿易試驗區臨港新片區數據跨境流動分類分級管理辦法(試行)》,規定了重要數據目錄和一般數據清單的管理要求。 企業對於重要數據目錄和一般數據清單中的數據,應向管委會進行申請備案。 為其他自貿區製定出推動《規定》落地的制度提供了思路。
第七條
資料處理者向境外提供數據,符合下列條件之一的,應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估:
(1)
關鍵資訊基礎設施運營者向境外提供個人資訊或者重要數據;
(2)
關鍵資訊基礎設施運營者以外的資料處理者向境外提供重要數據,或者自當年1月1日起累計向境外提供100萬人以上個人資訊(不含敏感個人資訊)或者1萬人以上敏感個人資訊。
屬於本規定第三條、第四條、第五條、第六條規定情形的,從其規定。
第八條
關鍵資訊基礎設施運營者以外的資料處理者自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人資訊(不含敏感個人資訊)或者不滿1萬人敏感個人資訊的,應當依法與境外接收方訂立個人資訊出境標準合同或者通過個人資訊保護認證。
屬於本規定第三條、第四條、第五條、第六條規定情形的,從其規定。
點評
第七條和第八條是對於資料類型和具體數據出境數量的限制性規定,具體見下表格。 值得注意的是網信部門在《規定》答記者問中特別明確了在上述累計數據出境的數量的計算過程中,一是以自然人為組織進行計算; 二是不需要計入豁免情形(《規定》第三條、第四條、第五條第一款第一項至第三項、第六條規定情形的)的相應數據量。
資訊類型
累計出境數量
(自當年1月1日起算)
應當履行的前置性數據合規義務
關鍵資訊基礎設施運營者
≥1人的個人資訊
申報數據出境安全評估
非關鍵資訊基礎設施運營者
≥100萬人個人資訊
(不含敏感個人資訊)
申報數據出境安全評估
≥1萬人敏感個人資訊
申報數據出境安全評估
10萬人至100萬人個人資訊
(不含敏感個人資訊)
訂立個人資訊出境標準合同或者通過個人資訊
保護認證
<1萬人敏感個人資訊
訂立個人資訊出境標準合同或者通過個人資訊保護認證
<10萬人個人資訊
(不含敏感個人資訊)
不需要履行任何數據出境前置性規定的義務
第九條
通過數據出境安全評估的結果有效期為3年,自評估結果出具之日起計算。 有效期屆滿,需要繼續開展數據出境活動且未發生需要重新申報數據出境安全評估情形的,資料處理者可以在有效期屆滿前60個工作日內通過所在地省級網信部門向國家網信部門提出延長評估結果有效期申請。 經國家網信部門準予,可以延長評估結果有效期3年。
點評
規定數據出境安全評估結果的時限,較之前2年的有效期,《規定》將有效期延長至3年,經過國家網信部門準予,最多還可延長到6年。 大大減輕了企業數據出境合規的負擔。
第十條
資料處理者向境外提供個人資訊的,應當按照法律、行政法規的規定履行告知、取得個人單獨同意、進行個人資訊保護影響評估等義務。
點評
再次申明資料處理者的數據出境合規義務。 值得注意的是,向境外提供個人資訊時,即使資料處理者符合數據出境的豁免條款,也必須對個人資訊保護進行影響評估,以及履行告知和取得個人的單獨同意。
第十一條
資料處理者向境外提供數據的,應當遵守法律、法規的規定,履行數據安全保護義務,採取科技措施和其他必要措施,保障數據出境安全。 發生或者可能發生資料安全事件的,應當採取補救措施,及時向省級以上網信部門和其他有關首長部門報告。
點評
強調資料處理者的數據安全保護義務以及風險處置義務。
第十二條
各地網信部門應當加强對資料處理者數據出境活動的指導監督,健全完善數據出境安全評估制度,優化評估流程; 强化事前事中事後全鏈條全領域監管,發現數據出境活動存在較大風險或者發生資料安全事件的,要求資料處理者進行整改,消除隱患; 對拒不改正或者造成嚴重後果的,依法追究法律責任。
點評
强化各地網信部門的指導監督、風險查處、檢查執法職能作用,其中對於發現“發現數據出境活動存在較大風險或者發生資料安全事件的”,只要求資料處理者及時整改、消除隱患,給予了較寬松的罰則。 針對“拒不改正或者導致嚴重後果的”情况,則仍模糊規定了依法追究法律責任,涉及企業可根據《數據出境安全評估辦法》和《個人信息出境標准合同辦法》中的具體罰則內容自行判斷可能承擔的法律責任。
第十三條
2022年7月7日公佈的《數據出境安全評估辦法》(國家互聯網資訊辦公室令第11號)、2023年2月22日公佈的《個人信息出境標准合同辦法》(國家互聯網資訊辦公室令第13號)等相關規定與本規定不一致的,適用本規定。
點評
根據新法優於舊法,規定了《規定》適用的優先性。
第十四條
本規定自公佈之日起施行。
點評
注意《規定》自2024年3月22日起開始實施。
