2023年5月,外交部就制定“全球数字契约”向联合国提交《中国关于全球数字治理有关问题的立场》,其中表明“......促进数据依法有序自由流动;反对利用信息技术破坏他国关键基础设施或窃取重要数据,以及利用其从事危害他国国家安全和社会公共利益的行为”。【1】此外,中国正在积极推动加入CPTPP(全面与进步跨太平洋伙伴关系协定)和DEPA(数字经济伙伴关系协定),而这两个协定均涉及个人信息保护和数据跨境流动的内容,倡导缔约国采取措施促进数据跨境流动。【2】
在国际大背景下,中国国内立法也不断致力于促进数据有序的跨境流动。自2021年《个人信息保护法》《数据安全法》起至后续一系列法规的出台,例如《数据出境安全评估办法》《个人信息出境标准合同办法》等,我国成功建立数据跨境流动的“中国模式”。更令人欣喜的是,2024年3月22日,中国国家互联网信息办公室(下称“网信办”)正式公布《促进和规范数据跨境流动规定》(以下简称“《数据流动规定》或《新规》”)。网信办有关负责人表示《数据流动规定》的出台作为对已经确立的“数据出境安全评估、个人信息出境标准合同备案、个人信息保护认证”等数据出境制度的优化调整,将促进数据进一步依法有序自由流动,激发数据要素价值,扩大高水平对外开放。【3】
流动的企业而言,是重大利好。同时, 我们也充分理解《新规》可能带来的理解 和实施上的不明晰和不确定。因此, 本所数字经济法律事务团队特撰此文,希望 为相关企业提供对于《数据流动规定》及时的法律解读。我们特别将《数据流动 规定》与《个人信息保护法》《数据出境安全评估办法》《个人信息出境标准合同办法》等法律法规进行对比研究, 旨在更好地分析数据出境法律监管趋势,以帮 助企业作出及时的应对和处理。
一、法律梳理
此前,我国已经由《个人信息保护法》《数据出境安全评估办法》 《个人信息出境标准合同办法》等确立了数据出境的“三种主要合规途径”,即:个人信息出境标准合同备案、个人信息保护认证以及数据出境安全评估。根据法律规定,三种主要合规途径的适用方式为:一般情况下,数据处理可以根据自身情况选择任一履行即可。在满足以下条件之时, 数据处理者只能采用数据出境安全评估途径:
(1)数据处理者向境外提供重要数据;
(2)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(3)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。新颁布的《数据流动规定》在原有“三种主要合规途径”的基础上,特别明确了可“直接出境”的几类情形,并对原有数据出境规则进 一步调整和优化。《新规》下,我国数据出境场景大致可分为三大类别,覆盖四种主要途径,也即:直接出境、个人信息出境标准合同备案、个人信息保护认证、数据出境安全评估。(详见下表)。
二、《数据流动规定》对于原有“三种主要合规途径”的优化调整与法律评析
01 增加和明确数据直接出境的规定
在《数据流动规定》中, 网信办明确了几种数据直接出境的规定,也即,企业在满足这几种规定的情况下可以直接将数据传输出境,而无需履行“三种主要合规途径” 。需要提示的是,企业将数据在上表类别一场景下直接传输出境时,如涉及向境外提供个人信息的,虽无需适用“三种主要合规途径”,但并非全然不受监管,企业仍需根据《个人信息保护法》要求,自行或委托第三方专业机构开展事前个人信息保护影响评估(PIA),并关注事中、事后监管,确保持续处于合规状态。
在《新规》下,企业似乎获得了多种便利数据出境的机会(详见上表类别一)。但是,我们认为关于“特殊目的”以及“数据过境”的场景下并不能实质性地给企业法律合规措施减负。一方面,一般数据(非个人信息和重要数据)的出境在原有的规定中本就无需履行额外的法律合规程序,此次《新规》只是进一步就原有规定进行了具体场景例举和明确,并未改变制度本质;另一方面,“数据过境” 场景下,在不融合境内个人信息或重要数据情况下进行加工过境行为,其本质上也不涉及境内个人信息或重要数据出境,不会对来自中国的相关数据产生额外的安全影响,自然也无规制之必要。
我们认为,《新规》中对于企业可能产生实质性影响的规定为:“履行个人合同”、“企业劳动人事管理”以及“少量传输”三种豁免情形。在“履行个人合同” 豁免场景中,《新规》规定“为履行个人作为一方当事人的合同而在跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等诸多情况下确需向境外提供个人信息”。由此,大量提供个人跨境服务的企业可能会收获利好,例如银行、跨境电商、跨境支付企业、跨国邮递公司、旅行事务和机票代理服务企业等;在“劳动人事管理”豁免场景中,企业,尤其是跨国企业可以将员工的个人信息自由传输至第三国进行存储和处理,为企业在实施全球一体化人力资源管理方面提供了便利,有助于企业提高人力资源管理的效率和效果,便利跨国企业的全球运营,促进跨国企业的合规管理。在“少量出境” 豁免场景中,就个人信息出境从单一数量维度进行了豁免,一方面给具备少量出境需求的企业再松绑,另一方面也为监管机构减负。
值得注意的是,《新规》虽规定了可以直接出境的几类场景,但也存在着不甚明确之处。具体而言,在“紧急情况”豁免场景中,数据处理者可以在“紧急情况下为保护自然人的生命健康和财产安全”向境外提供个人信息的。此条规定对于医疗保健、保险等机构而言,可能带来一定的便利。但是值得指出的是,《数据流动规定》并未细化何种标准下属于“紧急情况”,也未进一步指明由谁来进行决策某一情况属于“紧急情况”,亦未要求待自然人脱离“紧急情况”后数据处理者应当及时告知等规定。因此,《新规》中的相关规定具体如何落实,还待进一步明确。
02 放宽需强制“安全评估”的强制适用标准
根据《数据流动规定》,数据处理者进行数据跨境传输需要强制进行安全评估的情况为:
1)关键信息基础设施运营者向境外提供个人信息或者重要数据;
2)关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。如此,《新规》的出台对于原有出境数据量触发安全评估的情况作出了重大改变。自《数据出境安全评估办法》生效以来, 触发安全评估的门槛一直被业界和学者诟病设置过低,因此许多具备较大量数据跨境需求的企业可能会面对繁重的安全评估程序。《新规》中回应了对于过往法律中门槛设置过低的问题,作出了两方面主要改变:第一,《新规》实质性移除了《数据出境安全评估办法》对于“处理数据量超过100万人的数据处理者”这一针对特殊主体层面的强制安全评估规定;第二,《新规》对于“累计计算”人数超过一定量而触发的 安全评估规则也作出了修改。在《数据出境安全评估办法》中,企业如自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的,则应当在新的数据出境活动中申报安全评估。《新规》将“上年累计”修改为“当年累计” ,以及将个人信息的“10万人”门槛提升至“100万人”。如此一来,强制安全评估个人信息数量门槛被提高了10倍,加之采用“当年累计”的计算规则,对于企业而言,无疑是重大的利好消息。
此外,《新规》第九条对《数据出境安全评估办法》第十四条关于安全评估有效期的规定亦作出修改,规定由原来的“2 年”有效期变为“3年”。在此基础上,《新规》还将《数据出境安全评估办法》第十四条中“安全评估2年有效期满需重新评估”的表述修改为允许企业在“需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形”时,直接申请延长3年有效期,而无需重新启动新一轮安全评估。“发生需要重新申报数据出境安全评估”的具体情则形参照 《数据出境安全评估办法》第十四条第二款【4】。尽管目前还不明确在申请延长的情况下,监管部门将要求企业履行何种法律程序(例如是否要求自评估抑或是备 案等程序),但可以看出的是,网信办从之前的要求“重新评估”到如今的“允许企业申请延期”折射出的减轻企业法律合规负担的意图。但也应关注到,此种将2年期至的强制重评改为允许企业申请延期的方式,将会对企业长期稳定保持数据跨境业务合法合规提出更高要求,同时企业也应当仔细评估自身情况,以确定是否触发重新评估。
尽管作出了较大幅度修改,此次《新规》是否真的能有效改善过往安全评估易被触发的情况尚不明确。对于大型企业而言,一年期间累计传输数据量超100万人个人信息或1万人个人敏感信息可能并非难事,《数据出境安全评估办法》出台尚未满两年,《新规》便就数量作出如此重大的改变,因此《新规》所确定 的标准能否长久适用于日渐增长的数据跨境需求亦不清晰。但无论如何,对于企业而言,《新规》的出台或许能带来更多业务操作上的从容,企业可以将数据出境活动的规划安排在一年内实施,而非过去的两年内( 自上年1月1日起),通过合理规划,企业甚至可以实现“先传后报”,以满足业务发展的不时之需,即在出境个人信息未达到相关数量标准的情况下先行适用直接出境开展业务,待累计数量达到或即将达到相应标准时,再视情况选择“三种主要合规途径”。
03 实现安全评估、标准合同备案和个人信息保护认证三条路径的强制分流
根据《个人信息保护法》第38条的规定,数据处理者有权选择安全评估,标准合同备案和个人信息保护认证三条路径之一进行数据传输。换言之,根据此规定,数据处理者即便在不强制实施安全评估的情况下,仍可以选择向网信办申报安全评估。而根据《数据流动规定》第八条的规定“关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证”。如此,《新规》中首次实现了安全评估、标准合同备案和个人信息保护认证三条路径的强制分流,也即数据处理在不属于强制安全评估的情况下,只能选择标准合同备案和个人信息保护认证两条路径之一。这样的强制分流制度某种程度上给企业带来了便利,能够让企业名正言顺地通过更便捷的标准合同备案和个人信息保护认证途径出境;同时也减少了网信办的安全评估压力。
然而,我们认为强制分流制度的建立对于企业而言,或许并非是完全的解缚。一方面,强制分流措施剥夺了许多受到强监管的企业(例如医疗健康企业、金融企业等)主动选择数据跨境安全评估并获得官方背书的可能;另一方面,根据《个人信息出境标准合同办法》第五条的规定,企业在采用标准合同路径跨境传输数据之时还需针对于“境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响”进行评估,而根据《数据出境安全评估办法》以及新出台 的《数据出境指南(第二版)》,数据处理者为申报安全评估而进行的自评估中并无此项直接规定,而将此“评估境外国家地区法律政策环境”交由网信办在安全评估中进行。对于企业自身而言,由于申报安全评估和采用标准合同备案路径都需要先进行自评估,因此,从目前规定来看,采用标准合同备案反倒可能会给企业带来更困难的评估外国和地区的法律政策情况这一环节,因此,企业在强制分流制度下有可能会被迫履行更为繁重的自评估义务。
总之,《新规》的强制分流制度建构是否能真正使得企业减少负担,还是个未知数。强制分流制度的建立也同时意味着企业自身需加强对数据出境风险的把控,加强与监管机构的交流并及时了解监管动向,依照法律规定做好自评估,重视事中、事后监管应对和全流程合规。
04 规定如何对于“重要数据”进行识别
《新规》中并未改变重要数据出境需申报数据出境安全评估的做法,但是对于如何识别、认定重要数据作出了相应的指示。《数据出境安全评估办法》中规定重要数据系指“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”。然而,长久以来,对于如何准确界定重要数据的范畴甚不确定。
《新规》第二条规定“数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的, 数据处理者不需要作为重要数据申报数据出境安全评估”。换言之,企业需要通过依照相关法律规定、相关标准(如2024年3月15日新发布的国家标准 GB/T 43697-2024《数据安全技术数据分类分级规则》)以及企业自身所处行业领域要求等先行识别某数据是否为重要数据,并向有关部门申报,再由相关部门最终确定发布。《新规》中确立的这种重要数据识别程序某种意义上或将有助于推动各行业领域重要数据目录的制定,同时也更强调企业内部对于数据的分类分级保护。此外,企业应当及时了解监管对于“重要数据”范畴作出的改变或相关说明,确保自身在将数据传输出境时不触碰红线。
三、《数据流动规定》的优化调整对于海南自贸港的意义
值得我们重点关注的是,《数据流动规定》为海南自贸港的数据流动便利化首次提出了切实可行的发力方向。根据《数据流动规定》第六条规定,自由贸易试验区可以在国家数据分类分级保护制度框架下,自行创建“负面清单”,以决定何种数据纳入三种出境途径(数据出境安全评估、个人信息出境标准合同备案、个人信息保护认证)的具体情形。在负面清单外的数据,数据处理者可以直接将其传输出境,而无需履行三种数据出境合规途径。
然而,该条规定该如何适用于海南自贸港尚不明确。具体而言,此条规定强调自由贸易港的特殊制度设计应当建立在“国家数据分类分级保护制度框架下”, 然而《新规》并未指明如何理解其所称“制度框架”。我们认为,鉴于目前中国的数据保护立法对于数据跨境流动的规制主要围绕拟出境的数据数量、敏感程度 (例如个人敏感信息、重要数据) 以及特别主体(关键信息基础设施运营者)而进行,因此海南自贸港很难作出大幅度偏离这三方面的便利制度安排,以免过分突破国家法律中十分明确的数据保护法律限制。因此,我们认为海南自贸港网信部门还需进一步研判此规定,在不违背国家制度的大框架下做好法律论证,谨慎制定负面清单,从而更好地促进海南自贸港数据安全有序流动。
四、总结:大风已起,云该向何方?
数据跨境顺畅流动似乎是当前时代发展不可阻挡的步伐。从《数据流动规定》 征求意见稿到正式发布稿的变化,可以明显看出我国对于数据开放流动的态度和决心,从2021年《个人信息保护法》《数据安全法》出台至今,尚不满三个年头,中国的数据保护制度从无到有,再从有到优,令人欣喜。数据跨境流动制度同样在短短两三年间快速发展,众多企业翘首以盼。然而,正如我们上文所分析,尽管监管部门频繁修订数据跨境法律规定,以期不断地给企业的数据跨境活动解缚,但不可避免地还是存在着许多不确定因素。广大企业仍需要不断修炼内功,加强自身数据保护的制度体系建设,严肃对待数据出境中的法律合规程序,加强与监管部门的沟通交流从而明确最新的监管动向,以积极而审慎的态度摸着石头过河。
注 释
【1】中国关于全球数字治理有关问题的立场 https://www.mfa.gov.cn/web/wjb_673085/zzjg_673183/jks_674633/zclc_674645/qt_674659/202305/t20230525_11083602.shtml
【2】商务部:将积极推进加入CPTPP和DEPA http://finance.people.com.cn/n1/2023/1010/c1004-40092466.html
【3】国家互联网信息办公室公布《促进和规范数据跨境流动规定》 https://www.cac.gov.cn/2024-03/22/c_1712776612187994.htm
【4】《数据出境安全评估办法》 第十四条通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算。在有效期内出现以下情形之一的,数据处理者应当重新申报评估:(一)向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的;(二)境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的;(三)出现影响出境数据安全的其他情形。有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。