在2023年9月28日发布《规范和促进数据跨境流动规定(征求意见稿)》 近6个月后,备受业界关注的《促进和规范数据跨境流动规定》(以下简称“新规”) 于 2024年3月22日由国家网信办正式公布实施。
总体而言,新规对已出台的《数据出境安全评估办法》和《个人信息出境标准合同办法》提出了若干流程上的放宽。新规基本理念延续了《规范和促进数据跨境流动规定(征求意见稿)》的思路,释明了企业在实践中申报数据出境安全评估和个人信息标准合同备案方面的一些疑虑,明确了部分可以免除履行数据出境安全评估或个人信息出境标准合同或个人信息保护认证等数据跨境必要手续的特定情形。新规的出台为跨境数据流动提供了更为清晰的指导和规范,如此更为灵活且兼具规范化的框架有助于增强数据处理者对数据流动的合规性和可控性的把握,也有助于促进国际数字贸易合作,推动我国数字经济发展。
PART 1 新规出台前跨境数据需求企业面临哪些问题?
我国之前数据跨境路径(主要是数据出境安全评估、标准合同备案) 在适用的过程中企业承担着较为繁重的合规负担。
首先,安全评估的门槛设置过低,导致众多企业都被纳入了需要进行数据出境安全评估的范围,处理100万人以上个人信息其实是较为宽松的门槛,很多存在数据跨境流动的企业都被纳入其中。
其次,之前规定较为笼统,没有灵活设定除外和豁免情形,即使是个别企业对数据跨境活动需求并非主要需求,体量也并非巨大,也必须遵循完整的数据跨境评估备案等流程,这也进一步增加了企业负担。
此外,审核标准和必要性判断标准较为严格,尤其是针对跨国集团内部人事管理等活动的审查,其出现频率高,涉及个人信息数量较大,但合规风险性其实并非不可控。并且由于各地的审核尺度可能存在不一致,加剧了企业面临的不确定性和合规成本。综上,考虑到过度严格的管理措施可能对企业的创新和发展产生不利影响,应在保障数据安全的前提下,充分考虑企业实际情况和需求,简化合规程序,降低企业的合规成本,更好促进数据合规高效流通。
PART 2 跨境数据传输需求企业更应关注哪些新规要点?
第一,跨境数据出境豁免情形
首先,数据跨境监管的范围明确着重于“个人信息”及“重要数据”,对于特定情形下一般数据的跨境流动,评估备案非必要前置程序。因此要首先考虑跨境数据中是否包含个人信息或者重要数据,如果不包含则以下直接豁免:
1、部分内容和领域数据向境外提供:如果数据来自国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动,并且不包含个人信息或者重要数据,那么免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
2、过境数据(境外个人信息传输至境内处理后再向境外提供):如果数据处理者在境外收集和产生的个人信息传输至境内处理后再向境外提供,并且在处理过程中没有引入境内个人信息或者重要数据,那么免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
这些豁免情形可以简化数据跨境流动过程中的一些程序和要求,但在实际操作中,仍需遵守相关法律法规的规定。
其次,如果包含个人信息,但只要不包含重要数据,即可免予申报数据出境安全评估、订立个人信息出境标准合同以及通过个人信息保护认证,在具体情形下可以豁免:
1、订立、履行个人作为一方当事人的合同:数据处理者在跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等合同中,确需向境外提供个人信息。
2、依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理:数据处理者在实施跨境人力资源管理过程中,按照依法制定的劳动规章制度和依法签订的集体合同,确需向境外提供员工个人信息。
3、紧急情况下为保护自然人的生命健康和财产安全:在紧急情况下,为保护自然人的生命健康和财产安全,确需向境外提供个人信息。
4、数据处理者自当年1月1日起累计向境外提供不满10万人个人信息:除关键信息基础设施运营者外的数据处理者,自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。
第二,细化重要数据的跨境处理
首先,数据处理者依旧负有按照相关规定识别、申报重要数据的义务。但是,本次新规解决了一直以来重要数据边界模糊问题,新规进一步明确:“未被相关部门、地区告知或公开发布为重要数据的情况下,数据处理者不需要作为重要数据申报数据出境安全评估”。
在数据处理者传输重要数据的情况下,豁免规定则不适用,这意味着必须遵循严格的流程。具体而言,数据处理者需要通过所在地省级网信部门向国家网信部门提交数据出境安全评估申报,以确保数据跨境流动的安全性和合规性。这一要求与《数据出境安全评估办法》的要求保持一致,延续了既有规定的核心原则。
流程仍然采取了申报的方式,表明数据处理者在面对重要数据出境环节时,无法规避安全评估的程序,而必须严格遵守规定。这种被动申报方式不仅确保了数据出境过程的可追溯性和规范性,同时也降低了数据处理者在识别重要数据方面的负担。值得注意的是,在新规下,主管部门将会告知和公开发布企业是否拥有重要数据的信息,这为企业提供了更多的透明度和指导。因此,新规的出台不仅强化了对数据跨境流动的监管,同时为重要数据的管理提供了更为明确的指引。数据处理者应当深刻理解并严格遵守这些规定,以确保数据出境活动的合规和安全。
第三,自贸区有权制定负面清单
新规强调了在数据跨境流动中自贸区的角色和职能。这一举措意味着自贸区在数据领域的管理和监管有了更为清晰的指引和权限,有助于提高自贸区在数字经济发展中的作用。按照自贸区所制定数据出境“负面清单”,清单内的数据在出境前需要履行申报、备案等相关前置程序,数据处理者向境外提供负面清单之外的数据可以免予数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。不过负面清单并非单一自贸区可以随意制定,负面清单的制定需要经过省级网络安全和信息化委员会的批准,并报国家网信部门、国家数据管理部门备案,确保规定的合法性和有效性。
自贸区内的企业可以依据所在区的负面清单,进一步判断企业对跨境数据传输应该履行的具体行为。新规的此项规定有助于为自贸区企业提供明确的指引,同时也有利于简化跨境数据流动的程序,促进自贸区内企业的发展及提升竞争力。
PART 3 如何根据具体个人信息数量确定跨境信息处理方案?
关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供个人信息的情况下,根据数量和敏感程度的不同,适用的豁免情形有所不同:
1.当累计向境外提供的个人信息数量在10万以下时,可适用豁免情形,无需履行额外程序。
2. 当累计向境外提供的个人信息数量在10万至100万人之间,或提供1万以下的敏感个人信息时,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。
3. 当累计向境外提供的个人信息数量超过100万人,或提供1万以上的敏感个人信息时,需要进行数据出境安全评估。
不论哪种情况,数据处理者向境外提供个人信息的都需要应当按照法律、行政法规的规定履行数据合规义务,包括告知数据主体、获得其单独同意、进行个人信息保护影响评估(PIPIA)等义务,并提供充分的安全保障措施。这些步骤和程序有助于保护个人信息的安全性和合规性,确保数据出境活动符合法律法规的规定。
小 结
数据跨境新规的出台细化了已有的数据体系监管,有助于平衡国家安全和数据主体权益保护之间的关系。它为企业提供了更清晰、更明确的合规指引,减轻了数据跨境合规的负担。意味着存在跨境数据传输需求的企业在合规范围内可以更加灵活地开展数据跨境活动。
新规响应经济发展需求,也是优化营商环境的举措。为企业营造了更加稳定、透明的商业环境,回应了市场期待。同时,重申了数据处理者的合规义务,强调了监管部门的职责,有助于建立更加健全的数据治理机制。
企业应在专业机构指导下进一步加强内部合规能力建设,深化数据管理和风险防控机制。即使公司数据属于被豁免的范围,仍需进行充分的内部合规识别, 并适时开展其他基本的数据合规义务。
原文链接详见:数字经济季 | 从数据跨境新规谈企业数据合规措施改进