引言
2024年3月22日,在《规范和促进数据跨境流动规定(征求意见稿)》(以下简称“跨境流动规定征求意见稿”)发布近半年之后,国家互联网信息办公室(“国家网信办”)正式发布《促进和规范数据跨境流动规定》(以下或称“数据跨境新规”),且发布之日即正式生效。
国家网信办依据《数据安全法》《个人信息保护法》的相关规定,结合已开展的数据出境安全评估、个人信息出境标准合同备案和个人信息保护认证工作(前述三大路径统称“数据出境监管流程”)的讨论及实践情况,在其职责范围内制定《促进和规范数据跨境流动规定》,对现行数据出境监管体系进行符合实践发展的动态调整。此外,国家网信办根据《促进和规范数据跨境流动规定》的规定,发布《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》(以下统称“《数据出境指南(第二版)》”),在规范化数据出境申报材料的同时,公布线上数据出境申报平台,标志着我国数据出境监管体系迈向了更加成熟和精细的方向,朝着“以安全促发展”的目标更进一步。
自2017年《网络安全法》生效以来,为了防范无序数据出境活动的风险,保护个人信息权益,维护国家安全和社会公共利益,促进数据出境安全、自由流动,我国逐步构建数据出境监管规则。《数据出境安全评估办法》《个人信息出境标准合同办法》《个人信息保护认证实施规则》相继出台,构建起以安全评估、标准合同备案和个人信息保护认证为核心的数据出境监管框架。伴随数据出境实践的深入,国家及地方网信部门对各行业数据出境活动的风险已有较为深入的了解与理解。基于此,国家网信办制定《促进和规范数据跨境流动规定》,立足社会发展的最新动态与实践需求,对数据出境监管体系进行更新,兼顾事前与事中、事后监管,以平衡数据跨境流动与国家安全、公共利益和个人信息权益之间的关系。
本文将首先梳理我国既有数据出境流动的监管脉络,对比《促进和规范数据跨境流动规定》和既有数据出境监管流程的差异,并对《促进和规范数据跨境流动规定》的主要条款和要求进行梳理和分析,进一步明晰《促进和规范数据跨境流动规定》对企业的影响,提出对数据出境常态化监管的思考。
01 促进数据自由流动:梳理促进和规范数据跨境流动的监管发展脉络
自《数据出境安全评估办法》和《个人信息出境标准合同办法》于2022年9月陆续制定、施行以来,国务院以及相关部门多次强调需构建安全、合规、有序的数据跨境流通机制。
数据出境安全评估和标准合同备案作为数据出境监管领域的新制度,自施行以来,一定程度上缓解了我国此前数据跨境流动欠缺安全保障与监管的无序状态,但在实践中确实遇到执行的难题,包括事前监管审批对企业、监管部门带来的人力物力的挑战、大量企业迫切的数据出境需求和监管部门面对大量递交材料的审核压力,以及审批时间对企业业务发展的不确定性等。在此背景下,为了深入贯彻落实国务院提出的“探索便利化数据跨境流动安全管理机制”的整体目标,国家网信办结合既有规范和数据出境实践,对数据出境申报标准进行动态调整,制定并颁布《促进和规范数据跨境流动规定》。
我们理解,数据出境监管流程所涉申报标准(即数据出境监管流程的适用情形与数量限定门槛等)可以起到初筛数据安全风险、划定监管范围、明确各方义务、便利守法经营等作用。然而,我们认为数据出境申报标准并非绝对不变,其申报标准需要与我国经济发展水平和当前面临的数据安全风险相匹配,并在消除潜在数据安全风险和减轻企业负担之间取得平衡。申报标准过低会增加企业经营的合规成本,也会浪费宝贵的监管和执法资源;过高则可能直接导致存在一定风险的数据出境活动持续开展,与“防风险保安全”的任务相悖。随着我国经济体制改革持续深入和对外开放水平不断提高,《促进和规范数据跨境流动规定》可以推进达成“促发展”“保安全”的整体目标。
02 “变与不变”:《促进和规范数据跨境流动规定》就数据出境监管流程的延续与调整
1. 数据出境监管流程适用情形的变化
现行数据出境监管流程的适用情形与数量门槛,主要可见于《数据出境安全评估办法》与《个人信息出境标准合同办法》的具体规定(具体参见金杜研究院“《以安全促发展——<数据出境安全评估办法>解读》”和“《映日荷花别样红——中欧个人信息出境标准合同(条款)对比分析》”)。对此,《促进和规范数据跨境流动规定》对现有数据出境监管流程提出了两大类豁免情形:第一类豁免适用于所有的数据出境监管流程,而第二类豁免仅适用于申报数据出境安全评估义务。具体而言:
类型一:免予适用数据出境监管流程
就豁免数据出境监管流程的情形而言,《促进和规范数据跨境流动规定》从数据处理活动、数据类型以及出境人数三个维度分别提出了免予申报数据出境安全评估、开展个人信息出境标准合同备案以及通过个人信息保护认证的具体情形。
首先,就数据处理活动而言,《促进和规范数据跨境流动规定》举例列明了三类实践中出境必要性较为充分的具体情形,该等情形与《个人信息保护法》第13条要求的处理个人信息的合法性基础有所关联与呼应。监管部门结合实践中尤其是跨国企业管理、国际贸易等领域的个人信息出境必要性,对于常见业务场景下的个人信息出境在监管流程方面有所放松,进而在一定程度上减少了企业的合规负担。
其次,就数据类型而言,自由贸易试验区的负面清单机制无疑对数据流动提供了便捷的机制。该等规定也散见于正在起草的其他规定中,例如《北京市外商投资条例》(草稿征求意见稿)明确提出市网信部门应会同有关部门,按照国家部署,制定具体措施,为符合条件的外商投资企业建立绿色通道,高效开展重要数据和个人信息出境安全评估,制定可自由流动的一般数据清单,促进数据安全有序自由流动。
最后,就出境人数而言,非关键信息基础设施运营者的数据处理者向境外提供不满10万人个人信息时,其将直接被豁免履行数据出境监管流程的义务。但需注意的是,前述10万人个人信息并不包含敏感个人信息,对于确需向境外提供敏感个人信息的企业,如不存在《促进和规范数据跨境流动规定》列明的可以豁免数据出境监管流程义务的情形,则仍需要按照实际情况满足数据出境监管流程要求。
可以看出,在数据监管“动态监管、动态调整”的大趋势下,《促进和规范数据跨境流动规定》在对部分数据向境外传输情形提供了监管流程层面的豁免,同时也加强了向境外提供敏感个人信息的监管措施。对于未被纳入《促进和规范数据跨境流动规定》列明的可以豁免任何数据出境监管流程的业务场景,但确需向境外提供少量敏感个人信息的企业而言,其合规义务与成本并未明显减轻。
但总体而言,相较于其他司法辖区针对敏感个人信息出境拟采取较为单一的统一禁止性规定而言,《促进和规范数据跨境流动规定》仍然提供了相对便捷、清晰的合规路径,为企业在业务经营中面临的越发多样化的数据出境场景提供合规标准和操作规范。
类型二:免予适用数据出境安全评估制度
如下表所示,《促进和规范数据跨境流动规定》虽然仍保留了重要数据处理者向境外提供重要数据、关键信息基础设施运营者向境外提供个人信息或重要数据等情形申报数据出境安全评估的要求,但是,在不涉及特殊数据类型与特殊数据处理者类型的前提下,其整体上降低了数据处理者触发数据出境安全评估流程的门槛。
就免予适用数据出境安全评估流程的情形而言,《促进和规范数据跨境流动规定》主要从出境数据涉及的自然人数量方面进行规制。
《数据出境安全评估办法》规定,需要开展数据出境安全评估对应的出境个人信息数量为累计向境外提供10万人一般个人信息或1万人敏感个人信息。在《促进和规范数据跨境流动规定》项下,累计向境外提供超过10万人的一般个人信息的情形则不再需要通过数据出境安全评估。这一变化回应了实践中不少企业的疑问和难点,相较于个人信息标准合同备案而言,数据出境安全评估申报工作可能会为企业带来更加繁冗的合规成本,而随着我国不断完善营商环境,外资企业在境内业务不断扩大,“10万人一般个人信息”的跨境传输可能在一定程度上趋近常态,《促进和规范数据跨境流动规定》对该等出境数量门槛的修订对于推动数据跨境双向有序流动,鼓励国内外企业及组织依法依规开展数据跨境流动业务合作,推动形成公平竞争的国际化市场均有着显著的积极意义。
另一方面,虽然累计向境外提供1万人敏感个人信息的情形仍然需要通过数据出境安全评估,在《促进和规范数据跨境流动规定》强调敏感个人信息出境监管的背景之下,其同样也在一定程度上放宽了处理敏感个人信息的个人信息处理者触发数据出境安全评估的时间要件。在《数据出境安全评估办法》下,1万人敏感个人信息的统计范围为“自上一年1月1日起”,换言之,理论上《数据出境安全评估办法》下统计1万人敏感个人信息的最大时间范围可能达到2年;而在《促进和规范数据跨境流动规定》下,统计1万人敏感个人信息的最大时间范围则为1年。
此外,《促进和规范数据跨境流动规定》秉持以出境数据涉及的人数为风险判断标准,处理100个人信息不再是触发数据出境安全评估的硬性条件,这对于诸多涉及消费品公司、希望出海的大型企业,以及希望进一步本土化的外资企业无疑是利好消息。
需要注意的是,《促进和规范数据跨境流动规定》中关于数据出境安全评估要求的豁免,仅涉及个人信息的出境场景。如前所述,对于重要数据的出境问题与监管限制并未进行修订,如达到数据出境安全申报条件,数据处理者仍需要遵照《数据出境安全评估办法》等相关规定履行申报义务。
2. 豁免特定情形下的数据出境监管流程不等于豁免数据出境合规义务
《促进和规范数据跨境流动规定》开篇指出其立法宗旨,即在保障数据安全、保护个人信息权益的基础上,促进数据依法有序自由流动,代表维护数据安全和个人信息权益始终是数据跨境监管机制的“基石”,基于简化和便利化出境流程而新生的具体监管规则调整并不代表企业在开展数据出境活动时可以肆意损害数据安全及个人信息权益。
在“以安全促发展”的前提下,如前所述,结合数据出境安全评估和个人信息标准合同备案以来的经济发展变化以及出境监管实践,依据《数据安全法》《个人信息保护法》的相关规定,国家网信办制定《促进和规范数据跨境流动规定》豁免特定数据出境活动中的前置监管流程,提高相关企业开展特定业务的效率,节约成本,从而更好地为用户或消费者服务。
但是,一方面,特定情形下无需申报通过数据出境监管流程不代表相关个人信息处理者无需履行《个人信息保护法》就个人信息出境设置的其他合规义务。《促进和规范数据跨境流动规定》第10条作为提示性条款,也印证了前述结论。具体而言,《促进和规范数据跨境流动规定》第10条规定,数据处理者向境外提供个人信息的,应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。无论是单独同意、增强告知,还是个人信息保护影响评估,均是法律层级的《个人信息保护法》为开展数据跨境传输活动的个人信息处理者施加的特殊合规义务。
另一方面,特定情形下无需申报数据出境安全评估,不代表相关个人信息处理者无需履行任何数据出境监管流程。例如,根据此前《数据出境安全评估办法》第4条的规定,自上年1月1日起累计向境外提供10万人个人信息需开展数据出境安全评估。而根据《促进和规范数据跨境流动规定》,如关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)的,可以不开展数据出境安全评估。但是,不开展数据出境安全评估的前提在于,个人信息处理者已就上述数据跨境活动进行个人信息出境标准合同备案或通过个人信息保护认证。
综上所述,《促进和规范数据跨境流动规定》基于对特定业务场景(或以涉及的个人数量为维度)中数据出境现实风险的判断,并结合社会经济的现阶段发展需求,对数据出境监管流程的具体适用情形进行了动态调整,但并不意味数据处理者无需履行任何数据出境合规义务。虽然企业受到的事前监管力度可能减轻,但相应的监管视野逐渐转向事中和事后监管,从而督促企业将数据出境风险监测与安全维护的要求与全流程的业务开展活动有机融合。
3. 数据出境监管思路迎来变化:重视事中和事后监督
我们理解,除了依据现实状态对数据出境监管流程的适用情形进行动态调整,《促进和规范数据跨境流动规定》颁布、制定的另一重要意义则是表明我国数据跨境流动的监管思路逐渐由重事前监管转变为加强事中和事后监管。
事前监管有助于在实际数据出境活动发生前即对可能引发的风险进行研判,提前部署必要措施,防范数据安全风险转为现实。但是,一方面,对于企业而言,达到此前《数据出境安全评估办法》的申报阈值并非难事,然而现阶段执法力量可能难以在短时间内高效处理全部数据安全评估需求。另一方面,随着实践中数据出境安全评估和个人信息标准合同备案工作的深入,企业对数据出境活动所需的全生命周期管理和技术要求的认知也日益健全,因此,有必要伴随企业合规现状以及各行业领域数据出境的现实风险程度,探寻更为便利的数据出境监管流程。
《促进和规范数据跨境流动规定》第12条明确提出了强化包含事中事后监管的全链条监管思路,我们理解,这代表我国将在构建以安全评估、标准合同备案及个人信息保护认证为核心的数据出境事前监管机制的基础上,进一步健全横跨事中和事后的监管体系;协同事前监管机制,共建周全且便捷的数据跨境监管体系。
具体而言,《促进和规范数据跨境流动规定》第12条在强化事中事后监管思路的基础上,进一步指出各地方网信部门实际参与数据出境活动指导监督的职责。我们理解,国家及地方网信部门的前述职责也是其作为履行个人信息保护职责部门职责的“题中应有之义”。2023年6月1日起施行的《网信部门行政执法程序规定》也为国家各级网信部门依据《数据安全法》《个人信息保护法》等法律、行政法规行使职权的流程和边界进行了规范。
我们理解,一方面,《促进和规范数据跨境流动规定》第12条明确各地方网信部门对数据出境活动进行监督的事中监管方式将使企业在开展数据跨境活动时履行合规义务的情况随时面临监管部门的监督与检查。此前,在实际开展数据出境安全评估过程中,国家网信办曾要求部分企业对申报的出境数据字段的必要性进行说明,如网信部门认为相关字段不具有出境的必要性,则可能视情况要求企业就相关字段采取本地化处理等整改措施。我们理解,不排除网信部门在《促进和规范数据跨境流动规定》生效后继续在日常监管活动中就数据出境范围的必要性进行审查。另一方面,实践中,已有网信部门就违规处理个人信息的活动进行了处罚。2023年10月,网信上海发布消息称,某科技公司安装配置了一台Elasticsearch数据库服务器,存储了包含用户姓名、手机号码在内的大量个人信息。但是,由于该公司并未建立健全全流程的数据安全管理制度,未采取相应的技术措施和其他必要措施保障数据安全,致使数据库存在未经授权的访问漏洞,导致部分个人信息被违法泄露至境外IP。最终,上海网信办依据《数据安全法》对该公司处以罚款等行政处罚。
不难看出,网信部门未来将在包含数据出境监管在内的数据及个人信息保护领域愈发主动地行使监管职责,然而,在实践执法过程中,各地网信部门如何就相关数据处理活动的监管颗粒度例如数据出境活动中关于出境范围必要性的一致性达成相对统一的标准,仍有待实践的进一步观察。
03 《促进和规范数据跨境流动规定》的重点条款解读
1. 参照《个人信息保护法》第13条规定的部分例外情形而免予适用数据出境监管流程
《个人信息保护法》第13条构建了我国个人信息处理的合法性基础框架,即在处理个人信息时,需取得个人信息主体的同意,或满足无需取得个人同意的例外性情形,主要包括为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需等。
考虑到前述无需取得个人同意即可处理相关个人信息的场景具备充分的处理个人信息的必要性,且前述场景中处理个人信息的最终目的均指向维护、保障个人信息主体自身的权益,为了简化相关企业的数据出境传输流程,切实保障个人信息主体权益,《促进和规范数据跨境流动规定》第5条简明扼要地规定,如数据处理者为订立、履行个人作为一方当事人的合同、按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理以及紧急情况下为保护自然人的生命健康和财产安全确需向境外提供个人信息,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
(1)实施跨境人力资源管理确需向境外提供
促进和规范数据跨境流动规定》第5条第2款明确了在按照依法制定的劳动规章和依法签订的集体合同实施人力资源管理,确需向境外传输个人信息时无需适用任何数据出境监管流程。同时,相较于跨境流动规定征求意见稿,正式通过的条款将本条的适用范围从“内部员工”扩展至了“员工”。我们理解,这一对员工的限定词调整,可能有助于企业尤其是大型跨国企业实现全面的跨境人力资源管理需求。
一方面,在满足必要性的前提下,如数据出境涉及的个人信息主体为企业员工时,企业可主张豁免适用数据出境监管流程。这一规定为企业,尤其是跨国集团企业基于全球统一人力资源管理如入职管理等目的跨境传输个人信息提供便利。
另一方面,鉴于该款规定删除了员工范围的“内部”限制,如拟出境的个人信息主体类型为实习生、外包人员等非正式员工,考虑到部分企业在管理实习生等非正式员工时可能对其施加与正式员工相同或类似的管理要求,例如在考勤管理方面施加类似的缺勤记录措施,企业也可尝试主张适用本条规定而豁免向境外传输实习生、外包员工等非正式员工个人信息的安全评估、个人信息出境标准合同备案等出境监管义务。
值得注意的是,《促进和规范数据跨境流动规定》第5条第2款延续了《个人信息保护法》第13条的相关要求,将个人信息跨境传输的必要性限定为“按照依法制定的劳动规章制度和依法签订的集体合同”实施人力资源管理时确需向境外提供个人信息。无论是劳动规章,还是劳动合同,本质上均面向与企业达成劳动关系的劳动者。
《劳动法》第1条:在中华人民共和国境内的企业、个体经济组织和与之形成劳动关系的劳动者,适用本法。
《劳动法》第4条:用人单位应当依法建立和完善规章制度,保障劳动者享有劳动权利和履行劳动义务。
《集体合同规定》第3条:本规定所称集体合同,是指用人单位与本单位职工根据法律、法规、规章的规定,就劳动报酬、工作时间、休息休假、劳动安全卫生、职业培训、保险福利等事项,通过集体协商签订的书面协议;所称专项集体合同,是指用人单位与本单位职工根据法律、法规、规章的规定,就集体协商的某项内容签订的专项书面协议。
然而,实践中,部分企业还可能将实习生、外包人员等与企业达成劳务关系的非正式员工纳入劳动规章的适用范畴,有助于坚实企业对其非正式员工开展跨境人力资源管理而开展数据跨境活动的事实依据与必要性基础。
进一步而言,为判断企业开展的跨境人力资源管理而涉及的个人信息出境活动是否满足基于履行依法制定的劳动规章或集体合同的必要性要求,可借鉴《劳动合同法》《集体合同规定》等相关法律法规就劳动规章和集体合同制定提出的具体要求。例如,《集体合同规定》载明,集体合同一般将就劳动报酬、工作时间、休息休假、职业培训、保险福利等事项进行约定,则跨国企业基于为员工定薪提薪、提供培训、购买保险等目的,在同时满足正当必要原则的基础上,企业出境传输员工相关个人信息受到的事前监管力度显著降低。
此外,考虑到基于跨境人力资源管理而开展个人信息出境传输活动构成众多企业向境外提供个人信息的典型场景,而既有数据出境安全评估实践中,各行业领域中的多个企业也已将全球人力资源管理作为数据出境安全评估的场景进行申报,并获得了相关结论。因此,就如何定义、理解基于履行依法制度的劳动规章、集体合同时确需向境外提供个人信息的范畴,也可借鉴既有数据出境安全评估案例予以明确。
(2)订立、履行合同,以及保护自然人生命健康和财产安全时确需向境外提供
除了基于履行跨国人力资源管理向境外提供个人信息的情形外,《促进和规范数据跨境流动规定》第5条还明确了为订立、履行个人作为一方当事人的合同以及紧急情况下为保护自然人的生命健康和财产安全时,确需向境外提供个人信息两类豁免企业数据出境监管流程履行义务的情形。
就基于履行合同的豁免情形而言,我们理解,考虑到全球市场下跨境交易的频繁性、全球旅游业的繁荣,豁免跨境型业务企业的数据出境监管流程履行义务有助于大力促进我国跨国业务的发展,消除壁垒。为便于企业理解,结合既有数据出境安全评估、个人信息出境标准合同备案等数据出境监管流程履行过程中识别出的典型跨境业务场景,《促进和规范跨境流动规定》第5条第1款载明了跨境购物、跨境支付、跨境寄送等典型场景,加强企业和个人的理解。但与履行跨境人力资源管理的豁免情形类似的是,在主张本条规定时,企业应格外关注数据出境具体所涉个人信息的处理必要性。例如,在酒店预订场景中,在仅收集并向境外酒店传输个人的姓名、邮箱即可实现酒店的预订的情况下,如还涉及传输个人的护照号码至境外,则需充分论证收集、向境外传输的必要性。
就紧急情况下保护个人权益的豁免情形而言,一方面,《促进和规范数据跨境流动规定》删除了跨境流动规定征求意见稿当中的“等”情形,与其上位法《个人信息保护法》保持一致,体现了立法的延续性与紧密性。另一方面,我们理解,这一豁免情形的明确有助于提高个人在紧急状况下获得救助的便捷性,从而充分保障个人的生命及合法财产权益。
2. 重要数据处理者范围得到了进一步明确
重要数据关涉我国国家安全和公共利益,自《网络安全法》起,我国即确立了重要数据出境应履行安全评估义务的基本规则,《数据出境安全评估办法》落实了其具体规则。
《促进和规范数据跨境流动规定》第2条对重要数据处理者的数据出境安全评估义务进行了明确,即未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。我们理解,这一规定并未改变重要数据出境需履行安全评估义务的实质,而是对应履行安全评估义务的数据处理者范围进行了明确。
《数据安全法》规定,国家建立数据分类分级保护制度,制定重要数据目录,加强对重要数据的保护;各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。但目前,仅有极少行业例如汽车领域已公布其行业领域重要数据目录,各行业、领域的重要数据目录仍在制定当中。[1]同时,具有实践性和可执行性的重要数据识别规则也有待建设。基于前述现状,实践中企业就其自身是否构成重要数据的处理者可能存在疑惑,但为避免被认定为向境外提供重要数据但未履行安全评估义务的风险,在“举棋不定”状态下,企业可能会自行将其掌握的部分数据定义为重要数据并进一步申报数据出境安全评估。
我们理解,一方面,《促进和规范数据跨境流动规定》第2条则直截了当地打消了企业的疑虑,既减轻了企业的合规压力,也减轻了此前网信部门基于企业是否为重要数据处理者的不确定性而额外引发的监管成本。
另一方面,第2条还提示了“数据处理者应当按照相关规定识别、申报重要数据”。这一规定也有助于积极推动各行业领域重要数据目录的制定,从而落实国家数据分级分类保护总体要求,实现对重要数据的精准监管,同时确保非重要数据在适当监管力度下的自由流动。
值得一提的是,2024年3月15日,国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》(下称“《数据分级分类规则》”)发布,并将于2024年10月1日正式施行。根据《数据分级分类规则》报批稿[2],《数据分级分类规则》的意义在于提供数据分类分级的通用规则,并可用于指导各行业领域、地区、部门和数据处理者开展包含重要数据和核心数据在内的数据分级分类工作,并协助构建相应的数据安全保护措施。一方面,前述国家标准通过构建数据分级的方法、提出数据影响分析等规定,为相关部门、地区、企业提供了重要数据识别的一般性方法论。另一方面,《数据分级分类规则》附录G还提出了具体的重要数据识别指南,具象化可能被识别为重要数据的数据内容,有助于企业在一般识别规则的基础上进一步研判自身持有数据被识别为重要数据的可能性,从而采取针对性的保护管理措施,并积极响应其行业、地方主管部门组织的重要数据识别工作。根据2024年2月7日天津市商务局发布的《中国(天津)自由贸易试验区企业数据分类分级标准规范》可以得知,天津自贸试验区网络数据安全工作主管部门也已着手区内重要数据目录的制定工作。
3. 数据过境免予适用数据出境监管流程
根据《促进和规范数据跨境流动规定》第4条,明确了数据过境情形下的豁免机制。具体而言,在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的(“数据过境”),免予适用三大数据出境监管流程。
数据过境在国际贸易以及国际数据中心等业务场景下较为常见,但其是否触发数据出境监管流程一直以来存在争议。一方面,鉴于《个人信息保护法》采取的主要是属地原则,例如《个人信息保护法》第3条规定“在中华人民共和国境内处理自然人个人信息的活动,适用本法”,并且其适用的对象并不是个人信息处理者,而是个人信息的处理活动,因此当在境外收集和产生的数据传输到境内后,无论是仅在境内存储和还是后续传输到境外时,仍然会落入《个人信息保护法》的适用范围,即属于“处理自然人个人信息的活动”。另一方面,《数据出境安全评估办法》第2条将其适用范围限制在了“向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息”的范围内,鉴于“境内运营”的范畴在立法层面仍然有待澄清,实践中很多境外企业也产生了数据过境的情形是否属于境内运营以及是否需要开展数据出境安全评估的困惑。[3]
《促进和规范数据跨境流动规定》第4条从实践角度很好地澄清了上述问题,明确数据过境情形不需要开展数据出境安全评估等其他监管流程。此外,该规定也可以促进我国数据中心产业的国际竞争力。我们预期在《促进和规范数据跨境流动规定》发布后,我国作为国际数据中心首选地的吸引力会进一步提升,促进中国和世界其他地区的数据安全有序流转以及全球数字经济发展,推动企业在我国境内建立亚太地区区域性数据中心、进一步吸引海外数据中心业务向我国境内(例如,海南自由贸易港)迁移。此外,该规定也会进一步促进我国境内从事数据分析、软件开发和运维等业务公司的蓬勃发展。新加坡《个人数据保护法》同样豁免了数据过境的情形,但只有在过境期间没有在新加坡被访问、使用或披露的个人数据才会被豁免,而《促进和规范数据跨境流动规定》第4条仅要求数据过境时不得结合境内收集和产生的个人信息或重要数据,并不限制中国境外收集产生和收集的个人信息在中国境内的处理行为,因此《促进和规范数据跨境流动规定》第4条的豁免范围相对更为宽泛,也更有利于数字经济的发展。
然而,在数据过境的界定上,《促进和规范数据跨境流动规定》依然采用了“地域+收集和产生”此类模糊性较高的描述,可能会导致实践中出现一些困惑。例如,若公司在境内合法采集并在符合法律规定的情况下将生物样本送出境外进行分析,并将分析得出的仍然具备关联性的数据传输回境内进行分析,随后再次把分析结果发送至境外,该等情形是否会落入数据过境的范畴则有待商榷。相关数据在一定程度上可以满足“境外收集和产生”的前提,但是该等数据可能也会对境内个人乃至国家安全、公共利益造成影响。
最后,《促进和规范数据跨境流动规定》第4条仅仅豁免了数据过境情形需要满足数据出境监管流程的义务,但并没有明确的将“数据过境”排除在“数据出境”的范围,因此是否需要满足实质性合规要求仍然需要进一步观测。
4. 落实自由贸易试验区内的数据传输负面清单制度
根据《促进和规范数据跨境流动规定》第6条,自由贸易试验区可以制定需要纳入数据出境监管流程范围的数据清单(“负面清单”)。负面清单经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案后生效。
在负面清单外的数据出境活动,可以免予开展数据出境监管流程。自由贸易试验区可以根据自身产业特点制定针对性的负面清单,充分发挥自身优势、推动数据出境便利服务落实到位。此举促进了自由贸易试验区内数据跨境流动的便捷性,强化了自由贸易试验区在数据跨境流动领域的集聚力,有助于构建国内、国际双循环,能够更加有效地利用国内国外两种资源,有效打通国内外数据流动,高质量推动数字经济产业发展。
目前,已有自由贸易试验区先行探索创新的数据出境模式。例如,北京大兴机场临空区正在编制大兴自由贸易试验区数据跨境便利化管理办法以及相关数据清单,促进数据安全便利有序跨境流动。天津自由贸易试验区和上海临港片区相继发布了《中国(天津)自由贸易试验区企业数据分类分级标准规范》《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》。
我们理解,数据出境监管工作仍然需要不断完善和推进。虽然负面清单机制可以极大的提高数据出境的便利性,但实践中如何适用负面清单仍然需要慎重考虑,避免自由贸易试验区成为数据出境监管流程下的“飞地”。值得注意的是,相较于此前的征求意见稿,最终发布的《促进和规范数据跨境流动规定》要求自由贸易试验区的负面清单仍然需要在国家数据分类分级保护制度框架下开展。因此,如果被相关地区、部门列入重要数据目录内的数据,其可能仍然无法通过自由贸易区的负面清单机制自由出境。
此外,我们建议在促进数据跨境流转的同时需要做好风险控制,确保数据出境的安全与有序。例如,自由贸易试验区可以定期更新负面清单,以确保其符合最新的业务发展和风险管控要求。此外,自由贸易试验区也可以参考国外成功案例,在园区层面成立跨部门委员会,并通过委员会对数据出境活动进行监控和风险识别,指导数据出境的合规操作,有效防范数据出境安全风险。
总体来说,负面清单的机制提供了推动数字经济高质量发展的机遇,通过推进数据出境政策创新、提升数据出境便利性,可以更好地利用这一优势,为国内外双循环战略贡献力量。
04 《数据出境指南(第二版)》重大变化解读
1. 境外运营
《数据出境指南(第二版)》在第一版的基础上,将“符合《个人信息保护法》第3条第2款情形,在境外处理境内自然人个人信息等其他数据处理活动”纳入数据出境的范畴,对实践中对于境外直接收集境内个人信息是否属于数据出境的问题进行了直接回应。
这也代表国家网信部门并未将需要满足数据出境监管流程的主体限制在我国境内注册的个人信息处理者的范畴之内,对于位于境外但是“针对”我国境内个人开展个人信息处理活动的个人信息处理者,仍然需要满足数据出境监管流程,除非相关处理活动可以落入《促进和规范数据跨境流动规定》规定的豁免情形。
值得注意的是,对于满足《个人信息保护法》第3条第2款规定的境外个人信息处理者而言,其即是个人信息处理者,也是境外接收方。在该等情况下,境外个人信息处理者希望满足数据出境监管流程时,可能会遇到一系列的问题,包括但不限于如何签署《个人信息出境标准合同》、是否可以使用其根据《个人信息保护法》第53条设立的专门机构或者指定的代表代为申报等。我们期待网信部门后续在执法过程中对该等情况进行明确。
2. 数据出境申报系统
《数据出境指南(第二版)》的另一个亮点是数据出境申报系统,其可以支持数据处理者申报数据出境安全评估和个人信息出境标准合同备案。此外,根据《数据出境申报系统使用说明》,个人信息保护认证相关功能正在建设中,日后数据出境申报系统可能将成为企业满足数据出境监管体系的一站式服务平台。
根据《数据出境申报系统使用说明》,数据出境申报系统各类基本信息的线上填写、申报材料上传,以及评估和备案状态追踪,在提高申报流程效率的同时,加强了监管流程的透明性。
值得注意的是,虽然关键信息基础设施运营者或者其他不适合通过数据出境申报系统申报数据出境安全评估的,可以采用线下方式通过所在地省级网信办向国家网信办申报数据出境安全评估,但是《数据出境指南(第二版)》并未对适用个人信息标准合同备案的个人信息处理者提供线下备案的渠道。
3. 申报材料优化简化
结合数据出境申报过程中的实际问题,《数据出境指南(第二版)》优化简化了数据出境安全评估和个人信息标准合同备案中所需的材料,包括但不限于:
取消经办人授权委托书、承诺书等文件必须提交原件,以及证明材料等文件必须加盖公章的要求;
优化数据安全评估申报表的结构、提供更为详细的指引,并对此前部分行业涉及的多个境外接收方的问题进行回应;
对填写数据安全评估申报表,以及撰写数据出境风险自评估报告、个人信息保护影响评估报告的格式提出明确要求;
提供数据出境安全评估时使用的数据字段表格模板,明确安全评估时对必要性和字段的颗粒度;
个人信息保护影响评估报告中不再需要表述个人信息处理者的个人信息保护能力情况;
整合境外接收方处理数据的全流程过程描述、出境活动的自评估情况及结论部分等重复性较高的内容;
数据出境申报以数据为导向而非以信息系统为导向的评估路径。
除了申报材料整体的优化简化,《数据出境指南(第二版)》下数据出境安全评估和个人信息标准合同备案所需要的信息颗粒度也有所差距,符合我国数据出境监管流程一以贯之的以风险为导向的监管路径。
此外,我们也注意到无论在数据出境安全评估还是标准合同备案流程中,《数据出境指南(第二版)》均不再要求数据处理者对境外接收方所在国家或地区数据安全保护政策法规和网络安全环境情况/个人信息保护政策和法规进行评估。我们理解这一措施无疑降低了数据处理者的负担,也与《数据出境安全评估办法》第5条和第9条的规定相符,即主要由国家网信部门对境外接收方所在国家和地区的法律环境进行评估。
尽管如此,适用于标准合同备案的个人信息处理者仍然需要根据《个人信息标准合同》第4条的约定,对境外接收方所在国家或者地区的个人信息保护政策和法规影响境外接收方履行本合同约定的义务的情况进行评估,并且需要记录评估过程和结果,并在必要时向监管部门提交相关记录。
最后,《数据出境指南(第二版)》中并没有提及在提供数据出境链路时,是否需要提供点对点涉及的链路提供商、链路数量与带宽、IP地址、数据中心名称、机房物理位置等《数据出境安全评估申报指南(第一版)》中明确要求的信息。实践中无论是数据出境安全评估还是个人信息出境标准合同备案是否需要此类信息还有待国家网信办和各地网信部门的澄清。
结合我们的项目经验,经过优化简化的申报材料要求将大大降低准备数据出境申报材料的难度和复杂度,大幅提高企业准备申报材料的速度,以及网信部门的审批压力。
4. 数据出境单独同意的变化
自从《个人信息保护法》实施以来,“单独同意”作为我国法律上的一项全新概念,其在实践中的落地方式、以及是否能够被《个人信息保护法》第13条中的其他合法性基础所豁免,引发了一些争议。有的观点认为,“单独同意”的规定是独立且高于一般性同意的要求,因此,对于一般性同意的“豁免”,不应直接适用于“单独同意”。然而,随着《个人信息保护法》在理论和实践层面的不断深化,以及国家标准GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》的发布,“单独同意”作为一般性同意的子集,可以被《个人信息保护法》第13条的其他合法性基础所豁免,已经形成了行业内的共识。
在数据出境申报的过程中,在某些情况下,公司可能会被一揽子要求获取相关个人的“单独同意”,对于一些基于法定要求或从公开渠道收集个人信息的公司造成了一定的困惑和困难。对此,跨境流动规定征求意见稿曾试图进行澄清。《数据出境指南(第二版)》则对这个问题进行了正面回应:《数据出境安全评估申报指南(第二版)》明确指出,“若属于《个人信息保护法》第13条第1款第2项至第7项规定情形的,不需取得个人同意。”
因此,对于满足《个人信息保护法》第13条相关要求的数据处理者来说,在数据出境申报过程中,应当无需提供符合《个人信息保护法》第39条规定的“单独同意”的相关佐证材料。
05 对《促进和规范数据跨境流动规定》的思考和建议
当前,全球数据治理正面临重大变革,各国都在寻求平衡数据流动的便利性和数据安全的需求。正如我们在《行至水穷处,坐看云起时——如何理解和应对美国限制访问敏感个人数据行政命令》所述,在智能化时代到来之际,数据是全球基本的生产要素,也是基础的社会要素,国家数据监管制度体现的不仅仅是某些个人或群体的利益,而应当反映多样群体的集体智慧,更应当体现人类命运共同体的“组织智能”。《促进和规范数据跨境流动规定》在制定过程综合考虑境内外多方诉求,表明我国在全球数据治理领域的参与度日益增加,其不仅符合中国长期以来采用的风险为导向的监管理念,也体现了对国际数据流动趋势的积极回应。
同时,我们理解随着国际数据流动的不断演变和国内外法律环境的变化,我国在数据跨境流动监管方面也会面临新的挑战和机遇。正如本文章所指出,《促进和规范数据跨境流动规定》下仍然还有许多问题有待网信部门和所有行业参与者共同推进解决。
我们期待《促进和规范数据跨境流动规定》可以根据我国数字经济发展和实践情况进行相应的动态调整,比如灵活调整数据跨境流动的阈值,以及采用清单的形式进一步明确和拓展第5条的范围等措施,在原有的国际化发展的惯性中找到合规与商业的平衡点。
“水无形而有万形”,数据的跨境流动如流水一般,形式各异,内容多样,如何有效的监管是一项极具挑战性的工作。我们希望全球数据跨境的监管也能顺应数据的流动的特点,亦步亦趋,宽容有度,动态调整。
脚注:
[1] 《汽车数据安全管理若干规定(试行)》第3条对汽车数据领域中的重要数据进行了定义,具体包括:(一)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;(二)车辆流量、物流等反映经济运行情况的数据;(三)汽车充电网的运行数据;(四)包含人脸信息、车牌信息等的车外视频、图像数据;(五)涉及个人信息主体超过10万人的个人信息;(六)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。
[2] 根据国家标准全文公开系统的提示,自2017年1月1日后新发布的标准将在发布后20个工作日内公开。由于《数据分级分类规则》公布仅一星期左右,国家标准全文公开系统暂未收录该国家标准的正式文本。因此,本文借鉴《数据分级分类规则》报批稿的内容进行释明。
[3] 全国信息安全标准化技术委员会于2017年8月30日公布的《信息安全技术 数据出境安全评估指南(征求意见稿)》尝试厘清“境内运营”的范围,但该标准并未生效。
本文作者
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
业务领域:反垄断与反不正当竞争,以及网络安全与数据合规
在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
业务领域:网络安全、数据合规与治理
吴律师主要协助企业在数字经济转型期发挥数据驱动力,实现数字化转型、数据商业化及智能化应用。具体包括协助客户制定修改隐私政策、算法可解释性声明,制定跨境数据传输计划,制定数据商业化合规方案,搭建算法治理体系,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系等。吴律师擅长从中国合规的角度为跨国企业在中国的分支机构提供网络安全、数据治理及智能合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国(CCPA)等跨司法辖区要求的网络安全、数据合规及智能化监管体系。项目覆盖金融、保险、健康医疗、人工智能、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。
吴舸
律师
合规业务部
张凯勋
律师助理
合规业务部
刘畅
律师助理
合规业务部
转载声明:好文共赏,如需转载,请直接在公众号后台或下方留言区留言获取授权。
封面图源:画作·林子豪
声明:本文来自金杜研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。