历经半年多的公开征求意见和进一步审议之后,国家互联网信息办公室(以下简称“国家网信办”)于2024年3月22日正式发布了《促进和规范数据跨境流动规定》(以下简称“数据跨境新规”),同时配套更新了《数据出境安全评估申报指南(第二版)》(以下简称“第二版《申报指南》”)和《个人信息出境标准合同备案指南(第二版)》(以下简称“第二版《备案指南》”)。

在征求意见期间,国家网信办与香港创新科技及工业局共同制定发布了《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》、中国(上海)自由贸易试验区临港新片区管理委员会制定出台了《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》,这代表特定地理区域内的数据跨境流动条件趋于缓和。粤港澳大湾区以及临港片区在现有数据出境框架下的创新与探索,已释放出国家层面对于适当放宽数据跨境流动的态度,利好企业开展业务。

此次数据跨境新规出台是国家网信办积极响应“数据二十条”中鼓励积极探索数据跨境流动与合作的新途径新模式的工作原则,也是对于数据出境安全评估制度在落地过程中的实务问题的关切回应。

一、新规亮点解读

坚持促进数据跨境流动的政策立场

在《数据出境安全评估办法》施行后一年,数据出境安全评估申报制度在适用过程中存在的触发门槛低、审查周期长等问题,国家网信办为充分平衡数据安全与数据自由有序流动,于2023年9月28日公布了《规范和促进数据跨境流动规定(征求意见稿)》(以下简称“《征求意见稿》”),初步释放了为企业减负的信号。此次数据跨境新规在征求意见稿的基础上,进一步对数据跨境政策进行了松绑。

此次数据跨境新规将标题调整为“促进和规范”,同时在第一条删除了《征求意见稿》中的“进一步规范”,仅保留“促进数据依法有序自由流动”,这正体现了答记者问中所提到的立场——国家在保障国家数据安全的前提下,便利数据跨境流动,降低企业合规成本,充分释放数据要素价值,扩大高水平对外开放,为数字经济高质量发展提供法律保障。

进一步明确数据出境场景

《数据出境安全评估办法》中并未直接定义数据出境行为,《数据出境安全评估申报指南(第一版)》明确了两类属于数据出境的行为,分别为数据处理者将在境内运营中收集和产生的数据传输、存储至境外,以及数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出。

在第二版《申报指南》中,明确了符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他数据处理活动属于数据出境。虽然《个人信息保护法》第三条已经规定境外处理境内自然人个人信息如有1)以向境内自然人提供产品或者服务为目的,2)分析、评估境内自然人的行为等情形时受《个人信息保护法》规制,但《个人信息保护法》第三十八条规定要履行相应出境义务的情形是“个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的”,从文义解释角度,该情形是境内的个人信息处理者向境外接收者提供个人信息,所以境外处理者直接处理境内自然人个人信息的情形是否落入第三十八条规定在实践中是有较大争议的。此次第二版《申报指南》增加该场景,意味着在境外直接收集境内个人信息的行为也需要遵守数据出境的相关制度安排。

根据《个人信息保护法》第五十三条的规定,第三条第二款的境外个人信息处理者,应在境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。境外个人信息处理者在落实数据出境义务的过程中,可以由该专门机构或指定代表负责与监管部门的沟通、对接工作。

首次明确数据出境三大合规路径的豁免情形

数据跨境新规明确了七类豁免情形,其中五类与《征求意见稿》整体保持一致,分别为数据跨境新规的第三条、第五条第一款第(一)项至第(三)项、第六条,即

国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不含个人信息或重要数据;

履行合同所必需:为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息;

实施跨境人力资源管理:按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息;

紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息;

自由贸易试验区内数据处理者向境外提供负面清单外的数据。

上述豁免情形,除不含个人信息或重要数据外,其余向境外提供个人信息仍应遵守《个人信息保护法》第五条所规定的必要原则,企业或个人在开展上述数据跨境活动前仍应审慎评估个人信息,特别是具体字段出境的必要性。

除上述场景外,数据跨境新规还对《征求意见稿》的另外二类场景进行了明确或调整:

一即剔除了“数据过境”行为——数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据。

数据跨境新规第四条明确剔除了“数据过境行为”,该条规定有利于为境外企业提供数据处理服务的企业,如IT外包公司、数据处理和分析公司等,该企业通常在数据委托处理关系中担任受托方的角色,对于数据处理目的、方式没有自主的决策权。在原有的数据出境制度框架下,在境内为境外企业提供数据处理服务的数据处理者可能面临合规成本与合规风险不匹配的情形。

《征求意见稿》第三条规定,不是在境内收集产生的个人信息向境外提供,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。数据跨境新规在此基础上进一步明确了,即在境内处理境外收集和产生的个人信息,未引入境内个人信息或重要数据,便无须进行申报。

二即对申报门槛进行了调整——关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)。

该类场景对应的是《征求意见稿》第五条,数据跨境新规进一步划分了一般个人信息和敏感个人信息,并提高了跨境提供一般个人信息触发申报的条件。《征求意见稿》第五条仅规定预计一年内向境外提供不满1万人个人信息的,无须进行申报。数据跨境新规首先明确了预估起算时间,即自当年1月1日起算;其次,还分别规定了一般个人信息和敏感个人信息的门槛,如果累计提供不满10万人个人信息(不含敏感个人信息),则无须履行数据出境三大合规路径的义务,如果出境数据包含敏感个人信息,无论数量多少,数据处理者的出境合规义务都无法予以豁免。

图:数据出境三大合规路径的豁免情形

重要数据的识别及申报义务

关于重要数据的认定,一直是实务中的难点问题。根据《数据出境安全评估办法》第十九条的规定,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。根据《信息安全技术 重要数据识别规则(征求意见稿)》的规定,重要数据是指特定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。根据《数据安全法》的规定,各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。国家有关部门尚未出台相关行业或领域的重要数据具体目录,重要数据识别规则的国家标准也未正式发布,在实践中企业对于重要数据的识别仅能依赖目前的定义及参考一些原则性的规定,这种情况下很多企业仍无法判断自身是否掌握法律规定的重要数据。

《征求意见稿》第二条规定,未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。数据跨境新规在保留该内容的基础上,增加明确了“数据处理者应当按照相关规定识别、申报重要数据”。数据跨境新规针对重要数据的识别为企业提供了解题思路,在现行法规下,企业可以以相关部门、地区对重要数据的告知和公开发布情况为准,以此判断自身是否存在重要数据跨境的情况。

二、 申报程序调整优化

上线数据出境申报系统

此次数据跨境除制度安排调整外,国家网信办针对申报形式也进行了优化,上线了数据出境申报系统,以便数据处理者申报数据出境安全评估以及进行个人信息出境标准合同备案,系统网址为https://sjcj.cac.gov.cn。关键信息基础设施运营者或者其他不适合通过系统申报的,可以依旧沿用送达书面材料并材料电子版的方式进行申报。

有效期可延长3年

《数据出境安全评估办法》第十四条规定评估结果有效期为2年,数据处理者应在有效期届满前60个工作日前重新申报评估。鉴于各企业开展数据出境安全评估申报的时间、经济成本,每次有效期届满需要重新开展评估无疑会增加企业合规成本。此次数据跨境新规将有效期调整为3年,并且允许数据处理者在有效期届满前60个工作日内提出延长有效期申请,经国家网信办批准,该有效期可延长3年。

三、和粤港澳大湾区个人信息跨境流动标准合同的衔接

《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(以下简称“《实施指引》”)适用于注册于或位于粤港澳大湾区内地部分,或者香港特别行政区的个人信息处理者及接收方。根据《实施指引》第二条,若数据跨境涉及重要数据,则无法使用粤港澳大湾区个人信息跨境流动标准合同,而必须通过数据出境安全评估申报。但是,《实施指引》并未明确规定关键信息基础设施运营者是否能够通过订立该标准合同实现个人信息出境。而数据跨境新规则明确指出关键信息基础设施运营者应进行数据出境安全评估申报。

数据跨境新规第十三条规定,《数据出境安全评估办法》《个人信息出境标准合同办法》等相关规定与本规定不一致的,适用本规定。《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》作为数据出境跨境制度安排一环,其在关键信息基础设施建设运营者的数据出境路径规定与数据跨境新规不一致。经我们与网信部门咨询,数据出境将优先适用数据跨境新规,此即意味着注册于粤港澳大湾区内地的关键信息基础设施运营者向香港接收方提供个人信息仍需遵守数据出境安全评估申报的义务。

四、 企业数据出境的合规建议

厘清并选择适配的数据出境合规路径

经过数据跨境新规的调整,现有的数据出境合规路径的条件梳理如下:

表:数据出境合规路径的适用条件

以数据出境安全评估申报为例,根据《数据出境安全评估办法》,以及数据跨境新规对申报条件进行的调整,我们可以总结目前判断是否需要申报数据出境安全评估的步骤如下:

判断数据类型

应首先判断出境数据是否包含个人信息或重要数据。若涉及重要数据,则无论数据处理者类型、数据量,均应当申报数据出境安全评估。若包含个人信息,则应该继续判断数据处理者类型。至于重要数据的认定,目前重要数据仍仰赖于相关部门、地区主动认定,数据跨境新规第二条也明确指出,未被相关部门、地区告知或者公开发布的,数据处理者无须主动将数据作为重要数据进行申报。

判断数据处理者类型

若出境数据包含个人信息,数据处理者为关键信息基础设施运营者,则应当申报数据出境安全评估。根据《关键信息基础设施安全保护条例》第二条,关键信息基础设施运营者通常聚焦在公共通信和信息服务、能源、交通等重要行业和领域。其次,关键信息基础设施运营者的认定工作由上述重要行业和领域的主管部门、监督管理部门组织开展。

判断数据量

若出境数据包含个人信息,数据处理者为非关键信息基础设施运营者,则需要预估个人信息出境数量。自当年(即2024年)1月1日起算,向境外提供100万人以上个人信息或者1万人以上敏感个人信息应当申报数据出境安全评估。根据第二版《申报指南》,应按照自然人去重统计数量。

图:数据出境合规路径选择的判断流程

关于向境外提供个人信息的单独同意

若个人信息处理者是依据《个人信息保护法》第十三条第一款的合法性基础(即个人的同意)处理个人信息,则其向境外提供个人信息毋庸置疑需要遵循第三十九条的规定,取得个人主体的单独同意。而针对个人信息处理者依据第十三条第一款第二至第七项合法性基础处理个人信息,向境外提供个人信息是否仍然需要取得个人的单独同意,一直以来学界和实务界众说纷纭。此次第二版《申报指南》中明确提出,若属于《个人信息保护法》第十三条第一款第二项至第七项规定情形的,不需取得个人同意,但仍需要按照第三十九条的规定履行告知义务。

但应注意,第二版《申报指南》表述为“涉及个人信息出境的,……,若属于《个人信息保护法》第十三条第一款第二项至第七项规定情形的,不需取得个人同意”。因此,此处《个人信息保护法》第十三条第一款第二项至第七项规定情形应是个人信息处理者向境外提供个人信息的合法性基础。若个人信息处理者在收集阶段依照的是第十三条第一款第二项至第七项规定情形,但向境外提供个人信息与最初收集目的不相符,并且不符合前述情形,仍应按照《个人信息保护法》第三十九条的规定履行告知及单独同意的义务。

落实个人信息保护影响评估的义务

诚然,此次数据跨境新规降低了企业合规成本,但并不意味着符合条件的企业可以随意开展数据跨境传输活动,特别是个人信息跨境传输活动,其仍应遵循合法审慎原则,建立合规内控体系。

数据跨境新规第十条也再次强调,数据处理者向境外提供个人信息的,应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。即使申报、备案、认证等合规义务均予以豁免,企业仍应依法、依规开展个人信息保护影响评估,做好内部文件留存工作,以应对监管检查。

五、结语

数据跨境新规已正式实施,它一定程度上调整了现有的数据跨境流动制度框架,适当减轻了企业的合规负担。此举有助于为我国构建安全、有序、开放的数据跨境流动环境,参与国际跨境规则制定,共同推动全球数字治理。

作者:梁艳芬、许瑞凤、吴蕊

(文中观点不代表北源律师事务所的观点或法律意见)

附:征求意见稿和正式稿内容对比

梁艳芬

北源律所创始合伙人、执行主任、数据合规团队负责人

深圳律师行业2022年度“优秀青年律师”、中国科学技术法学会理事、中国信通院云大所“可信人脸应用守护计划”专家委员会委员、广东省律师协会互联网金融法律专业委员会委员、深圳市律师协会数据合规法律专业委员会委员、资本市场金融科技沁园创新社区专家库专家、EXIN DPO(数据保护官)。

数据合规领域,参与《个人信息处理法律合规性评估指引》《人脸信息处理合规性操作指南》等多项标准或指南的起草,迄今已为多家行业领先、世界五百强企业提供个人信息/数据合规法律专项服务,并在国家某监管部门个人信息保护试点中作为主办律师承办最多家评估企业。知识产权领域,参与《软件正版化知识》等出版物的编写,迄今代理过数百件涵盖专利、商标、版权等领域的知识产权诉讼案件,具有丰富的知识产权诉讼实务经验。

许瑞凤

北源数据合规团队主办律师

注册信息隐私专业人员(CIPP/E)认证欧洲隐私保护专家、注册信息系统审计师CISA

许瑞凤律师曾任职于国内某头部智能硬件设备上市公司综合法务岗、英国某上市集团中国区域合规负责人岗,律师执业期间主办数据安全、个人信息保护、人脸数据保护、算法治理、网络信息内容安全和未成年人网络保护等产品合规项目,具备丰富的企业合规实务经验。

吴蕊

北源数据合规团队

UCL伦敦大学学院法学硕士,具有丰富的数据合规实践经验,为智能硬件、金融、物联网等多个领域企业提供法律服务,服务范围涵盖数据安全风险评估、数据合规体系建设、数据跨境传输、算法合规评估及备案等,深刻理解企业数据和信息技术的合规治理。

声明:本文来自北源有数,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。