简体中文
为了应对新形势下保障国家数据安全、保护个人信息权益、促进和规范数据依法有序自由流动的现实需求,激发数据要素价值,扩大高水平对外开放,优化调整数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度,国家网信办于2024年3月22公布了《促进和规范数据跨境流动规定》(以下简称“《规定”》),该《规定》作为指导数据出境监管的关键性文件,呈现了诸多亮点,对所有涉及数据跨境业务的企业将带来广泛的影响。
亮点一: 重要数据出境安全评估申报由主动申报调整为告知申报
根据《中华人民共和国数据安全法》及《数据出境安全评估办法 》的规定,
重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
按照此前《数据出境安全评估办法》的规定,数据处理者向境外提供重要数据,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。但在实际操作中,数据处理者可能会面临如何准确识别重要数据的难题,因为不同的数据可能涉及不同的标准和要求。
此次《规定》明确“未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。”
可见新的《规定》对重要数据申请的监管原则要求进行了更优的调整,即如果相关部门或地区没有告知或公开发布某些数据为重要数据,那么数据处理者就不需要将其作为重要数据来申报数据出境安全评估。这一重大调整为数据处理者提供了更清晰的操作指南,减轻了他们的合规负担,并且有助于避免因为识别错误而造成的不必要的合规风险。
《条例》中的调整反映出监管部门在数据治理实践中对企业责任的重新评估和定位,旨在平衡安全评估的严格性和业务运营的灵活性。通过这一方式的变化,数据处理者可以更加明确自己的责任和义务,同时也确保了数据跨境流动的合规性和安全性。
亮点二:明确免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动的情形。
自《网络安全法》于2017年实施以来,我国陆续出台了《数据出境安全评估办法》《个人信息出境标准合同办法》和《个人信息保护认证实施规则》等一系列规定来加强对数据出境的监管,旨在通过安全评估、标准合同备案和个人信息保护认证等方式,构建起一个系统的数据出境监管框架。
但在执行这些规定的过程中,企业及监管方都遇到一系列困难和挑战,包括:
申报审批材料标准不透明:企业可能不清楚需要提交哪些材料以满足审批要求,导致申报过程中的不确定性和合规风险。
企业申报需求量大:随着企业境外业务的增长,越来越多的企业需要进行数据出境申报,这可能导致申报数量大幅增加。
监管部门审核压力增加:申报数量的增加也给监管部门带来了更大的审核压力,可能影响到审批效率。
审批时间的不确定性:由于审核压力和流程的复杂性,审批时间可能存在不确定性,这对企业的项目规划和时间管理造成了影响。
这些问题可能会增加企业的合规成本和运营风险,增加了企业合规焦虑,特别是对企业境外业务发展带来造成一定的限制和影响。
《规定》针对上述痛点,明确了免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形:
国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
数据处理者向境外提供个人信息(不包括重要数据),符合下列条件之一的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
(一)为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的;
(二)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;
(三)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;
(四)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。
自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
亮点三:设立自由贸易试验区负面清单制度
之所以由自贸区探索该负面清单制度,是因为自贸区内的企业大多具有数据出境需求,《规定》实施前,已有自贸区先行探索数据出境。例如,《中国(上海)自由贸易试验区临港新片区条例》中规定,按照国家相关法律、法规的规定,在临港新片区内探索制定低风险跨境流动数据目录,促进数据跨境安全有序流动。
为促进自贸区内企业数据的跨境流通,由自贸区先行探索可行的数据跨境流通道路,《规定》此次明确赋予自由贸易区制定“负面清单”的权利,将自贸区确立为数据特区,规定“自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。”
基于此制度安排,对于自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
亮点四 调整应当申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件。
个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。个人信息采用加密、脱敏等措施处理属于去标识化,去标识化处理后的个人信息仍是《个人信息保护法》规定的个人信息。去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。敏感个人信息,是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
依据此前发布的《数据出境安全评估办法》规定,需要开展数据出境安全评估对应的出境个人信息数量为累计向境外提供10万人一般个人信息或1万人敏感个人信息。
《规定》对《数据出境安全评估办法》明确的应当申报数据出境安全评估的条件作了优化调整,属于《规定》第三条、第四条、第五条、第六条规定情形外
(一)明确了两种应当申报数据出境安全评估的条件:
一是关键信息基础设施运营者向境外提供个人信息或者重要数据。
二是关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。
(二)对关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。
《条例》实施后,虽然累计向境外提供1万人敏感个人信息的情形仍然需要通过数据出境安全评估,但《条例》事实上放宽了处理敏感个人信息的个人信息处理者触发数据出境安全评估的时间跨度。《数据出境安全评估办法》规定,1万人敏感个人信息的统计范围为“自上一年1月1日起”,在理论上《数据出境安全评估办法》下统计1万人敏感个人信息的最大时间跨度可能达到2年;而按照最新的《条例》,统计1万人敏感个人信息的最大时间跨度为1年。
另一方面,关键信息基础设施运营者以外的数据处理者对于处理涉及10万以上,不满100万个人信息的,则不需进行数据出境安全评估,取而代之的是,数据处理者可以通过与境外接收方依法签订个人信息出境标准合同或者通过个人信息保护认证来实现数据的出境。这一政策优化,降低了企业在数据出境时的合规成本和操作复杂度,企业可以通过更加明确和简化的程序,确保其数据出境活动符合法律要求。
但需要明确的,对于企业而言,虽然在此点中数据出境的事前监管力度减轻,但监管中再次明确要强化事前事中事后全链条全领域监管原则,企业仍需做到数据出境的合规要求,而不是任之放之。
亮点五 延长数据出境安全评估结果有效期
根据《数据出境安全评估办法》,原本的规定是数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算。在有效期届满的情况下,如果数据处理者需要继续开展数据出境活动,必须在有效期届满前60个工作日重新申报进行评估。
而新的《条例》对这一规定进行了修改,延长了数据出境安全评估结果的有效期至3年。这意味着,数据处理者在获得数据出境安全评估结果后,可以有更长的时间在不需要重新评估的情况下开展数据出境活动。此外,如果在有效期届满后,数据处理者需要继续数据出境活动,并且没有发生需要重新申报评估的情形,所涉及主体可以提前60个工作日向相应的省级网信部门申请延长评估结果的有效期。这一申请经国家网信部门批准后,可以将评估结果的有效期再延长3年。
《条例》新规的变化有助于简化数据处理者的合规流程,减少行政负担,并且为数据处理者提供了更大的操作灵活性和预见性。同时,也保持了对数据出境活动的监管和安全保护。
关注天尚微信公众号获得最新资讯
