引 言
2023年9月28日,国家互联网信息办公室发布了《规范和促进数据跨境流动规定(征求意见稿)》(以下简称为" 意见稿"),对于《数据出境安全评估办法》《个人信息出境标准合同办法》的相关数据出境的合规义务进行了一定的调整。体现了《国务院关于进一步优化外商投资环境加大吸引外商投资力度的意见》中对于探索便利化的数据跨境流动安全管理机制的诉求。本文拟对意见稿的要点与此前数据出境法律法规进行对比,解读目前数据出境的监管方向。
要点一:明确数据出境合规的客体
《数据出境安全评估办法》《个人信息出境标准合同办法》《个人信息跨境处理活动安全认证规范V2.0》规定了我国企业数据出境的安全评估、标准合同备案和安全认证三条数据出境的路径,明确了向境外提供个人信息或者重要数据的,应当根据相符合的情形选择适用的出境路径。而此次意见稿进一步明确了数据出境合规的客体仅为个人信息或者重要数据,意见稿第一条规定,国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的,不需要适用前述三条路径。
此外,先前《数据出境安全评估办法》规定向境外提供境内运营中收集和产生的重要数据和个人信息的,适用该办法。但《个人信息出境标准合同办法》与《个人信息跨境处理活动安全认证规范V2.0》均未明确向境外提供的个人信息是否限定为在境内收集产生的范围。此次意见稿第三条明确不是在境内收集产生的个人信息不需要适用前述三条路径。
进一步地,意见稿也对重要数据作出了一定的规定。意见稿第二条规定,未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。该条规定也避免了企业对于重要数据的认知模糊导致合规义务履行不当。
要点二:设置数据出境白名单
意见稿第四条规定了三种不需要适用数据出境三条路径的情形,主要如下:
序号 |
具体情形 |
1 |
为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的; |
2 |
按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的; |
3 |
紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的。 |
以上情形尤其是前两种情形,体现为了鼓励和吸引外商投资,在合规义务上通过白名单的形式对特定情形予以豁免。值得注意的是,意见稿第四条并未区分个人信息和敏感个人信息,也未限定向境外提供的个人信息数量,对于跨国公司在境内的机构和组织属于利好消息。
要点三:触发门槛提高
此次意见稿将适用数据出境三条路径的个人信息量级门槛进一步提高,以降低企业的数据合规成本。《个人信息出境标准合同办法》将"自上年1月1日起累计向境外提供个人信息不满10万人的"作为订立标准合同的主体要件之一。而意见稿第五条规定,预计一年内向境外提供不满1万人个人信息的,不需要适用前述三条数据出境路径,即数据处理者无须履行数据出境的相关义务。
同时,《数据出境安全评估办法》第四条规定,自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息的数据处理者,应当进行数据出境安全评估。而意见稿第六条规定,预计一年内向境外提供1万人以上、不满100万人个人信息,通过标准合同备案或安全认证的,可以不进行安全评估申报。
值得注意的是,此次意见稿在出境数据量级的计算时间上规定为"预计一年内",与此外使用的"自上年1月1日起"有所不同,并且意见稿并未对敏感个人信息出境的量级作任何调整。总结而言,意见稿对于此前数据出境相关义务的触发门槛进行了限缩,我国目前数据出境数量触发门槛如下:
序号 |
具体情形 |
相应数据出境义务 |
1 |
预计一年内向境外提供不满1万人个人信息 |
无 |
2 |
预计一年内向境外提供1万人以上、不满100万人个人信息 |
通过标准合同备案或安全认证的,可以不进行安全评估申报;若未通过标准合同备案或安全认证的,则需要进行安全评估申报 |
3 |
自上年1月1日起累计向境外提供个人信息不满10万人且符合其他要件 |
标准合同备案 |
4 |
自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息 |
安全评估申报 |
5 |
自上年1月1日起累计向境外提供个人信息不满10万人且符合其他要件 |
安全评估申报 |
6 |
预计一年内向境外提供100万人以上个人信息 |
安全评估申报 |
7 |
处理100万人以上个人信息的数据处理者向境外提供个人信息 |
安全评估申报 |
根据意见稿第十一条规定,若《数据出境安全评估办法》《个人信息出境标准合同办法》规定的相应量级的出境门槛与意见稿不一致的,应当以意见稿为准。
要点四:规定自贸区特殊规则
意见稿第七条规定,自由贸易试验区可自行制定本自贸区需要纳入数据出境三条路径管理范围的数据清单(即负面清单),报经省级网络安全和信息化委员会批准后,报国家网信部门备案。负面清单外的数据出境情形可以不进行数据出境三条路径。目前国内共有21个自贸区,该些自贸区可以根据实际情况,自行制定区内需要适用前述三条路径的情形,而不用遵守《数据出境安全评估办法》《个人信息出境标准合同办法》《个人信息跨境处理活动安全认证规范V2.0》关于需要适用的情形规定。该条赋予了自贸区一定权力,能够强化自贸区在数据跨境流动领域的集聚力。
要点五:特殊情形仍按原规定
虽然意见稿对此前的数据出境规定进行了一定的调整,但意见稿第八条规定国家机关和关键信息基础设施运营者向境外提供个人信息和重要数据的,以及向境外提供涉及党政军和涉密单位敏感信息、敏感个人信息的,依照有关法律、行政法规、部门规章规定执行。在这些特殊情形下,即便存在属于白名单等情况,也应当按照有关法律、行政法规、部门规章规定执行,不适用意见稿。
结 语
总体而言,意见稿体现了我国对于加强促进数据跨境流动、赋能数字贸易能力的态度。正式稿若施行后,在一定程度上能够减少企业需要进行数据出境合规的情形,减轻了企业的负担,但并不意味着企业不需要进行数据合规。企业基于个人同意向境外提供个人信息的,仍须取得个人信息主体同意。此外,企业仍应当遵守个人信息保护影响评估报告等数据出境的合规要求。
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.