本文来自微信公众号“工业信息安全产业发展联盟”,作者/李文婷、杨晓伟、张誉馨。
国家互联网信息办公室3月22日发布《促进和规范数据跨境流动规定》(以下简称《规定》),进一步完善我国数据出境制度、优化数据出境制度适用范围,对于指导企业便利开展数据出境活动、促进数据依法有序自由流动、赋能我国数字经贸发展具有重要意义。本文着眼于企业数据出境合规实务,对《规定》进行解读,以期为企业数据出境合规工作提供借鉴与参考。
序
为落实《网络安全法》《数据安全法》《个人信息保护法》等法律法规,我国陆续出台《数据出境安全评估办法》《个人信息出境标准合同办法》等部门规章,构建我国数据出境安全管理框架。《规定》基于我国数据跨境管理实践经验,统筹发展与安全,适度优化调整了数据出境安全评估、个人信息出境标准合同及个人信息出境保护认证等三大机制的适用范围,便利数据跨境流动,降低企业合规成本。同时,《规定》加强与《数据出境安全评估办法》和《个人信息出境标准合同办法》的衔接,明确后两者相关内容与《规定》不一致的,依照《规定》执行。
一、
《规定》的内容
(一)
明确免予适用数据出境三大机制的
条件
2022年12月国家出台《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》,提出针对跨境电商、跨境支付、供应链管理、服务外包等典型应用场景,探索安全规范的数据跨境流动方式。本次《规定》落实相关要求,明确了免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的六种数据出境活动。具体包括:一是国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的。二是在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的。三是为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的。四是按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的。五是紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的。六是关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。其中,第三种至第六种条件所称向境外提供的个人信息,不包括被相关部门、地区告知或者公开发布为重要数据的个人信息。
(二)
优化数据出境制度的适用门槛
相较《数据出境安全评估办法》第四条的内容,《规定》取消了“处理100万人以上个人信息”这一要求;同时将“自上年1月1日起累计向境外提供10万人个人信息”调整为“自当年1月1日起累计向境外提供100万人以上个人信息”,从数量和累计周期两个维度收紧了定量标准,大幅提高了数据出境安全评估的适用阈值。同理,《规定》也优化了个人信息出境标准合同及个人信息保护认证的适用范围,极大程度提升了我国数据出境制度的审慎性、包容性和科学性。
值得注意的是,《规定》回应了企业数据跨境实务中重要数据认定这一合规难题,明确未被相关部门、地区告知或者公开发布为重要数据的,企业不需要作为重要数据申报数据出境安全评估。
相较《数据出境安全评估办法》第十四条,《规定》将数据出境安全评估结果有效期延长至三年。此外,在《规定》发布之际,中央网信办同时发布《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》,对企业需要提交的相关材料进行了优化简化,以进一步方便企业开展数据出境安全评估申报工作和个人信息出境标准合同备案工作。
(三)
设立自由贸易试验区负面清单制度
《规定》明确自由贸易试验区(以下简称“自贸区”)可以自行制定数据跨境流通中的负面清单,负面清单外的企业数据无需申报数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证,给予了自贸区积极探索数据跨境流动便利机制的制度空间。
《规定》在给予自贸区充分自由度的同时,明确要求结合国家数据分类分级保护制度制定负面清单,充分考虑数据的重要性、敏感性;并要求负面清单在经省级网络安全和信息化委员会批准后,除了报国家网信部门备案之外,还需报国家数据管理部门备案。
二、
《规定》的影响与意义
(一)
对外释放促进数据跨境安全自由
流动的积极态度
对比征求意见稿,《规定》正式版本在名称中将“促进”二字调至“规范”二字之前,显示出了国家促进数据跨境自由流动的积极态度。在内容上,《规定》优化数据出境制度,明确了相关制度的豁免与适用情形,一方面表明了国家对数据跨境流动活动的高度重视,另一方面也进一步表明了国家打通数据流通堵点、推动数据价值释放、提升对外开放水平的导向与决心。
(二)
指导社会各界形成“数据有序自由
流动”共识
此前,《数据出境安全评估办法》等部门规章与相关指南的出台为数据跨境流动实践活动提供了实施指引,但在数据出境实务中,企业仍面临重要数据如何识别、过境数据及个人主动提供个人信息是否适用数据出境管理制度等难点问题,《规定》的出台明确回应了社会普遍关切的实务难题,降低了数据出境活动的不确定性和复杂性,有利于引导社会各界形成共识,提升我国整体数据出境合规水平。
(三)
便利企业开展国际贸易活动与数据
出境活动
《规定》针对数据跨境流动实践中不同场景、不同主体的差异化需求,充分考虑数据出境的规模、性质、目的、区域等因素,为企业提供了更为清晰、更为灵活、更为便利的数据出境路径,在减轻企业数据出境合规压力的同时,也降低了企业数据出境合规成本。同时,中央网信办开通了专门的网站https://sjcj.cac.gov.cn,提高了申报、备案程序的数字化、信息化程度,便利了企业数据出境安全评估申报与个人信息出境标准合同备案工作。
(四)
提升我国对外开放水平以赋能国际
数字贸易合作
2023年8月,国务院印发了《关于进一步优化外商投资环境加大吸引外商投资力度的意见》,提出“探索便利化的数据跨境流动安全管理机制”,《规定》呼应前述要求,在为外资和中资企业减负的同时,也为自贸区内负面清单制度的先行先试留下了政策空间。目前我国已有21个自由贸易试验区,《规定》的出台有利于依托自贸区的开放优势,进一步优化贸易投资环境,提升我国对外开放水平。此外,随着我国“一带一路”倡议的深化推进,“数字丝绸之路”的建设发展,《规定》的出台也有利于我国与CPTPP、DEPA等国际数字经贸协定的对接,推动我国深度开展数字经贸国际合作。
结语
《规定》的出台对数据出境活动形成利好,但其仍明确要求“应当遵守法律、法规的规定,履行数据安全保护义务,采取技术措施和其他必要措施,保障数据出境安全”,因此企业的数据出境合规意识仍不可就此放松。
具体而言,企业依然应当重视日常数据安全管理与合规建设工作,不仅要做好数据出境前的企业整体数据合规建设,也要做好事中事后的数据出境持续合规,避免发生数据出境安全事件或者增加数据出境安全风险。
此外,针对具体的数据出境合规工作,企业应摸清涉及跨境的业务场景,做好出境数据资产盘点,并密切关注所属行业相关部门、地区关于“重要数据”的认定通知或发布公告,以判断是否适用或者具体适用的数据出境路径,同时积极履行告知、取得个人单独同意、进行个人信息保护影响评估等合规义务。
(国家工业信息安全发展研究中心李文婷杨晓伟张誉馨)