龙蟠汇办公室
地址:南京市秦淮区龙蟠中路419号 人保(南京)金融大厦 A座9、10楼
电话:8625-84715285
苏州分所
地址:苏州工业园区苏州大道西9号苏州国际财富广场西塔1001室
电话:86512-67888330
江北分所
地址:南京市江北新区浦滨路150号中科创新广场20号楼1303室
淮安分所
地址:淮安市纯如路1号南昌北路与母爱路交汇处东北角
新高的研究院 | 数据跨境新规,解读《促进和规范数据跨境流动规定》
2024年3月22日,国家互联网信息办公室公布了《促进和规范数据跨境流动规定》(以下简称“《规定》”)。本文结合已经建立的数据出境制度,以及《规定》的征求意见稿,对《规定》主要内容予以解读。
一、《规定》明确了重要数据出境安全评估申报标准
《数据出境安全评估办法》规定的出境安全评估类型中,重要数据首当其冲。然而,对于是否属于重要数据,仍需申报者结合自身数据情况进行识别。同时,由于识别标准难以全面列举重要数据的特征,难免使得实践中对于是否属于重要数据产生重重疑问。对此,本次《规定》第二条明确,在数据出境制度中,“未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估”。明确了仅在被明确为重要数据的情况下,才需要作为重要数据申报出境安全评估。
正式文本 |
征求意见稿 |
第二条数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。 |
二、未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。 |
同时相比征求意见稿,正式文本增加:“数据处理者应当按照相关规定识别、申报重要数据”,笔者理解,此句更多地是对数据处理者自行识别、申报重要数据责任的强调,是对《数据安全法》第二十一条第三款内容的呼应。
二、《规定》明确了免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件
《规定》第三至六条规定了免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件,具体可分为两种类型:
其一,不包含个人信息或重要数据出境的情形
1. 国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的;
2.数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的;
其二,个人信息(不包含重要数据)出境的情形
1.为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的;
2.按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;
3.紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;
4.关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。
第一类情形下明确了国际业务中,不属于个人信息、重要数据的数据跨境不需要履行相关评估、认证、或订立标准合同的程序;其中,第2种情况系对现有制度在履行过程中遇到的问题的回应,即对于非在境内产生或收集的数据,当经由境内向境外提供时,是否需要履行相关评估、认证、标准合同程序?与征求意见稿相比,正式稿中明确了只要在境内处理过程中没有引入境内个人信息或重要数据的,经境内处理后跨境的均免予申报评估、认证、或订立标准合同。
正式文本 |
征求意见稿 |
第四条数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。 |
三、不是在境内收集产生的个人信息向境外提供,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。 |
第二类情形明确了相关条件下向境外提供个人信息的也免予评估、认证、订立标准合同,其中第2款为跨境人力资源管理开辟了绿色通道,第4款则降低了个人信息运营者向境外提供个人信息监管的门槛【具体可见下文第四项的论述】。
三、《规定》设立了自由贸易试验区负面清单制度
《规定》第六条明确自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单,即负面清单,自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。负面清单由省级网络安全和信息化委员会批准,报国家网信部门、国家数据管理部门备案。
自由贸易区享有自行制定负面清单的权利,行使批准权的为省级网络安全和信息化委员会。使得自贸区可以根据实际情况对自由贸易区内的企业数据跨境监管做变通规定,更有利于自由贸易区发挥贸易促进作用,更多地释放区内企业数据要素的价值。
四、调整了应当申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件
《规定》对数据出境监管条件做了相应调整并明确,《数据出境安全评估办法》、《个人信息出境标准合同办法》与《规定》不一致的,适用《规定》。在适用条件方面,《规定》一方面将衡量个人信息数量的时间由上年1月1日变更为当年1月1日,另一方面提高了适用门槛,将适用安全评估的门槛从原10万人以上个人数据调整为100万人以上个人数据,将认证、标准合同的适用门槛从10万以下调整为10万-100万。同时,对于取消了原“处理100万人以上个人信息的数据处理者向境外提供个人信息”需进行安全评估的要求。具体如下:
数据出境安全评估适用条件
《规定》出台前 |
《规定》出台后 |
满足以下条件之一: (一)数据处理者向境外提供重要数据; (二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息; (三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。 |
满足以下条件之一 : (一)数据处理者向境外提供重要数据; (二)关键信息基础设施运营者向境外提供个人信息; (三)自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。 |
个人信息出境标准合同或个人信息保护认证的适用条件:
《规定》出台前 |
《规定》出台后 |
同时符合下列情形 : (一)非关键信息基础设施运营者; (二)处理个人信息不满100万人的; (三)自上年1月1日起累计向境外提供个人信息不满10万人的; (四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。
|
同时符合下列情形 : (一)非关键信息基础设施运营者; (二)自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息) ; (三)自当年1月1日起累计向境外提供不满1万人敏感个人信息的。 |
五、延长了数据出境安全评估结果有效期,增加数据处理者可以申请延长评估结果有效期的规定
原《数据出境安全评估办法》规定通过数据出境安全评估的结果有效期为2年,到期后需重新申报评估。《规定》将通过数据出境安全评估的结果有效期延长为为3年,有效期届满,未发生需要重新申报数据出境安全评估情形的,可以提出延长评估结果有效期申请,经国家网信部门批准,可以延长评估结果有效期3年。
综上,《规定》出台后,数据出境规则的变化不可谓不大,恰如正式文本对名称的变更,原征求意见稿名称为《规范与促进数据跨境流动规定》,正式稿将促进放在规范前,名称改为《促进和规范数据跨境流动规定》,其用意已然非常明了。正如国家互联网信息办公室有关负责人答记者问所述,《规定》适当放宽数据跨境流动条件,适度收窄数据出境安全评估范围。《规定》实施后,符合条件的相关企业无需再进行安全评估、认证或订立标准合同,无疑将极大减轻企业压力,降低企业合规成本,也便利了相关数据的跨境流动,更能够释放数据要素价值。