2024年3月22日,国家互联网信息办公室(“国家网信办”)公布《促进和规范数据跨境流动规定》(“《数据跨境规定》”),自公布之日起施行,该规定自2023年9月28日起公开征求意见,时隔半年终于落地。与此同时,国家网信办公布了《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》,更新此前发布的第一版指南,进一步规范安全评估申报、标准合同备案的申报方式、流程和申报材料,“数据出境申报系统”也同步上线,我国的数据出境监管体系愈加成熟和完善。
中国的数据出境安全管理法律体系明确规定了3种数据出境路径:申报通过国家网信办组织的安全评估(“安全评估”),按照国家网信办的规定经专业机构进行个人信息保护认证(“认证”),以及按照国家网信办制定的标准合同与境外接收方订立合同(“标准合同”)。数据出境安全管理不是对于所有数据,只限于重要数据和个人信息,这里的重要数据是针对国家而言,而不是针对企业和个人。
《数据跨境规定》适当放宽数据跨境流动条件,适度收窄安全评估范围,在保障国家数据安全的前提下,便利数据跨境流动,降低企业合规成本,充分释放数据要素价值。1国家网信办于2022年公布的《数据出境安全评估办法》和于2023年公布的《个人信息出境标准合同办法》与《数据跨境规定》不一致的,适用《数据跨境规定》。
因此,本文旨在帮助企业更好的理解《数据跨境规定》的核心内容以及由此导致的监管变化,使企业能够根据自身情况确定合适的数据出境合规方案。
《数据跨境规定》体现了数据出境监管的“变”与“不变”。“变”体现在对过去未能明确事项的澄清或新调整。“不变”体现在对既有监管要求的重申,以及对重要数据出境和关键信息基础设施运营者的数据出境活动并未放宽监管,仍然要求通过最为严格的“安全评估”路径。
《数据跨境规定》第二条规定,数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。这为企业判断是否涉及重要数据出境时提供了识别标准。
重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。《中华人民共和国数据安全法》规定,国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护;各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
在《数据跨境规定》公布施行前夕,国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》于2024年3月21日发布,将于2024年10月1日正式实施,其中的附录G“重要数据识别指南”列出了识别重要数据时可考虑的18项因素,为重要数据目录的制定也提供了一定指引。相关企业需要关注所在行业、领域和地区制定的重要数据目录,以判断企业所产生或处理的数据是否涉及重要数据。
2.1 不包含境内个人信息或者重要数据
根据《数据跨境规定》第三条和第四条,针对不涉及境内个人信息或重要数据的如下两类数据跨境流动,免予履行安全评估、标准合同或认证:
(1)国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或重要数据的;
(2)数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的(“数据过境”)。
根据上述规定,实践中常见的跨境商业经营活动,如果出境数据不涉及境内个人信息或重要数据,企业可以自由出境;面向海外市场提供数据服务的出海企业,如果仅为数据过境情形,即不涉及产生于我国境内的重要数据和个人信息的,也可以自由出境。
2.2 个人信息出境的4种特定情形
《数据跨境规定》发布之前,任何个人信息出境均应当通过三种数据出境路径之一。《数据跨境规定》第五条规定,数据处理者向境外提供个人信息,只要不包括被相关部门、地区告知或者公开发布为重要数据的个人信息,符合以下4种情形之一的,免予履行数据出境路径,进一步放宽了对特定个人信息出境的监管。但应注意,如果个人信息包含被公开发布为重要数据的个人信息,那么应当遵守重要数据出境的要求,而不能适用此规定。
(1)为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的(“个人跨境业务”);
(2)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的(“跨境人力资源管理”);
(3)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的(“紧急情况”);
(4)关键信息基础设施运营者(“CIIO”)以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。
上述(1)-(3)适用于所有数据处理者(无论是否为CIIO),这不仅有利于涉及个人的跨境业务高效开展,便利跨国公司内部因人力资源管理而进行员工信息跨境分享,同时还针对紧急情况下的个人信息出境做出了相对合理的规定。第(4)种情形,则是对CIIO以外的数据处理者向境外提供个人信息进行一定程度的放宽监管。
根据《中华人民共和国个人信息保护法》(“《个人信息保护法》”)第13条2的(二)-(四)项的规定,上述(1)-(3)中的情形是处理个人信息的合法基础,因此这些情形也不需要取得个人同意。对于情形(4),若是基于个人同意向境外提供个人信息,仍然应当取得个人的同意。
根据《个人信息保护法》,个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。
个人信息采用加密、脱敏等措施处理属于去标识化,去标识化处理后的个人信息仍是《个人信息保护法》规定的个人信息。去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。
敏感个人信息,是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。3
根据《关键信息基础设施安全保护条例》,关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
涉及的重要行业和领域的主管部门、监督管理部门,负责制定本行业、本领域关键信息基础设施认定规则,组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知关键信息基础设施运营者。4
《数据跨境规定》第六条规定,自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入安全评估、标准合同、认证管理范围的数据清单(“负面清单”),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。自由贸易试验区内数据处理者向境外提供负面清单之外的数据,可以免予履行安全评估、标准合同、认证。
因此,若自贸区出台了负面清单,自贸区内的数据处理者按照负面清单的要求履行相应的数据出境路径即可;若数据出境不涉及负面清单内的数据,无需履行数据出境路径。但负面清单出台前,自贸区内的数据出境活动按照国家数据出境安全管理有关规定执行,也即遵守自贸区外的数据出境监管要求。
自贸区内企业应当密切关注自贸区对数据出境的最新规定,按规定履行相应的要求。《数据跨境规定》施行前已有部分自贸区发布了数据跨境流动分类分级管理制度,例如上海和天津。上海于2024年2月8日发布实施了《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》,该办法适用于在临港新片区范围内登记注册的,或在临港新片区开展数据跨境流动相关活动的数据处理者,跨境数据分级从高到低依次分为核心数据、重要数据、一般数据3个级别,临港新片区管委会负责制定纳入数据出境安全评估管理范围的重要数据目录和一般数据清单。天津于2024年2月5日发布实施了《中国(天津)自由贸易试验区企业数据分类分级标准规范》,适用于天津自贸试验区内企业在生产经营过程中产生、收集、存储、传输和处理的数据的分类分级,指导区内企业履行数据分类分级程序,要求企业根据该规范开展内部数据分类分级工作,形成企业数据目录,明确本企业重要数据,并向主管部门报送重要数据目录。
在明确免予履行数据出境路径的情形和新增自贸区的负面清单制度的基础上,《数据跨境规定》第七条5对《数据出境安全评估办法》下应当进行安全评估的范围适度收窄,相应地,标准合同或认证的适用范围也因此拓宽,《数据跨境规定》第八条6对《个人信息出境标准合同办法》下应当订立标准合同的情形进行了调整。
简而言之,《数据跨境规定》第七条和第八条带来的变化是,针对非CIIO向境外提供个人信息,部分出境情形从之前的安全评估变为可以选择标准合同或认证。然而,《数据跨境规定》对重要数据出境和CIIO的数据出境活动的监管并未改变和放宽,数据出境涉及境内重要数据时,无论数据处理者是否为CIIO,仍应通过安全评估;CIIO向境外提供个人信息,除了有限的例外情形外,其他情况下仍然应通过安全评估,例外情形包括(1)自贸区内的数据处理者,应遵循自贸区发布的负面清单履行相应的数据出境路径;(2)在“个人跨境业务”“跨境人力资源管理”“紧急情况”任一情形下,免予履行数据出境路径。
《数据跨境规定》第九条规定,通过数据出境安全评估的结果有效期为3年,自评估结果出具之日起计算。有效期届满,需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的,数据处理者可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请。经国家网信部门批准,可以延长评估结果有效期3年。
除安全评估的有效期由2年延长至3年外,针对安全评估有效期届满,《数据跨境规定》规定,在未发生需要重新申报数据出境安全评估情形的,可以直接申请延长有效期,无需重新评估,为企业提供便利。但另一方面,若发生需要重新申报安全评估情形的,仍需根据《数据出境安全评估办法》的规定,在有效期届满60个工作日前重新申报评估,无法适用延长有效期的规定。
虽然特定的数据出境情形可以免予履行三种数据出境路径,但是数据出境的其他合规要求并未因此免除,企业作为数据处理者仍需遵循《个人信息保护法》等与数据出境相关的基本法律规定的合规要求。《数据跨境规定》第十条重申“数据处理者向境外提供个人信息的,应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务”;第十一条也对数据安全相关措施再次明确“数据处理者向境外提供数据的,应当遵守法律、法规的规定,履行数据安全保护义务,采取技术措施和其他必要措施,保障数据出境安全。发生或者可能发生数据安全事件的,应当采取补救措施,及时向省级以上网信部门和其他有关主管部门报告”。
此外,虽然《数据跨境规定》一定程度上放宽了出境前的审查标准,但同时《数据跨境规定》第十二条要求:各地网信部门应当加强对数据处理者数据出境活动的指导监督,健全完善数据出境安全评估制度,优化评估流程;强化事前、事中、事后的全链条、全领域监管,发现数据出境活动存在较大风险或者发生数据安全事件的,要求数据处理者进行整改,消除隐患;对拒不改正或者造成严重后果的,依法追究法律责任。因此,企业仍需对自身数据出境的安全保持谨慎态度,严格遵守法律法规的要求,尽可能确保数据安全,否则后续仍可能面临行政处罚甚至刑事责任。
首先,数据处理者应判断是否涉及境内收集和产生的个人信息和重要数据,如果不涉及,无需履行数据出境路径。
其次,自贸区内的数据处理者,应关注所在的自贸区是否出台了负面清单:若已出台负面清单,出境数据属于负面清单上的数据,则按照负面清单选择相应的数据出境路径。自贸区内的数据处理者向境外提供负面清单之外的数据,可以免予履行数据出境路径。负面清单出台前,自贸区内数据处理者与自贸区外的数据处理者,按照同样的数据出境安全管理规定执行。
最后,数据处理者(除已出台负面清单的自贸区内数据处理者外)选择数据出境路径时,具体判断顺序如下:
-
涉及重要数据的出境,任何主体(无论是CIIO还是非CIIO)向境外提供重要数据,均应通过安全评估。
-
涉及个人信息的出境,按如下顺序判断:
-
首先,判断是否存在3种免予履行数据出境路径的情形:任何数据处理者,无论是否为CIIO,在“个人跨境业务”“跨境人力资源管理”“紧急情况”任一情形下,免予履行数据出境路径;
-
其次,根据数据处理者类型分别判断:
-
如果是CIIO,应通过安全评估。
-
如果是非CIIO,应根据出境个人信息的类型和数量来确定是否可以免予履行、以及应当通过何种数据出境路径:
-
若其仅出境非敏感个人信息且数量不满10万人时,免予履行数据出境路径。换言之,只要涉及敏感个人信息的出境,就应通过相应的数据出境路径。
-
自当年1月1日起,累计向境外提供100万人以上的非敏感个人信息,或者1万人以上的敏感个人信息,应当通过安全评估;
-
自当年1月1日起,累计向境外提供10万人以上、不满100万人的非敏感个人信息,或者不满1万人的敏感个人信息,可选择通过标准合同或认证。
由于三种数据出境路径的条件相较之前有所变化,对于《数据跨境规定》施行前已经完成或正在申报安全评估、提交标准合同备案的,如何适用该规定,国家网信办进行了明确,为企业提供指引。
《数据跨境规定》施行前已经通过安全评估的数据出境活动,数据处理者可以根据申报事项继续开展。
《数据跨境规定》施行前未通过或者部分未通过安全评估,根据《数据跨境规定》免予申报安全评估的数据出境活动,数据处理者可以依法通过标准合同、认证等其他途径向境外提供个人信息。
《数据跨境规定》施行前已经申报安全评估、提交标准合同备案,根据《数据跨境规定》无需开展上述程序的,数据处理者可以按照原程序进行,也可以向所在地省级网信部门撤回申报、备案。7
《数据跨境规定》在既有的三种数据出境路径安全评估、标准合同和认证基础上,明确了数据出境活动免予履行数据出境路径的条件,并调整了三种数据出境路径各自的适用条件。
因上述调整,企业需要对当前已经或即将开展的数据出境路径做出调整安排,结合实际判断是否需要撤回申报、继续申报或切换所选择的数据出境路径,以及能否申请延长安全评估的有效期。但应注意,数据出境的其他合规要求并未改变,企业仍应继续履行,包括告知、同意、个人信息保护影响评估等。
企业应当结合调整后的标准确认自身的数据出境情形是否需要以及应当履行何种数据出境路径。首先,出境数据如果不包含境内的个人信息或重要数据,不需要履行数据出境路径;其次,自贸区内的数据处理者应首先关注其所在自贸区是否已发布负面清单;再次,企业应关注重要数据目录的发布,涉及重要数据出境时应当通过安全评估;最后,涉及个人信息出境时,企业应先判断是否属于免予履行数据出境路径的情形,接着从数据处理者的性质(是否为CIIO),非CIIO再根据出境个人信息的类型和相应数量来判断是否需要以及应当选择何种数据出境路径。
总之,《数据跨境规定》对企业而言是利好消息,为企业的数据出境活动提供更多确定性,并在一定程度上降低企业的合规成本。我们会持续关注数据出境的监管动态并分享我们的观察。
本团队持续关注数据合规的相关动态,现已发布如下两份实务指引。我们将根据《促进和规范数据跨境流动规定》新规,更新指引的数据出境部分,并尽快发布更新版指引。
-
《数据合规实务指引(2024)》,目录可参见:《上正恒泰·威科先行 | 数据合规实务指引(2024)重磅发布》。
-
《药械企业数据合规实务指引(2024)》,目录可参见:《上正恒泰·威科先行 | 药械企业数据合规实务指引(2024)重磅发布》
(1).jpg)