《规定》从数据处理者、数据出境场景、数据类型以及出境一般个人信息涉及自然人人数四个维度,针对现有数据出境安全评估、个人信息出境标准合同、个人信息保护认证三种实施机制,明确了三种实施路径的实施和衔接,具体见下图1。
图1《规定》下的数据出境三种路径的适用选择
《规定》是对《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》(又称“数据二十条”)中关于构建数据安全合规有序跨境流通机制的落实,是响应国家层面关于探索跨境数据管理新模式要求的重要举措,体现了我国扩大高水平对外开放的决心。《规定》以促进和规范数据出境流动为出发点,放宽了数据出境流动条件,收窄了数据出境安全评估范围,赋予了自贸区制定“负面清单”的权利,在保障数据安全的前提下,便利数据出境流动,降低企业合规成本,充分释放数据要素价值,扩大高水平对外开放,为数字经济高质量发展提供法律保障。
二、《规定》的主要内容
(一)明确了按重要数据开展数据出境安全评估申报的适用条件
为稳妥起见,暂未被行业主管部门通知填报重要数据的企业,可以参照《数据安全技术数据分类分级规则》(GB/T43697-2024)附录G、个别行业已经发布或内部制定的重要数据目录(例如汽车行业可参考《汽车数据安全管理若干规定(试行)》)等国家标准、行业标准中明确列举的重要数据类别,预先自查自筛。如果自查过程中发现有可能是重要数据的,建议主动问询监管部门意见,以确保履行数据合规义务。
(二)明确了六种数据出境活动免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证
一是国际贸易、出境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的。
说明:所有的数据出境活动,如果不涉及个人信息和重要数据,都免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。此处对“国际贸易、出境运输、学术合作、跨国生产制造和市场营销等”这些数据出境最为频繁的场景作出特别强调,其意在释放通过促进数据出境流动以支持对外开放和开展国际交流的信号,其目的不在于对列举场景进行“特别优待”或意在规定“不属于列举场景的,即使不涉及个人信息或重要数据也要履行申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的合规义务”。
二是在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的。
说明:如企业专注于海外市场,但并未在我国境内实际开展业务,或者虽在我国境内开展业务,但处理的个人信息是在境外收集和产生的,企业的业务活并涉及境内个人信息或者重要数据。在这种情形下,因为不涉及我国境内个人信息主体的权益或者国家安全、公共利益等,没必要对对其施加申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的合规义务。
三是为订立、履行个人作为一方当事人的合同,如出境购物、出境寄递、出境汇款、出境支付、出境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的。
说明:2023年9月28日发布的《规范和促进数据跨境流动规定(征求意见稿)》(以下简称“《征求意见稿》”)使用了“必须”一词,背后指向为“如果字段不出境则无法实现业务目的”。《规定》改用“确需”一词,其指向为“其他字段出境也可以实现业务目的,但从成本、效率等角度考虑确实需要”。从这个角度来看,对于数据出境“必要性“的监管尺度是有一定放宽的,或者说给企业留有了一定的解释空间。从促进经贸流通和国际交往的着眼点出发,对于这八种情景做扩大化解释也是情理之中。
四是按照依法制定的劳动规章制度和依法签订的集体合同实施出境人力资源管理,确需向境外提供员工个人信息的。
说明:对于实施人力资源管理的情形,哪些场景可否豁免不能一概而论。尤其是涉及到员工的敏感个人信息,如性取向、残疾情况等是否可以豁免,还需要再深入调研之后才能判断。比如说,如果只是出于了解员工、履行社会义务的目的,可能并不足以支撑员工个人敏感信息出境必要性,甚至没有到豁免适用的判断上。在其它情形下比如说企业为了给残疾员工增加员工福利,把残疾情况等个人敏感信息传输出境,实际操作中被豁免的可能性很大。
五是紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的。
说明:在紧急情况下,要求开展数据出境安全评估、备案或认证,有强人所难之嫌。对此种情形的豁免也体现了对于生命健康和财产安全的优先保护选择。
六是关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。
说明:针对非关键基础设施运营者向境外传输批量个人信息进行了豁免,并直接将豁免门槛提高到了“10万人”,远高于《征求意见稿》的“1万人”标准,是对数据出境监管的显著松绑。
(三)赋予自贸区制定《负面清单》的权力
负面清单是指纳入数据出境安全评估、个人信息标准合同备案、个人信息保护认证管理范围内的数据。对于清单外的数据出境活动,可免予申报数据出境安全评估、进行个人信息标准合同备案、通过个人信息保护认证。
自贸区制定负面清单的注意事项:一是要在国家数据分类分级保护制度框架下,不是无规则可循。二是各自贸区可以根据本地实际情况自行制定,给与了自贸区一定的自主权。三是需要经省级网络安全和信息化委员会(注意:不是省级网信部门)批准,给与必要的监督。四是要报国家网信部门、国家数据管理部门备案,以保证各地负面清单的整体协调一致性。
(四)需要申报数据出境安全评估的情形
《规定》对《数据出境安全评估办法》明确的应当申报数据出境安全评估的条件作了优化调整。《规定》明确了两种应当申报数据出境安全评估的条件:一是关键信息基础设施运营者向境外提供个人信息或者重要数据。二是关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。
《规定》不再适用《数据出境安全评估办法》规定的“处理100万人以上个人信息”的判断标准,即不再将历史个人信息处理总量作为判断标准,解决了实践中对低风险数据出境活动施加较重合规义务的问题。
(五)需要订立个人信息出境标准合同、通过个人信息保护认证的情形
与《征求意见稿》相比,《规定》明确区分一般个人信息和敏感个人信息,对于非关键信息基础设施运营者企业向境外提供个人信息的门槛进一步放宽。根据《规定》,关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。
(六)出境个人信息涉及自然人的数量计算问题
1.适用场景:适用于企业所有出境场景。
3.数据范围:一般个人信息单独计算,敏感个人信息也单独计算。
4.累计计算:1年内企业涉及多场景多次出境的,累计计算。
5.去重计算:以自然人为单位去重计算。
6.豁免不计算:豁免场景不累计计算。
(七)数据出境安全评估结果/个人信息标准合同备案的有效期/延期及重新申请
《规定》将数据出境安全评估结果的有效期从2年延长至3年,自评估结果出具之日(非送达之日)起计算。同时,企业往年已申报场景如果没有发生需要重新申报的新变化的,可以免于重复申报,直接申请延长原评估结果有效期即可。这将实质降低企业的合规成本。
图2《规定》下的安全评估及合同备案有效期、延期及重新申请
(八)数据处理者和数据主管部门的义务要求
数据处理者开展数据出境活动,如果达不到申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的门槛,或适用豁免条件,但并不意味着其它合规义务的免除。在这种情形下,数据处理者应当:
1.主动识别、申报重要数据;
2.向境外提供个人信息的,仍应依法履行告知、取得个人单独同意、进行个人信息保护影响评估等义务;
3.向境外提供数据的,应依法履行数据安全保护义务,采取技术措施和其他必要措施,保障数据出境安全。发生或者可能发生数据安全事件的,应当采取补救措施,及时向省级以上网信部门和其他有关主管部门报告。
此外,《规定》也对各地网信部门规定了如下的监管性义务:
1.强化对数据出境的事前、事中、事后的全程闭环监管;
2.加强对数据处理者数据出境活动的指导监督,健全完善数据出境安全评估制度,优化评估流程;
3.发现数据出境活动存在较大风险或者发生数据安全事件的,要求数据处理者进行整改,消除隐患;对拒不改正或者造成严重后果的,依法追究法律责任。
三、企业合规建议
(一)新规溯及力
1.已经通过安全评估的,企业可以根据申报事项继续开展数据出境活动。
2.未通过或者部分未通过安全评估的,根据《规定》免予申报数据出境安全评估的数据出境活动,企业可以依法通过订立个人信息出境标准合同、通过个人信息保护认证等其他途径向境外提供个人信息。
3.正在进行的:已经做了申报、备案但根据《规定》无需申报、备案的,企业可以按照原程序进行,也可以向所在地省级网信部门撤回申报、备案。
(二)加强数据治理,重视监管沟通
1.开展数据分类分级,识别并申报重要数据
开展数据出境活动,做好数据分类分级是基本前提和基础。通过开展数据分类分级工作,识别企业数据出境中所涉及的数据类型(一般个人信息、敏感个人信息、重要数据)、数据规模、数据的保护级别等,并履行相应的安全保护义务。因此,建议企业从系统、业务、场景等多个维度全面细化并落实企业数据分类管理制度和流程,对自查自筛过程中发现有可能是重要数据的,建议主动问询监管部门意见,以确保数据出境活动的合规性。
2.建立长效的数据出境评估机制
完备的数据出境评估机制是企业确保数据出境活动合规的必经之路。现有的三大数据出境实施工具,均以完备的数据出境风险安全评估为基础的。通过建立长效的数据出境评估机制,企业能够识别、评估和管理数据出境传输过程中可能遇到的安全风险,包括数据泄露、滥用等,从而降低潜在安全风险。
3.加强监管沟通,寻求专业支持
企业的数据出境活动各种各样,具体的出境场景也是千差万别。《规定》不可能对现实的企业出境实践活动事无巨细加以规定,通过与主管机构保持良好沟通,企业可以更准确地理解监管的具体要求,及时获得解决方案或其他必要的指导,避免因解读错误或信息不足而导致的合规风险和潜在的法律后果。在必要的时候,聘请第三方咨询服务机构提供专业辅导,提高安全评估申报或合同备案的效果和效率。
*实习律师杨彩云对本文亦有贡献。
北京
北京市朝阳区东三环中路5号财富金融中心35-36层
上海
上海市长宁区遵义路150号虹桥南丰城C栋2006室
深圳
广东省深圳市福田区金田路荣超经贸中心4801
天津
天津市河西区郁江道14号观塘大厦1号楼17层
南京
江苏省南京市江宁区庄排路159号2号楼601室
郑州
河南省郑州市金水区金融岛华仕中心B座2楼
呼和浩特
内蒙古呼和浩特市赛罕区绿地腾飞大厦B座15层
昆明
云南省昆明市盘龙区恒隆广场11楼1106室
西安
陕西省西安市高新区锦业路11号绿地中心B座39层
杭州
浙江省杭州市西湖区学院路77号黄龙国际中心B座11层
重庆
地址:重庆市江北区庆云路江2号国金中心T6写字楼8层8-8
海口
海南省海口市龙华区玉沙路5号国贸中心11楼
东京
日本国东京都港区虎之门一丁目1番18号HULICTORANOMONBLDG.