你的浏览器版本过低,可能导致网站不能正常访问!为了你能正常使用网站功能,请使用这些浏览器。
2024年3月22日,《促进和规范数据跨境流动规定》(以下简称《数据跨境规定》)正式公布并施行。2023年9月28日,国家互联网信息办公室(以下简称“国家网信办”)就《规范和促进数据跨境流动规定(征求意见稿)》(以下简称《征求意见稿》)公开征求意见,历时近半年,《数据跨境规定》终于落地实施。
一、适用范围更为清晰
《征求意见稿》第八条规定“国家机关和关键信息基础设施运营者向境外提供个人信息和重要数据的,依照有关法律、行政法规、部门规章规定执行。向境外提供涉及党政军和涉密单位敏感信息、敏感个人信息的,依照有关法律、行政法规、部门规章规定执行。”该条款将国家机关和关键信息基础设施运营者这两类主体和党政军和涉密单位敏感信息、敏感个人信息这类信息排除适用。
《数据跨境规定》则未保留该条款,而是区分不同部门法的规制范围,进行了适用上的区分,从而更有利于实施。主要体现为两方面:
1、关键信息基础设施和国家机关进行了区分
《征求意见稿》将关键信息基础设施和国家机关并列表述,虽然也规定了需要适用有关法律、行政法规、部门规章,但由于关键信息基础设施运营者和国家机关,在《网络安全法》《数据安全法》《个人信息保护法》所规定的数据出境制度设计上采用的是不同审批流程,是两项不同的制度,因此并列表述可能会引发一定的歧义。
《数据跨境规定》中,则直接将关键信息基础设施运营者向境外提供个人信息或者重要数据列入了需要申报数据出境安全评估的范围,并且在第七条设置适用豁免条件的特殊规则。国家机关数据出境,由于有《数据安全法》《个人信息保护法》的专门的规定,因而未作提及。
2、将党政军和涉密单位敏感信息、敏感个人信息进行了区分
《征求意见稿》直接规定,向境外提供涉及党政军和涉密单位敏感信息、敏感个人信息的,依照有关法律、行政法规、部门规章规定执行。
上述变化,对于适用主体、适用数据类型的规定更为清晰,也更有利于在实施中予以正确理解。
此外,相较于《征求意见稿》关于自贸区负面清单的规定,《数据跨境规定》亦增加了“在国家数据分类分级保护制度框架下”的限定条件。
而且《数据跨境规定》第五条特意强调“前款所称向境外提供的个人信息,不包括重要数据”,提示了个人信息可能在特定情况下被认定为重要数据,与《数据安全技术数据分类分级规则》中识别重要数据时“一定规模”这个要素以及《汽车数据安全管理若干规定(试行)》中涉及个人信息主体超过10万人的个人信息属于重要数据的规定存在呼应。
上述规定体现了对于重要数据的识别是数据安全的基石之一,无论是政府还是企业都应当予以重视,也与2024年3月21日发布、2024年10月1日实施的《数据安全技术数据分类分级规则》产生了连接,使得数据分类分级制度更为立体。
三、免予适用三大路径的条件存在变化
《征求意见稿》中,免予适用申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证三大路径(以下简称“三大路径”)的情形(以下简称“豁免条件”)包括七种,在《数据跨境规定》中基本予以了保留,但均存在一定变化。为便于查看,笔者特将对比分析情况制作成如下表格:
综合而言,《数据跨境规定》沿袭了《征求意见稿》的精神,明确了无须适用三大路径的标准,并且通过调整统计期间和统计数量标准缩小了“应当申报安全评估”的范围。相对于《征求意见稿》,进一步明确了“敏感个人信息”的出境规则。
另外值得一提的是,虽然统计期间的表达方式由预期判断变更为当年计数,但仍然需要做好预估与监测工作,避免疏忽的情况下超越门槛而未开展相应程序引发合规风险。
四、豁免条件和数量统计之间的关系更为明确
在《征求意见稿》发布后,因为没有相应明确规定,引发了一个容易产生争议的问题:如果某些情形满足特定必要情形的豁免条件(例如“履行合同必要”),但其出境数据的数量可能已经达到或超过了应该申报数据出境安全评估或办理个人信息出境标准合同备案的数量标准(如跨境机票预定数量超过了100万人),在判断是否适用三大路径数量标准时还需要统计这一数量?优先适用豁免条款或是数量条款?
在《数据跨境规定》中,这一问题进一步予以了明确,因为关于数量标准的第七条、第八条都有一个特殊适用规则,即“属于本规定第三条、第四条、第五条、第六条规定情形的,从其规定”。第三条、第四条、第五条、第六条规定了六种豁免情形。由此可以理解为,满足豁免条件的情形,则无需对数量进行统计,用于判断适用何种路径。
五、安全评估有效期延长
此外,延长有效期以数据出境安全评估所申报的实际数据出境状态未发生重大变化为基础。因此,在通过数据出境安全评估后,仍需严格按照评估申报的内容实施数据出境,否则评估到期可能无法获得延期的批准。
六、不适用三大路径不意味着没有合规义务
虽然《数据跨境规定》的生效在一定程度上意味着数据处理者部分合规工作的强度可以得到缓释,但并不意味着数据处理者无须因数据出境活动履行合规义务。因为即使属于适用豁免条件的情形,仍需要取得个人单独同意以确保合法性基础,并需要开展个人信息保护影响评估、履行数据安全保护义务、采取技术措施和其他必要措施、安全事件应急处置(含采取补救措施、报告等)、建立数据安全/个人信息保护体系等义务。
七、法律责任的可预期性加强
由于《个人信息保护法》对于违法行为对应的法律后果规定比较宽泛,导致未满足合规条件的数据出境活动,尤其是个人信息出境活动最终将面临的法律责任存在比较大的适用区间。而《数据跨境规定》第十二条规定,网信部门发现数据出境活动存在较大风险或者发生数据安全事件的,要求数据处理者进行整改,消除隐患;对拒不改正或者造成严重后果的,依法追究法律责任。这些规定增强了法律后果的可预期性。
八、原来的申报备案工作如何处理
目前可能存在很多数据处理者已经适用原标准,正处于申报数据安全评估或者个人信息出境标准合同的过程中。对于这一种情形,《数据跨境规定》未做出明确规定,但在《〈促进和规范数据跨境流动规定〉答记者问》中,国家网信办有关负责人的回答可以作为监管机关的态度予以参考:
《数据跨境规定》施行前已经通过数据出境安全评估的数据出境活动,数据处理者可以根据申报事项继续开展。
《数据跨境规定》施行前未通过或者部分未通过数据出境安全评估,根据《数据跨境规定》免予申报数据出境安全评估的数据出境活动,数据处理者可以依法通过订立个人信息出境标准合同、通过个人信息保护认证等其他途径向境外提供个人信息。