一文读懂我国数据跨境监管新框架
正式报名 | 人工智能治理专家认证CAIGP™课程
时间:4月20—21日(周末两天)
形式:线下为主、线上同步
费用:早鸟价(2024年4月10前付款)6800元,三人以上团购价单独询价
地址:上海市静安区江场三路250号16号楼5层
咨询:138 1664 6268,[email protected]
扫描二维码索取报名表,并于4月10日前缴费
看发文的审议通过的时间是2023年11月28日,签发却等到了2024年3月22日,真不容易呀。
相较于征求意见稿,最大的变化是:由征求意见稿的“规范”在前“促进”在后,改为先“促进”后“规范”。顺序调整,体现我国促进开放的决心。点赞。
本文旨在从实务视角出发,梳理《促进和规范数据跨境流动规定》(“《规定》”)出台后我国的数据跨境监管新框架。
针对数据跨境而言,数据可分为三类:
(1)非重要数据且非个人信息的一般数据,随便出;
(2)重要数据,没被通知就不用管;
(3)个人信息,具体情况具体分析。
接下来逐一展开讨论。
一、一般数据出境无限制
先厘清概念,数据出境包括两种情形:
一种是将数据发送到境外;
另一种是在境外可以访问存储在境内的数据。
以下情形属于数据出境行为:
(一)数据处理者将在境内运营中收集和产生的数据传输、存储至境外;
(二)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
(三)国家网信办规定的其他数据出境行为。《数据出境安全评估申报指南》
但监管并不是任何数据出境都监管。
第三条 国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。 公众号:网信中国促进和规范数据跨境流动规定
对于既不是重要数据也不是个人信息的一般数据,如:机构客户交易流水、产品销量等数据,在数据出境领域,监管层面无任何限制。
当然这些数据出境还需要遵守反不正当竞争、出口管制、国家秘密管理以及相关合同协议中保密义务等要求。
二、重要数据是啥不用猜
重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。 《数据出境安全评估办法》第19条
任何一条重要数据出境都要做数据出境安全评估。
实践中,对于一般企业而言,很难判断相关数据被不当使用是否会影响国家安全。
《数据安全法》要求相关地区、部门确定本地区、本部门以及相关行业、领域的重要数据具体目录。
故而《规定》明确,数据处理者应当依法申报、识别重要数据,但未被相关部门、地区告知或者公开发布认定为重要数据的,就无需考虑重要数据出境安全评估了。
第二条 数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。 公众号:网信中国促进和规范数据跨境流动规定
据了解,现阶段暂无任何行业、地区公开重要数据目录,而工信等领域的行业主管部门已经组织相关企业填报其重要数据目录。
所以在相关重要数据目录出台前,没被要求编制重要数据目录的企业就可以先不用管了。
当然稳妥起见,昨天发布的《数据安全技术 数据分类分级规则》(GB/T 43697-2024)附录G中明确列举的,还是要重点关注,主动去问一下行业监管部门,以完成重要数据识别、申报的义务。
三、个人信息出境看条件
(一)CIIO个人信息出境必评估
只要被认定为关键信息基础设施运营者(“CIIO”)的,任何一条个人信息出境均需要做数据出境安全评估。《规定》也再次强调。
第七条 数据处理者向境外提供数据,符合下列条件之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
(一)关键信息基础设施运营者向境外提供个人信息或者重要数据;……公众号:网信中国促进和规范数据跨境流动规定
是否是CIIO也不需要猜,只要没被通知就不是。《规定》的答记者问予以重申。
涉及的重要行业和领域的主管部门、监督管理部门负责制定本行业、本领域关键信息基础设施认定规则,组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知关键信息基础设施运营者。 公众号:网信中国《促进和规范数据跨境流动规定》答记者问
(二)数据过境不用愁
第四条 数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。 公众号:网信中国促进和规范数据跨境流动规定
很多境外机构非常关注的数据过境问题,《规定》也正面回应。
因为境内的人力成本较低,可能境外机构会将其在境外收集的个人信息发送给境内处理者进行相关的加工处理,此过程未添加任何境内的个人信息。
按照原监管框架此种情况仍需前置审批,但《规定》强调只要没有引入新的境内个人信息或者重要数据就可以豁免审批。
(三)特定场景无需前置审批
数据处理者向境外提供个人信息,符合下列条件之一的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
提示一下,履行合同和人力资源管理所必需都要严格缩限解释(数量那条没漏,放在后面一起说)。
对于履行合同而言,“必需”是指没有这个字段出境合同就无法履行,如跨境汇款场景下,没有收款人的姓名及账户钱就到不了账。
此处的必需是客观上的必要即个人信息处理者所处理的个人信息种类、处理方式等对订立履行合同来说应当是必要的,其处理个人信息的行为应符合合同相对人、社会公众的合理期待或者行业惯例。处理个人信息的必要性基于合同目的来判断,在兼顾实现合同目的和保护个人信息权益的比例性原则下,如果不处理个人信息就可以实现合同目的,或者可以通过对个人权益影响更小的个人信息处理方式就可以实现合同目的,则该处理行为不符合必要性的要求。
杨合庆主编:《中华人民共和国个人信息保护法释义》,法律出版社2022年2月版,第46页。
对于人力资源管理而言,也不是公司发随便一个制度就能作为依据的,需要与员工平等协商且具备充分必要性。
《劳动合同法》第4条对用人单位建立和完善劳动规章制度作了规定,要求用人单位在制定、修改或者决定有关劳动报酬、工作时间、休息休假、劳动安全卫生、保险福利、职工培训、劳动纪律以及劳动定额管理等直接涉及劳动者切身利益的规章制度或者重大事项时,应当经职工代表大会或者全体职工讨论,提出方案和意见,与工会或者职工代表平等协商确定;第51条还对企业职工一方与用人单位通过平等协商,就劳动报酬、工作时间、休息休假、劳动安全卫生、保险福利等事项订立集体合同作了规定。用人单位应当按照《劳动合同法》的规定,在与劳动者充分协商基础上建立劳动规章制度,在规章制度中对为实施人力资源管理所必需处理个人信息的规则作出规定。
杨合庆主编:《中华人民共和国个人信息保护法释义》,法律出版社2022年2月版,第46-47页。
此外,个人信息处理者仍需履行《个人信息保护法》中的其他义务。
(三)特定区域有优势
1、粤港澳大湾区
注册在广东大湾区九市的企业将个人信息传输到香港的,只要相关个人信息没有被认定为重要数据,就可以根据《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》签订《大湾区标准合同》。
合同生效后就可以出境了,然后10工作日内境内要找广东网信办备案,香港要去资讯科技总监办公室备案。
作为促进大湾区内个人信息跨境流动的便利措施,《大湾区标准合同》放宽了部分《个人信息出境标准合同办法》中的要求,例如:
(1)有关个人信息跨境流动的数量及敏感个人信息的限制并不适用于《大湾区标准合同》;
(2)《大湾区标准合同》的合约方无须就接收方所在地区的个人信息保护政策和法规进行相关评估;
(3)就有关开展个人信息保护影响评估的要求,《大湾区标准合同》要求个人信息处理者评估的项目范围亦大幅减少;及
(4)《大湾区标准合同》并没有与敏感个人信息或自动化决策机制相关的特别规定。
经咨询,《大湾区标准合同》的适用无需考虑个人信息出境的数量,即使一年内出境个人信息到香港超过100万个人信息/1万敏感个人信息也依然可以适用。
2、自由贸易试验区
第六条 自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。
自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。公众号:网信中国促进和规范数据跨境流动规定
自贸区可以制定需要进行前置审批的数据负面清单,在属地省级网信办审批并报备国家网信办后,清单外的数据出境均无需前置审批手续。
再次强调,《个人信息保护法》中的其他义务仍需落实,详见(五)。
这个是很棒的措施,主要需要看后续各个自贸区对这类政策的尺度把控,临港已经有消息了,期待百花齐放。
目前,已基本编制完成智能网联汽车车辆远程诊断、公募基金市场投研信息、跨国公司集团管理、生物医药临床试验和研发等20个场景的跨境流动分级分类的首批清单目录,在完成论证后将于近期对外发布。 公众号:数据何规上海临港:数据跨境流动清单即将出台,覆盖网联车、金融、医药等20个场景
(四)数量不同措施不同
强调一下,任何个人信息出境场景均需要履行《个人信息保护法》项下其他义务,不同的只是前置审批程序。
1、自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的,无需前置审批;
2、自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,前置审批可在标准合同及个人信息保护认证中二选一;
3、向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息,应数据出境安全评估。
关于如何计数,官方也明确了两点:一是去重,二是豁免前置审批的数量不累计。
计算周期为自当年1月1日起至申报数据出境安全评估之日,数量以自然人为单位去重后的统计结果为准。
属于《规定》第三条、第四条、第五条第一款第一项至第三项、第六条规定情形的,不计入累计数量。公众号:网信中国《促进和规范数据跨境流动规定》答记者问
三个前置审批程序目前都已经有成功的案例。
数据出境安全评估,先报属地省级网信办材料形式审核,最后要国家网信办审批,材料颗粒度要求最高,时间耗时也比较久。
有效期为三年,《规定》允许到期前申请再延三年。
第九条 通过数据出境安全评估的结果有效期为3年,自评估结果出具之日起计算。有效期届满,需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的,数据处理者可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请。经国家网信部门批准,可以延长评估结果有效期3年。 公众号:网信中国促进和规范数据跨境流动规定
标准合同备案的话,只需要报属地网信办备案,材料也会稍微简单一些。有效期与合同期限一致,理论上可以永久。
以上两个都可以不请中介自己搞,但请对中介可能会顺畅很多。具体可见新鲜更新的指南:国家互联网信息办公室发布《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》。
二者各地都有很多公开的通过案例(下图是截至2023年底的不完全统计)。
来源:企业数据合规官
个人信息保护认证的话,一定要找中国网络安全审查技术与认证中心(CCRC),费用还是比较高的,具体可以打他们官网电话咨询了解。成功案例只看到了一批:全国首批“个人信息保护认证”证书正式发出。
(五)其他义务不能少
第十一条 数据处理者向境外提供数据的,应当遵守法律、法规的规定,履行数据安全保护义务,采取技术措施和其他必要措施,保障数据出境安全。发生或者可能发生数据安全事件的,应当采取补救措施,及时向省级以上网信部门和其他有关主管部门报告。 公众号:网信中国促进和规范数据跨境流动规定
还需要提示,尽管无需前置审批,个人信息处理者仍需落实《个人信息保护法》中的其他义务,如:
1、增强告知且取得单独同意或具备其他合法性基础;
个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
《个人信息保护法》第39条
2、确保接收方达到我国同等保护水平;
个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
《个人信息保护法》第38条第3款
3、进行个人信息保护影响评估。
第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录: ……
(四)向境外提供个人信息; ……
第五十六条 个人信息保护影响评估应当包括下列内容:
(一)个人信息的处理目的、处理方式等是否合法、正当、必要;
(二)对个人权益的影响及安全风险;
(三)所采取的保护措施是否合法、有效并与风险程度相适应。
个人信息保护影响评估报告和处理情况记录应当至少保存三年。《个人信息保护法》
4、其他义务
第十一条 数据处理者向境外提供数据的,应当遵守法律、法规的规定,履行数据安全保护义务,采取技术措施和其他必要措施,保障数据出境安全。发生或者可能发生数据安全事件的,应当采取补救措施,及时向省级以上网信部门和其他有关主管部门报告。
公众号:网信中国促进和规范数据跨境流动规定
四、总结
诚如克强总理所言,“无论国际风云如何变幻,中国都会坚定不移地扩大开放。长江黄河不会倒流。这是个机遇的大门,我们决不会、也决不能把它关上”。
调整后的数据跨境监管政策充分我国扩大开放体现了的决心,与近期美国的数据限制流动政策形成鲜明对比。
愿越来越好!
法律人最佳职业方向之一,扫码加入学习
微信扫码关注该文公众号作者