问卷调查
2024年3月22日,《促进和规范数据跨境流动规定》(以下简称“《规定》”)正式发布并自公布之日起施行。这是在2023年9月28日发布《规范和促进数据跨境流动规定(征求意见稿)》(以下简称“《征求意见稿》”)半年后,正式对现有数据跨境机制进行调整。
《规定》明确重要数据出境安全评估申报标准、豁免部分数据跨境的场景、设立自由贸易试验区负面清单制度、规定数据跨境合规路径和触发数量门槛,给企业的数据跨境提供了清晰、有序的指导,适当放宽的申报要求也降低了企业的数据跨境合规成本。
本文将围绕《规定》的主要内容、对企业的影响和相关建议,对于数据跨境机制的调整进行详细解读。
一、《规定》的主要内容
明确重要数据出境安全评估申报标准
依据《规定》,重要数据的跨境流动需要进行安全评估。数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
不包含个人信息或者重要数据的出境豁免
依据《规定》,国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
部分个人信息出境豁免
依据《规定》,为订立或者履行个人作为一方当事人的合同确需向境外提供个人信息、按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理确需向境外提供员工个人信息、紧急情况下为保护自然人的生命健康和财产安全确需向境外提供个人信息、关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人非敏感个人信息,只要不包含重要数据,免予申报数据出境安全评估、订立个人信息出境标准合同以及通过个人信息保护认证。
设立自由贸易试验区负面清单制度
《规定》指出,自由贸易试验区在国家数据分类分级保护制度框架下可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。自贸区内数据处理者向境外提供负面清单之外的数据可以免予数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
细化数据出境安全评估和个人信息出境标准合同及认证制度
《规定》对需要进行数据出境安全评估的情形作出了明确规定:
1)关键信息基础设施运营者向境外提供个人信息或者重要数据;
2)关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上非敏感个人信息或1万人以上敏感个人信息。通过数据出境安全评估的结果有效期为3年,若有效期届满,且未出现需要重新申报评估的情形,数据处理者可在有效期届满60个工作日内进行申请延长评估结果有效期,经批准可延长3年。
关键信息基础设施运营者以外的数据处理者,自当年1月1日起累计向境外提供10万人以上不满100万人非敏感个人信息或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。
重申出境的相关法律要求
及数据安全事件的处理义务
依据《规定》,数据处理者向境外提供个人信息,应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。数据处理者向境外提供数据,应当遵守法律、法规的规定,履行数据安全保护义务,采取技术措施和其他必要措施,保障数据出境安全。发生或者可能发生数据安全事件的,应当采取补救措施,及时向省级以上网信部门和其他有关主管部门报告。
二、对企业进行数据跨境的影响
数据出境豁免规定
《规定》明确了数据出境监管适用的数据类型为个人信息和重要数据,而一般性业务数据及列出的一些豁免场景则免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证,有效降低企业的合规成本。豁免场景如下图所示:
明确规定数据跨境合规路径和触发数量门槛
在以往数据出境监管相关的法律法规的基础上,《规定》进一步明确了关键基础设施运营者和除此外的一般数据处理者需要进行申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证相关合规路径的具体场景,包括数据类型、触发安全评估或备案的明确条件。
相较于《征求意见稿》,《规定》补充了敏感个人信息出境数量作为单独的一项触发评估或备案的标准,将触发备案的人数标准从1万提高到10万,并且对于出境人数的计算方式从“预计一年内”变为“当年”。
通过自由贸易试验区促进数据跨境流动
根据《规定》,自由贸易试验区可以在法律允许框架内,自行制定区内需要进行申报数据出境安全评估、个人信息出境标准合同、个人信息保护认证的数据范围清单(负面清单),但需要相关部门进行批准和备案。自由贸易试验区内的数据处理者向境外提供负面清单外的数据时,可免予进行该三种合规路径。
负面清单机制体现了我国对于一般数据跨境流动的支持态度,也有助于企业判断处理的数据是否可出境。如下部分以上海和天津自贸区为例阐述自由贸易试验区对于数据跨境流动的新规定。
上海
2024年2月8日,《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》(以下简称“《上海办法》”)印发。《上海办法》适用于:在临港新片区范围内登记注册的,或在临港新片区开展数据跨境流动相关活动的数据处理者。该办法有效期至2025年2月7日。
《上海办法》将跨境数据分为核心数据、重要数据、一般数据3个级别:1)核心数据禁止跨境;2)重要数据目录由临港新片区管委会制定,可通过临港新片区数据跨境服务中心申报数据出境安全评估;3)一般数据清单由临港新片区管委会制定,一般数据可向临港新片区管委会申请登记备案,在满足相关管理要求后自由流动。若相关领域出台场景化重要数据目录,则该领域的一般数据清单自动失效。
天津
2024年2月5日,天津市商务局、自贸试验区管委会印发《中国(天津)自由贸易试验区企业数据分类分级标准规范》(以下简称“《规范》”)。《规范》适用于天津自贸试验区内企业在生产经营过程中产生、收集、存储、传输和处理的数据的分类分级:
《规范》将企业数据从高到低分为核心、重要、一般3个级别,并强调重要数据应对国家安全、经济运行、社会稳定、公共健康和安全产生影响,仅影响组织自身或公民个体的数据,一般不作为重要数据。
三、对企业进行数据跨境管理的建议
根据《规定》要求,结合企业自身情况,制定数据跨境合规策略
1)尚未提交数据出境安全评估或个人信息出境标准合同备案的,应尽快判断是否需要评估、备案或认证,并尽快申请。
2)《规定》施行前已经申报数据出境安全评估、提交个人信息出境标准合同备案,根据《规定》无需开展上述程序的,数据处理者可以按照原程序进行,也可以向所在地省级网信部门撤回申报、备案。
3)《规定》施行前已经通过数据出境安全评估的数据出境活动,数据处理者可以根据申报事项继续开展。
4)《规定》施行前未通过或者部分未通过数据出境安全评估,根据《规定》免予申报数据出境安全评估的数据出境活动,数据处理者可以依法通过订立个人信息出境标准合同、通过个人信息保护认证等其他途径向境外提供个人信息。
完善企业个人信息保护制度
履行个人信息保护义务
按照《规定》的要求,如果企业跨境传输个人信息落入豁免门槛,只是监管程序的豁免,而非实质性合规义务的免除。即使不需要申报数据出境安全评估、提交个人信息出境标准合同备案或开展个人信息保护认证,企业仍需要采取主动合规措施来达到《个人信息保护法》所要求的同等保护水平要求:
1)满足处理个人信息的合法性、正当性和必要性;
2)开展个人信息保护影响评估并留存记录;
3)采取技术措施和其他必要措施保障数据出境安全。
建立重要数据的识别与保护机制
依据《规定》,数据处理者应当按照相关规定识别、申报重要数据。例如,《工业和信息化领域数据安全管理办法(试行)》即规定,工业和信息化领域数据处理者应当定期梳理数据,按照相关标准规范识别重要数据和核心数据并形成本单位的具体目录。国家标准GB/T 43697-2024《数据安全技术数据分类分级规则》附录G规定了重要数据识别指南,列出了对关键行业和领域的重要数据进行识别所应当考虑的因素。
如果已确定重要数据的跨境传输,除了需要申报数据出境安全评估,企业还需要建立重要数据安全管理制度。《网络数据安全管理条例(征求意见稿)》对重要数据处理者的义务进行了相关规定,主要包括成立管理机构、识别备案、安全教育培训、定期安全评估等。
1)成立数据安全管理机构:重要数据的处理者,应当明确数据安全负责人,成立数据安全管理机构。
2)按标准识别重要数据并备案:重要数据的处理者,应当在识别其重要数据后的十五个工作日内向设区的市级网信部门备案。处理数据的目的、范围、类型及数据安全防护措施等有重大变化的,应当重新备案。
3)组织开展全员数据安全教育培训:重要数据的处理者,应当制定数据安全培训计划,每年组织开展全员数据安全教育培训,数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时。
4)定期进行数据安全评估:处理重要数据或者赴境外上市的数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门。
即使企业处理的数据未被相关部门、地区告知或者公开发布为重要数据,随着相关地区、行业的重要数据识别规则以及通用规范的更新和完善,企业需定期对处理的数据进行审查,判定处理数据是否落入重要数据范畴。
完善数据安全事件响应机制
为了在发生数据安全事件时能及时采取补救措施,企业应该制定完备的数据安全应急预案制度,主要包括应急预案的目标与原则、组织架构与职责分工、数据安全事件分类分级、应急响应处理流程、预防措施、应急保障等方面的内容。
小结
《规定》明确了数据跨境的合规路径和触发安全评估、备案的门槛,对于一些数据跨境的场景免予申报,有效降低了企业合规成本。但监管程序的豁免,并不意味着合规义务的免除。企业仍然需要针对自身情况制定数据跨境合规策略,履行个人信息保护义务,建立重要数据的识别与保护机制,完善数据安全响应机制。
本文未经授权不得复制、转载、修改、摘编或使用。本文仅为提供一般性信息之目的,不应用于替代专业咨询者提供的咨询意见。文内图片来源于网络。
