2024年3月22日,国家网信办发布《促进和规范数据跨境流动规定》(以下简称“《新规》”),正式对现有数据跨境机制进行了详细调整。国家互联网信息办公室有关负责人表示,数据跨境流动已经成为全球资金、信息、技术、人才、货物等资源要素交换、共享的基础。
为进一步促进数据依法有序自由流动,激发数据要素价值,扩大高水平对外开放,《新规》对数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度作出优化调整。此次调整最大的变化是:由征求意见稿的“规范”在前“促进”在后,改为先“促进”后“规范”。这一顺序调整也更加体现出了我国促进经济开放的决心。
《新规》延续了“有序管理、适当放宽”的基调,中宇万通重点梳理了新规中的豁免场景、重要数据与个人信息的概念与识别、自贸区数据跨境政策,以及其他合规事项,为相关企业的数据跨境申报事务提供参考。同时,中宇万通还向所需企业和律所提供全线程咨询和技术服务,在数据跨境合规道路上给予全面保障。
中宇万通数据跨境业务输出能力
01 | 服务简扼阐述
随着我国数据出境监管体系日趋严格,数据出境合规已成为中国企业在参与国际经营和跨境资本运作的过程中确保不触及数据监管红线的首要步骤。中宇万通联动有关部门的相关数据安全专家和法务团队组成集政策咨询、数据资产识别、合规指导、技术整改、申报支撑为一体的专项团队,为客户提供相关全流程一站式的优质服务。
02 | 企业痛点:跨境标准不清晰
合规基线难以把握,评估标准理解不充分;
适用范围、重要信息、敏感信息等界定存疑;
人工梳理出境数据资产难,还原不准确;
法务能力无法网罗数据资产合规与否(是否在豁免范围内)的甄别能力;
评估内容涉及多方面、多维度,单一能力团队无法支撑。
03 | 服务能力及优势
04 | 服务流程及周期
一文读懂《促进和规范数据跨境流动规定》
第一条 为了保障数据安全,保护个人信息权益,促进数据依法有序自由流动,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,对于数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的施行,制定本规定。
第二条 数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
第三条 国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
第四条 数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
第五条 数据处理者向境外提供个人信息,符合下列条件之一的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
(一)为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的;
(二)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;
(三)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;
(四)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。
前款所称向境外提供的个人信息,不包括重要数据。
第六条 自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。
自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
第七条 数据处理者向境外提供数据,符合下列条件之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
(一)关键信息基础设施运营者向境外提供个人信息或者重要数据;
(二)关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。
属于本规定第三条、第四条、第五条、第六条规定情形的,从其规定。
第八条 关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。
属于本规定第三条、第四条、第五条、第六条规定情形的,从其规定。
第九条 通过数据出境安全评估的结果有效期为3年,自评估结果出具之日起计算。有效期届满,需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的,数据处理者可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请。经国家网信部门批准,可以延长评估结果有效期3年。
第十条 数据处理者向境外提供个人信息的,应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。
第十一条 数据处理者向境外提供数据的,应当遵守法律、法规的规定,履行数据安全保护义务,采取技术措施和其他必要措施,保障数据出境安全。发生或者可能发生数据安全事件的,应当采取补救措施,及时向省级以上网信部门和其他有关主管部门报告。
第十二条 各地网信部门应当加强对数据处理者数据出境活动的指导监督,健全完善数据出境安全评估制度,优化评估流程;强化事前事中事后全链条全领域监管,发现数据出境活动存在较大风险或者发生数据安全事件的,要求数据处理者进行整改,消除隐患;对拒不改正或者造成严重后果的,依法追究法律责任。
第十三条 2022年7月7日公布的《数据出境安全评估办法》(国家互联网信息办公室令第11号)、2023年2月22日公布的《个人信息出境标准合同办法》(国家互联网信息办公室令第13号)等相关规定与本规定不一致的,适用本规定。
第十四条 本规定自公布之日起施行。
深入解析
从关键内容来看,《新规》从多个维度克减了企业需承担的数据出境合规义务,在重申个人信息数据跨境活动需要满足法律规定的基础合规义务(包括告知相关个人并获得单独同意、开展个人信息保护影响评估(PIA)等)的基础上,对现行跨境监管机制做出了以下调整:
01 明确了不涉及重要数据和个人信息的数据跨境传输免予履行数据出境安全评估、个人信息出境标准合同订立和/或通过个人信息保护认证机制(每一项均为“数据出境合规专项机制”,统称“三大数据出境合规专项机制”);
02 针对4大类存在较强出境必要性且安全风险较弱的场景豁免了履行三大数据出境合规专项机制的义务;
03 调整了三大数据出境合规专项机制的触发阈值,使得企业合规义务得到明显降级适用,合规成本降低。
但不可忽视的是,《新规》宽严并济,对于敏感个人信息保护、关键信息基础设施运营者等问题的监管尺度未做实质性放松,而是进行了重申和明确,并加强了这些要求与前述克减后新规的衔接。
三大数据出境合规专项机制触发阈值映射表
关于豁免场景的解读
01 特定场景
根据《新规》第3~5条规定,确定了豁免申报的特定场景包括:
不包含个人信息、重要数据的国际贸易;
跨境运输等场景的数据出境、数据纯过境、高频出境活动场景(跨境购物、跨境寄递、跨境汇款、跨境支付等);
跨境人力资源管理需要员工个人信息出境的;
紧急避险等涉及个人信息出境的。
这些情况将不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
关于数据纯过境释义:因为境内的人力成本较低,可能境外机构会将其在境外收集的个人信息发送给境内处理者进行相关的加工处理后再传回境外,如果此过程未添加任何境内的个人信息或者重要数据的,可以豁免审批。
注意上述豁免场景中所有可以向境外提供的个人信息中,都不能含有重要数据。
02 触发门槛
CIIO以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的,可以豁免数据出境前置审批手续;
现行法条规定只要被认定为CIIO,必须进行数据出境申报安全评估,但是像人力合同这些,可不评估。对于CIIO的判断也非常简单,只要没被通知就不是。(CIIO:关键信息基础设施运营者)
03 自贸区的负面清单
自贸区可以制定数据出境负面清单,报省网信办批准后,并在国家网信办、国家数据管理部门备案。清单内的个人信息、重要数据,还是要履行数据出境前置审批手续。而清单外的所有数据出境,可以豁免数据出境前置审批手续(但要满足《个保法》下的单独同意规则)。
《规定》设定的“豁免”情形
《促进和规范数据跨境流程规定》的出台,无疑为我国数据跨境安全治理体系的建设注入了新的活力。作为商用密码应用领域创新领跑企业,中宇万通将持续用商用密码技术为数据跨境流动领域赋能,确保数据在跨境流动中的安全可控,同时我们还应积极探索数据跨境的新模式、新路径,推动数据跨境的安全有序发展。
