逐条速评丨国家互联网信息办公室《规范和促进数据跨境流动规定(征求意见稿)》
逐条速评丨国家互联网信息办公室《规范和促进数据跨境流动规定(征求意见稿)》
2023年9月28日,国家互联网信息办公室(“网信办”)发布《规范和促进数据跨境流动规定(征求意见稿)》(“《征求意见稿》”),向社会公开征求意见。《征求意见稿》回应了实践中各类企业的合规困惑,并通过正面列明豁免清单的形式,降低了部分企业数据出境过程中需履行的合规成本。本文结合实践经验,对《征求意见稿》条文进行逐条速评。
I. 背景
根据目前中国数据出境合规的监管框架,企业出境数据时,应结合自身的主体类型、出境数据的类型综合判断认定,是否需要额外:(i)申报并通过数据出境安全评估,(ii)订立个人信息保护标准合同,或(iii)通过个人信息安全保护认证(以下合称为“出境前置程序”)。具体而言: 1. 如果企业拟出境的数据为重要数据的,应当申报并通过网信办的数据出境安全评估。 2. 如果企业拟出境的数据为个人信息的,则满足以下任一条件,便应当申报并通过网信办的数据出境安全评估:(i)企业被认定为关键信息基础设施运营者的;(ii)处理100万人以上个人信息的;(iii)自上年1月1日起累计向境外提供10万人个人信息的;或(iv)自上年1月1日起累计向境外提供1万人敏感个人信息的。 3. 若拟出境的数据为个人信息,且未满足上述任一情形的,则可以选择(i)订立并备案个人信息保护标准合同,或(ii)通过个人信息安全保护认证后出境个人信息。
II. 逐条速评
点击可查看大图
速评:《征求意见稿》从正面释明,企业日常业务活动中非个人信息、非重要数据的普通数据出境,无需完成数据出境前置程序。本条看似只是重申原本在实践中已达成一致的理解,但笔者理解,此条值得细品的是: 1. 开篇第一句,本《征求意见稿》的出台是为了针对“《数据出境安全评估办法》、《个人信息出境标准合同办法》的施行”,而并未援引《数据安全法》《个人信息保护法》等法律。 2. 本条还格外强调,适用范围是“国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境”。 对于《数据安全法》第36条[1]中规定的境外诉讼、境外执法等非日常业务活动所产生的普通数据出境,(i)是否需要通过网信部门的审批,以及(ii)如需通过,是否适用网信部门目前数据出境安全评估的审批流程的问题,本条中的措辞似乎还表明了:“保留适用出境安全评估的可能性,暂不在本《征求意见稿》中回应”的态度。 点击可查看大图
速评:本条直接解决了实务中各类企业可能存在的困惑:“如何认定重要数据?我们持有的数据是否属于重要数据?”。 《数据安全法》《网络数据安全管理条例(征求意见稿)》中都提出,要求本地区、相关部门以及相关行业、领域制定重要数据目录。然而目前,大多数行业的重要数据目录仍处于拟订中甚至空白的阶段。这给企业的合规工作带来了不小的困惑。 网信办在本条中,给出了明确的官方指引:企业如果(i)未被告知,且(ii)相关部门或者地区未公开发布为重要数据的,可以先不必主动履行数据出境安全评估的申报义务。 点击可查看大图
速评:入境个人信息再出境的,豁免数据出境前置程序。 典型的数据入境再出境的场景例如:跨境贸易公司在进口货物时,境外发货方可能会先将发货方、境外物流公司、航空公司联系人的个人信息提供给境内收货方。境内收货方在联系人列表中补全进口方,境内物流公司、收货方联系人的个人信息后,组成完整的货运链对接人员,并将境内外所有对接人员的联系方式汇总后再向境外提供。 《征求意见稿》明确,对于不在境内收集产生的个人信息(即,上述举例中境外发货方、物流公司、航空公司联系人的个人信息),不再需要完成数据出境前置程序。 点击可查看大图
速评:本条罗列了三类可以豁免数据出境前置程序的情形。实践中,纷繁复杂的数据出境场景较多,是否能够适用本条,还需根据实际情况进行个案分析。 点击可查看大图
速评:本条明确预计一年内出境个人信息数量少于1万人的,可以豁免数据出境前置程序。 对于绝大多数企业来说,虽然可能经营中会涉及到个人信息的出境,但是出境的数量通常并不大。例如,跨国公司日常经营中采集的供应商、客户公司的法定代表人或联系人的个人信息以及员工的个人信息往往都需要存储在总部统一采购的海外系统中,涉及到数据出境。考虑到这类出境的个人信息数量、规模一般不大,敏感程度往往亦较低,或许不需要做严格的监管。因此,《征求意见稿》第五条不再一刀切地要求所有企业完成数据出境前置程序。 但需要提醒企业的是,豁免数据出境前置程序不代表豁免企业应当履行的个人信息保护义务: 1. 个人信息处理者需履行的“告知-同意”义务,仍然应当依法履行;以及 2.《个人信息保护法》第55条要求个人信息出境前,个人信息处理者需进行个人信息保护影响评估的义务,同样未被豁免。 因此,对于已开展部分数据出境合规工作的企业来说,我们仍建议企业继续开展内部摸排和个人信息保护影响评估工作,查漏补缺。同时,个人信息保护影响评估报告还应当留档备查。 此外,对于企业在预计过程中,是否要将《征求意见稿》第四条豁免的个人信息计算在内,尚有待网信办明确。 点击可查看大图
速评:本条明确,对于预计一年内出境个人信息数量在1万人以上的,以100万人为节点,判断是否需要申报数据出境安全评估。但对于新旧规定之间如何衔接,仍有待网信办在正式稿出台时予以澄清。 1. 假设某企业自上年1月1日起累计向境外提供了1万人以上敏感个人信息,按照原有规定应当申报数据出境安全评估;但同时,该企业预计未来1年内向境外提供个人信息的数量不会超过100万人,按照《征求意见稿》可以不申报数据出境安全评估。是否以新规为准,可以不再申报数据出境安全评估? 2. 假设某企业自上年1月1日起累计向境外提供了10万人个人信息,按照原有规定应当申报数据出境安全评估;但同时,该企业预计未来1年内向境外提供个人信息的数量不会超过100万人,按照《征求意见稿》可以不申报数据出境安全评估。同样,是否以新规为准,可以不再申报数据出境安全评估? 3. 假设某企业属于处理100万人以上个人信息的个人信息处理者,按照原有规定,即便其只出境1个自然人的个人信息,仍应当申报数据出境安全评估。但根据《征求意见稿》,由于该企业预计未来1年内向境外提供个人信息的数量少于100万人(假设仅出境1个自然人的个人信息),则可以不申报数据出境安全评估。 虽然《征求意见稿》第11条表示,“《数据出境安全评估办法》、《个人信息出境标准合同办法》等相关规定与本规定不一致的,按照本规定执行”。但在数量问题上是否完全不用考虑上一年度1月1日起的累计出境数量(或目前已经处理的100万人的数量)而完全以预计的数量为准,我们期待网信办在正式稿出台时给出更为明确的指引。 点击可查看大图
速评:本条为自贸区建立了先行先试的数据跨境流通专有通道。本条以自贸区内数据(包括重要数据、个人信息)自由跨境流通为原则,在原则外制定需要完成数据出境前置程序的清单,促进自贸区内企业的数据跨境流通。 实践中,仍有以下问题有待进一步明确: 1. 有哪些适格的自由贸易试验区可以制定相关负面清单? 2. 企业注册登记在自贸区内,但数据处理活动发生在自贸区外的其它地方,其数据出境是否仍然能够适用本条? 3. 企业注册登记在自贸区外,但发生数据处理活动的服务器位于自贸区内,其数据出境是否仍然能够适用本条? 自贸区的负面清单政策为企业数据跨境流通开启一扇方便之门,在执行成熟完善后,不排除进一步扩展至全国。因此,负面清单的具体内容以及后续具体如何适用、如何落地,有着重要的前瞻意义,我们期待网信办与各自贸区的细则正式出台。 点击可查看大图
速评:《网络安全法》第37条规定,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。” 本次《征求意见稿》即便未来正式出台,从法律层级上来说,也不属于“法律、行政法规”,故《征求意见稿》前述条文中对于数据出境前置程序的豁免,将不适用于关键信息基础设施运营者向境外提供个人信息或重要数据的情形。 点击可查看大图
速评:虽然本次《征求意见稿》释明了许多豁免情形,将部分风险较低的数据出境场景自评估工作交由企业自主决策,但并不意味着同时豁免企业事前数据安全保护义务及安全事件发生时的报告义务。 点击可查看大图
速评:相比《数据出境安全评估办法》、《个人信息出境标准合同办法》中,违反规定将依据《中华人民共和国个人信息保护法》等法律法规处理的罚则,《征求意见稿》本条的措辞相对缓和,给予了数据处理者接受监督、及时整改、消除隐患的机会。
III. 总结
纵览《征求意见稿》全文,切实回应了数据出境合规过程中各类企业的困惑,减轻了企业开展跨境业务过程中不必要的合规负担,并为自贸区内负面清单制度的先行先试留下了政策空间。我们期待正式稿的出台落地,以更好协助企业完成数据出境的合规。
[注] [1]《数据安全法》第36条:“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”