资讯洞见
国家互联网信息办公室于2023年9月28日公布了《规范和促进数据跨境流动规定(征求意见稿)》(“《规定》”),向社会公开征求意见。《规定》虽然只有十一条,但其对于数据出境的监管和限制有较大的放松。若《规定》能被通过并实施,企业,尤其是中小型企业的数据出境的合规成本有望降低。
根据《数据安全法》和《个人信息保护法》等法律的规定,目前内地的数据处理者需完成以下三种程序之一,方可将数据(包括个人信息)向境外提供:
严格来说,内地的数据处理者只要向境外提供数据,无论数据的重要性及数量大小,都必须事先完成上述三种程序的其中一种,方可出境。其中第1种和第3种的程序有各自的适用条件。1 该等规定给国内的数据处理者,尤其是中小型的企业的合规经营带来了较大的负担,各级的网信部门的工作量也相当大。《规定》在数个方面降低了数据出境合规的门槛,符合《规定》所述条件的数据处理者无需通过任何国家网信部门或其认可的机构的事前监管程序即可将数据出境,进行安全评估条件也有所放宽,我们将《规定》下各种数据出境的要求及我们的评论总结如下:
《法规》内容 | 我们的评论 |
不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形 | |
1. 国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的 | 外资企业以及从事国际贸易的企业在经营过程中所产生的数据,例如普通产品的生产或销售统计数据,只要不含个人信息或重要数据的,即可以自由与境外的母公司或者商业伙伴进行分享,这会给开展跨国经营或贸易的企业带来方便。 |
2. 不是在境内收集产生的个人信息向境外提供的 | 为涉及“数据过境”业务的企业,例如从事国际化的数据存储和处理的企业减轻了数据合规的负担。 |
3. 符合以下情形之一的: | |
(a) 为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的; | 跨境电商、经营出境游的旅行社等有关企业可以根据业务需要出境客户的个人信息,避免了不必要的合规成本。 |
(b) 按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的; | 从目前个人信息出境合同备案的申请情况来看,其中相当一部分是外资企业因使用全球统一的人力资源管理系统需要将内地员工信息向境外提供,此项规定可以大大减轻该类企业的数据合规成本。 |
(c) 紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的。 | 重申了《个人信息保护法》第十三条第(四)款的规定。 |
4. 预计一年内向境外提供不满1万人个人信息的 | 有效减轻非数据处理类型的中小型企业的合规负担。 |
可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形 | |
自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(“负面清单”),报经省级网络安全和信息化委员会批准后,报国家网信部门备案。负面清单外的数据出境。 | 负面清单的制定有机会进一步扩大自贸区内不需要通有关部门事前监管即可出境数据的数据处理者范围,且如果该等负面清单的做法若行之有效,以后可能会在全国范围内推广。 |
不需要作为重要数据申报数据出境安全评估的情形 | |
未被相关部门、地区告知或者公开发布为重要数据的 | 自《数据安全法》施行以来,法律法规对“重要数据”的界定一直处于比较模糊的状态,数据处理者难以自行判断所处理的数据是否属于“重要数据”的范畴,存在着较大的合规风险和不确定性。此项规定有望改善此种状况。 |
可以不申报数据出境安全评估的情形 | |
预计一年内向境外提供1万人以上、不满100万人个人信息,与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的 | 提高了出境个人信息的数量标准,且不区分个人信息和敏感个人信息,实际上提高了数据出境安全评估的门槛2。 |
应当申报数据出境安全评估的情形 | |
向境外提供100万人以上个人信息的 | 与《数据出境安全评估办法》的规定保持一致 |
依照有关法律、行政法规、部门规章规定执行的情形 | |
1. 国家机关和关键信息基础设施运营者向境外提供个人信息和重要数据的; | 对于关系国家安全的重要数据和个人信息出境,仍然遵循已有的规定处理。 |
2. 向境外提供涉及党政军和涉密单位敏感信息、敏感个人信息的。 |
根据《规定》第十一条,《数据出境安全评估办法》、《个人信息出境标准合同办法》与《规定》不一致时,按照《规定》执行。因此,《规定》实际上在相当程度放松了数据出境的事前监管,体现了政府主管部门在维护数据安全和数据自由流通中寻找平衡点的尝试。一方面,数据处理者,尤其是中小型企业的数据出境合规成本将有望降低,另一方面,监管机构将集中针对重要数据和大规模的数据出境进行事前监管,在数据出境审查方面的工作量将有望减轻。
对于数据处理者而言,虽然合规成本有望降低,但数据出境的合规要求并没有下降。数据处理者仍然需要根据现行法律法规要求采取适当的行动保证数据安全,例如必须取得个人信息主体对其信息出境的单独同意、对个人信息保护影响进行评估并撰写和保存报告、制定内部管理和操作规程等。《规定》要求各地方网信部门强化对数据出境的事前事中事后监管,网信部门一旦发现问题,将会责成相关数据处理者整改甚至责令其停止数据出境。
《规定》的意见反馈截止时间为2023年10月15日,预计将会在今年11月中旬或以前正式公布实施,符合《规定》所述的数据处理者一方面仍应根据现有的规定继续对其数据出境的合规做好准备,另一方面应密切留意《规定》的发展及正式颁布,以便及时采取相应的行动保证其数据出境业务可以在符合法律规定的前提下顺利进行。
1 根据《数据出境安全评估办法》第四条的规定,数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
(一)数据处理者向境外提供重要数据;
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。
而《个人信息出境标准合同办法》第四条规定,个人信息处理者通过订立标准合同的方式向境外提供个人信息的,应当同时符合下列情形:
(一)非关键信息基础设施运营者;
(二)处理个人信息不满100万人的;
(三)自上年1月1日起累计向境外提供个人信息不满10万人的;
(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。
2《数据出境安全评估办法》第四条规定:数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估,其中第(三)款的情形是:自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。