资讯洞见
国家互联网信息办公室(“国家网信办”)于2024年3月22日正式公布了《促进和规范数据跨境流动规定》(“《规定》”)。国家网信办有关负责人就《规定》相关问题回答了记者提问。《规定》对现行法律法规下数据跨境流动的条件及操作进行了细化,为企业数据出境提供了较为清晰的指引。《规定》一共十四条,自公布之日起生效,主要内容如下:
I. 数据可以直接出境的情形
数据出境有下列情形之一的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证,数据处理者(无论是关键信息基础设施运营者与否,有明确规定的除外)可直接出境相关数据:
1. 国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的。
2. 数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的。
3. 数据处理者向境外提供个人信息,符合下列条件之一的:
(1) 为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的;
(2) 按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;
(3) 紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;
(4) 非关键信息基础设施运营者的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。
上述条件中所称向境外提供的个人信息,不包括重要数据。重要数据出境,无论数据处理者是否关键信息基础设施运营者,均需通过数据出境安全评估。数据处理者应当按照相关规定识别、申报重要数据1。未被相关部门、地区告知或公开发布为重要数据的,即作为非重要数据出境按相关规定处理。
4. 自由贸易试验区(“自贸区”)内数据处理者向境外提供负面清单外的数据。负面清单是指自贸区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单。负面清单需由自贸区经省级网络安全和信息化委员会批准后,报国家网信办、国家数据管理部门备案。负面清单出台前,自贸区内的数据出境活动应遵守国家数据出境安全管理有关规定。
II. 数据出境需要通过安全评估的情形
数据出境符合下列条件之一的,数据处理者需要通过所在地省级网信部门向国家网信办申报数据出境安全评估:
(1) 出境的数据为重要数据:
(2) 关键信息基础设施运营者向境外提供个人信息;
(3) 非关键信息基础设施运营者的数据处理者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。属于第I部分可以直接出境情形里面的个人信息(除第3点第(4) 项情形外)不计入本情形下个人信息的累计数量。
通过数据出境安全评估的结果有效期为3年,自评估结果出具之日起计算。有效期届满,需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的,数据处理者可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信办提出延长评估结果有效期申请。经国家网信办批准,可以延长评估结果有效期3年。
III. 数据出境需要与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证的情形
非关键信息基础设施运营者的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。同样,属于第I部分可以直接出境情形里面的个人信息(除第3点第(4)项情形外)不计入本情形下个人信息的累计数量。
国家网信办在发布《规定》的同时还发布了《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》。申报数据出境安全评估、备案个人信息出境标准合同可以登录数据出境申报系统(https://sjcj.cac.gov.c)进行。已经通过线下方式提交安全评估申报、标准合同备案材料的,不需要通过数据出境申报系统进行重新提交。申请个人信息保护认证可以登录个人信息保护认证管理系统(https://data.isccc.gov.cn)操作。 关键信息基础设施运营者或者其他被认定为不适合通过数据出境申报系统申报数据出境安全评估的,仍然需要采用线下方式通过所在地省级网信部门向国家网信办申报数据出境安全评估。
我们的评论
《规定》对《数据出境安全评估办法》和《个人信息出境标准合同办法》下数据出境的有关规定作出了一定程度的修改,放宽了数据出境的条件,并提供了更为明晰的合规指引,为数据处理者,尤其是中小型企业降低了合规成本,提高了与境外进行数据交流的确定性和效率。
《规定》同时仍然强调数据处理者应依法采取适当的措施保护数据安全;向境外提供个人信息的,需要按照有关规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。
有数据出境要求的数据处理者应当对照《规定》的内容判断数据出境的路径并且采取相应的行动。根据国家网信办有关负责人的解释,《规定》施行前未通过或者部分未通过数据出境安全评估,根据《规定》免予申报数据出境安全评估的数据出境活动,数据处理者可以依法通过订立个人信息出境标准合同、通过个人信息保护认证等其他途径向境外提供个人信息。《规定》施行前已经申报数据出境安全评估、提交个人信息出境标准合同备案,根据《规定》无需开展上述程序的,数据处理者可以按照原程序进行,也可以向所在地省级网信部门撤回申报、备案。对于这部分的数据处理者,我们建议尝试先与相关的网信部门沟通征求其意见,再结合自身情况决定是否继续完成评估或备案,或按《规定》要求处理。
我们将会继续留意《规定》的实施情况并就其进展提供建议。
1 全国网络安全标准化技术委员会于2024年3月15日发布了国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》,规定了数据分类分级的原则、框架、方法和流程,给出了重要数据识别指南。数据处理者可以参照该标准的规定评估有关数据是否有可能被识别为重要数据。该标准于2024年10月1日实施。