鉴机识变:简记数据跨境流动合规2.0之增与革——《促进和规范数据跨境流动规定》正式生效
发布时间:2024.03.25
来源:
浏览量:2722
作者:龚琳、吴立言
2023年9月28日,国家互联网信息办公室(以下简称“国家网信办”)发布《规范和促进数据跨境流动规定(征求意见稿)》(以下简称“《征求意见稿》”),对通过国家网信部门组织的安全评估(以下简称“申报安全评估”)、按照国家网信部门的规定经专业机构进行个人信息保护认证(以下简称“通过个保认证”)、与境外接收方签订国家网信部门制定的标准合同(以下简称“订立标准合同”),以及法律、行政法规或者国家网信部门规定的其他条件(以下简称“法定其他路径”)这几种数据跨境流动方式进行了政策释明和细化,引起业界极大关注和讨论。
2024年3月22日,国家网信办正式发布《促进和规范数据跨境流动规定》(以下简称“《数据跨境流动新规》”或“新规”)。至此,对于《征求意见稿》的诸多探究和对新规的期待展望终于尘埃落定,数据跨境流动合规的实务2.0版本正式开启。
值此新规出台之际,在总结梳理我国个人信息合规出境不同路径的相关规定演变以及若干实务难点的基础上(《个人信息合规出境综述——不同路径的规定演变及若干实务梳理(上)》、《个人信息合规出境综述——不同路径的规定演变及若干实务梳理(下)》),特此就《数据跨境流动新规》对《征求意见稿》相关条款的保留、删减、新增、突破等简要分析,以期和各位关注者共同探究和学习分享。
一、《数据跨境流动新规》与《征求意见稿》的条文比对
《数据跨境流动新规》与《征求意见稿》的文件名称发生了微妙且显著的变化,从《规范和促进数据跨境流动规定(征求意见稿)》变更为《促进和规范数据跨境流动规定》,从“规范”在前,变更为“促进”在先,已明显感知国家对数据跨境流动的支持表态。
在具体条文方面,《数据跨境流动新规》与《征求意见稿》比对如下:
1.红色加粗系《数据跨境流动新规》较《征求意见稿》新增的内容。2.绿色加粗系《征求意见稿》中未被《数据跨境流动新规》采纳的内容;绿色加粗下划线指因法条顺序变动或其他原因所致的表述差异,不涉及实质性调整;被删除的部分特用绿色加粗删除线标注。3.为对照方便,对《征求意见稿》的法条顺序略作调整。《征求意见稿》中被《数据跨境流动新规》继续保留(含修改完善)的内容主要有:数据处理者向境外提供重要数据的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估,这是《数据出境安全评估办法》的明确规定。识别出重要数据,是履行该法定义务的第一步。我国对于重要数据识别的探索一直在积极推进中,早在发布《信息安全技术 数据出境安全评估指南(征求意见稿)》(2017年8月25日稿)时,就在其“附录A(规范性附录)重要数据识别指南”中开始对重要数据进行相应定义,划分了27个行业/领域的重要数据的范围。《网络数据安全管理条例(征求意见稿)》(2021年11月14日发布)第二十七条规定,“各地区、各部门按照国家有关要求和标准,组织本地区、本部门以及相关行业、领域的数据处理者识别重要数据和核心数据,组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录,并报国家网信部门”,根据该规定,国家网信部门并非重要数据目录的组织制定部门,而为重要数据目录的报送接收单位。直至《数据出境安全评估办法》的发布实施,关于重要数据的识别,除了《汽车数据安全管理若干规定(试行)》明确定义并列举了属于汽车数据领域应认定为“重要数据”的几类具体情形[1]外,较难找到类似可以明确界定是否属于重要数据的规定,也就使得数据处理者在申报重要数据出境安全评估时存在诸多困扰和不确定因素,例如困惑是否属于重要数据,亦或担心因自行判断不严谨而导致不利的法律后果,故而将可能并不属于重要数据的相关数据一并作为重要数据进行出境安全评估申报,既增加了自身工作量,亦增加了监管部门审核量。据此,从便于理解判断、利于实务透明的角度,《数据跨境流动新规》第二条保留了《征求意见稿》中关于“数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估”的规定,从而化解企业开展数据跨境合规工作时的辨识难度及减轻工作体量,对企业内部负责该类合规项目的工作人员而言实属利好。但,企业也应认识到重要数据上升到国家安全的重要性,故在实务中仍需保持审慎理解与对待,必要时及时与所属地区主管部门、行业主管部门等积极沟通,为重要数据目录的制定及动态更新提供积极支持。在《征求意见稿》中提出了“不是在境内收集产生的个人信息向境外提供,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”,该规定可能产生多种解读,例如:针对“不是在境内收集的个人信息”向境外提供的情形,无论该个人信息在境内是否经过处理,均无需出境安全评估、出境标准合同、出境个保认证;亦可狭义解读为,仅针对在境内未经处理的“不是在境内收集的个人信息”向境外提供时,无需出境安全评估、出境标准合同、出境个保认证。非境内收集个人信息的出境行为之所以受到关注,一个主要原因是近年来我国企业为境外企业提供外包服务越来越多,比如客服、云存储、数据分析等等,故而不可避免的,在开展境外业务时,会发生将境外数据(含个人信息)传输至境内处理后再传输出境的业务场景。如果这类个人信息的入境处理后再出境的情形均须一视同仁受制于出境安全评估、出境标准合同、出境个保认证的要求,那势必对该类外包服务产生更多的合规成本。此次《数据跨境流动新规》对数据处理者在境外收集和产生的个人信息传输至境内处理后再向境外提供的行为,进行了更为细化的情形分析,即如果在境内处理过程中引入境内个人信息或者重要数据的,则应予监管,反之则自由流动。这无疑将大幅降低企业开展该类外包服务业务的合规成本和风险,有助于我国该类外包服务业的进一步发展,促进该类数据的高效跨境流动。(三)申报安全评估、通过个保认证、订立标准合同的豁免情形
《征求意见稿》中规定的不需要申报安全评估、通过个保认证、订立标准合同的主要情形有:(1) 国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的(《征求意见稿》第一条);(2) 不是在境内收集产生的个人信息向境外提供(《征求意见稿》第三条);(3) 为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的(《征求意见稿》第四条第(一)项);(4) 按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的(《征求意见稿》第四条第(二)项);(5) 紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的(《征求意见稿》第四条第(三)项);(6) 预计一年内向境外提供不满1万人个人信息的(《征求意见稿》第五条)。《数据跨境流动新规》对《征求意见稿》作出了如下修改保留:首先,关于前述第(1)项列举场景,《数据跨境流动新规》对“国际贸易、学术合作、跨国生产制造和市场营销等活动”予以保留,并新增列举“跨境运输”,使得场景更为丰富。其次,关于前述第(2)项情形,《数据跨境流动新规》针对境内处理行为是否引入境内个人信息或者重要数据作为是否豁免的判断标准,相关分析见前文“2、关于非境内收集和产生的个人信息的合规出境”。关于前述第(3)项情形,《数据跨境流动新规》对于《征求意见稿》中所列举的“为订立、履行个人作为一方当事人的合同”而确需向境外提供个人信息的情形(即“跨境购物、跨境汇款、机票酒店预订、签证办理”)予以保留,并新增列举“跨境寄递”、“跨境支付”、“跨境开户”、“考试服务”,在过往出境监管实践中,这些场景都是存在强烈出境需求但又充满出境合规实践困惑,亟待释明监管态度的场景,本次新规给予了积极回应。关于前述第(4)、(5)项情形,《数据跨境流动新规》基本未做修改调整。在过往出境监管实践来看,大量申报或者备案案例集中在跨国企业人力资源管理的场景,该类员工个人信息在境外总部集约化管理有其合理性,但也确实存在部分出境字段必要性存疑的问题(例如要求员工提供家庭成员职业与学历等个人信息并以实施人力资源管理为由传输至境外总部)。《数据跨境流动新规》在坚持“确需向境外提供员工个人信息”的必要性基础上,对合理存在的人力资源管理的个人信息流动豁免了申报安全评估、通过个保认证、订立标准合同的监管要求,降低企业在该类场景下的合规管理成本。此外,出于对自然人生命健康和财产安全的保护,满足“紧急情况”和“确需提供”的条件下,亦予豁免申报安全评估、通过个保认证、订立标准合同的监管要求。关于前述第(6)项情形,《数据跨境流动新规》未予保留,具体在下文“三、未予沿用的内容”中分析阐述。除前述外,《数据跨境流动新规》中特别新增释明一项豁免情形,即“关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)”则免予申报安全评估、通过个保认证、订立标准合同。针对该豁免情形,在新规发布前系要求通过订立标准合同或者通过个保认证的方式实现合规出境。本次作为豁免情形,实质性降低了相关企业在该类个人信息出境情形下的合规管理成本,也体现了监管部门将更有针对性的关注真正应予监管的数据跨境流动行为。除申报安全评估、通过个保认证、订立标准合同以外,《个人信息保护法》第38条还规定了如满足法律、行政法规或者国家网信部门规定的其他条件,亦可向境外提供个人信息。《征求意见稿》中提出“自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),报经省级网络安全和信息化委员会批准后,报国家网信部门备案。负面清单外数据出境,可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”。自贸区负面清单,系指自贸区针对负面清单内的数据出境予以监管,对负面清单外的数据以自由跨境流通为原则。关于对自贸区促进数据跨境流动的相关规定,曾有“正面清单”规定方式,即制定低风险跨境流动数据目录等类似清单的方式,对清单内数据以自由跨境流通为原则,对清单外数据进行出境监管。然而,如果监管原则是促进数据自由跨境流通,那么“负面清单”似乎更为合适,因为相较而言,允许自由出境的数据清单明细理应远多于应被监管的数据清单明细。此次新规保留了自贸区负面清单制度,并进一步进行了补充和调整。首先,新规进一步补充了“在国家数据分类分级保护制度框架下”制定负面清单的要求。就在《数据跨境流动新规》发布的前一天,《数据安全技术 数据分类分级规则》(GB/T 43697-2024)正式发布,为行业领域主管(监管)部门制定本行业本领域数据分类分级标准规范、各地区/各部门开展数据分类分级工作以及为数据处理者进行数据分类分级提供参考[2]。截至目前,关于数据分类分级的规定有和行业相关的(例如:《工业数据分类分级指南(试行)》、《基础电信企业数据分类分级方法》、《证券期货业数据分类分级指引》等),也有地区性的(例如:北京市《政务数据分级与安全保护规范》、贵州省 《政府数据 数据分类分级指南》等),各行各业、各部门各地区都在积极探索更为适合的数据分类分级管理和保护制度与规定。其次,《数据跨境流动新规》更进一步明确了负面清单的备案部门为“国家网信部门、国家数据管理部门”,相较《征求意见稿》而言,新增“国家数据管理部门”作为报送备案的部门。2023年10月25日,国家数据局正式揭牌,肩负起“协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等”[3]主要职责。国家数据局是否系此处接受报送备案的“国家数据管理部门”,哪些自贸区的哪些负面清单需向“国家数据管理部门”报送备案,留待后续自贸区负面清单备案实践予以明晰。最后,新规进一步明确了负面清单政策限于“自贸区内的数据处理者”向境外提供负面清单外的数据时,可以豁免申报安全评估、通过个保认证、订立标准合同,即对享受自贸区负面清单政策的主体提出了属地要求。据此,区外数据处理者需考量迁址或在相应自贸区新设主体的方式,从而享受自贸区负面清单的政策红利。此外,值得关注的是,如果各自贸区负面清单的制定逻辑、评判要素、把握尺度存在较大差异,但国家网信部门、国家数据管理部门仅为备案部门而非批准机构,后续如何存异发展将是另一个有待探讨的话题。(五)符合申报安全评估条件的重新框定以及评估结果有效期
《数据跨境流动新规》对符合申报安全评估的条件进行了重新框定,通过“主体性质”+“数据性质”+ “累计数量”+“起算时间”+ “从另有规定”,来确认是否需要申报安全评估。其中,“主体性质”主要区分关键信息基础设施运营者与关键信息基础设施运营者以外的数据处理者;“数据性质”主要区分重要数据、个人信息(不含敏感个人信息)及敏感个人信息;“累计数量”系以向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息为计量标准;累计数量的“起算时间”自当年1月1日起算;“从另有规定”系指如果属于新规第三条至第六条规定情形的,则从第三条至第六条的相关规定,而不适用此处关于申报安全评估的要求。根据新规,主体性质属于关键信息基础设施运营者时,则涉及向境外提供个人信息或者重要数据的,均应申报安全评估;主体性质为关键信息基础设施运营者以外的数据处理者时,如涉及向境外提供重要数据,或者累计向境外提供达量的个人信息(不含敏感个人信息)或达量的敏感个人信息,则应申报安全评估;如属于第三条至第五条豁免情形规定时,或属于第六条自贸区负面清单规定时,则适用第三条至第六条的相关规定。此外,通过数据出境安全评估的结果有效期由2年[4]调整为3年,且明确了特定情形下(即“需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的”[5])由数据处理者提出申请并经国家网信部门批准后可延长评估结果有效期3年的规定,给予企业信任、减轻企业合规成本。(六)符合订立标准合同、通过个保认证条件的重新框定
同样的,《数据跨境流动新规》对符合订立标准合同、通过个保护认证的条件亦进行了重新框定,通过“主体性质”+“数据性质”+ “累计数量”+“起算时间”+ “从另有规定”,来确认是否符合订立标准合同、通过个保认证的条件。就“主体性质”而言,应当订立标准合同、通过个保护认证的仅限于关键信息基础设施运营者以外的数据处理者,“数据性质”主要区分个人信息(不含敏感个人信息)及敏感个人信息,“累计数量”系以向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息为计量标准,累计数量的“起算时间”自当年1月1日起算,即:“关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证”[6]。关于“从另有规定”,系指如果属于新规第三条至第六条规定情形的,则从第三条至第六条的相关规定,而不适用此处关于订立标准合同、通过个保认证的要求。《数据出境安全评估办法》、《个人信息出境标准合同办法》均以“过去时”作为相关设定标准,即以自上年1月1日起累计向境外提供达量的个人信息(不含敏感个人信息)或达量的敏感个人信息作为衡量标准,进而确定应以怎样的方式合规出境。在《征求意见稿》中,该“过去时”调整为“未来时”,即调整为将未来一定期限内预估的个人信息出境数量作为是否纳入监管的评判标准[7]。《数据跨境流动新规》对“未来时”的标准设定未予沿用,但对“过去时”的起算点进行了调整,即由“自上年1月1日起累计”变更为“自当年1月1日起累计”。“过去时”为确定值,“未来时”为预估值,从执行标准而言,“过去时”更易于减少实践中的评判争议。而且将“过去时”起算时点的后移,也实质上降低了监管要求,给企业予以一定的松绑。《数据跨境流动新规》新增强调了关于数据处理者履行《个人信息保护法》项下若干合规义务的内容,包括应当按照法律、行政法规的规定履行告知(《个人信息保护法》第十七条)、取得个人单独同意(《个人信息保护法》第十四条、第三十九条)、进行个人信息保护影响评估(《个人信息保护法》第五十五条)等义务。促进数字中国的建设,需要让数据“流动”起来,“盘活”起来。在促进中把握数据跨境流动的监管点,在规范中寻找数据跨境流动的平衡点,是制定监管规范和落地合规实务所追求的永恒主题,也是适应数字经济时代的应有之义。[1] 《汽车数据安全管理若干规定(试行)》第三条规定:重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据,包括:(一)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;(二)车辆流量、物流等反映经济运行情况的数据;(三)汽车充电网的运行数据;(四)包含人脸信息、车牌信息等的车外视频、图像数据;(五)涉及个人信息主体超过10万人的个人信息;(六)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。
[2] 《数据安全技术 数据分类分级规则》(GB/T GB/T 43697-2024 )规定,“本文件规定了数据分类分级的原则、框架、方法和流程,给出了重要数据识别指南。 本文件适用于行业领域主管(监管)部门参考制定本行业本领域的数据分类分级标准规范,也适 用于各地区、各部门开展数据分类分级工作,同时为数据处理者进行数据分类分级提供参考。 本文件不适用于涉及国家秘密的数据和军事数据”。
[3] 《国家数据局成立恰逢其时意义深远》,来源:“中华人民共和国国家发展和改革委员会”官网,(https://www.ndrc.gov.cn/wsdwhfz/202311/t20231107_1361831.html),发布日期:2023年11月7日。
[4] 《数据出境安全评估办法》第十四条规定:“通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算”。
[5] 《促进和规范数据跨境流动规定》第九条。
[6] 《促进和规范数据跨境流动规定》第八条。
[7] 《征求意见稿》第五条规定“预计一年内向境外提供不满1万人个人信息的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”;第六条规定 “预计一年内向境外提供1万人以上、不满100万人个人信息,与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的,可以不申报数据出境安全评估;向境外提供100万人以上个人信息的,应当申报数据出境安全评估”。