《促进和规范数据跨境流动规定》 | 律师解读 |
第一条 为了保障数据安全,保护个人信息权益,促进数据依法有序自由流动,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,对于数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的施行,制定本规定。 | 1.不同于2022年9月1日公布的《数据出境安全评估办法》,该条将保障数据安全置于个人信息权益之前,更凸显对数据安全的重视及对国家、公共利益的危害风险防范。 |
2.本规定另一目的为促进数据“自由流动”,重在使数据风险可控,非完全规避风险。 |
3.本规定仍依照《网络安全法》、《数据安全法》、《个人信息保护法》三部上位法制定。 |
第二条 数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。 | 1.本条规定了处理者对“重要数据”的主动申报义务。 |
2.根据《数据出境安全评估办法》,“重要数据”指“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”,通常介于一般数据与核心数据之间。 |
3.根据本条,“重要数据”主要依据相关部门、地区发布文件的具体认定。例如,上海市政府于2024年2月3日印发了《上海市落实〈全面对接国际高标准经贸规则推进中国(上海)自由贸易试验区高水平制度型开放总体方案〉的实施方案》的通知,提出由上海自贸试验区管委会、临港新片区管委会率先制定重要数据目录。此外,即将于2024年10月1日实施的《数据安全技术 数据分类分级规则( GB/T 43697-2024)》也在附录G中提出诸如“领土安全和国家统一安全”、“直接影响市场经济秩序”、“关系我国科技实力”等17项考虑因素。 |
4. 我们建议企业在自主认定过程中首先密切保持与所属行业标准制定机构、地区政府部门的沟通,在此基础上参考相关数据分级分类规则。 |
第三条 国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。 | 1.万物互联时代,数据与其他传统资源(如山川、河流、森林)的显著不同在于其产生和流动缺乏可感知和可预测性,如对监管内容和范围不加以明确,很可能因监管泛化造成数据封闭,阻碍经贸交流合作。故本条列举了典型数据出境活动场景。 |
2.场景示例: (1)国际贸易:洽谈合作时向境外提供经营数据;境外采购时提供原材料、收发地址、产品价格、供应商信息 (2)跨境运输:向境外货运代理提供出口产品列表、承运人及客户信息、运输路线、清关及结算信息 (3)学术合作:论文数据、研发样本信息 (4)跨境生产制造及市场营销:向境外提供原材料、零部件信息、客户信息 实践中,企业应严格筛查上述场景中是否涉及“达数”的个人信息(含敏感个人信息)及重要数据,再做路径安排。 |
第四条 数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。 | 本条澄清了“数据过境”的豁免情况。本规定实施后,出海企业(如云服务提供商)就海外市场收集的经营数据、用户数据并经境内处理再出境时,无需适用法律所规定的三种路径。 |
第五条 数据处理者向境外提供个人信息,符合下列条件之一的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证: (一)为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的; (二)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的; (三)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的; (四)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。 前款所称向境外提供的个人信息,不包括重要数据。 | 1.本条是对《中华人民共和国个人信息保护法》第三章数据出境规则的补充。 |
2.本条所列第一至三项情形与《中华人民共和国个人信息保护法》第十三条第一款第二、四项情形1相似,本条中“确需”的具体适用也有待相关部门出台细则作出进一步阐释。另外,对该种“必要性”的判断也高度依赖具体场景,需实践中“个案个判”,企业切勿对“必要性”进行宽泛、“一刀切”的理解。 |
3. 相较于《数据出境安全评估办法》,本条第四项情形提高了启动前置监管程序的门槛,有利于高效监管,促进数据自由流动。 根据《数据出境安全评估办法》第四条第三项,满足“自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息”的情形时,处理者应申报数据出境安全评估,但随着本规定的实施,企业等数据处理者仅需聚焦于“当年1月1日”这一起算时点进行“达数”判断。如此则将一部分按原先规定需要申报安全评估的企业排除在外。 |
第六条 自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。 自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。 | 1.本条旨在促进自贸区内数据的跨境流动,将自贸区作为试点并赋予其管理数据出境事项的自主权。 |
2.根据本条,负面数据清单外的企业可免予经过法定的三种路径实施数据出境。 |
3.企业可关注各自贸区有关数据跨境流动规定的动态。例如,2024年1月19日,上海自贸区临港新片区发布《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》,2月7日,天津市商务局、中国(天津)自由贸易试验区管委会联合发布了《中国(天津)自由贸易试验区企业数据分类分级标准规范》,二者均对建立数据分级分类制度和数据目录进行了有力尝试。 |
第七条 数据处理者向境外提供数据,符合下列条件之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估: (一)关键信息基础设施运营者向境外提供个人信息或者重要数据; (二)关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。 属于本规定第三条、第四条、第五条、第六条规定情形的,从其规定。 | 1.根据《关键信息基础设施安全保护条例》,“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业”为设置关键信息基础设施的重要行业和领域。关键信息基础设施还包括“其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统”。 |
2.根据《关键信息基础设施安全保护条例》第十条,关键信息基础设施由保护工作部门(通常为重要行业和领域的主管部门、监督管理部门)认定并向运营者通知认定结果。 |
3. 本条较《数据出境安全评估办法》第四条第三项提高了数据安全评估门槛: (1)由“自上年1月1日起”这一起算时点改为“自当年1月1日起”,至申报数据出境安全评估之日; (2)将达到“10万人个人信息”的条件改为“100万人以上个人信息”,数量以自然人为单位去重后的统计结果为准; (3)澄清了按本规定第三至六条适用豁免情形的数据不在“累计”之列。 |
第八条 关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。 属于本规定第三条、第四条、第五条、第六条规定情形的,从其规定。 | 1.本条也是差异化分级监管的体现。针对“自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息”的情形,不再按《数据出境安全评估办法》申报安全评估。 |
2.澄清了按本规定第三至六条适用豁免情形的数据不在“累计”之列。 |
3.当向境外提供的“个人信息”为重要数据时,企业仍须申报数据出境安全评估。 |
第九条 通过数据出境安全评估的结果有效期为3年,自评估结果出具之日起计算。有效期届满,需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的,数据处理者可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申2.请。经国家网信部门批准,可以延长评估结果有效期3年。 | 1.本条将《数据出境安全评估办法》规定的2年有效期延长至3年,并明确了经营者得以申请延长评估结果有效期的情形。 |
2.根据国家市场监督管理总局与国家互联网信息办公室发布的《个人信息保护认证实施规则》,个人信息保护认证证书有效期也为3年,认证委托人在有效期届满前6个月提出续期。 |
第十条 数据处理者向境外提供个人信息的,应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。 | 1.本条是针对《个人信息保护法》第三章“个人信息跨境提供的规则”中数据处理者义务的提示性条款。 |
2.值得注意的是,针对符合《个人信息保护法》第十三条“同意豁免”条款的情形,在数据出境场景下是否仍需取得信息主体“单独同意”的问题,国家网信办2024年3月25日发布的《数据出境安全评估申报指南(第二版)》给出答案,即“涉及个人信息出境的,......,若属于《个人信息保护法》第十三条第一款第二项至第七项规定情形的,不需取得个人同意”。 |
第十一条 数据处理者向境外提供数据的,应当遵守法律、法规的规定,履行数据安全保护义务,采取技术措施和其他必要措施,保障数据出境安全。发生或者可能发生数据安全事件的,应当采取补救措施,及时向省级以上网信部门和其他有关主管部门报告。 | 企业应按照法律法规密切跟踪数据处理各环节的风险防控情况并制定相应的前期培训、中期监管和后期补救措施。符合法律规定情形的,还需设立专门的信息保护负责人和独立的数据安全监督机构。 |
第十二条 各地网信部门应当加强对数据处理者数据出境活动的指导监督,健全完善数据出境安全评估制度,优化评估流程;强化事前事中事后全链条全领域监管,发现数据出境活动存在较大风险或者发生数据安全事件的,要求数据处理者进行整改,消除隐患;对拒不改正或者造成严重后果的,依法追究法律责任。 | 国家的监管重心从原先的事前评估或审批备案,转向强化对事前事中事后全链条全领域监管,企业如未做好数据出境安全合规工作,可能承担民事、行政及刑事责任。如《个人信息保护法》第七十一条规定:“违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。”故企业内部也需全面建立数据分级分类制度,切实防范危及数据安全的技术、业务及法律风险。 |
第十三条 2022年7月7日公布的《数据出境安全评估办法》(国家互联网信息办公室令第11号)、2023年2月22日公布的《个人信息出境标准合同办法》(国家互联网信息办公室令第13号)等相关规定与本规定不一致的,适用本规定。 | 1.本条规定了本规定与《数据出境安全评估办法》及《个人信息出境标准合同办法》等相关规定的衔接适用关系。 |
2. 根据“《促进和规范数据跨境流动规定》答记者问”2: (1)本规定施行前通过安全评估的数据出境活动可继续开展相关事项; (2)本规定施行前未通过或部分未通过的安全评估,根据本规定免予申报安全评估的数据出境活动,数据处理企业可依法采用订立标准合同、通过个人信息保护认证等路径; (3)本规定施行前已申报安全评估、标准合同备案,但根据本规定无需申报及备案的,数据处理企业既可按原程序进行,也可以撤回。 |
第十四条 本规定自公布之日起施行。 |
|
/
