2023年9月28日,国家互联网信息办公室发布了【国家互联网信息办公室关于《规范和促进数据跨境流动规定(征求意见稿)》公开征求意见的通知】,就《规范和促进数据跨境流动规定(征求意见稿)》(下称“数据跨境规定”),向社会公开征求意见。
《数据跨境规定》共计十一条。从标题来看,“跨境“一词不限于出境,但文件本身规定的重点仍聚焦在数据出境。总体上,《数据跨境规定》降低了在多种情形下数据出境事前监管的要求。其中,个人信息出境审查制度在多种情形下进行放宽、暂缓对重要数据的认定、自贸区灵活确定负面清单制度等是核心条文,这些降低标准、明确义务范围的规则,疏解了市场的焦虑,构成了我国数据跨境的最新的制度革新,尤其值得重视。
此前,我国立法先后明确了数据出境的三条路径。2022年7月7日网信办发布的《数据出境安全评估办法》、2022年6月24日全国信息安全标准化技术委员会发布的《个人信息跨境处理活动安全认证规范》及2023年2月22日网信办发布的《个人信息出境标准合同办法》,上述三份文件强调“向境外提供数据”需要通过数据出境安全评估,或订立个人信息保护标准合同,或通过个人信息安全保护认证,构成了我国目前数据出境的三条路径(为了表述方便,以下合称为“数据出境前置监管”),通过这一立法演变的细节来看,《数据跨境规定》针对此前数据出境前置监管中的实际问题,调整了数据出境前置监管的适用标准,豁免了具有强出境必要性及少量个人信息出境的数据出境前置监管义务,降低了企业的数据合规成本,是对于此前规则的完善和突破。
《数据跨境规定》出台的总体背景是国内外数据跨境流通进入了新的发展阶段提出了新的要求。就国内来看,促进数据的跨境交易不仅一直被视为我国数据要素市场建设的应有之义,更被作为促进外商投资优化投资环境的重要因素,因此也成为立法者关注的焦点。国务院在2023年7月发布的《关于进一步优化外商投资环境加大吸引外商投资力度的意见》中提出,要探索便利化的数据跨境流动安全管理机制。在《数据跨境规定》中,数据出境的必要性的判断从监督部门主导向由“向境外提供数据”的一方主导转变,赋予了企业更多自主判断的空间。从国际上看,随着欧盟在2023年7月10日通过了欧盟-美国数据隐私框架(DPA)的决定,使得本因“隐私盾”框架无效而受阻的欧美间数据流通重新建立起了流通关系,由欧美主导的数据流通范式很可能在全球范围内确立。在上述背景下,《数据跨境规定》本质上是我国参与国际数据流通生态建设的最新尝试,这也意味着对于《数据跨境规定》所设立之规则的任何评析,均不应忽视对国际实践范式的比较分析。
从立法价值追求而言,《数据跨境规定》也作出了重大的立法价值的转变。此前,我国关于数据出境战略的主要侧重点在于数据主权和数据安全,《数据跨境规定》则是从促进数据跨境流通与数据交易的角度对原本的规范内容进行了调整,对重要数据认定的放开与多种场景的义务豁免,可以相当程度地促进跨境数据流通,也为跨境电商、跨境服务、跨境数据交易等商业活动提供了便利。在此意上,《数据跨境规定》基于新的发展需求对于安全与流通关系再平衡,对数据的国际交流合作提供了重大利好。
最近几年来,数据流通及其价值利用的实践所形成的一个基本经验是,监管所及之处,方是数据可信流通得以实现之处。因此,我们还是要强调,数据跨境规则的调整并不意味着数据安全合规重要性的降低。我们依然需要持续不断的完善数据合规的生态体系,尤其是发挥数据交易所这样的基础设施的功能,辅助企业安全合规的开展跨境数据交易活动,防止在事中、事后出现被监管叫停的风险出现。此外,(电子)数据在系统中产生,也必然依赖于系统跨境流通,这决定了数据跨境具有了虚拟性、技术与系统依赖性的特征,造成了人认知理解数据流通并施加监管的基本障碍,因此,推进基础设施的建设,尤其是发挥交易链及后续的城市主链的作用,有助于帮助网信办进行事中、事后监管。总的来说,交易所提供的合规服务和支撑功能,在尊重数商合规意愿的基础上,有助于保障企业的交易合规合法,让市场建立信心,使监管通达产业逻辑。
在把握上述基本评价的基础上,《数据跨境规定》规则内涵及其体系影响,仍待后续各方的解读与反馈。本文仅进行简要梳理与解读,供读者参考。
条文
一、国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
解读
本条列举了四种不需要开展数据出境监管的情形。在本条所列举的四种常见情形中,非涉及个人信息、重要数据出境的无需考虑履行数据出境相关义务。结合《数据跨境规定》促进数据跨境流动的倾向性价目的追求,可以考虑将“国际贸易、学术合作、跨国生产制造和市场营销”后的“等活动”做扩大解释,也就是本条中的等字为等外等非等内等,当然具体哪些内容可以纳入等字解释射程之内,尚有待实践的发展。
从立法体系上来看,本条对《数据出境安全评估办法》第四条及《个人信息保护法》第五十五条中规定不明的情况进行了明确,在不涉及个人信息的场景下,豁免了对应的监管义务,减轻了企业开展数据跨境流动合规工作的负担。
条文
二、未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
解读
本条暂缓了对重要数据的认定。依据该条的规定,在本行业内的重要数据得以确定前,数据处理者均可豁免申报数据出境安全评估的义务,正常开展数据出境活动。
从立法体系上来看,依照《数据出境安全评估办法》第四条第一款的规定,数据处理者在向境外提供重要数据的情形下,应当申报数据出境安全评估。但并未出台具体规定专门界定重要数据的内涵与外延。由此引发了实务中数据合规的困境。
在实践中,重要数据的界定一直是合规痛点。2023年3月,在南财合规科技研究院发布《数据跨境现状调查与分析报告——基础问题与十个痛点的解决》中提到:33%的企业“不确定自己是否需要申报数据跨境安全评估”,约40%的企业对于划分重要数据“感到困难”,约50%的企业认为“对于重要数据、敏感个人信息等数据类型的标准认定存在模糊,难以做到准确的区分”。此外,虽然76%的受访企业都进行了数据出境安全评估,但成本高、耗时长和缺乏系统指导是受访企业谈及数据出境安全评估时最常提及的。
本条针对尚未得以明确的“重要数据”采取“暂时搁置”的办法较为符合监管实际现状,既能有效促进数据出境,又给未来的立法活动留有余地。但是,本条并未明确监管部门能否在事中、事后以及发生数据安全事件后进行监管或处罚的行为,我们建议监管部门仅在上述情形中开展有限度的监管活动即可,如确需处罚的,应当遵照相应的法律依据。
条文
三、不是在境内收集产生的个人信息向境外提供,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
解读
本条对“数据过境”进行了“松绑”。可概括理解为“数据过境”不再需要申报数据出境安全评估、订立个人信息出境标准合同、个人信息保护认证。同样的,本条亦未提及对敏感个人信息的出境如何规制。
从制度演变的角度看,该条与全国信息安全标准化技术委员会于2017年8月30日公布的《信息安全技术数据出境安全评估指南(征求意见稿)》(但下文引用的条文在网信办于2022年8月31日发布的第一版中并未出现)中关于不属于数据出境情形的规定类似:非在境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动或加工处理的,不属于数据出境。非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的,不属于数据出境。
在条文的具体构成上该条也存在一定问题。比如,目前,对于“不在境内收集”在解释上还存在不同解读方案,即指“收集动作不在境内”?还是“主体在地理上未在境内”?还是二者皆有?根据对《数据跨境规定》全文的理解,我们认为可以解读为二者皆有的解释方案,如此才能更好的促进数据有序跨境流动。
此外,如在境内对“不是在境内收集产生的个人信息”进行加工处理后,是否仍然不需要向监管部门申报?均有待进一步明确。对此我们认为这种情况下“不应当进行申报”。例如,如仅是对来自境外的个人信息进行加工处理,则不需要向监管部门申报。
本条的积极意义在于,提供跨境服务的企业,尤其是云服务提供商,在对境外开展业务时将不必担心是否申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证等监管问题。
条文
四、符合以下情形之一的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
(一)为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的;
(二)按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的;
(三)紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的。
解读
本条列举了三类不需要负担个人信息出境申报义务的情形。依据本条规定,在跨境商贸与出入境、向境外提供员工个人信息、人身或财产遇到险情等三类情形下,必须提供个人信息的,无需先进行数据出境前置监管即可出境。
本条是对主体的赋权,使得主体在三类情形下可以自行判断:对外提供个人信息时是否属于“必须”?而非监管部门。易言之,向境外提供数据的主体对数据出境的必要性的判断,优先于监管部门。本条是对《个人信息保护法》第三章(关于个人信息跨境提供的规则)的补充和重大突破,减轻了外资企业的合规负担,解决了近一年以来数据合规实践中遇到的实际困难。但本条仍未提及对敏感个人信息的出境如何规制。
具体到规范内容的认定上仍存在模糊解读的空间。如在第一项和第三项的规定中,对“等”的理解可以认定为等外等,从而使监管部门在实践中进行适当的扩大解释,以更好的促进数据跨境流动。
本条有利于提供跨境服务的企业同时兼顾了自然人可能遇到的紧急情形。使跨国企业在境内外开展日常业务时不必担心是否申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证等监管问题;而自然人在遇到紧急情况时也无需考虑数据出境的监管问题。
条文
五、预计一年内向境外提供不满1万人个人信息的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。
解读
本条明确了个人信息出境申报的起点为1万人以上。依据该条的规定,一年为向境外提供个人信息不满一万人的不需要申报,但应当取得个人同意。
本条与第四条的立法背景类似,均是对《个人信息保护法》第三章(第三十八至四十三条:个人信息跨境提供的规则)的补充和重大突破,减轻了外资企业的合规负担。
在规范内涵上本条亦有不明确之处。其一,虽然企业“预计”个人信息不满1万人,但实际超过1万人的该如何操作?对此,监管部门应允许企业在超过一万人的情况于一定期限内进行申报;其二,“取得个人信息主体同意”中的“同意”是否为“单独同意”,相应的解释方案应与《个人信息保护法》第三十九条(个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意)相衔接。
本条有利于企业明确自身所负担的个人信息出境合规义务,使企业避免因监管不明而付出高昂的合规成本;同时本条也明确了企业应在取得个人信息主体同意后再进行数据跨境流动,在实践中,常以召集员工集体学习个人信息保护与数据跨境法规,并在会后自愿签署知情同意书的形式进行。
条文
六、预计一年内向境外提供1万人以上、不满100万人个人信息,与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的,可以不申报数据出境安全评估;向境外提供100万人以上个人信息的,应当申报数据出境安全评估。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。
解读
本条明确个人信息出境安全评估的标准是100万人以上。可概括为:一年内向境外提供个人信息超过1万人以上的、不满100万人的,订立标准合同或认证即可,超过100万人以上的,需要进行安全评估。
结合第五条和第六条的内容来看,本《数据跨境规定》参考了《数据出境安全评估办法》的内容,删除了对关键信息基础设施运营者的限制,也删除了敏感个人信息的概念;《数据出境安全评估办法》第四条规定:数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。同时,本《数据跨境规定》以向境外提供的个人信息数量多少为标准,将个人信息的申报审批手续依次划分了三个档次:第一档,一年内向境外提供不满1万人个人信息的,不需要履行任何数据出境前置监管手续;第二档,一年内向境外提供超过1万人以上、100万人以下个人信息的,只要订立标准合同或通过认证即可,标准合同可由市场主体之间自行签订,认证则主要是针对市场主体本身,而并非针对特定的个人信息;第三档,向境外提供超过100万人以上个人信息的,需要进行安全评估,安全评估一般是针对涉及国家安全、公共利益等的数据出境活动。与此同时不论哪一档,如果是基于个人同意向境外提供个人信息的,在提供信息前都必须取得“单独同意”。但本《数据跨境规定》并未明确该如何与《数据出境安全评估办法》及《个人信息出境标准合同办法》等规定的内容进行衔接,企业是否完全不用考虑上一年度自1月1日起累计的个人信息出境的数量,按照原有规定应当申报安全评估的企业是否还需要申报安全评估,这些问题仍有待明确。
条文
七、自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),报经省级网络安全和信息化委员会批准后,报国家网信部门备案。
负面清单外数据出境,可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
解读
本条是关于自贸区的特殊规定。依据本条规定,自贸区可自行制定需要纳入管理范围的负面清单,报经省级网络安全和信息化委员会批准后,报国家网信部门备案,负面清单外的豁免全部数据出境前置监管手续。
本条内容的亮点在于将自贸区确立为数据特区进行试点,明确自贸区可以自行制定数据跨境流通中的负面清单,在负面清单内的企业数据仍需要完成数据出境前置监管程序,负面清单外的企业数据以自由跨境流通为原则,负面清单中具体应当包括哪些内容,则由各自贸区针对本区域的实际情况灵活确定,主要以促进自贸区内企业数据的跨境流通为目的,由自贸区先行探索可行的数据跨境流通道路。之所以由自贸区探索该负面清单制度,是因为自贸区内的企业大多具有数据出境需求。并且自贸区先行探索数据出境的道路已有先例。而且自贸区具有较高开放度和优惠政策,可以促进贸易和投资自由化和便利化。《中国(上海)自由贸易试验区临港新片区条例》中规定,按照国家相关法律、法规的规定,在临港新片区内探索制定低风险跨境流动数据目录,促进数据跨境安全有序流动。
但本条内容的不足之处在于,我国目前有21个自贸区,包括上海自贸区、广东自贸区、河北自贸区等,不同自贸区的定位和特点各有不同,上海自贸区重点发展金融服务业、航运和贸易等,而广东自贸区则重点发展制造业,我国全部的自贸区是否都有权自行制定负面清单;企业注册登记在自贸区内,但经营地点在自贸区外的,其是否适用本条内容;企业注册登记在自贸区外,但经营地点在自贸区内的,其是否适用本条内容,这些问题仍有待明确。
条文
八、国家机关和关键信息基础设施运营者向境外提供个人信息和重要数据的,依照有关法律、行政法规、部门规章规定执行。
向境外提供涉及党政军和涉密单位敏感信息、敏感个人信息的,依照有关法律、行政法规、部门规章规定执行。
解读
本条确立了特定主体与特定信息的特殊要求(豁免例外制度)。依据本条规定,国家机关和关键信息基础设施运营者以及涉及国家安全的敏感信息在数据出境时,仍应依照有关法律、行政法规、部门规章规定严格执行,不在豁免范围内。对于数据出境前置监管程序的豁免,仍由监管部门事先判断数据出境的必要性。
《网络安全法》第37条规定:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。因此国家机关和关键信息基础设施运营者在向境外提供数据时,仍需要进行数据出境安全评估程序。
条文
九、数据处理者向境外提供重要数据和个人信息,应当遵守法律、行政法规的规定,履行数据安全保护义务,保障数据出境安全;发生数据出境安全事件或者发现数据出境安全风险增大的,应当采取补救措施,及时向网信部门报告。
解读
本条为数据处理者的数据安全合规义务。依据本条规定,数据处理者仍需要履行《数据安全法》、《个人信息保护法》中的数据安全和个人信息保护义务,若发生数据安全事件或安全风险增大的,应及时向网信办报告。
虽然《数据跨境规定》在特定情形下豁免了企业数据出境前置监管义务,将对数据出境的必要性判断向数据处理者及个人信息处理者等向境外提供数据的一方倾斜,赋予了企业更多自主判断的空间,为降低数据出境的限制,为企业数据合规“松绑”,但这并不意味着“放任”企业自由进行数据跨境活动,豁免企业的数据安全和个人信息保护义务,即便不需要进行数据出境前置监管程序,企业仍应当主动采取数据合规措施,满足数据出境合法性、正当性和必要性的条件,达到《数据安全法》、《个人信息保护法》所要求的同等保护水平要求。
本条内容的不足之处在于,其所表述的数据出境安全事件以及数据出境安全风险增大,较为笼统宽泛,具体何种事件属于数据出境“安全事件”,出现多大的风险可以被称作“数据出境安全风险增大”,仍有待明确。
条文
十、各地方网信部门应当加强对数据处理者数据出境活动的指导监督,强化事前事中事后监管,发现数据出境活动存在较大风险或者发生安全事件的,要求数据处理者进行整改消除隐患;对拒不改正或者导致严重后果的,依法责令其停止数据出境活动,保障数据安全。
解读
本条为网信部门的监管责任。依据该条规定,监管部门应加强对数据出境活动事前事中事后的监管,并可以要求数据处理者消除数据出境活动中的风险或存在安全事件的隐患,并有权责令数据处理者停止数据出境活动。
本条突出应强化数据出境活动中的事前事中事后监管,健全了监管流程。在体系上,补全了《数据跨境规定》宽严相济、前后相应的监管逻辑。但《数据跨境规定》整体上放松数据出境活动中的事前监管,对事中事后的数据出境安全事件和安全风险进行持续地监测。
本条内容的不足之处在于,数据处理者拒不改正数据出境活动中的隐患,或数据处理者因数据出境活动中的隐患导致严重后果的,也是较为笼统宽泛的表述,具体何种行为属于“拒不改正”,出现何种后果可以被称作“严重后果”,仍有待明确。
条文
十一、《数据出境安全评估办法》、《个人信息出境标准合同办法》等相关规定与本规定不一致的,按照本规定执行。
解读
本条确认了《数据跨境规定》的效力(适用规则)。依据本条规定,《数据跨境规定》为新规定,《数据出境安全评估办法》、《个人信息出境标准合同办法》为旧规定,旧有规定与新规不一致的,按照该新规定执行。
本条遗留的问题是,新规定和旧规定之间该如何进行衔接并未明确,比如对于已经提交数据出境安全评估、尚未收到正式决定,或者正在按照监管部门整改要求整改的企业,但依据本《数据跨境规定》判断,已经不再需要数据出境安全评估的,该如何处理仍有待明确。
总的来说,现有数据出境规则侧重于由监管部门判断数据出境的必要性,导致企业履行数据出境前置监管义务,可能造成与实际数据出境规模和风险不相称的负担。此外,在实际审查过程中,企业和监管部门对于判断数据出境的合法性、正当性和必要性等因素的判断存在不同的看法,很多企业的数据出境合规工作陷入困境。《数据跨境规定》切实回应了众多企业在过去一年多时间内的数据合规工作的困境,豁免个人信息合规的义务、放开重要数据的认定、开创自贸区灵活确定负面清单等制度,客观上减轻了企业开展数据跨境活动中的负担和成本。
据悉,目前上海数据交易所已经正式开设运营国际板,其建设是为了促进全球数据的互联互通,其特点在于推动国内外企业开展数据跨境流通业务合作,优化全球数据资源配置,助力数字经济和国际数字贸易的高质量发展。《数据跨境规定》落地施行后,将有利于上海数交所简化数据产品合规评估审查流程,提高数据产品交易效率,有利于上海数据交易所国际板跨境数据交易制度体系的建设,有助于构建国际间数据流通机制,推动建立公平、开放、透明的全球数据治理体系。
解读《规范和促进数据跨境流动规定(征求意见稿)》
作者:陈吉栋来源:网络法实务圈

2023年9月28日,国家互联网信息办公室发布了【国家互联网信息办公室关于《规范和促进数据跨境流动规定(征求意见稿)》公开征求意见的通知】,就《规范和促进数据跨境流动规定(征求意见稿)》(下称“数据跨