3月22日夜间,国家互联网信息办公室(以下称“国家网信办”)在其官方网站上公布了《促进和规范数据跨境流动规定》[1](以下称“新规定”),并同时公布了按照新规定更新后的《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》[2]。新规定于颁布之日的3月22日起开始实施。
自国家网信办去年9月28日公布《规范和促进数据跨境流动规定(征求意见稿)》(以下称“意见稿”)后,经过近半年的等待,本次新规定的颁布实施令人鼓舞和振奋。从新规定的名称来看,由意见稿时的“规范和促进”,调整成了“促进和规范”,表述顺序上的改变看似简单,实则反映出了政府部门“探索便利化的数据跨境流动安全管理机制,促进数据安全有序自由流动”的愿景和决心;从新规定的整体内容来看,意见稿中原有的放宽数据出境限制的规定不但得到了保留,部分内容甚至在意见稿的基础上进一步放宽。以下就新规定的要点进行解读。
一、哪些情形不需要申报手续[3]
新规定第3条至第5条对不需要申报手续的情形进行了明确规定。相比意见稿的相关内容,我们对新规定和意见稿二者的内容进行了如下比较,并进行相应解读。
意见稿 | 新规定 | 金诚同达解读 |
【第1条】 国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的 | 【第3条】 国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的 | 增加“跨境运输”场景,并按照相关法律法规调整了个别词语的表述。保留了意见稿的内容,更加完善和规范。 |
【第3条】 不是在境内收集产生的个人信息向境外提供 | 【第4条】 数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的 | 根据实务中经常出现和发生的情况,增加“跨境寄递”、“跨境支付”和“跨境开户”的场景。对有关服务运营商的也将产生影响。 |
【第4条】 为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的 | 【第5条】 为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的 | 本条表述发生变化,使数据“加工贸易”应用场景下的相关程序得以法规层面的明确。通过调整表述,使本条的适用条件更加清晰、明确。 |
【第4条】 按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的 | 【第5条】 按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的 | 追加“跨境”的表述,强调向境外提供员工个人信息是跨境人力资源管理所必需,更加严谨。 |
【第4条】 紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的 | 【第5条】 紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的 | 保留了意见稿的内容,未发生实质变化。 |
【第5条】 预计一年内向境外提供不满1万人个人信息的 | 【第5条】 关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的 | 本条内容发生了更加有利于数据处理者的重大变更。从适用主体上看,非关键信息基础设施运营者均可以适用本条的规定。 意见稿中的“预计一年”,由于起算时点不明确,缺乏实务操作性。为此,新规定将起算时点修改为了“当年1月1日”。根据国家网信办的官方回答,计算周期为自当年1月1日起至申报手续之日[4]。 此外,本条最大的改动在于将原来的“不满1万人”的豁免条件大幅提高至“不满10万人(不含敏感个人信息)”。为此,年均出境个人信息人数在10万人以下(不含敏感个人信息)的一般个人信息处理者,以后均无需再申报手续。 |
二、哪些情形需要申报手续
1.数据出境安全评估的适用条件
新规定第7条对数据出境安全评估的适用条件进行了更新,《数据出境安全评估办法》(以下称“评估办法”)第4条及意见稿中与新规定不一致的,将适用新规定。我们对评估办法、意见稿及新规定的内容进行了如下比较,并进行相应解读。
评估办法 | 意见稿 | 新规定 | 金诚同达解读 |
数据处理者向境外提供重要数据 | 数据处理者向境外提供重要数据 | 关键信息基础设施运营者以外的数据处理者向境外提供重要数据 | ① 本项情形未发生实质变化。不论是否属于关键信息基础设施运营者,只要向境外提供重要数据的,就需要申报数据出境安全评估。 ② 关于重要数据的认定,根据新规定第2条,未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。 |
关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息 | 关键信息基础设施运营者向境外提供个人信息和重要数据的 | 关键信息基础设施运营者向境外提供个人信息或者重要数据 | ① 本项情形未发生变化。 |
数据处理者自上年1月1日起累计向境外提供10万人个人信息 | 向境外提供100万人以上个人信息的 | 关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息) | ① 本项情形发生实质性重大变化。 ② 起算点从原来的“上年1月1日”,变为“当年1月1日”。统计出境个人信息总量的时间从原来的2年变为了1年。 ③ 一般个人信息的出境总量发生变化,从原来的2年总计10万人,变为了1年100万人,极大提高了数据出境安全评估的适用条件。 |
数据处理者自上年1月1日起累计向境外提供1万人敏感个人信息 | 关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供1万人以上敏感个人信息 | ① 本项情形发生实质性重大变化。 ② 起算点从原来的“上年1月1日”,变为“当年1月1日”。统计出境个人信息总量的时间从原来的2年变为了1年。 |
2.个人信息出境标准合同的适用条件
新规定第8条对订立个人信息出境标准合同或者通过个人信息保护认证的适用条件进行了更新,《个人信息出境标准合同备案办法》(以下称“备案办法”)第4条及意见稿中与新规定不一致的,将适用新规定。我们对备案办法、意见稿及新规定的内容进行了如下比较,并进行相应解读。
评估办法 | 意见稿 | 新规定 | 金诚同达解读 |
(1)非关键信息基础设施运营者; (2)处理个人信息不满100万人的; (3)自上年1月1日起累计向境外提供个人信息不满10万人的; (4)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。 | (1)非关键信息基础设施运营者; (2)预计一年内向境外提供1万人以上、不满100万人个人信息 | (1)非关键信息基础设施运营者; (2)自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息) 或者 (3)自当年1月1日起累计向境外提供不满1万人敏感个人信息的 | ① 标准合同备案的适用条件发生实质性重大变化。 ② 起算点从原来的“上年1月1日”,变为“当年1月1日”。统计出境个人信息总量的时间从原来的2年变为了1年。 ③ 一般个人信息的出境总量发生变化,从原来的2年总计不满10万人,变为了1年的10万人以上100万人以下,极大提高了数据出境安全评估的适用条件。 ④ 敏感个人信息的起算点从原来的“上年1月1日”,变为“当年1月1日”。统计出境个人信息总量的时间从原来的2年变为了1年,提高了数据出境安全评估的适用条件。 |
三、正在申报手续的如何处理
为了解除相关企业的疑惑,国家网信办本次还对正在申报中的手续如何处理的问题进行了回答[5]:新施行前已经申报数据出境安全评估、提交个人信息出境标准合同备案,根据新规定无需开展上述程序的,数据处理者可以按照原程序进行,也可以向所在地省级网信部门撤回申报、备案。
为此,对于目前正在申请数据出境安全评估或者标准合同备案手续的企业,如果依据新规定不再需要申报相关手续的,可以选择向所在地省级网信部门申请撤回申报、备案。对于撤回申报、备案的具体程序,目前尚无明确规定。相关企业可以通过邮件方式或者线下方式与所在地省级网信部门联系撤回事宜。
四、已经完成申报手续的如何处理
对于已经完成申报手续的企业,国家网信办也给与了回答[6]:
1. 新规定施行前已经通过数据出境安全评估的数据出境活动,数据处理者可以根据申报事项继续开展。
2. 新规定施行前未通过或者部分未通过数据出境安全评估,根据新规定免予申报数据出境安全评估的数据出境活动,数据处理者可以依法通过订立个人信息出境标准合同、通过个人信息保护认证等其他途径向境外提供个人信息。
3. 此外,新规定第9条将通过数据出境安全评估结果的有效期由《数据出境安全评估办法》中规定的2年延长至3年,自评估结果出具之日起计算。同时,新规定增加数据处理者可以申请延长评估结果有效期的规定。当有效期届满,需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的,数据处理者可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请。经国家网信部门批准,可以延长评估结果有效期3年。
五、结语
除上述内容以外,新规定还保留了意见稿中对于重要数据的认定及自贸区数据出境负面清单制度等重要内容。
可以预见的是,在新规定下,绝大多数的外商投资企业,今后都不再需要为其日常经营活动中的个人信息跨境流动申报数据出境相关手续。但需要注意的是,新规定仅仅免除了申报手续的义务,作为数据处理者的各个外商投资企业及外国企业驻华代表机构等主体向境外提供个人信息的,仍然须要按照《个人信息保护法》等相关法律法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估(PIA)等义务。
新规定对原有的数据出境限制进行了大幅的简化和免除,在外国投资者普遍看低中国的外商投资环境的背景下,新规定的颁布和实施无疑将为数据跨境自由流动和构建优质营商环境提供有力的保障和支持。
[1]https://www.cac.gov.cn/202403/22/c_1712776611775634.htm
[2]https://www.cac.gov.cn/202403/22/c_1712783131692707.htm
[3] 此处的手续包括数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证,以下相同。
[4]https://www.cac.gov.cn/202403/22/c_1712776611649184.htm
[5]https://www.cac.gov.cn/202403/22/c_1712776611649184.htm
[6]https://www.cac.gov.cn/202403/22/c_1712776611649184.htm
