十一假期前的最后一个工作日,网信办给了一个数据跨境大礼包,详见:国家互联网信息办公室关于《规范和促进数据跨境流动规定(征求意见稿)》(以下简称“《跨境规定》”)公开征求意见的通知。
学习相关文章,并记录一下。
一、洪延青老师解读文章
原文链接:认识《规范和促进数据跨境流动规定(征求意见稿)》——对必要性判断的设计
数据出境监管主要关注合法性、安全性和必要性,《跨境规定》将必要性的事前判断从所有场景均完全由监管部门把关改为部分场景将必要性判断交由企业,当然监管机构依然可能会在事中、事后等环节进行全流程监管。
1、商业判断(第四条)。(1)履行合同:跨境购物、跨境汇款、机票酒店预订、签证办理等,个人信息不出境,可能业务就无法开展,故必要性交由企业判断;(2)HR管理:招聘、薪酬、晋升、培训、预算、支付、邮箱、办公平台、差旅申请等;(3)紧急避险:我可以想到的场景,境外医疗专家协助诊断、做手术。以上三个场景,只要企业觉得有必要,就可以出境。
2、更灵活的门槛(第五条、第六条)。如果1年内(这个1年怎么算,还有待明确,是自然年度还是一个持续的取件)出境的个人信息可以控制在1万以下,就可以数据出境豁免前置审批手续;出境的个人信息可以控制在100万以下,就可以不做数据出境安全评估,签标准合同或做认证就好。
与之前只要处理个人信息满100万人,仅1条个人信息出境,也要做评估相比,《跨境规定》促使企业更多地思考,哪些个人信息是非出不可的,为了“规避”1万、100万的门槛,进而降低合规成本,很多不必要的个人信息,企业也就自然不会出境了。这样也达到了保护国家安全、个人信息主体权利的目的,妙哉。
3、自贸区。因为自贸区是有立法权的,所以《跨境规定》鼓励自贸区制定数据跨境负面清单,只有清单内列举的数据出境才需要做前置审批手续,其他的数据都可以豁免数据出境前置审批手续,当然要省级网络安全和信息化委员会批准并在国家网信办备案。
一方面,各自贸区可以结合自身产业特点制定具备自身特点的负面清单,另一方面,做了这个负面清单,也要承担监管责任。
二、小贝说安全团队解读文章
该公众号多次刊发左晓栋老师观点,肯定要好好学习。
原文链接:上班了,网信办数据跨境流动新政的重要信号,接收到了吗?
1、背景。依照原有数据出境规定,数据出境需求巨大但行政审批资源有限。于是通过《跨境规定》在实操层面对现有数据跨境监管制度予以澄清及细化,未变更现有制度,但便利了数据出境,利好经济。
2、非重要数据且非个人信息的一般数据出境,无任何限制(第一条)。是对现有政策的澄清、强调,我国一直以来都只监管重要数据及个人信息出境。
3、重要数据。《数据安全法》是让行业主管部门及地方政府识别重要数据并出台目录,但现在尚无公开重要数据目录(汽车行业有但也不够细),而国家网信办可能不知道相关行业和企业的重要数据识别结果。
于是,《跨境规定》思路,除非:(1)相关行业、地区出台重要数据目录公开相关重要数据;(2)企业被相关行业、地区告知有重要数据,其他情况下,在数据出境时,就不用考虑有没有重要数据出境了。
这很好地解决了企业的困惑,大量非个人信息出境时,往往会慌,这些会不会被认定为重要数据,企业其实也不知道。因为“重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”,对于企业而言,还是比较难把握。
网信办并非重要数据主管部门,却在数据出境时要监管重要数据的出境,《跨境规定》的思路非常巧妙,将皮球踢给了相关行业主管部门和地区。你们快明确相关行业、地区的重要数据吧,不明确的话,我这边也不好管!
4、数据过境。过境数据无需前置审批的前提有:(1)不得在境内添附境内数据;(2)不涉及使用敏感(军用级)技术处理,确属于“不是在境内收集产生的个人信息”,才可以直接出境。
5、合法性基础。在数据跨境重大利好,简评《规范和促进数据跨境流动规定(征求意见稿)》一文中已经讨论,《跨境规定》的合法性基础来源于《个保法》第38条及第40条中的“国家网信部门规定”。而在“跨境购物、跨境汇款、机票酒店预订、签证办理”等场景下,出境的需求确实是个人的,但出境的行为其实可能是由境内企业完成的,相关企业才是个人信息处理者,无法适用《个保法》第72条第1款中“自然人因个人或者家庭事务处理个人信息的,不适用本法”的规定进行豁免。
而《个保法》第13条主要是解决同意及其他合法性基础(个人主体和个人信息处理者之间的事情),与《个保法》第38条个人信息出境的前置审批手续(个人信息处理者和监管部门的事情),没有什么必然联系。这里只是借用了一下《个保法》第13条的表述而已。
《跨境规定》现有规定是没有问题的,有合法性基础(《个保法》第38条及第40条),而非“瑕不掩瑜”(并不能引用《个保法》第72条)。
6、数量规定。原来处理个人信息满100万人,1条个人信息出境就要评估的规定有待完善,现在打了个补丁,很好地调动企业必要性判断,原因前文已叙述。
7、负面清单。是对 《关于进一步优化外商投资环境加大吸引外商投资力度的意见》第十四条的补丁,这个建议我之前也提过:简评《国务院关于进一步优化外商投资环境加大吸引外商投资力度的意见》第14条。作者提到,《北京市外商投资条例(征求意见稿)》亦应该相应修改。
8、敏感信息、核心数据。
数据的分类分级有多个维度,而且一般、重要和核心数据是在国家秘密信息之外。之所以数据跨境流动安全管理制度只规范个人信息和重要数据,是因为国家秘密信息的管理已由《保守国家秘密法》进行规范,核心数据则由于其特殊性,原则上禁止出境。
因此,需要意识到,《规定》的规范对象不含国家秘密信息和核心数据,所谓的“其他数据”当然不含国家秘密信息和核心数据,文件对此不需要反复强调。
至于“敏感信息”,的确不是法律用语。这主要是考虑到了数据的敏感度还有其他分级方法,特别是对于政府部门和特定行业而言。不同的分级方法往往都有对应的法律、行政法规、部门规章,故以“敏感信息”以盖之。
securityfact,公众号:小贝说安全上班了,网信办数据跨境流动新政的重要信号,接收到了吗?
三、陈际红律师解读文章
看完两位学者的观点,再看看事务界的解读,原文就很精炼了,建议直接看。
原文链接:关于《规范和促进数据跨境流动规定(征求意见稿)》的几点认识
1、背景:(1)评估周期长、反复多、企业和监管成本都高;(2)必要性审查:企业和监管对必要性监管理解不一致是不通过的主要原因;(3)现行安全评估、标准合同太易触发;(4)中央稳经济、稳外资、稳外贸、保增长的政策指向清晰强烈。
2、变化:(1)释明:一般数据出境无需前置审批、未被明确为重要数据,不用做重要数据出境安全评估;(3)豁免:合同、人力资源管理、紧急避险情况下,豁免数据出境前置审批手续;(4)提升门槛;(5)自贸区留空间;(6)从强调事前监管,调整到强化事前事中事后的均衡监管。
3、立法协调:陈律师认为:
需要关注的是,征求意见稿第四条和第五条豁免了履行合同必需、人力资源管理必需、1万人以下的个人信息出境场景的标准合同和认证义务,似乎与《个人信息保护法》第三十八条的规定不一致。虽然第三十八条在个人信息出境的三条路径之外,亦规定了“法律、行政法规或者国家网信部门规定的其他条件”,但这里的“其他条件”,本人理解应是能达到同等保护要求的、安全评估、标准合同和认证之外的其他(实质)条件。当然,如果理解为在这些场景下,仅仅豁免标准合同的备案要求,是没有冲突问题的。
陈际红,公众号:TMT法律论坛关于《规范和促进数据跨境流动规定(征求意见稿)》的几点认识
此处没有太理解,我个人理解,《个保法》第38条第1款规定:评估、认证、标准合同三个路径,现在《跨境规定》的相关规定是与这三者平行的,在满足《跨境规定》条件的情况下,个人信息处理者依然需要满足《个保法》第38条“个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准”的要求。
此外,还需要提示《个保法》项下的告知(增强告知)、取得处理个人信息的合法性基础、个人信息保护影响评估等义务,在任何个人信息场景下,个人信息处理者均仍需履行。
《跨境规定(征)》解读文章学习笔记
作者:何琛来源:数据何规

十一假期前的最后一个工作日,网信办给了一个数据跨境大礼包,详见:国家互联网信息办公室关于《规范和促进数据跨境流动规定(征求意见稿)》(以下简称“《跨境规定》”)公开征求意见的通知。