节后开工第一天,大家开始卷9.28新规。新规全称《规范和促进数据跨境流动规定(征求意见稿)》,篇幅不大11个条文,但对现行数据出境监管作出了重大调整(我不同意是什么细化规定补充规定)。总体而言,新规释放了积极的“松绑信号”,如能迅速、顺利出台(规定内容保持相对不变),将对大量企业的数据出境问题进行实质性的“减负”。我们准备了十三点新规要点提示,来自团队的client alert的部分内容,有英文版本,需要的后台留言(给不给看我心情哈)。好了,我们来看看:
- 一般数据豁免应有之义的书面明确。新规明确了一般数据(非重要数据、非个人信息)的出境活动无需履行安全评估、SCC备案、认证(以下合称“出境前置程序”)。(参见新规第一条)
- 重要数据听监管指挥。重要数据识别以相关部门、地区告知或者公开发布为准,未被告知属于重要数据,或不在公开发布的重要数据目录中的,不作为重要数据处置,相应的数据出境无需申报安全评估。(参见新规第二条)
- 在境内收集产生认定仍存疑。境外个人信息处理者直接收集境内个人信息(境外直采),或者境外个人信息处理者委托境内受托方收集境内个人信息(外委内)等模式,是否豁免出境前置程序,有待监管进一步释明和澄清。(参见新规第三条)
- 入境个人信息中转再出境豁免。境外个人信息入境后再向境外提供入境的境外个人信息,无需履行数据出境前置程序,但针对入境境外个人信息加工处理过程中额外“收集”“使用”的其他境内个人信息,或者入境境外个人信息加工处理后形成的新的个人信息,对于前述“额外个人信息”和“新产生个人信息”的出境行为,满足条件的仍需履行数据出境前置程序。(参见新规第三条)
- 三情形豁免但你可能还不敢试。三种情形下的个人信息出境被完全豁免出境前置程序,具体为(1)履行合同所必需;(2)人力资源管理所必需;(3)紧急状况保护自然人所必需。但需要注意的是,如何属于“必需或必须”,无细化标准,企业可自行构建,但可能在监管检查、个人信息保护合规审计等活动中面临“挑战”。此外,“人力资源管理所必需”情形下,目前新规条文仅豁免“内部员工个人信息”,对于招聘场景下的候选人、外包人员、实习人员、派遣人员等,难以纳入,且内部员工能否涵盖关联方的员工,也有待监管进一步释明和澄清。(参见新规第四条)
- 跟1w/10w/100w达量身份认定say goodbye。新规对出境前置程序触发情形做出了重大变更,此前监管考虑的是既有的数据量,以数据出境安全评估为例,触发条件有(1)处理100万人以上个人信息的数据处理者向境外提供个人信息;(2)自上年1月1日起累计向境外提供10万人个人信息的数据处理者向境外提供个人信息;(3)自上年1月1日起累计向境外提供1万人敏感个人信息的数据处理者向境外提供个人信息等。我们通常把前述个人信息处理者称之为“达量个人信息处理者”。而新规将数据出境监管重心调整为指向“一年内拟出境个人信息的规模”,具体而言:(1)一年内拟出境个人信息低于1万人的,无需履行出境前置程序;(2)一年内拟出境[1万,100万)人的个人信息的,可选择SCC备案或认证路径;(3)一年内拟出境100万人以上个人信息,仍需进行安全评估。即,公司仅需关注自身“一年内拟出境个人信息对应的个人信息主体数量”,并根据具体数量适用对应的出境前置程序路径,而不用再评价自身是否属于“达量个人信息处理者”。(参见新规第五条和第六条)
- 出境不应该是一刀切的都要单独同意。监管仍强调出境情形下个人信息主体同意的获取,但也暗含“同意之外的其他合法性基础,无需个人信息主体单独同意”,该点是对实务监管要求的重要调整(目前实践中,无论是安全评估还是个人信息标准合同备案,均将“单独同意”作为前置要求,不论是否存在其他合法性基础)。(参见新规第五条和第六条)
- 一年内拟出境疑问多多。上述第6点提及的“一年内拟出境”的起算时间、实际出境个人信息规模超出预计数量后的处理、境外访问模式下的人数如何计算、已申报SCC备案但按照新规已经无需申报(或已经申报安全评估但按照新规已经无需申报、或已经申报安全评估但按照新规可以选择SCC备案/认证)如何处置,前述问题均有待监管进一步释明和澄清。(参见新规第五条和第六条)
- 负面清单挺好的自贸区你搞快点。自贸区可执行“负面清单”机制,负面清单是指,在清单上的需要履行出境前置程序,清单之外的则自由跨境流动(无需履行前置程序要求)。参考上海此前的“低风险数据目录”尝试,后续负面清单可予以“相对”乐观的观望,但仍可能在自贸区内实行“区内备案/一家一报”的管理模式。此外,从文义理解而言,重要数据出境亦可能执行“负面清单”。(参见新规第七条)
- 特殊主体特殊类型数据适用不适用成为套娃问题。新规第八条对(1)国家机关和关键信息基础设施运营者向境外提供个人信息和重要数据;(2)向境外提供涉及党政军和涉密单位敏感信息、敏感个人信息两种情形作出了“引致”规定,即前述两种情形需要“依照有关法律、行政法规、部门规章规定执行。”该种“引致”规定,是否包含“新规”本身(套娃问题)?如严格理解,可理解为该两种情形不适用新规,对此有待监管进一步释明和澄清。此外,“敏感信息”具体包括哪些信息?“敏感个人信息”是否限于涉及党政军和涉密单位的敏感个人信息?亦有待监管进一步释明和澄清。(参见新规第八条)
- 监管责任仍是境内主体主要承压。数据处理者对出境重要数据和个人信息有保护和保障义务,但相应的监管报告机制目前无实践机制,通俗来讲,“出了问题找数据处理者,通常为境内提供方,其甚至需要对境外接收方的行为负责”。(参见新规第九条)
- 前中后全流程监管不变。地方网信对新规执行进行“前中后”全流程监管,实践而言,公司需要重点关注监管主动检查、投诉举报和个人信息保护合规审计等引发的监管风险传导,对于是否适用新规予以出境前置程序豁免或义务松绑需要做好前置合规改造和留痕自证。(参见新规第十条)
- 出台时间溯及力问题我们只能拭目以待。新规征求意见的截至日期为2023年10月15日,正式公布日期及最终规定内容无法预判。新规明确其优先于《数据出境安全评估办法》《个人信息出境标准合同办法》适用,但是否有追溯力,既已申报的安全评估/SCC备案(尤其是未获通过或部分通过的申报案例)如何处理,有待监管进一步释明和澄清。(参见新规第十一条)
好了,今天就发这么多,新规困惑、条文影响、应对建议之类,下次再放出。
