2024年3月22日, 在草案发布半年后, 网信办充分听取各方意见, 博观约取、厚积薄发, 正式发布《促进和规范数据跨境流动规定》(以下简称“新规”)。坚持数据安全与发展之原则, 新规旨在优化我国的数据出境监管体系, 促进我国数据的跨境流动。
主要变化

重点问题
1、新规与现行规定的衔接
1)2024年3月22日前已经通过安全评估、标准合同备案的, 不受影响, 继续有效;
2)2024年3月22日前未完成安全评估、标准合同备案的, 可参照新规, 选择适合的路径, 通过数据出境申报系统(“电子申报系统”)进行;
3)2024年3月22日前已提交安全评估或标准合同备案, 但尚未通过的, 可以继续按照原程序推进, 也可以申请撤回申报或者根据新规进行转换。已经通过线下方式提交材料的, 不需要通过电子申报系统进行重新提交。
2、敏感个人信息
新规下, 敏感个人信息成为申报门槛中“最短的木板”。如果一般豁免情形不适用, 若数据处理者当年已累计出境1万人敏感个人信息, 则该处理者应进行安全评估; 即便不超过1万人, 也应进行标准合同备案/个人信息保护认证。
建议企业梳理、明确出境涉及的敏感个人信息, 已确定是否需要以及如何进行安全评估或标准合同备案/个人信息保护认证。
3、跨境人力资源管理
员工信息是绝大多数跨国企业必备的个人信息场景, 因此新规下“跨境人力资源管理”的豁免情形绝对是重大利好。但需要注意的是, 豁免适用的前提是“根据依法制定的劳动规章制度”以及“确需向境外提供”。所以, 企业需要去看看, 规章制度里面有没有明确哪些员工个人信息要出境?出境的目的是什么?每一个出境的员工个人信息字段到底是否确实需要出境?如果存在不是必须出境的字段, 可能需要停止这些字段的出境, 或者根据新规去做安全评估或者备案/认证。此外, 新规规定的“员工”个人信息是否包括“contractor(外包员工)”, 有待执法释明。
4、电子申报系统
新规下, 网信办开通了全国范围的电子申报系统, 需要进行安全评估或者标准合同(个人信息保护认证的功能尚未建设完成)的企业可以直接在系统中完成相关材料的填报和提交。且按照电子申报系统使用手册, 后续评估/备案结果、需补充材料的通知都将以短信形式发送。
5、结果有效期
新规将《数据出境安全评估办法》中规定的2年有效期延长至3年, 自评估结果出具之日起计算。同时, 增加“申请延长评估结果有效期”的规定, 数据处理者可以在有效期届满前60个工作日内提出申请, 经国家网信部门批准即可延长有效期3年。
发展勿忘安全, 新规不是绝对“松绑”。新规由强调事前监管向事后监管的转变, 这要求企业更加主动合规。按照新规不用做安全评估或者标准合同/个人信息保护认证的企业, 仍需依法获得出境情形下的个人信息主体的单独同意、完成个人信息保护影响评估(PIA)。
博观约取、厚积薄发——简评《促进和规范数据跨境流动规定》
作者:潘永建 朱晓阳 邓梓珊来源:通力律师

2024年3月22日, 在草案发布半年后, 网信办充分听取各方意见, 博观约取、厚积薄发, 正式发布《促进和规范数据跨境流动规定》(以下简称“新规”)。