深度解读 + 高频问答 :《促进和规范数据跨境流动规定》

来源:大数据法律研究

文章摘要
2024年3月22日,国家互联网信息办公室公布《促进和规范数据跨境流动规定》(以下简称《数据跨境规定》),旨在优化数据跨境流动的监管要求,减少企业在数据跨境活动中的合规压力,促进数据有序跨境流动。

2024年3月22日,国家互联网信息办公室公布《促进和规范数据跨境流动规定》(以下简称《数据跨境规定》),旨在优化数据跨境流动的监管要求,减少企业在数据跨境活动中的合规压力,促进数据有序跨境流动。本文将探讨《数据跨境规定》的制定背景,解读其中的关键内容,并针对实施过程中可能遇到的常见问题进行解答,以帮助企业和个人更好地理解和应对数据跨境流动中的合规挑战。
Part 1 新规背景
当前,我国数据跨境有关规定主要体现在《网络安全法》《数据安全法》和《个人信息保护法》等法律规定中,这些规定构成了以安全评估、保护认证和标准合同备案为核心的数据出境监管框架。为了确保相关规定的有效落实,国家有关部门陆续出台了《数据出境安全评估办法》《个人信息保护认证实施规则》《个人信息出境标准合同办法》等一系列实施细则和操作指南,为数据出境提供具体的落地方案,并为企业如何合规开展数据出境提供了明确规范。
在此基础上,为了提高数据跨境流动的效率和便利性,国家互联网信息办公室于2023年9月28日发布了《规范和促进数据跨境流动规定(征求意见稿)》(以下简称“征求意见稿”),该征求意见稿对数据出境的监管要求进行了大幅调整,释放出加快开放、促进数据跨境安全流动的信号。紧接着,国家相继发布了《“数据要素×”三年行动计划(2024—2026年)》和《扎实推进高水平对外开放更大力度吸引和利用外资行动方案》等重要文件,明确提出“促进数据有序跨境流动”的目标。为回应这一政策导向,《数据跨境规定》对现行数据出境的监管要求进行了一系列的优化和调整,明确了安全评估、保护认证和标准合同备案义务的豁免条件,既减轻了企业在数据出境方面的合规压力,又保障了数据跨境流通的安全性。
Part 2 核心要点解读
一、未经“官方认证”为重要数据的,无需作为重要数据申报安全评估
根据《数据跨境规定》第二条,企业在向境外提供数据时,若符合下列两项条件,则无需按照重要数据进行出境安全评估申报:(1)未被相关部门或地区告知数据为重要数据;且(2)相关部门或地区也未公开发布将该数据归类为重要数据。这一规定延续了征求意见稿的内容,强调重要数据的被动识别原则。在实际操作层面,由于重要数据覆盖的行业广泛、类型繁多,而且多数行业的重要数据目录尚未明确,企业往往面临着重要数据的识别难题。新规的实施,无疑减轻了企业在数据出境方面的合规负担,同时也对相关监管部门提出了更高的要求,那就是要加快制定和公布重要数据目录,以保障数据跨境安全。
需要注意的是,即便某些数据未被明确告知或公开认定为重要数据,数据处理者仍应遵守《数据安全法》《网络安全法》以及《个人信息保护法》的相关规定,严格履行合规义务,对数据实行分类分级管理。国家标准化管理委员会于2024年3月15日颁布了《数据安全技术数据分类分级规则》(GB/T 43697-2024),明确了数据分类分级的原则、框架及实施方法,并提供了重要数据识别指南。这一指南有望成为各地区、各部门制定各自的重要数据目录时的重要参考。在此背景下,建议企业参照该标准内容,积极开展数据分类分级工作,及时识别和管理重要数据,从而提前做好准备,以适应不断发展的监管要求。
二 、明确“绝对豁免”的具体场景
《数据跨境规定》的一大亮点在于,它实质性豁免了多个数据出境场景下企业的安全评估、保护认证、标准合同备案的合规义务,降低企业合规成本的同时,还提高了数据流动的效率与便利性。《数据跨境规定》基于征求意见稿提出的框架,对可享受豁免的情形进行了进一步细化和明确,为企业提供了更加清晰的操作指引。根据第五条规定,数据处理者向境外提供个人信息,符合下列条件之一的,可免予申报安全评估、订立标准合同、通过保护认证(以下统称为“数据出境前置程序”):
(一)个人作为合同订立、履行的一方当事人
相较于之前的征求意见稿,《数据跨境规定》在本条款上进行了两处调整:首先,将原先“必须向境外提供个人信息”的表述修改为“确需向境外提供个人信息”,这一改动在一定程度上表明有关部门对数据跨境流动监管要求的适度放宽。然而,实际操作中对于出境必要性的评估较为严格,通常要求数据处理者针对特定的应用场景和出境字段进行充分的必要性论证。其次,新规增加了跨境寄递、跨境支付、跨境开户、考试服务等具体场景的列举,为个人在签订和履行合同过程中提供了更多的参考实例。
(二)跨境人力资源管理需要
根据新规,企业在依法制定的劳动规章制度和依法签订的集体合同的前提下,实施跨境人力资源管理时,若确实需要向境外提供员工个人信息,可以豁免出境前置程序。此项规定为企业在全球范围内的人力资源管理活动提供了极大的便利,确保了在符合规定的前提下,企业能够灵活处理跨境数据传输的需求,不受出境个人信息的数量或敏感程度的限制。然而,在实际应用中,需要注意以下几个关键点:
首先,企业在制定劳动规章制度或签订集体合同时,应当遵循《劳动合同法》的规定,与员工进行充分平等协商。此处“依法制定的劳动规章制度和依法签订的集体合同”应理解为两者满足其一即可,即“和/或”的关系,而非必须同时满足。
其次,该豁免条款的适用范围限定在“跨境”人力资源管理,主要针对那些具有跨国业务的公司。这些公司的人力资源管理活动往往伴随着跨境数据流动的需求,因此,新规对此给予了必要的支持。
再次,关于“跨境人力资源管理”所涵盖的具体场景。在以往的申报实践中,有时会出现对这一概念的狭义理解,将“跨境人力资源管理”仅限于“订立劳动合同”的范畴,而忽略了员工考勤、休假管理、离职管理等其他环节。实际上,在企业的日常运营中,人力资源管理覆盖了从员工的入职、在职期间的考勤、培训和管理,到最终离职等一系列连贯场景。因此,整个员工管理周期必需的一些个人信息处理活动,都可解释为“人力资源管理”所必需。
最后,《数据跨境规定》对征求意见稿中“内部员工”一词进行了修改,将其调整为“员工”,使得原先仅适用于公司内部员工的豁免条款同样适用于非正式员工,如劳务派遣工和外包人员等。这一改动赋予了企业在处理跨境个人信息传输时更大的适用范围,当涉及到上述人员的个人信息出境时,企业可尝试依据此规定免去相关的前置审批程序。此外,在条文的措辞上,采用了“确需”来替换“必须”,这表明有关部门降低了关于出境必要性强度的要求,以更好地促进数据跨境流动。
(三)紧急情况下为保护自然人的生命健康和财产安全
《数据跨境规定》沿用了征求意见稿的相关内容,并未进行实质性调整。这与《个人信息保护法》中的相关规定相呼应,主要基于在紧急情形下,要求企业获得个人信息主体的明确同意或执行数据出境前置程序可能并不现实,因此立法旨在权衡个人信息安全与个人生命健康及财产安全的紧迫需求。
(四)非关键信息基础设施运营者的小批量个人信息出境

征求意见稿

《数据跨境规定》

预计一年内向境外提供不满1万人个人信息的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

数据处理者向境外提供个人信息,符合下列条件之一的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:

(四)关键信息基础设施运营者(以下简称“CIIO”)以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的


《数据跨境规定》首次对非CIIO主体向境外提供小批量个人信息的行为给予了豁免,但这一放宽措施需建立在不涉及敏感个人信息的基础之上。在对时间节点的界定上,新规明确了以当年1月1日作为计算出境数量的起始点,解决了征求意见稿中关于“预计一年”的不确定性,为企业提供了清晰的操作指引。此外,新规将豁免条件中的人数上限从“不满1万人”提升至“不满10万人”,这一调整大幅度扩展了豁免情形的适用范围,降低了企业在处理小批量个人信息跨境活动时所需承担的合规责任。
除上述基于场景和数量的豁免情形外,新规还包括一些其他值得关注的规定,如以下数据出境将免予申报安全评估、订立标准合同或通过保护认证:
1. 非个人信息且非重要数据的一般数据
《数据跨境规定》第三条明确,对于不含有个人信息或重要数据的一般数据出境,可免于履行数据出境的前置程序。我国目前的数据跨境流动监管体系主要针对的是“个人信息”和“重要数据”,而其他一般数据则可以自由跨境流动。此规定并非新设豁免,而是对现行规则的进一步澄清。针对企业在实际操作中可能产生的疑问,比如在向境外提供运营、业务或科研数据等非个人信息时是否会触发出境前置程序,该规定给予了明确的答复。
2. 过境数据
根据《数据跨境规定》第四条,在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,免予申报安全评估、订立标准合同、通过保护认证。举例来说,境内A公司作为境外B公司的数据服务商,对B公司采集的境外个人信息进行清洗、标注、融合等处理工作,在提供前述服务过程中,如果没有引入境内个人信息或重要数据的,则无需履行数据出境前置程序。在此场景中,A公司需要注意对境外收集的个人信息单独存放,单独处理,避免因混入境内个人信息而触发数据出境前置义务。
三、建立自贸区“负面清单”制度
《数据跨境规定》中明确规定,自由贸易试验区有权自行制定适用于区内的数据清单,即“负面清单”,以明确哪些数据需要进行数据安全评估、签订个人信息出境标准合同以及进行个人信息保护认证。该规定为自贸区提供了一定程度的自主权,意味着不在负面清单上的数据可以免除出境前置程序要求。关于这一条款,有三个关键点需要注意:(1)自贸区制定负面清单需以遵守国家数据分类分级保护制度框架为前提;(2)负面清单仅适用于自贸区内的数据处理者;以及(3)负面清单需经省级网信委批准后,报国家网信部门、国家数据管理部门备案。目前,上海和天津已经分别发布了《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》和《中国(天津)自由贸易试验区企业数据分类分级标准规范》,为当地自贸区内的数据管理提供了指导性文件。北京、海南、江苏等地也在积极地进行相关探索,以推进各自的自由贸易区政策。设立在自贸区内的企业应持续关注相关政策和文件的发布,同时落实数据出境的其他合规义务要求,从而保障其数据跨境活动的合规性和安全性,并能灵活适应监管要求的变化。
四、调整数据出境路径的触发门槛
根据《数据跨境规定》,当前数据出境路径的触发门槛如下:
1. 绝对豁免:非CIIO自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)。
2. 安全评估:(1)CIIO向境外提供个人信息或者重要数据;(2)非CIIO向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。
3. 标准合同/保护认证:非CIIO自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息。

不变

1.重要数据出境仍然适用安全评估

2. CIIO向境外提供个人信息或重要数据应申报安全评估

3. 出境100万以上个人信息或1万以上敏感个人信息应申报安全评估

变化

安全评估

1.删除“处理100万人以上个人信息处理者向境外提供个人信息”情形

2.将“上年1月1日起”修改为“当年1月1日起”

3.明确100万以上个人信息不包含敏感个人信息

标准合同

1.删除“处理个人信息不满100万人”条件

2.将“上年1月1日起”修改为“当年1月1日起”

3.将累计向境外提供个人信息的数量从“不满10万人”修改为“10万人以上、不满100万人”,同时明确不包含敏感个人信息


Part 3 高频问答
一、新规背景下,何谓“数据出境”?包括哪些情形?
根据《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》,数据出境活动主要包括:
1. 数据处理者将在境内运营中收集和产生的数据传输至境外,即数据主动出境。数据处理者通过邮件、移动硬盘或境外信息系统、服务器等方式向境外传输数据。
2. 数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出,即数据被动出境。常见的被动出境场景包括数据处理者将其境内数据库对外开放,使得境外主体可调取、下载或调用。
3. 符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他数据处理活动。针对“境外主体直接收集中国境内个人信息”是否应纳入数据出境监管范畴的问题,新版指南现予明确回复。
二、如何衔接适用新规?
《数据跨境规定》明确提出,“2022年7月7日公布的《数据出境安全评估办法》、2023年2月22日公布的《个人信息出境标准合同办法》等相关规定与本规定不一致的,适用本规定。”
在具体操作层面,以新规的实施时间(2024年3月22日)为分界点,对不同情况采取不同的处理措施:
1. 已经完成数据出境安全评估:数据处理者可以依据申报事项继续进行相关活动。
2. 未通过或部分未通过数据出境安全评估:如符合安全评估的豁免要求,数据处理者可以依法采取标准合同备案、保护认证等方式,确保合规地向境外提供个人信息。
3. 已申报安全评估或提交标准合同备案:如符合新规明确的豁免条件,数据处理者可以选择继续按照原有程序进行,或者向所在地省级网信部门申请撤回已提交的申报和备案材料。
三、企业如何选择数据出境的路径?

首先,企业应依据自身的业务流程和实际运营需求,对所有可能涉及的数据出境场景进行全面梳理,明确数据出境的规模、涉及的数据类型以及出境目的等关键信息。
其次,企业需对出境数据的性质进行判断,确定是否出境数据被告知或公开认定为重要数据。若属于重要数据,则必须选择数据安全评估申报路径。同时,企业还需确认出境数据是否包含个人信息,并据此评估是否存在适用的豁免情形。
再次,企业需要明确自身是否属于关键信息基础设施运营者,因为这可能会影响到数据出境的相关法律义务和要求。
最后,企业应根据数据的类型,区分为一般个人信息和敏感个人信息,并分别计算各自的出境数量规模。一旦达到规定的安全评估门槛——即向境外提供100万以上一般个人信息或1万以上敏感个人信息,企业就必须进行数据安全评估申报工作。如出境的一般个人信息不满10万,则无需履行数据出境强制程序。
四、累计向境外提供的个人信息数量应如何计算?
《数据跨境规定》对累计向境外提供的个人信息数量的计算方法进行了明确和优化。首先,计算周期的起点由原来的“上一年1月1日”调整为“当年的1月1日”,直至企业申报数据出境安全评估的当日。其次,累计数量计算应以自然人为单位,而非跨境传输的“次数”、“条数”。此外,如果数据出境活动符合相关的豁免情形(即新规第三条、第四条、第五条和第六条),那么这些数据将不计入累计数量。这一点对于企业来说尤为重要,因为它直接影响到是否触发安全评估的门槛。
国家互联网信息办公室有关负责人答记者问中,明确指出“数量以自然人为单位去重后的统计结果为准”。具体到实际操作中,企业在进行去重处理时需特别注意对敏感个人信息的处理方式。对于包含敏感和非敏感字段的同一自然人的个人信息,企业不应简单地合并去重,而应分开统计敏感与非敏感信息,以确保符合《数据跨境规定》的要求。
五、数据出境的手续有哪些变化?
数据出境的安全评估申报和标准合同备案现可通过数据出境申报系统(网址为 https://sjcj.cac.gov.cn)在线完成,这一数字化流程的引入将提高申报和备案效率。需要注意的是,《数据出境安全评估申报指南(第二版)》明确提出,CIIO或者其他不适合通过数据出境申报系统申报数据出境安全评估的,可采用线下方式申报安全评估。具体操作为,通过所在地省级网信办向国家网信办提交数据出境安全评估的相关申报材料。
六、通过数据出境安全评估结果的有效期是多久?是否可以申请延期?
新规对数据出境安全评估结果的有效期作出了调整,将其由原先《数据出境安全评估办法》规定的2年延长至3年,计算起点为评估报告出具之日。安全评估结果可以申请延期,即在有效期届满前的60个工作日内,通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请,经批准后,可延长评估结果有效期3年。
七、新规背景下,企业应履行哪些出境合规义务?
根据《数据跨境规定》,即便数据处理者满足数据出境的豁免条件,其依然需要遵循《个人信息保护法》《数据安全法》中相关义务要求,具体包括但不限于以下几点:
1. 向个人信息主体充分告知,并取得单独同意。在向境外提供个人信息场景中,数据处理者需向个人详细说明境外接收方的名称或姓名、联系方式、处理目的、处理方式、个人信息的种类,以及个人如何向境外接收方行使《个人信息保护法》规定的权利的方式和程序等事项。若涉及敏感个人信息的跨境传输,数据处理者还应当向个人明确说明处理敏感信息的必要性及可能对个人权益的影响,确保个人充分理解并同意其信息的跨境传输。
2. 在数据出境前,数据处理者应当对数据出境活动进行个人信息保护影响评估,以确保能够识别、解决并控制潜在的风险,保障个人信息的安全。
3. 个人信息处理者应采取适当的措施,确保境外接收方在处理个人信息时符合《个人信息保护法》所规定的保护标准,维护个人信息主体的合法权益。

技术驱动法律,专业成就未来