简化个人信息出境手续·重塑数据流通监管——评《促进和规范数据跨境流动规定》及配套指南

来源:通力律师事务所

文章摘要
2024年3月22日晚, 国家互联网信息办公室(“国家网信办”)发布了《促进和规范数据跨境流动规定》(“《新规》”)以及与新规配套的《数据出境安全评估申报指南(第二版)》、《个人信息出境标准合同备案指

2024年3月22日晚, 国家互联网信息办公室(“国家网信办”)发布了《促进和规范数据跨境流动规定》(“《新规》”)以及与新规配套的《数据出境安全评估申报指南(第二版)》、《个人信息出境标准合同备案指南(第二版)》(“《新版指南》”)。该《新规》和《新版指南》对申报数据出境安全评估(“安全评估”)、备案个人信息出境标准合同(“标准合同备案”)的门槛、方式和流程等做出调整。
千呼万唤始出来的《新规》和《新版指南》的推出意味着合理可行的数据(尤其是个人信息)的出境监管制度最终形成; 也意味着国家和地方网信办将腾出更多资源投入到更广泛的个人信息保护执法。
一、限缩安全评估和标准合同备案的范围
《新规》明确了对若干数据出境场景豁免安全评估和标准合同备案(以及个人信息保护认证, 下略), 且进一步划定了申报安全评估和标准合同备案的门槛。
1. 豁免安全评估和标准合同备案的场景
《新规》明确了以下不需要开展安全评估且不需要标准合同备案的数据出境场景:
1、国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据出境(且不包含重要数据或个人信息);
2、境外的个人信息传输至境内处理后, 又向境外提供的; 且处理过程中没有引入任何境内的个人信息或重要数据;
3、为订立、履行个人作为一方当事人的合同而出境个人信息(如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等);
4、根据必要的跨境人力资源管理的合法基础而出境员工个人信息(请注意, 本项场景并不包括出境候选人的个人信息);
5、紧急情况下为保护自然人的生命健康和财产安全而出境个人信息。
6、自由贸易试验区内的数据处理者, 依照自由贸易试验区依法制定的出境数据清单出境的(结合《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》《中国(天津)自由贸易试验区企业数据分类分级标准规范》等近期出台的文件, 似乎意味着自贸区有望颁布和执行更加宽松的, 可能接近白名单制度的数据出境监管制度)。
值得注意的是, 前述场景中的信息出境不仅不需要安全评估或标准合同备案, 同时在评估下文介绍的申报安全评估和标准合同备案的门槛时, 前述场景的数据与个人信息规模、数量不计算在内。
2. 安全评估和标准合同备案的门槛
《新规》提高了安全评估和标准合同备案的门槛。

二、简化安全评估和标准合同备案程序
《新规》以及《新版指南》在很大程度上简化了安全评估和标准合同备案的流程。
1. 延长安全评估有效期
数据出境安全评估的结果有效期从原先的2年, 延长至3年(自评估结果出具之日起算)。
同时《新规》增加了申请延长有效期的机制。如数据出境活动没有发生实质性变化的, 数据处理者可在有效期届满前60个工作日, 通过省网信办向国家网信办提出延长有效期的申请。申请通过的, 有效期可以延长3年。
2. 简化备案材料
根据《新版指南》, 个人信息保护影响评估报告的内容得以精简, 不再要求分析论述: (1)个人信息处理者的个人信息保护能力和(2)境外接收方所在国家或地区个人信息保护政策法规的详细情况等。但是, 《新版指南》仍然要求企业提供“个人信息出境链路相关情况, 计划出境后存储的系统平台、数据中心”等企业一般不太愿意对外提供的IT相关信息。
3. 简化申报方式
根据《新版指南》, 数据处理者开展安全评估申报以及标准合同备案均可通过数据出境申报系统网上完成, 不再需要线下提交纸质材料。其中, 根据《数据出境申报系统使用说明》, 申报安全评估的数据处理者仅需要统一上传申报材料的扫描件。进一步地, 《新版指南》不再要求个人信息处理者提交经办人授权委托书、承诺书、个人信息出境标准合同提交纸质版原件, 减少了相关材料在用章、邮递上所花费的时间。
三、数据出境监管展望
虽然, 数据和个人信息出境的监管手续得以简化, 但是其合规义务并没有减少。无论出境何等规模的个人信息, 无论是否需要申报安全评估和开展标准合同备案, 个人信息处理者都需要履行《个人信息保护法》下对于出境的要求, 包括但不限于, 告知、征求相关个人的单独同意, 并开展个人信息保护影响评估等。
同时, 随着《新规》的落实, 网信部门将从繁重的审查安全评估和标准合同备案工作中解脱出来, 开展更多更全面(包括但不限于数据出境)的执法。

技术驱动法律,专业成就未来