关于《规范和促进数据跨境流动规定(征求意见稿)》的几点认识

来源:TMT法律论坛

文章摘要
引言 2023年9月28日,国家互联网信息办公室发布关于《规范和促进数据跨境流动规定(征求意见稿)》公开征求意见的通知,拟对数据跨境传输监管制度做出重要调整。

引言
2023年9月28日,国家互联网信息办公室发布关于《规范和促进数据跨境流动规定(征求意见稿)》公开征求意见的通知,拟对数据跨境传输监管制度做出重要调整。自2022年9月1日《数据出境安全评估办法》正式实施,以及2023年6月1日《个人信息出境标准合同办法》正式实施以来,大多数适用企业都积极地组织了数据出境安全评估申报或标准合同备案的工作,但也在工作开展中遇到一些普遍问题。征求意见稿的发布,引起了企业的热切关注,谨以此文谈几点粗浅认识。
一、征求意见稿出台的背景
个人理解,征求意见稿的出台可能主要有以下背景:
一是目前数据出境安全评估申报周期普遍比较长,审查标准还待进一步清晰,企业往返数次补充资料也很常见。企业成本和监管成本都比较高。
二是对于数据出境必要性的审查,这也是目前审查结论中不允许出境的主要原因,但企业的理解和监管的理解往往存在偏差,比如对于跨国企业人事管理场景下具有出境必要性的字段的理解。
三是关于目前确立的100万/10万/1万的安全评估申报门槛的适当性考虑,比如,在中国市场的环境下,会有较多的企业达到“处理超过一百万人个人信息”的标准,从而可能会导致安全评估适用的普遍化。当然,标准合同备案的数量更为庞大。
第四,也可能是最主要的原因之一,中央稳经济、稳外资、稳外贸、保增长的政策指向清晰强烈。比如,国务院2023年7月发布的《关于进一步优化外商投资环境加大吸引外商投资力度的意见》第(十四)条就提出,要探索便利化的数据跨境流动安全管理机制。
鉴于以上的背景,根据前期的监管实践,立法部门适时出台《规范和促进数据跨境流动规定(征求意见稿)》以对目前的监管制度进行优化调整。
二、征求意见稿的实质性变化
根据目前的征求意见稿版本,主要有以下的实质性变化:
一是明确若干问题:不含个人信息和重要数据的正当数据出境,境外收集的个人信息过境传输,不需要前置审批等程序;没有官方明确为重要数据的,不需要就重要数据进行申报。
二是对于一些普遍出境场景的豁免:因履行个人作为一方的合同所必需,主要涵盖了跨境电商、支付机构和商旅平台的申报责任;人力资源管理所必需,尊重跨国企业对人力资源管理的统一安排和其对必要性的判断;为保护个人利益的紧急情况。
三是提升了触发门槛:预计一年内向境外提供超过100万人个人信息的,申报安全评估;1万人以上、不满100万人的,标准合同备案或认证即可;1万人以下的,豁免。
四是为自贸区的特殊政策留出政策空间,自贸区可以制定单独适用的负面清单,负面清单之外的数据出境予以审批豁免。
第五,最重要的是监管思路的转变,从强调事前监管,调整到强化事前事中事后的均衡监管。
三、对征求意见稿的预期
首先,基于我们在第一部分中所述的征求意见稿的出台背景,征求意见稿所规定的一些豁免或便利措施,应该大概率会大部分在正式稿中所采纳。
同时,考虑到现行的《数据出境安全评估办法》《个人信息出境标准合同办法》还在执行中,为了实现新旧办法的尽快衔接,正式稿出来的时间也许会比较快。
四、立法协调问题
一是新旧办法的冲突,对于《规范和促进数据跨境流动规定(征求意见稿)》《数据出境安全评估办法》《个人信息出境标准合同办法》条文冲突之处,应该不会构成实质性障碍,新旧立法位阶一致,按照“从新原则”,新规定优先适用。
二是与《个人信息保护法》的协调问题。《个人信息保护法》第四十条赋予了国家网信部门规定个人信息处理者触发安全评估的数量门槛的权限,因此征求意见稿调整个人信息出境安全评估的适用门槛,不会产生立法冲突。
需要关注的是,征求意见稿第四条和第五条豁免了履行合同必需、人力资源管理必需、1万人以下的个人信息出境场景的标准合同和认证义务,似乎与《个人信息保护法》第三十八条的规定不一致。虽然第三十八条在个人信息出境的三条路径之外,亦规定了“法律、行政法规或者国家网信部门规定的其他条件”,但这里的“其他条件”,本人理解应是能达到同等保护要求的、安全评估、标准合同和认证之外的其他(实质)条件。当然,如果理解为在这些场景下,仅仅豁免标准合同的备案要求,是没有冲突问题的。
五、尚需要解决的制度衔接问题
因为涉及新旧办法的适用,新旧制度衔接引起的以下问题值得关注:
一是最简单场景,当《规范和促进数据跨境流动规定(征求意见稿)》正式颁布生效后,尚未提交的安全评估或备案,从新的规定,属应有之意。
二是对于进行中的安全评估或备案,如果无论是适用旧办法还是新规定,都会触发相同的监管程序(安全评估或备案),现有程序可以继续进行;如果依照新规定,会产生豁免,或可以由安全评估转为备案,要如何处理?
三是对于已经下发的评估结果或备案通知,如果适用新规定,可以适用豁免,或由安全评估转为备案,且现有的评估结果是不通过或部分不通过,或者备案没有获得通过,要如何处理?
这些问题的解决需要有一个过渡措施,也希望能在新规正式稿中予以明确,以减少新旧制度交替带来的不确定性。
六、对企业的影响
尽管《规范和促进数据跨境流动规定(征求意见稿)》规定了一些豁免场景,但是,这只是事先监管程序的豁免,而非实质性合规义务的免除。比如,对于跨境传输个人信息,即使按照新规不需要申报评估或进行备案,也应当主动采取合规措施,满足合法性、正当性和必要性的条件,采取措施实现传输信息的安全,总体上达到《个人信息保护法》所要求的同等保护水平要求。而在监管侧,会更加强调事中和事后监管,如发现数据出境活动存在较大风险或者发生安全事件的,可以要求数据处理者进行整改消除隐患;对拒不改正或者导致严重后果的,依法责令其停止数据出境活动,保障数据安全。
总体来讲,《规范和促进数据跨境流动规定(征求意见稿)》响应了目前经济发展的最大诉求,为企业减负,受到了普遍欢迎,是应时而变、适时而动的举措。

技术驱动法律,专业成就未来