2024年3月22日,在经历了近6个月的征求意见后,《促进和规范数据跨境流动规定》(“《数据跨境新规》”或“新规”)由国家互联网信息办公室正式发布并于当日生效实施。自此,令人振奋的中国数据出境监管新局面正式形成。本文将通过新规对数据处理者身份、数据类型、数据处理活动的调整介绍,尝试解读出境监管新图景,并协助企业梳理新规下应当做出的合规准备和注意要点(若您希望重点关注该部分,可直接跳转至本文第三部分)。
一
《数据跨境新规》发布以前,在《个人信息保护法》(“《个保法》”)、《数据出境安全评估办法》(“《安全评估办法》”)、《个人信息出境标准合同办法》和《个人信息保护认证实施规则》等共同构建起的数据出境安全管理制度体系下,几乎所有个人信息和重要数据的出境活动都必须在国家网信部门组织的数据安全评估、按照国家网信部门制定的标准合同与境外接收方订立合同,或按照国家网信部门的规定经专业机构进行个人信息保护认证等三大合规路径之中依据适用条件择一推进。这一严格的数据出境制度框架体系给企业带来了较高的合规成本,且由于体系建设处于初期探索,其难以完全公开的流程和规则也颇有争议。
在此背景之下,《数据跨境新规》的出台清晰构建了企业数据出境的合规适用框架,通过从自贸区、数据类型、数据出境量级、出境合法基础等方面设立“绝对豁免”场景,以及大幅限缩需要进行数据出境安全评估的相关场景两个层面,一方面继续维护以国家安全、公共利益为核心原则的立场,另一方面也将大量数据出境活动归拢至合规效率较高的个人信息出境标准合同备案场景。与征求意见稿相比,《数据跨境新规》名称中的“促进”二字前置可谓高度凝练了数据出境监管态度的这一明显转变。
二
三法一条例确立中国立足于国家安全和公共利益的数据监管逻辑,并着重从数据处理者身份、数据类型、数据处理活动和权利保障四个层面对企业行为进行审视。投射至本次《数据跨境新规》的出台,新规仍旧以四大层面为纲,分别调整了数据出境监管逻辑,我们试图阐释如下:
(一)数据处理者身份
《数据跨境新规》延续了《安全评估办法》对关键信息基础设施运营者(CIIO)的监管要求,CIIO向境外提供个人信息或者重要数据均需申报数据出境安全评估,别无他途。
对于非CIIO的数据处理者而言,《数据跨境新规》对数据出境活动的监管从合法性基础、数据出境量级等维度进行了不同程度的松绑。
(二)针对数据类型的监管变化
1. 受监管的数据范围:个人信息和重要数据
《数据跨境新规》通过第三、四等条款的规定进一步明确,数据出境监管的对象限于个人信息与重要数据,除此之外的数据类型除非有特别限制均可以自由流动。国家互联网信息办公室有关负责人在答记者问时也对此进行了重申——“数据出境安全管理不是对于所有数据,只限于重要数据和个人信息,这里的重要数据是针对国家而言,而不是针对企业和个人。”
2. 重要数据出境依然需要申报数据出境安全评估
对于重要数据,《数据跨境新规》同样承继了以往《安全评估办法》的监管要求,不论是CIIO还是非CIIO的数据处理者,只要向境外提供重要数据,均需申报数据出境安全评估。
关于重要数据的识别,《数据安全法》规定,国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。尽管各行业主管部门均展开了多轮对重要数据的调研活动,但截至目前,尚未有相关目录发布。
针对重要数据的识别标准尚不明确所引起的疑虑,《数据跨境新规》保留了征求意见稿所释放的重要信号,即特别指出是否涉及重要数据以相关部门、地区告知或者公开发布信息为准,从而为数据处理者在尚不明朗的监管环境下确立了一条相对明确的适用判断标准。但相比征求意见稿,《数据跨境新规》为重要数据的识别提供了一项前置条件,即“数据处理者应当按照相关规定识别、申报重要数据”,这一前置条件实际上突破了《数据安全法》确立的自上而下的重要数据识别方式,首次在数据处理者层面添加了识别和申报义务。这种变化尊重了重要数据发源于企业因而必须由企业参与识别的事实基础,长远来看,有助于重要数据识别的谨慎和准确。
3. 自由贸易试验区“负面清单”
《数据跨境新规》在部门规章层面添设了一种新的数据类别,即“负面清单”。新规确定,在国家数据分类分级保护制度框架下,自由贸易试验区(“自贸区”)可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(“负面清单”),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证(#绝对豁免1)。据悉,目前,上海自贸区临港新片区已基本编制完成智能网联汽车车辆远程诊断、公募基金市场投研信息、跨国公司集团管理、生物医药临床试验和研发等20个场景的跨境流动分级分类的首批清单目录,在完成论证后将于近期对外发布。
“负面清单”制度意义重大。负面清单制度为区内企业清单外数据提供了“绝对豁免”的自由度,且体现了国家数据监管权力向地方政府部门的罕见赋权,这一举措和态度将在保护营商环境层面将起到重大作用,也令企业更为期待各自贸区负面清单的具体内容。
(三)数据处理活动监管变化
1. 合理界定“数据出境”:过境数据不受监管
根据《数据跨境新规》,数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证(#绝对豁免2)。相比征求意见稿“不是在境内收集产生的个人信息向境外提供”这一对于“过境数据”的粗略描述,《数据跨境新规》明确了“境外收集和产生”“传输至境内处理”“没有引入境内个人信息或者重要数据”等核心的判断要素。
核心判断要素叠加后不难发现,相比过去监管着重于论证何为“境内处理”从而判断是否为过境数据的监管思路,《数据跨境新规》更着眼于对“两头在外”的商业模式的保护而非数据层面的传统保护。所谓“两头在外”,是经济贸易术语“原料从国外进、产品在国外销”的来料加工、进料加工模式在数据监管层面的应用,也能更为清晰地协助企业理解各地政策中的“离岸数据中心”的定位本意,从而更好地应用本条过境数据规则部署相关供应链结构。
2. 处理活动豁免的不同维度
《数据跨境新规》对于申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证三条路径的豁免主要从以下两个维度展开:
(1)基于合法性基础的豁免
数据处理者基于以下合法性基础出境个人信息的,三条路径均可予以绝对豁免:
A. 基于“个人主动发起”的为订立、履行个人作为一方当事人的合同中确需出境的个人信息,给予绝对豁免(#绝对豁免3)。
为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的。
B. 基于“跨境人力资源管理”中确需出境的员工个人信息,给予绝对豁免(#绝对豁免4)。准备适用此项豁免条件的数据处理者需要在内部人事制度建设、员工个人信息出境告知程序等方面做好合规准备。
按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的。
C. 基于紧急情况下确需出境的个人信息,给予绝对豁免(#绝对豁免5)
紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的。
(2)基于数据出境量级的豁免
针对数据出境量级,《数据跨境新规》也给出了绝对豁免通道,即“非CIIO的数据处理者”“自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的”。(#绝对豁免6)
另一层面的豁免体现通过对不同出境数据数量级的调整,将原先需要申报数据出境安全评估的情形进行豁免,调整为通过订立个人信息出境标准合同、个人信息保护认证路径出境,大大减低了企业的合规成本。该条款具体为“非CIIO的数据处理者”“自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。”至于如何计算个人信息数据量,相关负责人答记者问时表示,上述数据出境量级的计算周期为自当年1月1日起至申报数据出境安全评估之日,数量以自然人为单位去重后的统计结果为准。属于《数据跨境新规》第三条、第四条、第五条第一款第一项至第三项、第六条规定的三条路径绝对豁免情形的,不计入累计数量。
值得注意的是,《数据跨境新规》捋顺了在征求意见稿在数据出境数量和合法性基础层面适用存在冲突的问题。在下文提及的针对数据出境量级的豁免中,《数据跨境新规》也屡次提及,在数量级计算过程中,如遇合法性基础和其他绝对豁免情形的,则可直接适用绝对豁免情形进行豁免。在新公布的《数据出境安全评估申报指南(第二版)》中对合法性基础本身的适用混乱也回归了《个保法》初衷,强调在合法性基础适用方面,“若属于《个人信息保护法》第十三条第一款第二项至第七项规定情形的,不需取得个人同意”。
三
1. 针对绝对豁免情形,积极探索适用
如上《数据跨境新规》规定,企业可在如下数据出境情形中获得绝对豁免,但企业仍应对适用条件积极探索和讨论:
(1)自贸区“负面清单”外数据:企业应根据各自贸区公布的政策和不同行业领域的倾向性,考虑其机构注册地的选择,并同时兼顾自身供应链结构的安排;
(2)“过境数据”:企业应当充分理解“两头在外”经营模式及相关伴生数据之间的映射关系,严格适用“过境数据”概念,并适时选择政策利好的“离岸数据中心”以巩固绝对豁免情形的适用。
(3)个人主动发起活动中的履约必要:企业应当充分论证相关业务活动来自于“个人主动发起”,实践中,部分外资企业基于企业本身BI架构安排,将伴随个人主动发起的相关个人活动记录等信息传输回境外数据中心进行分析,此类数据处理活动并不能适用该绝对豁免情形。
(4)跨境人力资源管理:企业应当注意对于“履行人力资源管理所必须和签署集体合同”的合理范围、法定程序的履行,详情可参阅我们之前的文章🔗《数据跨境新规下企业员工个人信息出境豁免情形适用的前期准备》。
(5)非CIIO企业当年10万人以下非敏感个人信息出境:除答记者问中提及的基本计算口径外,企业应当考虑对于存量客户数据更新情况的计算和处理方式。
(6)紧急情况出境:紧急情况的判断一直为司法理论和实践中的难题,但考虑到该类出境模式应当较为少见,此处不再展开论述。
2. 针对通常的数据出境活动,优先考虑适用订立个人信息标准合同路径
由于个人信息保护认证案例不足,就合规效率经验而言,企业可以考虑根据《数据跨境新规》规定,优先适用订立个人信息标准合同路径,其主要适用条件即“非CIIO企业”“自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的”情形。
但需要注意的是,《个人信息出境标准合同备案指南(第一版)》明确将“符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他个人信息处理活动”纳入需要通过订立个人信息标准合同合规路径出境的情形。该安排将影响目前境外直接收集境内数据的商业安排,企业应及时通过调整业务模式,或尽快通过境内分支机构、代表机构完成个人信息出境标准合同备案工作。
3. 积极排查自身情况,避免落入数据出境安全评估路径
如上《数据跨境新规》规定,下述情形中企业将落入数据出境安全评估路径:
(1)CIIO企业出境个人信息或重要数据:CIIO企业应当尤其关注其企业架构或业务架构下导致的由境内数据接收方(尤其是受托数据处理者)触发的数据安全评估义务;
(2)非CIIO企业出境重要数据:该情形下,非CIIO企业应当尤其关注其出境数据中,是否存在因业务架构导致的接收到的来自于CIIO的个人信息或重要数据;
(3)非CIIO企业自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息:除计算口径外,敏感个人信息的定义应当尤其重视参考《个人信息安全规范》中的相应定义。作为从业者,我们也期待《个人信息安全规范》的适时更新。
针对在《数据跨境新规》发布之前,已经按照《安全评估办法》完成数据出境安全评估的“好学生”企业,《数据跨境新规》也对此展现了赞许和保护的态度,具体体现莫过于将“安全评估结果的有效期由2年延长至3年,有效期届满,需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的,数据处理者可以提出延长评估结果有效期申请。经国家网信部门批准,可以延长评估结果有效期3年,数据处理者不必按照《安全评估办法》的要求重新申报评估。”
4. 企业应继续落地《个保法》层面的其他数据出境合规义务
根据《个保法》第13条、第17条、第23条及第55条等条款的要求,无论数据处理者的个人信息出境活动是否适用豁免情形,以下合规义务均需继续履行:
●为数据出境活动寻求恰当的“合法性基础”;
●告知个人信息主体境外接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类等事项;
●向境外提供个人信息前进行个人信息保护影响评估,并对处理情况进行记录。
以上,供各位参考讨论。若需要了解《数据出境安全评估申报指南(第二版)》《个人信息出境标准备案指南(第二版)》的主要修订内容,您亦可通过后方留言联系我们获得相关文本。
