簡析《規范和促進數據跨境流動規定》
作者:星際游 成媛媛 2024-03-26距離征求意見稿公開征求意見近6個月,《規范和促進數據跨境流動規定》(以下簡稱“《規范》”)終于正式發布。該規范體現了《國務院關于進一步優化外商投資環境加大吸引外商投資力度的意見》中“數據跨境流動安全管理機制便利化”的政策趨勢。本文擬通過對比該《規范》的征求意見稿,以解讀目前數據出境的監管方向。
要點一:“重要數據”的范圍保持不變
在《規范》之前,涉及數據出境的三條路徑,即“安全評估、標準合同備案和安全認證”,主要是圍繞著個人信息或者重要數據展開的。實務中,各行業面臨的一個普遍問題是“重要數據”的范圍究竟為何?雖然在《數據安全法》中針對“重要數據”有一系列的義務要求,“重要數據”究竟包括哪些信息并未有法律層級的規范。《數據出境安全評估辦法》雖然對于“重要數據”的性質進行了定義,即“重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等,可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據”,實務中每一個行業及實體所處理的數據究竟何為“重要數據”,業界迫切需要監管部門予以明確的規范。目前除汽車行業外,并未有正式部門規章或規范性文件對于重要數據具體范圍進行規范,“重要數據”的國家推薦性標準《信息安全技術 重要數據識別規則》也是幾易其稿,至今尚未正式發布。一些行業監管部門已經開始通過監管問卷方式與業界逐步達成共識,也有一些行業監管部門通過部門發文細化重要數據危害安全程度進一步限定重要數據范圍,例如工信部《工業和信息化領域數據安全管理辦法(試行)》第十條。
征求意見稿的第二條規定,“未被相關部門、地區告知或者公開發布為重要數據的,數據處理者不需要作為重要數據申報數據出境安全評估”,這一規定是征求意見稿面世后最受關注且備受歡迎的政策定位。此次《規范》與征求意見稿完全一致,且條款提前到了《規范》第一條總則之后,開宗明義,澄清了業界對于重要數據的模糊認知,對于實務中減少合規成本具有重要意義。對比征求意見稿,《規范》第二條還明確了數據處理者的前置識別、申報義務,即應當首先按照相關規定識別、申報重要數據。
要點二:豁免場景更為豐富
首先,對于征求意見稿中明確的“因不包含個人信息和重要數據免于申報”的場景,增加了“跨境運輸”一項,即“國際貿易、跨境運輸、學術合作、跨國生產制造和市場營銷”5種場景,如不包含個人信息和重要數據,免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。
其次,在向境外提供個人信息過程中“為訂立、履行個人作為一方當事人的合同目的確需向境外提供的豁免場景”增加了“跨境寄遞、跨境支付、跨境開戶、考試服務”四項,即8種場景“跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等”。
這些場景的豐富體現了監管部門對于實務界反饋的回應,更加便利實際經濟發展。[1]公開發布為重要數據的個人信息。
要點三:門檻大幅降低
首先,《規范》規定“關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供不滿10萬人個人信息(不含敏感個人信息)的,免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證”,“10萬人”的標準相較征求意見稿初始的豁免門檻“1萬人”大幅降低了要求標準。
其次,在計算關鍵信息基礎設施運營者以外的數據處理者向境外提供個人信息(不含敏感個人信息)的數量上,對于100萬個人信息的數量級,《規范》細化了限定,即從“當年1月1日”開始,與征求意見稿之前的相關規定相比,大大減輕了信息處理者對于累計計算個人數據量準確度的擔憂。
要點四:進一步簡化行政流程
《規范》相較于征求意見稿新增了第九條“通過數據出境安全評估的結果有效期為3年,自評估結果出具之日起算。有效期屆滿,需要繼續開展數據出境活動并且未發生需要重新申報數據出境安全評估的情形的,數據處理者可以在屆滿前60個工作日內向國家網信部門提出延長評估結果有效期的申請。”
該等規定簡化了數據處理活動有效期以及未變化場景下數據處理者延長有效期的申報工作程序。配套國家網信辦同步發布的《數據出境安全評估申報指南(第二版)》和《個人信息出境標準合同備案指南(第二版)》,無論是數據處理者需要提交的材料還是提交申報的方法[2],行政流程整體均向簡化、方便操作的方向發展。
要點五:要求更為準確
首先,對于“數據過境”場景,相較于征求意見稿,《規范》對于“過境”的定義更為明確,原文“不是在境內收集產生的個人信息向境外提供”進一步明確為“在境外收集和產生的個人信息傳輸至境內處理后向境外提供”,而且強調“處理過程中沒有引入境內個人信息或者重要數據的”免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。
其次,對于個人信息跨境業務,按照《規范》頒布之前的要求,是否達到100萬個人信息、10萬個人信息以及1萬敏感個人信息數量級,對于采取何種出境路徑具有關鍵意義,而統計這一數據量的時間段表述是“自上年1月1日累計”,實務中謹慎理解為至少累計統計2年內數據(對于100萬個人信息,沒有自上年統計的限定,最為謹慎的理解為自始累計)。征求意見稿采用的表述方式是“預計一年”,仍然無法清晰定義起止日期。《規范》最終采用的是“自當年1月1日”,更易于實務中的理解和操作。
要點六:明確自貿區特殊規則
《規范》明確,自由貿易試驗區在國家數據分類分級保護制度框架下,可以自行制定區內需要納入數據出境安全評估、個人信息出境標準合同、個人信息保護認證管理范圍的數據清單(以下簡稱負面清單),經省級網絡安全和信息化委員會批準后,報國家網信部門、國家數據管理部門備案。相較于征求意見稿,強調了“在國家數據分類分級保護制度框架下”,明確了適用范圍是區內機構,而且備案部門增加了國家數據管理部門。
以上海自由貿易試驗區臨港新片區以及天津自由貿易試驗區企業為例,根據《中國(上海)自由貿易試驗區臨港新片區數據跨境流動分類分級管理辦法(試行)》以及《中國(天津)自由貿易試驗區企業數據分類分級標準規范》,上海自由貿易試驗區臨港新片區以及天津自由貿易試驗區內企業負面清單認定的流程基本與《規范》一致,未對后續備案程序有細化規定,可能需要按照《規范》進一步調整。[3]
要點七:增強與其他既有法律法規的一致性
《規范》相較于征求意見稿增加了第十條 ,“數據處理者向境外提供個人信息的,應當按照法律、行政法規的規定履行告知、取得個人單獨同意、進行個人信息保護影響評估等義務”這一規定與《個人信息保護法》第十七條、第三十九條、第五十五條規定一致。
征求意見稿規定“向境外提供涉及黨政軍和涉密單位敏感信息、敏感個人信息的,依照有關法律、行政法規、部門規章規定執行”,此次《規范》刪除了此條款,理解黨政軍和涉密單位敏感信息本身就不在數據可出境范圍內,刪除可以減少不必要的解讀。
結語
隨著《規范》的正式實施,可以認為“關于數據出境監管的不確定性暫時告一段落”,[4] 解決了實務中最大合規困擾。但是應當注意的是《規范》并非實質性合規義務的免除,《規范》第一條已經明確各信息處理主體仍然需要按照《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律法規履行數據安全以及個人信息保護義務。各信息處理主體需要主動進行數據分級分類管理,采取措施實現傳輸信息的安全涉及個人信息應當主動采取合規措施,滿足合法性、正當性和必要性的條件。其次,監管方面會更加強調事中和事后監管,發現數據出境活動存在較大風險或者發生數據安全事件的,數據處理者有義務進行整改,消除隱患。因此各企業仍需排查、梳理數據處理和數據出境場景,明確適用的豁免場景,做好持續性合規工作。
附表:《規范》與征求意見稿逐條對比表
紅色部分為新增,藍色部分為被刪減的舊內容,供參考查閱。
注釋:
[1] 根據《促進和規范數據跨境流動規定》答記者問,六種數據出境活動免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證:
一是國際貿易、跨境運輸、學術合作、跨國生產制造和市場營銷等活動中收集和產生的數據向境外提供,不包含個人信息或者重要數據的。二是在境外收集和產生的個人信息傳輸至境內處理后向境外提供,處理過程中沒有引入境內個人信息或者重要數據的。三是為訂立、履行個人作為一方當事人的合同,如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等,確需向境外提供個人信息的。四是按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理,確需向境外提供員工個人信息的。五是緊急情況下為保護自然人的生命健康和財產安全,確需向境外提供個人信息的。六是關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供不滿10萬人個人信息(不含敏感個人信息)的。其中,第三種至第六種條件所稱向境外提供的個人信息,不包括被相關部門、地區告知或者公開發布為重要數據的個人信息。
[2] 主要通過“數據出境申報系統”
[3]2024年2月8日,《中國(上海)自由貿易試驗區臨港新片區數據跨境流動分類分級管理辦法(試行)》(以下簡稱“《上海辦法》”)印發。跨境數據分為核心數據、重要數據、一般數據3個級別。重要數據目錄是由臨港新片區管委會制定,重要數據跨境可在通過臨港新片區數據跨境服務中心進行申報材料初驗后,向市委網信辦申報數據出境安全評估。
2024年2月5日,《中國(天津)自由貿易試驗區企業數據分類分級標準規范》(以下簡稱“《規范》”)印發。《規范》適用于天津自貿試驗區內企業在生產經營過程中產生、收集、存儲、傳輸和處理的數據的分類分級。該《規范》將企業數據從高到低分為核心、重要、一般3個級別,重要數據認定的路徑是首先企業基于自身數據分類分級工作,向天津自貿試驗區網絡數據安全工作主管部門報送重要數據目錄。天津自貿試驗區網絡數據安全工作主管部門梳理匯總企業報送的重要數據目錄,形成天津自貿試驗區重要數據目錄匯總表,并報送天津市數據安全工作協調機制。而后天津市數據安全工作協調機制對確認后,形成天津自貿試驗區企業重要數據目錄,并按程序報送國家數據安全工作協調機制辦公室。
[4] 新質生產力的重大利好:《促進和規范數據跨境流動規定》要點解析,陳際紅 吳佳蔚等,TMT法律論壇
