《促進和規范數據跨境流動規定》生效后需要關注的八大問題
作者:吳衛明 劉昀東 2024-03-232024年3月22日,《促進和規范數據跨境流動規定》(以下簡稱《數據跨境規定》)正式公布并施行。2023年9月28日,國家互聯網信息辦公室(以下簡稱“國家網信辦”)就《規范和促進數據跨境流動規定(征求意見稿)》(以下簡稱《征求意見稿》)公開征求意見,歷時近半年,《數據跨境規定》終于落地實施。
從《征求意見稿》到《數據跨境規定》,兩個文件的名稱有細微變化,《征求意見稿》的用詞為“規范和促進”,而《數據跨境規定》的用詞則為 “促進和規范”,這一名稱的變化值得關注。為了正確在實踐中正確理解《數據跨境規定》,應當重點關注如下八大問題:
一、適用范圍更為清晰
《征求意見稿》第八條規定“國家機關和關鍵信息基礎設施運營者向境外提供個人信息和重要數據的,依照有關法律、行政法規、部門規章規定執行。向境外提供涉及黨政軍和涉密單位敏感信息、敏感個人信息的,依照有關法律、行政法規、部門規章規定執行。”該條款將國家機關和關鍵信息基礎設施運營者這兩類主體和黨政軍和涉密單位敏感信息、敏感個人信息這類信息排除適用。
《數據跨境規定》則未保留該條款,而是區分不同部門法的規制范圍,進行了適用上的區分,從而更有利于實施。主要體現為兩方面:
1、關鍵信息基礎設施和國家機關進行了區分
《征求意見稿》將關鍵信息基礎設施和國家機關并列表述,雖然也規定了需要適用有關法律、行政法規、部門規章,但由于關鍵信息基礎設施運營者和國家機關,在《網絡安全法》《數據安全法》《個人信息保護法》所規定的數據出境制度設計上采用的是不同審批流程,是兩項不同的制度,因此并列表述可能會引發一定的歧義。
《數據跨境規定》中,則直接將關鍵信息基礎設施運營者向境外提供個人信息或者重要數據列入了需要申報數據出境安全評估的范圍,并且在第七條設置適用豁免條件的特殊規則。國家機關數據出境,由于有《數據安全法》《個人信息保護法》的專門的規定,因而未作提及。
2、將黨政軍和涉密單位敏感信息、敏感個人信息進行了區分
《征求意見稿》直接規定,向境外提供涉及黨政軍和涉密單位敏感信息、敏感個人信息的,依照有關法律、行政法規、部門規章規定執行。
《數據跨境規定》中,對敏感個人信息出境的規則直接做了規定,并且相較《數據出境安全評估辦法》、《個人信息出境標準合同辦法》有一定細化。而向境外提供涉及黨政軍和涉密單位敏感信息,由于有其他相關法律的規定,因而《數據跨境規定》并未直接提及。
上述變化,對于適用主體、適用數據類型的規定更為清晰,也更有利于在實施中予以正確理解。
二、加強關注重要數據的識別義務
《數據跨境規定》第二條保留了《征求意見稿》中關于不需要作為重要數據申報的情形的規定,即“未被相關部門、地區告知或者公開發布為重要數據的,數據處理者不需要作為重要數據申報數據出境安全評估”。同時,增加了“數據處理者應當按照相關規定識別、申報重要數據”的要求,提示數據處理者仍然具有識別重要數據的義務。
此外,相較于《征求意見稿》關于自貿區負面清單的規定,《數據跨境規定》亦增加了“在國家數據分類分級保護制度框架下”的限定條件。
而且《數據跨境規定》第五條特意強調“前款所稱向境外提供的個人信息,不包括重要數據”,提示了個人信息可能在特定情況下被認定為重要數據,與《數據安全技術 數據分類分級規則》中識別重要數據時“一定規模”這個要素以及《汽車數據安全管理若干規定(試行)》中涉及個人信息主體超過10萬人的個人信息屬于重要數據的規定存在呼應。
上述規定體現了對于重要數據的識別是數據安全的基石之一,無論是政府還是企業都應當予以重視,也與2024年3月21日發布、2024年10月1日實施的《數據安全技術 數據分類分級規則》產生了連接,使得數據分類分級制度更為立體。
三、免予適用三大路徑的條件存在變化
《征求意見稿》中,免予適用申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證三大路徑(以下簡稱“三大路徑”)的情形(以下簡稱“豁免條件”)包括七種,在《數據跨境規定》中基本予以了保留,但均存在一定變化。為便于查看,筆者特將對比分析情況制作成如下表格:
其中,第六種還與適用三大路徑的門檻相關,另對比如下表所示:
綜合而言,《數據跨境規定》沿襲了《征求意見稿》的精神,明確了無須適用三大路徑的標準,并且通過調整統計期間和統計數量標準縮小了“應當申報安全評估”的范圍。相對于《征求意見稿》,進一步明確了“敏感個人信息”的出境規則。
另外值得一提的是,雖然統計期間的表達方式由預期判斷變更為當年計數,但仍然需要做好預估與監測工作,避免疏忽的情況下超越門檻而未開展相應程序引發合規風險。
四、豁免條件和數量統計之間的關系更為明確
在《征求意見稿》發布后,因為沒有相應明確規定,引發了一個容易產生爭議的問題:如果某些情形滿足特定必要情形的豁免條件(例如“履行合同必要”),但其出境數據的數量可能已經達到或超過了應該申報數據出境安全評估或辦理個人信息出境標準合同備案的數量標準(如跨境機票預定數量超過了100萬人),在判斷是否適用三大路徑數量標準時還需要統計這一數量?優先適用豁免條款或是數量條款?
在《數據跨境規定》中,這一問題進一步予以了明確,因為關于數量標準的第七條、第八條都有一個特殊適用規則,即“屬于本規定第三條、第四條、第五條、第六條規定情形的,從其規定”。第三條、第四條、第五條、第六條規定了六種豁免情形。由此可以理解為,滿足豁免條件的情形,則無需對數量進行統計,用于判斷適用何種路徑。
五、安全評估有效期延長
《數據跨境規定》第九條將《數據出境安全評估辦法》第十四條規定的安全評估結果有效期2年變更為3年,并且新增了可以申請繼續延長3年的規定(申請期間為有效期屆滿前60個工作日內,批準機關仍為國家網信辦)。意味著如果相關數據出境活動需要持續開展,可在評估有效期屆滿前,依照國家網信辦規定的程序申請延長。
但是應當注意的是,目前對于如何申請繼續延長并沒有明確規定,因此需要關注相應細則落地,避免因未及時履行申請繼續延長的手續而導致數據出境活動面臨合規風險。
此外,延長有效期以數據出境安全評估所申報的實際數據出境狀態未發生重大變化為基礎。因此,在通過數據出境安全評估后,仍需嚴格按照評估申報的內容實施數據出境,否則評估到期可能無法獲得延期的批準。
六、不適用三大路徑不意味著沒有合規義務
雖然《數據跨境規定》的生效在一定程度上意味著數據處理者部分合規工作的強度可以得到緩釋,但并不意味著數據處理者無須因數據出境活動履行合規義務。因為即使屬于適用豁免條件的情形,仍需要取得個人單獨同意以確保合法性基礎,并需要開展個人信息保護影響評估、履行數據安全保護義務、采取技術措施和其他必要措施、安全事件應急處置(含采取補救措施、報告等)、建立數據安全/個人信息保護體系等義務。
而且,在適用豁免條件的情形下,如果未通過三大路徑對于數據處理者合規義務履行情況進行一定程度上的驗證,則更考驗數據處理者自身對于合規義務履行情況的判斷。如果數據處理者判斷不到位或者履行合規義務不到位,則將導致相關合規風險,例如由于個人信息出境活動未取得個人單獨同意導致需要承擔侵犯個人信息權益的相關法律責任。
七、法律責任的可預期性加強
由于《個人信息保護法》對于違法行為對應的法律后果規定比較寬泛,導致未滿足合規條件的數據出境活動,尤其是個人信息出境活動最終將面臨的法律責任存在比較大的適用區間。而《數據跨境規定》第十二條規定,網信部門發現數據出境活動存在較大風險或者發生數據安全事件的,要求數據處理者進行整改,消除隱患;對拒不改正或者造成嚴重后果的,依法追究法律責任。這些規定增強了法律后果的可預期性。
應當注意的是,上述規定圍繞的是數據出境活動存在較大風險或者發生安全事件的情形,但是數據處理的全生命周期不僅僅是出境這一個環節,其他環節仍然可能衍生出更嚴重的法律風險,例如違法數據出境,風險點主要在數據來源違法而不是數據出境未適用三大路徑,尤其是數據來源于違法收集個人信息的情形,仍面臨侵犯個人信息的刑事風險。
八、原來的申報備案工作如何處理
目前可能存在很多數據處理者已經適用原標準,正處于申報數據安全評估或者個人信息出境標準合同的過程中。對于這一種情形,《數據跨境規定》未做出明確規定,但在《〈促進和規范數據跨境流動規定〉答記者問》中,國家網信辦有關負責人的回答可以作為監管機關的態度予以參考:
《數據跨境規定》施行前已經通過數據出境安全評估的數據出境活動,數據處理者可以根據申報事項繼續開展。
《數據跨境規定》施行前未通過或者部分未通過數據出境安全評估,根據《數據跨境規定》免予申報數據出境安全評估的數據出境活動,數據處理者可以依法通過訂立個人信息出境標準合同、通過個人信息保護認證等其他途徑向境外提供個人信息。
