简析《规范和促进数据跨境流动规定》
作者:星际游 成媛媛 2024-03-26距离征求意见稿公开征求意见近6个月,《规范和促进数据跨境流动规定》(以下简称“《规范》”)终于正式发布。该规范体现了《国务院关于进一步优化外商投资环境加大吸引外商投资力度的意见》中“数据跨境流动安全管理机制便利化”的政策趋势。本文拟通过对比该《规范》的征求意见稿,以解读目前数据出境的监管方向。
要点一:“重要数据”的范围保持不变
在《规范》之前,涉及数据出境的三条路径,即“安全评估、标准合同备案和安全认证”,主要是围绕着个人信息或者重要数据展开的。实务中,各行业面临的一个普遍问题是“重要数据”的范围究竟为何?虽然在《数据安全法》中针对“重要数据”有一系列的义务要求,“重要数据”究竟包括哪些信息并未有法律层级的规范。《数据出境安全评估办法》虽然对于“重要数据”的性质进行了定义,即“重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”,实务中每一个行业及实体所处理的数据究竟何为“重要数据”,业界迫切需要监管部门予以明确的规范。目前除汽车行业外,并未有正式部门规章或规范性文件对于重要数据具体范围进行规范,“重要数据”的国家推荐性标准《信息安全技术 重要数据识别规则》也是几易其稿,至今尚未正式发布。一些行业监管部门已经开始通过监管问卷方式与业界逐步达成共识,也有一些行业监管部门通过部门发文细化重要数据危害安全程度进一步限定重要数据范围,例如工信部《工业和信息化领域数据安全管理办法(试行)》第十条。
征求意见稿的第二条规定,“未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估”,这一规定是征求意见稿面世后最受关注且备受欢迎的政策定位。此次《规范》与征求意见稿完全一致,且条款提前到了《规范》第一条总则之后,开宗明义,澄清了业界对于重要数据的模糊认知,对于实务中减少合规成本具有重要意义。对比征求意见稿,《规范》第二条还明确了数据处理者的前置识别、申报义务,即应当首先按照相关规定识别、申报重要数据。
要点二:豁免场景更为丰富
首先,对于征求意见稿中明确的“因不包含个人信息和重要数据免于申报”的场景,增加了“跨境运输”一项,即“国际贸易、跨境运输、学术合作、跨国生产制造和市场营销”5种场景,如不包含个人信息和重要数据,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
其次,在向境外提供个人信息过程中“为订立、履行个人作为一方当事人的合同目的确需向境外提供的豁免场景”增加了“跨境寄递、跨境支付、跨境开户、考试服务”四项,即8种场景“跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等”。
这些场景的丰富体现了监管部门对于实务界反馈的回应,更加便利实际经济发展。[1]公开发布为重要数据的个人信息。
要点三:门槛大幅降低
首先,《规范》规定“关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”,“10万人”的标准相较征求意见稿初始的豁免门槛“1万人”大幅降低了要求标准。
其次,在计算关键信息基础设施运营者以外的数据处理者向境外提供个人信息(不含敏感个人信息)的数量上,对于100万个人信息的数量级,《规范》细化了限定,即从“当年1月1日”开始,与征求意见稿之前的相关规定相比,大大减轻了信息处理者对于累计计算个人数据量准确度的担忧。
要点四:进一步简化行政流程
《规范》相较于征求意见稿新增了第九条“通过数据出境安全评估的结果有效期为3年,自评估结果出具之日起算。有效期届满,需要继续开展数据出境活动并且未发生需要重新申报数据出境安全评估的情形的,数据处理者可以在届满前60个工作日内向国家网信部门提出延长评估结果有效期的申请。”
该等规定简化了数据处理活动有效期以及未变化场景下数据处理者延长有效期的申报工作程序。配套国家网信办同步发布的《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》,无论是数据处理者需要提交的材料还是提交申报的方法[2],行政流程整体均向简化、方便操作的方向发展。
要点五:要求更为准确
首先,对于“数据过境”场景,相较于征求意见稿,《规范》对于“过境”的定义更为明确,原文“不是在境内收集产生的个人信息向境外提供”进一步明确为“在境外收集和产生的个人信息传输至境内处理后向境外提供”,而且强调“处理过程中没有引入境内个人信息或者重要数据的”免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
其次,对于个人信息跨境业务,按照《规范》颁布之前的要求,是否达到100万个人信息、10万个人信息以及1万敏感个人信息数量级,对于采取何种出境路径具有关键意义,而统计这一数据量的时间段表述是“自上年1月1日累计”,实务中谨慎理解为至少累计统计2年内数据(对于100万个人信息,没有自上年统计的限定,最为谨慎的理解为自始累计)。征求意见稿采用的表述方式是“预计一年”,仍然无法清晰定义起止日期。《规范》最终采用的是“自当年1月1日”,更易于实务中的理解和操作。
要点六:明确自贸区特殊规则
《规范》明确,自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。相较于征求意见稿,强调了“在国家数据分类分级保护制度框架下”,明确了适用范围是区内机构,而且备案部门增加了国家数据管理部门。
以上海自由贸易试验区临港新片区以及天津自由贸易试验区企业为例,根据《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》以及《中国(天津)自由贸易试验区企业数据分类分级标准规范》,上海自由贸易试验区临港新片区以及天津自由贸易试验区内企业负面清单认定的流程基本与《规范》一致,未对后续备案程序有细化规定,可能需要按照《规范》进一步调整。[3]
要点七:增强与其他既有法律法规的一致性
《规范》相较于征求意见稿增加了第十条 ,“数据处理者向境外提供个人信息的,应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务”这一规定与《个人信息保护法》第十七条、第三十九条、第五十五条规定一致。
征求意见稿规定“向境外提供涉及党政军和涉密单位敏感信息、敏感个人信息的,依照有关法律、行政法规、部门规章规定执行”,此次《规范》删除了此条款,理解党政军和涉密单位敏感信息本身就不在数据可出境范围内,删除可以减少不必要的解读。
结语
随着《规范》的正式实施,可以认为“关于数据出境监管的不确定性暂时告一段落”,[4] 解决了实务中最大合规困扰。但是应当注意的是《规范》并非实质性合规义务的免除,《规范》第一条已经明确各信息处理主体仍然需要按照《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规履行数据安全以及个人信息保护义务。各信息处理主体需要主动进行数据分级分类管理,采取措施实现传输信息的安全涉及个人信息应当主动采取合规措施,满足合法性、正当性和必要性的条件。其次,监管方面会更加强调事中和事后监管,发现数据出境活动存在较大风险或者发生数据安全事件的,数据处理者有义务进行整改,消除隐患。因此各企业仍需排查、梳理数据处理和数据出境场景,明确适用的豁免场景,做好持续性合规工作。
附表:《规范》与征求意见稿逐条对比表
红色部分为新增,蓝色部分为被删减的旧内容,供参考查阅。
注释:
[1] 根据《促进和规范数据跨境流动规定》答记者问,六种数据出境活动免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
一是国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的。二是在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的。三是为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的。四是按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的。五是紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的。六是关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。其中,第三种至第六种条件所称向境外提供的个人信息,不包括被相关部门、地区告知或者公开发布为重要数据的个人信息。
[2] 主要通过“数据出境申报系统”
[3]2024年2月8日,《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》(以下简称“《上海办法》”)印发。跨境数据分为核心数据、重要数据、一般数据3个级别。重要数据目录是由临港新片区管委会制定,重要数据跨境可在通过临港新片区数据跨境服务中心进行申报材料初验后,向市委网信办申报数据出境安全评估。
2024年2月5日,《中国(天津)自由贸易试验区企业数据分类分级标准规范》(以下简称“《规范》”)印发。《规范》适用于天津自贸试验区内企业在生产经营过程中产生、收集、存储、传输和处理的数据的分类分级。该《规范》将企业数据从高到低分为核心、重要、一般3个级别,重要数据认定的路径是首先企业基于自身数据分类分级工作,向天津自贸试验区网络数据安全工作主管部门报送重要数据目录。天津自贸试验区网络数据安全工作主管部门梳理汇总企业报送的重要数据目录,形成天津自贸试验区重要数据目录汇总表,并报送天津市数据安全工作协调机制。而后天津市数据安全工作协调机制对确认后,形成天津自贸试验区企业重要数据目录,并按程序报送国家数据安全工作协调机制办公室。
[4] 新质生产力的重大利好:《促进和规范数据跨境流动规定》要点解析,陈际红 吴佳蔚等,TMT法律论坛