《促进和规范数据跨境流动规定》生效后需要关注的八大问题
作者:吴卫明 刘昀东 2024-03-232024年3月22日,《促进和规范数据跨境流动规定》(以下简称《数据跨境规定》)正式公布并施行。2023年9月28日,国家互联网信息办公室(以下简称“国家网信办”)就《规范和促进数据跨境流动规定(征求意见稿)》(以下简称《征求意见稿》)公开征求意见,历时近半年,《数据跨境规定》终于落地实施。
从《征求意见稿》到《数据跨境规定》,两个文件的名称有细微变化,《征求意见稿》的用词为“规范和促进”,而《数据跨境规定》的用词则为 “促进和规范”,这一名称的变化值得关注。为了正确在实践中正确理解《数据跨境规定》,应当重点关注如下八大问题:
一、适用范围更为清晰
《征求意见稿》第八条规定“国家机关和关键信息基础设施运营者向境外提供个人信息和重要数据的,依照有关法律、行政法规、部门规章规定执行。向境外提供涉及党政军和涉密单位敏感信息、敏感个人信息的,依照有关法律、行政法规、部门规章规定执行。”该条款将国家机关和关键信息基础设施运营者这两类主体和党政军和涉密单位敏感信息、敏感个人信息这类信息排除适用。
《数据跨境规定》则未保留该条款,而是区分不同部门法的规制范围,进行了适用上的区分,从而更有利于实施。主要体现为两方面:
1、关键信息基础设施和国家机关进行了区分
《征求意见稿》将关键信息基础设施和国家机关并列表述,虽然也规定了需要适用有关法律、行政法规、部门规章,但由于关键信息基础设施运营者和国家机关,在《网络安全法》《数据安全法》《个人信息保护法》所规定的数据出境制度设计上采用的是不同审批流程,是两项不同的制度,因此并列表述可能会引发一定的歧义。
《数据跨境规定》中,则直接将关键信息基础设施运营者向境外提供个人信息或者重要数据列入了需要申报数据出境安全评估的范围,并且在第七条设置适用豁免条件的特殊规则。国家机关数据出境,由于有《数据安全法》《个人信息保护法》的专门的规定,因而未作提及。
2、将党政军和涉密单位敏感信息、敏感个人信息进行了区分
《征求意见稿》直接规定,向境外提供涉及党政军和涉密单位敏感信息、敏感个人信息的,依照有关法律、行政法规、部门规章规定执行。
《数据跨境规定》中,对敏感个人信息出境的规则直接做了规定,并且相较《数据出境安全评估办法》、《个人信息出境标准合同办法》有一定细化。而向境外提供涉及党政军和涉密单位敏感信息,由于有其他相关法律的规定,因而《数据跨境规定》并未直接提及。
上述变化,对于适用主体、适用数据类型的规定更为清晰,也更有利于在实施中予以正确理解。
二、加强关注重要数据的识别义务
《数据跨境规定》第二条保留了《征求意见稿》中关于不需要作为重要数据申报的情形的规定,即“未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估”。同时,增加了“数据处理者应当按照相关规定识别、申报重要数据”的要求,提示数据处理者仍然具有识别重要数据的义务。
此外,相较于《征求意见稿》关于自贸区负面清单的规定,《数据跨境规定》亦增加了“在国家数据分类分级保护制度框架下”的限定条件。
而且《数据跨境规定》第五条特意强调“前款所称向境外提供的个人信息,不包括重要数据”,提示了个人信息可能在特定情况下被认定为重要数据,与《数据安全技术 数据分类分级规则》中识别重要数据时“一定规模”这个要素以及《汽车数据安全管理若干规定(试行)》中涉及个人信息主体超过10万人的个人信息属于重要数据的规定存在呼应。
上述规定体现了对于重要数据的识别是数据安全的基石之一,无论是政府还是企业都应当予以重视,也与2024年3月21日发布、2024年10月1日实施的《数据安全技术 数据分类分级规则》产生了连接,使得数据分类分级制度更为立体。
三、免予适用三大路径的条件存在变化
《征求意见稿》中,免予适用申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证三大路径(以下简称“三大路径”)的情形(以下简称“豁免条件”)包括七种,在《数据跨境规定》中基本予以了保留,但均存在一定变化。为便于查看,笔者特将对比分析情况制作成如下表格:
其中,第六种还与适用三大路径的门槛相关,另对比如下表所示:
综合而言,《数据跨境规定》沿袭了《征求意见稿》的精神,明确了无须适用三大路径的标准,并且通过调整统计期间和统计数量标准缩小了“应当申报安全评估”的范围。相对于《征求意见稿》,进一步明确了“敏感个人信息”的出境规则。
另外值得一提的是,虽然统计期间的表达方式由预期判断变更为当年计数,但仍然需要做好预估与监测工作,避免疏忽的情况下超越门槛而未开展相应程序引发合规风险。
四、豁免条件和数量统计之间的关系更为明确
在《征求意见稿》发布后,因为没有相应明确规定,引发了一个容易产生争议的问题:如果某些情形满足特定必要情形的豁免条件(例如“履行合同必要”),但其出境数据的数量可能已经达到或超过了应该申报数据出境安全评估或办理个人信息出境标准合同备案的数量标准(如跨境机票预定数量超过了100万人),在判断是否适用三大路径数量标准时还需要统计这一数量?优先适用豁免条款或是数量条款?
在《数据跨境规定》中,这一问题进一步予以了明确,因为关于数量标准的第七条、第八条都有一个特殊适用规则,即“属于本规定第三条、第四条、第五条、第六条规定情形的,从其规定”。第三条、第四条、第五条、第六条规定了六种豁免情形。由此可以理解为,满足豁免条件的情形,则无需对数量进行统计,用于判断适用何种路径。
五、安全评估有效期延长
《数据跨境规定》第九条将《数据出境安全评估办法》第十四条规定的安全评估结果有效期2年变更为3年,并且新增了可以申请继续延长3年的规定(申请期间为有效期届满前60个工作日内,批准机关仍为国家网信办)。意味着如果相关数据出境活动需要持续开展,可在评估有效期届满前,依照国家网信办规定的程序申请延长。
但是应当注意的是,目前对于如何申请继续延长并没有明确规定,因此需要关注相应细则落地,避免因未及时履行申请继续延长的手续而导致数据出境活动面临合规风险。
此外,延长有效期以数据出境安全评估所申报的实际数据出境状态未发生重大变化为基础。因此,在通过数据出境安全评估后,仍需严格按照评估申报的内容实施数据出境,否则评估到期可能无法获得延期的批准。
六、不适用三大路径不意味着没有合规义务
虽然《数据跨境规定》的生效在一定程度上意味着数据处理者部分合规工作的强度可以得到缓释,但并不意味着数据处理者无须因数据出境活动履行合规义务。因为即使属于适用豁免条件的情形,仍需要取得个人单独同意以确保合法性基础,并需要开展个人信息保护影响评估、履行数据安全保护义务、采取技术措施和其他必要措施、安全事件应急处置(含采取补救措施、报告等)、建立数据安全/个人信息保护体系等义务。
而且,在适用豁免条件的情形下,如果未通过三大路径对于数据处理者合规义务履行情况进行一定程度上的验证,则更考验数据处理者自身对于合规义务履行情况的判断。如果数据处理者判断不到位或者履行合规义务不到位,则将导致相关合规风险,例如由于个人信息出境活动未取得个人单独同意导致需要承担侵犯个人信息权益的相关法律责任。
七、法律责任的可预期性加强
由于《个人信息保护法》对于违法行为对应的法律后果规定比较宽泛,导致未满足合规条件的数据出境活动,尤其是个人信息出境活动最终将面临的法律责任存在比较大的适用区间。而《数据跨境规定》第十二条规定,网信部门发现数据出境活动存在较大风险或者发生数据安全事件的,要求数据处理者进行整改,消除隐患;对拒不改正或者造成严重后果的,依法追究法律责任。这些规定增强了法律后果的可预期性。
应当注意的是,上述规定围绕的是数据出境活动存在较大风险或者发生安全事件的情形,但是数据处理的全生命周期不仅仅是出境这一个环节,其他环节仍然可能衍生出更严重的法律风险,例如违法数据出境,风险点主要在数据来源违法而不是数据出境未适用三大路径,尤其是数据来源于违法收集个人信息的情形,仍面临侵犯个人信息的刑事风险。
八、原来的申报备案工作如何处理
目前可能存在很多数据处理者已经适用原标准,正处于申报数据安全评估或者个人信息出境标准合同的过程中。对于这一种情形,《数据跨境规定》未做出明确规定,但在《〈促进和规范数据跨境流动规定〉答记者问》中,国家网信办有关负责人的回答可以作为监管机关的态度予以参考:
《数据跨境规定》施行前已经通过数据出境安全评估的数据出境活动,数据处理者可以根据申报事项继续开展。
《数据跨境规定》施行前未通过或者部分未通过数据出境安全评估,根据《数据跨境规定》免予申报数据出境安全评估的数据出境活动,数据处理者可以依法通过订立个人信息出境标准合同、通过个人信息保护认证等其他途径向境外提供个人信息。