一、我国数据跨境主要法律法规和监管规定
我国的跨境数据涉及多个法律法规和相关规定,从2016年《中华人民共和国网络安全法》(以下简称《网络安全法》)出台,数据跨境就一直是立法的重点和焦点问题。直到2021年《中华人民共和国数据安全法》(以下简称《数据安全法》)《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)先后出台,数据合规邻域三大基本法律规范体系建立;2022年《数据出境安全评估办法》发布,《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》(以下简称《安全认证规范V2.0》)正式实施,再到2023年2月《个人信息出境标准合同办法》(以下简称《标准合同办法》)正式发布,我国数据跨境的相关法律法规及政策指引文件更加完善和体系化,并已初步形成数据出境安全评估、个人信息保护认证、个人信息出境标准合同备案三大数据出境的基本合规路径。
在前述法律法规和相关政策文件的规定和指引下,我国数据出境安全评估、个人信息处境安全认证、个人信息出境标准合同备案工作逐展开。但在实践中,数据出境的场景千差万别,而相应的监管细则并不完善,也出现了申报流程长、数据安全评估触发门槛较低、监管较为严格、企业数据出境合规成本较高等一系列情况。在促进数据流动,加强数字贸易的背景下,2023年9月28日国家互联网信息办公室发布《规范和促进数据跨境流动规定(征求意见稿)》广泛征求各方对数据出境规定的意见。2024年3月22日,《促进和规范数据跨境流动规定》(以下简称《跨境流动规定》)正式发布施行,放宽了数据出境的合规监管要求,申报数据安全评估、个人信息保护认证或标准合同备案的触发门槛均有所提高,同时规定了无需申报数据出境安全评估、订立个人信息出境标准合同、进行个人信息保护认证的豁免场景等,监管尺度的放宽同时也大大降低了企业数据出境的合规成本。
在地方层面上,北京、天津、上海、粤港澳大湾区等地也积极探索数据出境管理创新思路和方案,分别出台了《中国(北京)自由贸易试验区数据出境负面清单管理办法(试行)》(以下简称《北京负面清单管理办法》)及《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》(以下简称《北京负面清单》)、《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法》(以下简称《上海临港数据跨境分类分级办法》)及《中国(上海)自由贸易试验区临港新片区生物医药领域数据跨境场景化一般数据清单(试行)》《中国(上海)自由贸易试验区临港新片区智能网联汽车领域数据跨境场景化一般数据清单(试行)》《中国(上海)自由贸易试验区临港新片区公募基金领域数据跨境场景化一般数据清单(试行)》(以下合并简称《上海一般数据清单》、《中国(天津)自由贸易试验区数据出境管理清单(《负面清单》)(2024年版)》(以下简称《天津自贸区负面清单》、《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(以下简称《大湾区标准合同实施指引(内地、香港》)及《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引》(以下简称《大湾区标准合同实施指引(内地、澳门)》。
总的来说,我国的数据跨境法律法规和监管政策旨在保护数据安全,促进数据合法、有序地跨境流动。随着技术的不断发展和数据保护需求的增加,这些法规、政策和指引文件也在不断完善,以适应新的形势和挑战。
二、我国数据出境的三大基础合规路径
(一)三大基础合规路径
《网络安全法》、《数据安全法》和《个人信息保护法》这三部数据合规领域的“基本法”,对数据出境的条件和要求均做出了相应规定。其中《个人信息保护法》更是直接明确了个人信息出境的三条基本合规路径,即:
(1)通过国家网信部门组织的安全评估;
(2)经专业机构进行个人信息保护认证;
(3)按照国家网信部门制定的标准合同与境外接收方订立合同。
这三条合规路径的具体适用条件和基本要求,也相应通过《安全评估办法》、《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》及之后的2.0版本和《标准合同办法》中予以明确。其中安全评估具有法定适用性,根据《安全评估办法》规定,达到下列条件/符合下列情形的数据出境活动应强制适用:
(1)向境外提供重要数据;
(2)关键信息基础设施运营者(CIIO);
(3)处理100万人以上个人信息;
(4)自上年1月1日起累计向境外提供10万人个人信息;
(5)自上年1月1日起累计向境外提供1万人敏感个人信息;
(6)国家网信部门规定的其他需要申报数据出境安全评估的情形。
未达到安全评估适用条件的,企业可根据自身条件、数据出境的具体场景和频次等选择适用个人信息保护认证或比准合同备案。
而随着《跨境流动规定》正式发布施行,三大合规路径的适用条件也有了变化,在《跨境流动规定》的背景下,企业数据出境的整体合规义务相对减轻,包括安全评估强制适用的触发门槛提高,特定情形下的豁免等。具体体现在:
1. 仍需进行安全评估的条件/情形:
(1)向境外提供重要数据;
(2)关键信息基础设施运营者(CIIO);
(3)自当年1月1日起累计提供100万人以上个人信息(不含敏感个人信息);
(4)自当年1月1日起累计提供1万人以上敏感个人信息。
对于此前《安全评估办法》中要求的累计向境外提供10万人个人信息需进行安全评估,《跨境流通规定》不再要求,而是修改为自当年1月1日起累计提供10万人以上个人信息(不足100万人)只需进行个人信息保护认证或标准合同备案。
2. 数据出境监管流程的豁免
《跨境流通规定》同时还规定了在特定情形下,数据处理者无需进行三大数据出境合规监管流程。具体包括:
(1)自当年1月1日起累计提供不满10万人个人信息(不含敏感个人信息)的;
(2)国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的;
(3)数据过境;
(4)为订立、履行个人作为一方当事人的合同,按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,紧急情况下为保护自然人的生命健康和财产安全等情况下确需个人信息出境;
(5)自由贸易试验区内数据处理者向境外提供负面清单外的数据。
(二)三大基础合规路径的选择
在选择出境合规路径时,数据处理者可以按照以下顺序根据实际情况选择合规且适合的路径。
1. 看豁免
首先数据处理者可以评估出境的数据是否符合《跨境流通规定》的豁免监管流程的情形,如果符合豁免情形的,则无需通过三大基础合规路径直接出境。但需注意的是,此处的豁免仅是豁免了申报安全评估、进行个人信息保护认证和标准合同备案的监管流程,并非豁免了数据处理者本身需遵守的数据合规和相关法律法规的实质义务,数据处理者必须依法依规从事数据出境活动。
2. 看主体
如不存在豁免情形,则看数据处理者是否属于关键基础设施运营者(CIIO)。如果出境主体属于CIIO,则无选择地应当申报数据出境安全评估《关键信息基础设施安全保护条例》(以下简称“《关基条例》”)第二条对关键信息基础设施(CII)作出了规定,主要包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域。同时《关基条例》也明确,CII由相应行业、领域的主管部门、监督管理部门进行认定并通知运营者,因此,是否是CIIO通常需要由主管部门来认定。
3. 看数据
如果数据处理者不属于CIIO,则需要对出境数据进行分析。首先判断出境数据是否属于重要数据,如果落入重要数据范畴,则也应当申报数据安全评估。根据《安全评估办法》规定,重要数据是指“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。”数据处理者需要根据相关地区、部门的通知或发布的数据分级政策指引等来判断出境数据是否属于重要数据。
如果出境数据不属于重要数据,则需要进一步判断数量级是否达到自当年1月1日起累计100万人以上个人信息,或1万人敏感个人信息的标准,在达到相应数量级标准时,也应当无选择地申报数据出境安全评估。如果未达到前述数量级,但达到当年1月1日起累计10万人以上个人信息量级的,则应当进行个人信息保护认证或标准合同备案。
4. 看场景
在上述主体条件和数量级标准均未达到,又不存在豁免情形时,则应当进行个人信息保护认证或标准合同备案。而这两条路径的选择,更多地需要看企业自身的业务情况和具体出境场景。
个人信息保护认证更偏向于对企业数据出境合规体系建设的考察,包括设立个人信息保护负责人、个人信息保护机构、制定个人信息跨境处理规则等 ,更加适合于跨国企业、合规体系相对更加全面和完善以及经常性从事个人信息跨境活动的企业。而标准合同则较为直接,更加适用于个别、少量、直接的个人信息跨境活动。
三、我国地区性的数据跨境流动创新政策
(一)粤港澳大湾区个人信息跨境流动政策
2023年6月29日,国家网信办香港特区政府创新科技及工业局签署了《促进粤港澳大湾区数据跨境流动的合作备忘录》,共同推动粤港澳大湾区数据跨境流动的工作。随后的2023年12月13日,国家网信办和香港特别行政区政府创新科技及工业局共同发布了《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(以下简称《大湾区标准合同实施指引(内地、香港》),并提供《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》(以下简称《大湾区标准合同(内地、香港)》)及《承诺书》模板作为附件,为粤港澳大湾区内的个人信息跨境活动提供便利措施。
大湾区标准合同(内地、香港)适用于注册于/位于广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市及香港的个人信息处理者及接收方。与《标准合同办法》规定的标准合同备案相比,大湾区标准合同(内地、香港)进一步为个人信息处理者的个人信息出境合规减负,在备案中无需提供个人信息保护影响评估报告(需注意的是,虽然备案无需提供报告,但并未免除个人信息处理者应当进行个人信息保护影响评估的义务),且对个人信息保护影响评估的内容进行了简化。除此之外,大湾区标准合同(内地、香港)在条款的设置上,也适当减轻了境外接收方的义务。
2024年9月10日,国家网信办与澳门特别行政区政府经济及科技发展局、澳门特别行政区政府个人资料保护局共同制定的《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引》(以下简称《大湾区标准合同实施指引(内地、澳门)》)公布并实施。大湾区标准合同(内地、澳门)适用于注册于/位于广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市及澳门的个人信息处理者及接收方,《大湾区标准合同实施指引(内地、澳门)》内容与此前内地香港的实施指引基本保持一致。
二、北京、上海、天津自贸区数据跨境流动政策
根据《跨境流动规定》规定,在国家数据分类分级制度基础上,自贸区可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(负面清单),且负面清单以外的数据出境可以豁免三大数据出境合规管理流程。基于此,多地自贸区已分别制定了负面清单及相关管理政策,为数据跨境便利化提供创新方式和思路。
1. 北京自贸区数据跨境流动政策
2024年8月30日,北京自贸区发布《中国(北京)自由贸易试验区数据出境负面清单管理办法(试行)》(以下简称《北京负面清单管理办法》)及《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》(以下简称《北京负面清单(2024版)》)。
《北京负面清单(2024版)》选取了汽车行业、医药行业、民航业、零售和现代服务业、人工智能训练数据五大领域,分别列明需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据子类、数据基本特征和描述,为数据处理者判断数据类型和出境合规要求提供了有效的参考和指引。
2. 上海自贸区数据跨境流动政策
2024年2月8日,上海发布《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法》(以下简称《上海临港数据跨境分类分级办法》)。根据《上海临港数据跨境分类分级办法》规定,“跨境数据分级从高到低依次分为核心数据、重要数据、一般数据3个级别,核心数据禁止跨境,重要数据形成重要数据目录,一般数据形成一般数据清单。”“数据处理者对在一般数据清单内的数据,可向临港新片区管委会申请登记备案,并在满足相关管理要求下自由流动。”
在此基础上,2024年5月17日,上海发布《中国(上海)自由贸易试验区临港新片区生物医药领域数据跨境场景化一般数据清单(试行)》《中国(上海)自由贸易试验区临港新片区智能网联汽车领域数据跨境场景化一般数据清单(试行)》《中国(上海)自由贸易试验区临港新片区公募基金领域数据跨境场景化一般数据清单(试行)》(以下合并简称《上海一般数据清单》,列明了在生物医药、智能网联汽车、公募基金三个领域内可在登记备案并满足管理要求下自由流动的一般数据。
与负面清单不同,《上海一般数据清单》属于“正面清单”,即正向列举满足条件可以自由流动的数据清单。不同的地区数据跨境流动政策,也从多角度、多方面为我国提供了解决数据跨境流通的不同方案和样本。
3. 天津自贸区数据跨境流动政策
2024年5月8日,天津发布《中国(天津)自由贸易试验区数据出境管理清单(《负面清单》)(2024年版)》(以下简称《天津自贸区负面清单》。
《天津自贸区负面清单》列明了需要进行安全审查的十三大类、45子类数据,对于需进行个人信息保护认证或标准合同备案的并没有另行列明,而是规定与国家要求保持一致。
相关热文荐读
