国家网信办于3月22日正式颁布并施行业界翘首以盼的《促进和规范数据跨境流动规定》(新规)(请点击文末阅读原文),以进一步优化数据跨境流动管理体系、减轻相关市场主体的合规负担。
新规的征求意见稿于2023年9月28日发布以来就备受瞩目与期待。究其原因,一方面,我国数据出境监管的三条路径(即安全评估、标准合同备案、认证)在落地实施的过程中出现了申报周期长、审核尺度较严、触发门槛较低等情况,为部分企业(尤其是中小企业和外资企业)的合规工作带来了现实挑战;另一方面,经济下行压力大、部分行业恢复不如预期,以及较为复杂的国际局势,也导致部分企业和投资者一度对我国的整体营商环境产生了悲观情绪。在这样的背景下,国务院于2023年8月发布《关于进一步优化外商投资环境加大吸引外商投资力度的意见》,新规征求意见稿也紧随其后出台,及时回应了市场关切,被广泛视为利好信号。
及至今年3月,国务院发布《扎实推进高水平对外开放更大力度吸引和利用外资行动方案》(下简称“国务院行动方案”,再次明确支持跨境数据安全有序流动的政策方向,新规的正式版本也适时落地。与征求意见稿相比,新规进一步调整或澄清了部分豁免措施的适用前提,本文旨在解析部分重点豁免措施的在实务中的具体应用。
小规模、非敏感数据出境豁免
新规第五条第(四)项规定,关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
这一豁免措施将适用于不少存在数据出境需求,但涉及个人信息主体数量较少、数据敏感性较低的中小企业和B端业务企业。我们认为这一豁免措施尤为重要,因为在经济形势面临困难时,承受压力最大的也往往是中小企业。与征求意见稿相比,新规将豁免的数量门槛从1万人上调至10万人,惠及面更广,这一调整也体现了清晰的为中小企业松绑的信号。
需要注意的是,新规还同时增加了“不含敏感个人信息”这一前提条件,考虑到相关国家标准中对敏感个人信息的范围界定较广,预计也将有为数不少的中小企业无法适用小规模数据出境豁免,而需要寻求其他豁免条件,或采用标准合同备案或认证的路径实现数据合规出境。
此外,我们认为尚待澄清的一个关键问题是具有“持续性”特征的数据出境活动是否应当计入当年累计向境外提供的个人信息主体数量,或是应只计算相关数据第一次出境的时间点。例如,假设某公司的境内服务器上存储了20万客户的个人信息,并向境外子公司某关键岗位员工开放了访问权限,但其中19万人的信息均为去年以前上传的存量数据,只有1万人的个人信息是在2024年1月1日后新上传的,该情形能否豁免仍待厘清。
与小规模、非敏感数据出境豁免相适应,新规也抬高了安全评估、标准合同备案和认证的数量触发门槛,且明确规定已豁免的出境活动(详见下文解读)无需纳入计算。
非CIIO自当年1月1日起累计出境 | 不满10万人个人信息 | 10万人以上、不满100万人个人信息 | 100万人以上个人信息 |
无敏感个人信息 | 豁免 | 标准合同备案或认证 | 安全评估 |
不满1万人敏感个人信息 | 就敏感个人信息出境进行标准合同备案或认证 | 标准合同备案或认证 | 安全评估 |
1万人以上敏感个人信息 | 就敏感个人信息出境进行安全评估 | 安全评估 | 安全评估 |
特定场景豁免
履约必要——新规第五条第(一)项规定,为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
这一豁免措施对于从事C端业务且有数据出境需求的企业而言是重大利好。鉴于我国的人口和市场规模,C端业务达到百万用户级别并不鲜见,尤以互联网企业为代表,通常还有业务模式更新迭代较为频繁、需要快速响应市场需求等特征。过去,一旦企业处理的个人信息达到百万人规模,即使只有一小部分需要出境,也必须通过安全评估,不仅合规成本较高,而且较长的审核周期也可能导致企业无法按用户需求及时进行业务调整。从新规列举的适用场景不难看出,“履约必要”这一豁免措施一方面可为企业松绑,另一方面也是为了保障普通消费者的各类跨境消费和服务需求得到满足。
跨境人力资源管理必要——新规第五条第(二)项规定,按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
这一豁免措施的直接受益对象将包括跨国企业和跨境用工企业。需要注意的是,其适用必须以“依法制定的劳动规章制度和依法签订的集体合同”为依据、仅限于“跨境人力资源管理”且必须满足“确需”的必要性前提,因此并不意味着所有的员工个人信息出境活动均可适用这一豁免措施。
紧急必要——新规第五条第(三)项规定,紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
纵观几条针对特定场景的豁免措施,关键点均在于对出境活动必要性的判断,即是否满足“确需”这一前提条件。我们观察到在前期的数据出境安全评估申报实践中,监管部门对于数据出境必要性的评估尺度较为严格,甚至可能与企业基于商业逻辑的判断存在明显差异。但结合“稳外资”“优环境”的政策导向和新规出台的背景与目的,我们认为在不对数据安全和个人信息权益造成负面影响的前提下,正当的商业上的必要性应当得到认可。
自贸区负面清单
新规第六条规定,自由贸易试验区在国家数据分类分级保护制度框架下,可自行制定需要纳入安全评估、标准合同备案、认证管理范围的数据清单(负面清单),经上级部门批准备案后,自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
我们观察到多个自贸区已在响应新规和国务院相关政策。其中,上海自贸区将围绕汽车、金融、资管、生物医药等重点行业和领域出台正负面清单,结合我国持续推进金融、医疗等领域扩大开放的其他举措,尤为值得相关企业和投资者关注。而在广东,国务院行动方案已明确将制定粤港澳大湾区跨境数据转移标准,依托珠海横琴、深圳前海等建立港澳企业数据跨境流动机制,探索建立跨境数据流动“白名单”制度。
个人信息过境
新规第四条规定,数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。这一豁免措施惠及的企业主要包括在中国境内设立区域总部或数据中心的跨国企业,以及从事数据处理离岸外包业务的企业。
在实践中,一个尚待厘清的问题是“境外收集产生”的具体判断标准——数字经济时代,当企业大量的经营和管理活动均在云端发生,对地点的判断也需考虑不同因素。例如,通过服务器架设在境外的网站收集中国境内个人的个人信息,可否视为境外收集;又如,通过服务器架设在境内的网站收集境外人士的个人信息,又可否视为境外收集? 从立法和监管目的出发,我们理解个保法的首要保护对象是境内个人的个人信息,同时国家已颁布多项政策文件促进离岸数据服务外包,我们倾向于认为本项豁免主要适用于过境(包括在境内离岸处理)的境外个人的个人信息。
安全评估、标准合同备案机制优化
除了规定符合条件的数据出境活动可免予安全评估、标准合同备案、认证,新规以及配套发布的《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》还进一步优化了安全评估以及标准合同备案的管理机制。换句话说,对于那些未能豁免安全评估或标准合同备案义务的企业,完成这些合规流程的实际负担也有望显著减轻。
延长安全评估有效期——新规第九条将安全评估结果的有效期从两年延长至三年。此外,3年有效期届满时,数据处理者如需继续开展数据出境活动,且未发生需要重新申报安全评估的触发条件,还可申请将有效期再延长3年。考虑到安全评估的申报周期较长,这一措施将显著减轻相关企业的合规成本。
开通安全评估和标准合同备案网申平台。
申报文件模板优化——安全评估申报书的内容设置比过去更加科学合理(例如分场景填报数据出境活动详情、不再要求提供境外接收方负责人证件号码等)、数据出境风险自评估报告模板和个人信息保护影响评估报告模板对部分条目进行和合并或简化,例如不再要求申报单位详细论述境外接收方所在国家或地区的数据安全保护政策法规和网络安全环境情况。
维持不变的义务
个人信息:除了申报安全评估、订立标准合同并备案、取得认证之外,新规并未豁免数据处理者在个保法下的其他合规义务,尤其是数据处理者应根据相关要求履行告知、取得个人单独同意,开展个人信息保护影响评估等义务。
重要数据:任何向境外提供重要数据的活动均须事先通过安全评估。尽管新规并未调整这一义务,但澄清了未被告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报安全评估。在绝大多数行业和地区尚未发布重要目录的背景下,这一调整将为企业(尤其是一些重监管行业企业的合规活动提供更大的确定性。
自从网络安全法提出重要数据概念以来,相关规则、标准的制订已走过几年历程,仅“重要数据”的定义就经历了多次调整,可见这一工作之复杂与相关部门之谨慎。从调整方向来看,结合国务院行动方案中“科学界定重要数据的范围”的明确要求,我们理解重要数据的识别与监管仍然会体现“宽严相济”的精神。
法规/标准 | 《网络数据安全管理条例(征求意见稿)》 | 《信息安全技术重要数据识别指南(征求意见稿)》(项目已终止) | 《数据出境安全评估办法》 | 《信息安全技术 重要数据处理安全要求(征求意见稿)》 | 《数据安全技术数据分类分级规则(报批稿)》 |
发布时间 | 2021年 11月 | 2022年1月 | 2022年7月 | 2023年8月 | 2024年3月 |
重要数据定义 | 一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。 | 以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。 | 一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。 | 特定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。 | 特定领域、特定群体、特定区域或达到一定精度和规模的,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。 |
下一步建议
新规篇幅不长,但提出了多项适用不同场景和条件的豁免措施,部分企业甚至可能同时符合若干豁免措施,因此在实务中的具体应用仍需进行个案分析。我们建议企业可按步骤采取以下行动:
对照新规确定本企业可适用的豁免措施;在排除已豁免情形后,考虑是否还有数据出境活动须完成安全评估、标准合同备案或认证。
已按旧规完成安全评估或标准合同备案的企业,按照适用的豁免情形或便利条件安排后续合规工作,例如:
(1)如安全评估已获全场景通过、标准合同备案已完成,应内部确定申请评估结果延期的时间点、触发重新申报评估/提交备案的情形;
(2)如未通过或部分未通过安全评估且相关出境活动可适用豁免或降档措施,可通过标准合同备案、取得认证合法合规向境外提供个人信息。
已按旧规申报安全评估或提交标准合同备案,但尚未收到结果的企业,可考虑按原程序进行或按豁免情形撤回申报、备案。
尚未按旧规申报安全评估、提交标准合同备案,且数据出境活动无法被完全豁免的企业,应尽快完成相应的合规程序。
企业应按所属行业和所在地区,密切关注以下文件的制订与发布、积极参与征求意见、适时调整合规行动:
(1)各行业、各地区重要数据目录;
(2)各自贸区数据出境负面清单。
本文的版权归Simmons & Simmons LLP及其关联方所有,或根据许可或适用法律使用。如需转载,请联系我们。
本文的信息(包括链接的第三方网站信息)仅供您作为一般参考,不构成我们针对特定事务的法律意见或建议。
