Zed解读 | 数据跨境流动新规引领“新动向”及有关记者问

《规定》在我国现行数据跨境传输立法框架内,进一步细化了企业数据出境的业务合规标准和操作规范,充分反映了我国在数据跨境传输监管领域的创新思路。

数据跨境流动新规引领“新动向”及有关记者问
出处:网信中国

围绕数字贸易实践中不断涌现的新问题、新需求,我国坚持统筹高质量发展和高水平安全,立足产业实践需求,国家网信办制定了《促进和规范数据跨境流动规定》(以下简称《规定》)。《规定》在我国现行数据跨境传输立法框架内,进一步细化了企业数据出境的业务合规标准和操作规范,充分反映了我国在数据跨境传输监管领域的创新思路,那就是:既要通过保障数据跨境传输安全实现数字贸易活动稳定,也要通过畅通数据跨境传输制度渠道打造跨境数字贸易新格局。

北京大学宪法与行政法研究中心主任、教授,中国法学会网络与信息法学研究会副会长王锡锌认为《规定》对推动跨境数字贸易高质量发展的作用,有以下主要体现:

立足数字贸易实践特征,细化数据跨境传输制度的适用范围。在监管实践中,部分企业对自身数据跨境传输业务的法律性质认知不够准确,难以准确地确认应当适用何种数据跨境传输流动机制。为了在法律实施层面解决数据跨境流动机制的适用标准模糊问题,《规定》将无需适用数据出境安全评估、个人信息出境标准合同、个人信息保护认证的情形予以列举。

例如,“订立、履行个人作为一方当事人的合同”主要涉及跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等活动,这些活动的共同性表现为,个人跨境活动需要高频次、无障碍地进行个人信息跨境传输。又如,“实施跨境人力资源管理”的必要性的判断标准是依法制定的劳动规章制度和依法签订的集体合同,此种条款表述在保障跨境企业或跨境业务所必需的员工个人信息能够正常出入境的基础上,有效避免了部分企业不当扩大跨境人力资源管理之必要的实际范围,导致非必要的个人信息以不安全的方式出境。还如,“紧急情况”是指为了保护自然人生命健康和财产安全等目的,数据出境具有迫切性。

明确商业活动场景需求,推动数据跨境传输制度的有序实施。自我国确立以数据出境安全评估、个人信息出境标准合同以及个人信息保护认证为中心的数据跨境传输体系后,监管机构也在持续推动这些制度的具体实施。

如全国首个数据合规出境案例,首都医科大学附属北京友谊医院与荷兰阿姆斯特丹大学医学中心合作研究项目为医疗健康数据出境安全管理、国际医疗科研合作提供了实践指引。再如,我国汽车领域首个全系统盘点、全业务申报、全场景获批的数据出境安全评估案例,北京现代汽车有限公司数据出境安全评估项目为汽车领域数据出境活动展示了标准化的业务合规方式。

在这种场景导向的数据跨境传输治理理念下,《规定》也侧重针对特定场景的业务需求,在不包含个人信息或者重要数据的前提下,允许国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中产生的数据出境活动不适用数据出境安全评估、个人信息标准合同和个人信息保护认证机制。此种豁免情形无疑为中国企业出海开展跨境业务提供了极大便利,因为经济全球化的发展趋势下,客服、物流、云存储、数据分析等常见跨境贸易活动会频繁生成和传输相关业务数据。这些业务数据的出境不会直接导致国家安全等问题,《规定》将之豁免,有效消除了此类问题背后的监管不确定因素。

回应企业数据出境合规担忧,降低数据跨境传输制度的合规难度。《规定》的一大亮点是提升了现行数据跨境传输制度的操作性,降低了中小企业数据出境的业务合规难度。《规定》并没有对数据处理者所持有的数据总量作出监管门槛的设定,而是更加侧重对数据环境风险水平的评估。因此,《规定》将风险关注的重心调整至数据出境的规模和类型。

例如,在向境外提供非敏感个人信息的出境活动中,设置了“自当年1月1日起累计向境外提供不满10万人个人信息的”“自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息的”以及“自当年1月1日起累计向境外提供100万人以上个人信息的”三类数据出境数量门槛,分别对应“完全豁免”“豁免适用数据出境安全评估”“强制申报数据出境安全评估”三类业务合规要求。对于明确不具备危害国家安全、个人信息权利等的数据出境活动,例如跨境传输的数据数量稀少,则无需专门申报数据出境安全评估等监管流程。

国家互联网信息办公室有关负责人也从《规定》的主要内容、评估标准到判断认定等以下十多个有关问题答记者问。

问:《规定》的主要内容是什么?
答:《规定》主要对下列内容进行了规定:一是明确重要数据出境安全评估申报标准。二是明确免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件。三是设立自由贸易试验区负面清单制度。四是调整应当申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件。五是延长数据出境安全评估结果有效期,增加数据处理者可以申请延长评估结果有效期的规定。

问:《规定》与《数据出境安全评估办法》、《个人信息出境标准合同办法》之间的关系是什么?
答:《数据出境安全评估办法》、《个人信息出境标准合同办法》相关规定与《规定》不一致的,适用《规定》。

问:如何理解数据出境活动所称的重要数据?重要数据申报出境安全评估的标准是什么?
答:根据《数据出境安全评估办法》,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。

《数据安全法》规定,国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。

根据《规定》,数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。

问:个人信息、敏感个人信息是什么,如何判断?
答:根据《个人信息保护法》,个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。

个人信息采用加密、脱敏等措施处理属于去标识化,去标识化处理后的个人信息仍是《个人信息保护法》规定的个人信息。去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。

敏感个人信息,是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。

问:关键信息基础设施是什么,如何认定?
答:根据《关键信息基础设施安全保护条例》,关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

涉及的重要行业和领域的主管部门、监督管理部门负责制定本行业、本领域关键信息基础设施认定规则,组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知关键信息基础设施运营者。

问:如何理解自由贸易试验区负面清单制度?
答:自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(简称负面清单)。

自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。负面清单出台前,自由贸易试验区内的数据出境活动按照国家数据出境安全管理有关规定执行。

问:如何理解数据出境安全评估、个人信息出境标准合同、个人信息保护认证制度之间的关系?
答:对于重要数据的出境活动和符合应当申报数据出境安全评估条件的个人信息出境活动,必须通过数据出境安全评估。

对于未达到数据出境安全评估申报条件的个人信息出境活动,个人信息处理者可以结合自身情况,选择订立个人信息出境标准合同或者通过个人信息保护认证的方式。符合免予订立个人信息出境标准合同、通过个人信息保护认证条件的,个人信息处理者无需履行相关程序。

问:哪些数据出境活动需要申报数据出境安全评估?
答:《规定》对《数据出境安全评估办法》明确的应当申报数据出境安全评估的条件作了优化调整。《规定》明确了两种应当申报数据出境安全评估的条件:一是关键信息基础设施运营者向境外提供个人信息或者重要数据。二是关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。属于《规定》第三条、第四条、第五条、第六条规定情形的,从其规定。

问:如何计算“自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息”?
答:计算周期为自当年1月1日起至申报数据出境安全评估之日,数量以自然人为单位去重后的统计结果为准。

属于《规定》第三条、第四条、第五条第一款第一项至第三项、第六条规定情形的,不计入累计数量。

问:哪些数据出境活动需要订立个人信息出境标准合同、通过个人信息保护认证?
答:《规定》对《个人信息出境标准合同办法》明确的应当订立个人信息出境标准合同的条件作了优化调整。根据《规定》,关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。属于《规定》第三条、第四条、第五条、第六条规定情形的,从其规定。

需要说明的是,向境外提供被相关部门、地区告知或者公开发布为重要数据的个人信息,应当申报数据出境安全评估,不得选择订立个人信息出境标准合同或者通过个人信息保护认证的方式。

问:通过数据出境安全评估结果的有效期是多久?是否可以申请延期?
答:《规定》将通过数据出境安全评估结果的有效期由《数据出境安全评估办法》中规定的2年延长至3年,自评估结果出具之日起计算。同时,增加数据处理者可以申请延长评估结果有效期的规定。有效期届满,需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的,数据处理者可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请。经国家网信部门批准,可以延长评估结果有效期3年。

问:《规定》施行前已经完成或者正在申报数据出境安全评估、提交个人信息出境标准合同备案的,如何适用本规定?
答:《规定》施行前已经通过数据出境安全评估的数据出境活动,数据处理者可以根据申报事项继续开展。

《规定》施行前未通过或者部分未通过数据出境安全评估,根据《规定》免予申报数据出境安全评估的数据出境活动,数据处理者可以依法通过订立个人信息出境标准合同、通过个人信息保护认证等其他途径向境外提供个人信息。

《规定》施行前已经申报数据出境安全评估、提交个人信息出境标准合同备案,根据《规定》无需开展上述程序的,数据处理者可以按照原程序进行,也可以向所在地省级网信部门撤回申报、备案。

问:数据处理者如何申报数据出境安全评估、备案个人信息出境标准合同、申请个人信息保护认证?
答:申报数据出境安全评估、备案个人信息出境标准合同可以登录数据出境申报系统,网址:https://sjcj.cac.gov.cn。已经通过线下方式提交安全评估申报、标准合同备案材料的,不需要通过数据出境申报系统进行重新提交。申请个人信息保护认证可以登录个人信息保护认证管理系统,网址:https://data.isccc.gov.cn。

关键信息基础设施运营者或者其他不适合通过数据出境申报系统申报数据出境安全评估的,采用线下方式通过所在地省级网信部门向国家网信部门申报数据出境安全评估。

问:数据出境咨询、举报联系方式有哪些?
答:(1)数据出境安全评估申报:010-55627135,sjcj@cac.gov.cn;(2)个人信息出境标准合同备案:010-55627565,bzht@cac.gov.cn;(3)个人信息保护认证申请:010-82261100,data@isccc.gov.cn。

各地省级网信部门受理数据出境安全评估申报、个人信息出境标准合同备案工作的联系方式(办公地址、联系电话),详见各省、自治区、直辖市和新疆生产建设兵团互联网信息办公室官网、微信公众号,以及国家互联网信息办公室官网-数据治理栏目(https://www.cac.gov.cn)。

相关内容推荐:

全球数据跨境流动规则对国内企业出海的影响
我国数字企业出海将面临越来越多的数据合规风险,我国数字产业发展面临数据封锁困境,我国数字贸易面临较高的政策不确定性。

大型消费品企业数据跨境从评估到技术方案实施
如何使数据依法有序安全跨境流通,不仅需要法律在数据跨境合规中发挥积极作用,还需要新技术在新场景应用上找解决方案。