总第101期 减负、澄清及豁免——数据跨境流动征求意见稿解析与合规应对
近日,国家互联网信息办公室(“网信办”)发布《规范和促进数据跨境流动规定(征求意见稿)》(以下简称“《征求意见稿》”),向社会公开征求意见。《征求意见稿》回应了实践中各类企业的合规困惑,在个保法以及相关数据跨境传输规定的基础上,大幅调整了数据出境评估备案工作的适用标准,亮点不少,其中数据跨境自贸区负面清单模式便是此新规的亮点之一。在仅涉及少量个人信息出境、具有强出境必要性的情形等特定情形下,减轻或豁免原有的数据出境合规义务。本期专题结合征求意见稿与最新司法实践,对于重要数据定义、个人信息跨境传输、减负、澄清及豁免情形等重点法律问题进行深入解析。
在详述本次《征求意见稿》前,我们先就现行数据及个人信息出境法规的规定进行初步梳理。目前,因业务等需要,确需向中国境外提供个人信息的处理者,应当完成安全评估、个人信息保护认证或签署跨境传输合同等手续之一。具体而言,即:
- 事先通过国家网信部门组织的数据出境安全评估;
- 按照国家网信部门的规定经专业机构进行个人信息保护认证;
- 按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;或
- 法律、行政法规或者国家网信部门规定的其他条件
(以上合称“数据出境手续”)。
就安全评估而言,《数据出境安全评估办法》要求符合相关条件的企业实施数据出境安全评估,这一制度现已实施一年有余。公开资料显示各地也已出现了通过该等评估的企业案例。
就认证而言,对于不适用评估的个人信息处理者,其应当选择订立个人信息出境标准合同或通过个人信息保护认证的通路。其中,目前公开资料尚未显示有明确开始实施个人信息保护认证(跨境处理)的机构。
就签署跨境传输合同而言,自《个人信息出境标准合同办法》于2023年6月1日起生效后,公开资料显示各地目前已有一些企业通过该项通路的成功案例。
不过,在实务中,不少企业因其数据出境数量不大、数据出境需求较难回避等原因而对现行规定的实施口径存在一定疑惑。有鉴于此,《征求意见稿》进一步提出了如豁免特定情形下企业履行数据出境手续的要求等规定。
《征求意见稿》原文:
为保障国家数据安全,保护个人信息权益,进一步规范和促进数据依法有序自由流动,依据有关法律,对《数据出境安全评估办法》、《个人信息出境标准合同办法》等数据出境规定的施行,作出以下规定。
一、国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
速评:
《征求意见稿》从正面释明,企业日常业务活动中非个人信息、非重要数据的普通数据出境,无需完成数据出境前置程序。本条看似只是重申原本在实践中已达成一致的理解,但笔者理解,此条值得细品的是:
1. 开篇第一句,本《征求意见稿》的出台是为了针对“《数据出境安全评估办法》、《个人信息出境标准合同办法》的施行”,而并未援引《数据安全法》《个人信息保护法》等法律。
2. 本条还格外强调,适用范围是“国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境”。
对于《数据安全法》第36条中规定的境外诉讼、境外执法等非日常业务活动所产生的普通数据出境,(i)是否需要通过网信部门的审批,以及(ii)如需通过,是否适用网信部门目前数据出境安全评估的审批流程的问题,本条中的措辞似乎还表明了:“保留适用出境安全评估的可能性,暂不在本《征求意见稿》中回应”的态度。
《征求意见稿》原文:
二、未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
速评:
本条直接解决了实务中各类企业可能存在的困惑:“如何认定重要数据?我们持有的数据是否属于重要数据?”。
《数据安全法》《网络数据安全管理条例(征求意见稿)》中都提出,要求本地区、相关部门以及相关行业、领域制定重要数据目录。然而目前,大多数行业的重要数据目录仍处于拟订中甚至空白的阶段。这给企业的合规工作带来了不小的困惑。
网信办在本条中,给出了明确的官方指引:企业如果(i)未被告知,且(ii)相关部门或者地区未公开发布为重要数据的,可以先不必主动履行数据出境安全评估的申报义务。
《征求意见稿》原文:
三、不是在境内收集产生的个人信息向境外提供,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
速评:
入境个人信息再出境的,豁免数据出境前置程序。
典型的数据入境再出境的场景例如:跨境贸易公司在进口货物时,境外发货方可能会先将发货方、境外物流公司、航空公司联系人的个人信息提供给境内收货方。境内收货方在联系人列表中补全进口方,境内物流公司、收货方联系人的个人信息后,组成完整的货运链对接人员,并将境内外所有对接人员的联系方式汇总后再向境外提供。
《征求意见稿》明确,对于不在境内收集产生的个人信息(即,上述举例中境外发货方、物流公司、航空公司联系人的个人信息),不再需要完成数据出境前置程序。
《征求意见稿》原文:
四、符合以下情形之一的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
(一)为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的;
(二)按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的;
(三)紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的。
速评:
本条罗列了三类可以豁免数据出境前置程序的情形。实践中,纷繁复杂的数据出境场景较多,是否能够适用本条,还需根据实际情况进行个案分析。
《征求意见稿》原文:
五、预计一年内向境外提供不满1万人个人信息的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。
速评:
本条明确预计一年内出境个人信息数量少于1万人的,可以豁免数据出境前置程序。
对于绝大多数企业来说,虽然可能经营中会涉及到个人信息的出境,但是出境的数量通常并不大。例如,跨国公司日常经营中采集的供应商、客户公司的法定代表人或联系人的个人信息以及员工的个人信息往往都需要存储在总部统一采购的海外系统中,涉及到数据出境。考虑到这类出境的个人信息数量、规模一般不大,敏感程度往往亦较低,或许不需要做严格的监管。因此,《征求意见稿》第五条不再一刀切地要求所有企业完成数据出境前置程序。
但需要提醒企业的是,豁免数据出境前置程序不代表豁免企业应当履行的个人信息保护义务:
1. 个人信息处理者需履行的“告知-同意”义务,仍然应当依法履行;以及
2.《个人信息保护法》第55条要求个人信息出境前,个人信息处理者需进行个人信息保护影响评估的义务,同样未被豁免。
因此,对于已开展部分数据出境合规工作的企业来说,我们仍建议企业继续开展内部摸排和个人信息保护影响评估工作,查漏补缺。同时,个人信息保护影响评估报告还应当留档备查。
此外,对于企业在预计过程中,是否要将《征求意见稿》第四条豁免的个人信息计算在内,尚有待网信办明确。
《征求意见稿》原文:
六、预计一年内向境外提供1万人以上、不满100万人个人信息,与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的,可以不申报数据出境安全评估;向境外提供100万人以上个人信息的,应当申报数据出境安全评估。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。
速评:
本条明确,对于预计一年内出境个人信息数量在1万人以上的,以100万人为节点,判断是否需要申报数据出境安全评估。但对于新旧规定之间如何衔接,仍有待网信办在正式稿出台时予以澄清。
1. 假设某企业自上年1月1日起累计向境外提供了1万人以上敏感个人信息,按照原有规定应当申报数据出境安全评估;但同时,该企业预计未来1年内向境外提供个人信息的数量不会超过100万人,按照《征求意见稿》可以不申报数据出境安全评估。是否以新规为准,可以不再申报数据出境安全评估?
2. 假设某企业自上年1月1日起累计向境外提供了10万人个人信息,按照原有规定应当申报数据出境安全评估;但同时,该企业预计未来1年内向境外提供个人信息的数量不会超过100万人,按照《征求意见稿》可以不申报数据出境安全评估。同样,是否以新规为准,可以不再申报数据出境安全评估?
3. 假设某企业属于处理100万人以上个人信息的个人信息处理者,按照原有规定,即便其只出境1个自然人的个人信息,仍应当申报数据出境安全评估。但根据《征求意见稿》,由于该企业预计未来1年内向境外提供个人信息的数量少于100万人(假设仅出境1个自然人的个人信息),则可以不申报数据出境安全评估。
虽然《征求意见稿》第11条表示,“《数据出境安全评估办法》、《个人信息出境标准合同办法》等相关规定与本规定不一致的,按照本规定执行”。但在数量问题上是否完全不用考虑上一年度1月1日起的累计出境数量(或目前已经处理的100万人的数量)而完全以预计的数量为准,我们期待网信办在正式稿出台时给出更为明确的指引。
《征求意见稿》原文:
七、自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),报经省级网络安全和信息化委员会批准后,报国家网信部门备案。
负面清单外数据出境,可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
速评:
本条为自贸区建立了先行先试的数据跨境流通专有通道。本条以自贸区内数据(包括重要数据、个人信息)自由跨境流通为原则,在原则外制定需要完成数据出境前置程序的清单,促进自贸区内企业的数据跨境流通。
实践中,仍有以下问题有待进一步明确:
1. 有哪些适格的自由贸易试验区可以制定相关负面清单?
2. 企业注册登记在自贸区内,但数据处理活动发生在自贸区外的其它地方,其数据出境是否仍然能够适用本条?
3. 企业注册登记在自贸区外,但发生数据处理活动的服务器位于自贸区内,其数据出境是否仍然能够适用本条?
自贸区的负面清单政策为企业数据跨境流通开启一扇方便之门,在执行成熟完善后,不排除进一步扩展至全国。因此,负面清单的具体内容以及后续具体如何适用、如何落地,有着重要的前瞻意义,我们期待网信办与各自贸区的细则正式出台。
《征求意见稿》原文:
八、国家机关和关键信息基础设施运营者向境外提供个人信息和重要数据的,依照有关法律、行政法规、部门规章规定执行。
向境外提供涉及党政军和涉密单位敏感信息、敏感个人信息的,依照有关法律、行政法规、部门规章规定执行。
速评:
《网络安全法》第37条规定,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”
本次《征求意见稿》即便未来正式出台,从法律层级上来说,也不属于“法律、行政法规”,故《征求意见稿》前述条文中对于数据出境前置程序的豁免,将不适用于关键信息基础设施运营者向境外提供个人信息或重要数据的情形。
《征求意见稿》原文:
九、数据处理者向境外提供重要数据和个人信息,应当遵守法律、行政法规的规定,履行数据安全保护义务,保障数据出境安全;发生数据出境安全事件或者发现数据出境安全风险增大的,应当采取补救措施,及时向网信部门报告。
速评:
虽然本次《征求意见稿》释明了许多豁免情形,将部分风险较低的数据出境场景自评估工作交由企业自主决策,但并不意味着同时豁免企业事前数据安全保护义务及安全事件发生时的报告义务。
《征求意见稿》原文:
十、各地方网信部门应当加强对数据处理者数据出境活动的指导监督,强化事前事中事后监管,发现数据出境活动存在较大风险或者发生安全事件的,要求数据处理者进行整改消除隐患;对拒不改正或者导致严重后果的,依法责令其停止数据出境活动,保障数据安全。
十一、《数据出境安全评估办法》、《个人信息出境标准合同办法》等相关规定与本规定不一致的,按照本规定执行。
速评:
相比《数据出境安全评估办法》、《个人信息出境标准合同办法》中,违反规定将依据《中华人民共和国个人信息保护法》等法律法规处理的罚则,《征求意见稿》本条的措辞相对缓和,给予了数据处理者接受监督、及时整改、消除隐患的机会。
纵览《征求意见稿》全文,切实回应了数据出境合规过程中各类企业的困惑,减轻了企业开展跨境业务过程中不必要的合规负担,并为自贸区内负面清单制度的先行先试留下了政策空间。我们期待正式稿的出台落地,以更好协助企业完成数据出境的合规。
● 场景一:个人信息过境
根据《征求意见稿》第三条,对于不在境内收集产生的个人信息不再需要采取数据出境保障性措施。例如,某国内电商平台在境外设有物流仓库,并与境外的物流公司和航空公司合作。当境外消费者在该平台国际站购买商品后,平台内商家通过境外物流公司运输商品,最终由国外航空公司承运后送到消费者手中。在这个流程中,境内电商平台、平台内商家、物流公司和航空公司等参与方均会涉及消费者个人信息的处理。但由于用户个人信息的收集产生不在境内(即使消费者的订单信息由国内电商平台的境外站收集后入境,消费者注册的线上平台账号由国际站负责运营管理),该电商平台无需采取数据出境保障性措施,以此提高跨境电商的服务效率。
但是实践中该类出境场景较为复杂,例如是否仅涵盖在境外收集的境外个人信息传输至中国境内后直接再出境的情况,还是也包括其他情况。因此,需要进一步明确“数据过境”概念的具体定义和适用范围,特别是境外数据入境后进行了汇聚、加工、融合或其他处理活动后的个人信息再出境,是否符合“数据过境”的定义并适用豁免规定。
● 场景二:基于人力资源管理所必须而出境员工个人信息
根据《征求意见稿》第四条第二项,按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的,不需要采取数据出境保障性措施。由于跨国企业,此类场景下的个人信息传输不可避免,实践案例比较丰富,因此我们不再具体举例说明。但是,企业依据本场景豁免采取数据出境保障性措施的,还需进一步明确以下问题:
(1)如何确定出境员工个人信息的行为是为实施人力资源管理所“必须”的;
(2)如何确定特定字段的出境是为实施人力资源管理所“必须”的,又是否可以免去员工的单独同意;
(3)如何解释第四条第二项与第六条之间的关系,即如果符合第四条第二项的豁免条件,但该企业出境的员工个人信息数量超过1万人而不满100万人的,是否仍需要按照第六条的规定完成标准合同备案或认证;当出境的员工人数超过100万人时是否仍须申报安全评估;
(4)仍然需进行安全评估或标准合同备案或个人信息保护认证的企业,是否需要将该豁免场景纳入自评估报告中进行分析。
● 场景三:为订立、履行个人作为一方当事人的合同所必需
根据《征求意见稿》第四条第一项,符合“为订立、履行个人作为一方当事人的合同所必需”这一前提,必须向境外提供个人信息的,不需要采取数据出境保障性措施。该条针对“履行合同所必需”进行了场景上的罗列,例如跨境购物、跨境汇款、机票酒店预订、签证办理等需要向境外提供个人信息的情形。例如,消费者投资国际金融产品时,可能需要向境外提供个人信息,例如投资人姓名、身份证信息、联系方式、财务状况等,这些信息是为了满足合同的要求和法律规定而必要的。但哪些信息属于“必需”的范畴,仍待进一步明确和通过实践案例进行精确识别。同时,个人还应注意选择可靠的合作方和合规的数据传输方式,以确保个人信息的安全。
● 场景四:紧急情况下为保护自然人的生命健康和财产安全
根据《征求意见稿》第四条第三项,“紧急情况下为保护自然人的生命健康和财产安全等”必须向境外提供个人信息的,不需要采取数据出境保障性措施。例如,某国家发生了突发性疫情,为了挽救已受影响的人民群众的生命安全和提供紧急救援,某些组织可能需要将患者的个人信息发送给国际救援机构,以便及时确定该突发疫情形成的原因、在其他国家或地区是否已有发生和确认其相似度、受灾地区的药品供应情况并采取必要的救援措施等。这样的举措旨在确保救援资源的合理配置和生命安全的保护。但“紧急”到何种程度才可以受豁免,以及一般企业在日常运营中遇到的情况不多,因此对该情形的具体适用与理解仍然需要等待监管部门的进一步解释。
● 场景五:国际贸易
根据《征求意见稿》第一条,国际贸易活动中产生的数据出境,不包含个人信息或者重要数据的,不需要采取数据出境保障性措施。例如,当某国内外贸企业向他国出口商品时,关于商品的数量、规格、重量、价值以及运输方式等信息需要发送给进口方。这些数据的出境可以帮助各国的海关、物流公司和贸易伙伴更好地管理和监控这批出口货物的安全运输和交付过程,确保货物能够按时到达目的地,并保证贸易合规性。但是“国际贸易”概念的外延十分宽泛,何种类型的商业活动属于“国际贸易”的范畴、哪些实践中的流程环节属于“国际贸易”、境外数据接收方是否仅限于贸易相对方等等,同样需要被进一步解释说明。
● 场景六:学术合作
根据《征求意见稿》第一条,学术合作活动中产生的不包含个人信息或重要数据的普通数据出境活动,不需要采取数据出境保障性措施。例如,当国内某高校研究所与其他国家或机构的研究人员合作进行学术研究时,可能需要共享一些数据,例如实验结果、调查结论、统计数据等,不包含个人信息或重要数据。通过这些数据的出境,研究人员可以更好地共享知识、经验和研究成果,推动国际学术界的合作与交流,促进全球科学研究的发展。但是,该场景下的数据出境与“场景五”相似,涉及行业及领域的适用性较宽,某些敏感领域中的数据,即使不属于个人信息或重要数据,但是否还可能构成“情报”信息等也有待观察。并且,实践中如何在学术合作场景中鉴别被共享的学术数据不涉及重要数据或者国家秘密,也是一项技术性很强的工作。因此此类场景适用豁免规定需要特别小心、不得大意,不然可能会危害到我国国家安全与社会利益。
● 场景七:跨国生产制造
根据《征求意见稿》第一条,跨国生产制造活动中产生的不包含个人信息或重要数据的普通数据出境活动,同样也不需要采取数据出境保障性措施。例如一家制造型国企在全球多个国家设有生产基地,在进行产品生产制造和装配时,一些数据可能需要从我国出境以支持对生产基地的有效供应链管理,例如物料库存管理信息、零部件生产计划、物流运输信息等,以使该企业更好地协调和管理其在全球的供应链,确保物料的及时供应、使当地生产顺利进行,不仅提高生产制造的效率和质量,还保障向国际客户准时交付,赢得我国企业在国际上的口碑。但类似于“场景五”,“跨国生产制造”的概念也较广泛,其涉及的环节也较多、程序繁琐、参与方多样,数据出境的链条也可能相对复杂,因此,相关企业仍需在实践中进一步探索合规落地标准,也建议与监管机构保持沟通,获取对不明确问题的指导与解释。
● 场景八:跨国市场营销
根据《征求意见稿》第一条,跨国生产营销活动中产生的不包含个人信息或重要数据的普通数据出境活动,不需要采取数据出境保障性措施。例如,一家跨国消费品企业打算进入我国市场或扩大其在中国市场的业务前,针对国内市场的调研至关重要。在这个过程中,该快消企业必然需要收集和分析一些市场数据,包括我国各线市场调研报告、同行市场占比分析数据、消费者行为数据等,以了解目标市场的消费者需求、竞争情况、市场趋势等。通过将这些数据出境,该跨国公司可以更好地了解和把握目标市场的特点和机会,制定相应的市场营销策略和计划,有助于支持公司在我国市场的营销决策和推广活动,提高市场竞争力和业务增长。
而实践中,快消行业的营销活动往往利用的是“个人信息”,既包括针对明确的个人信息主体进行的精准营销,也包括利用去标识化等处理后得到的数据对特定人群包的数据进行定向分析和营销。根据《个保法》的规定,如个人信息经匿名化处理,则其不再属于个人信息的范畴。企业若要适用《征求意见稿》该场景下的豁免机制,需要准确判断用于拟传输出境的数据是否已经完全达到匿名化的处理要求。最终由谁来评估判断该企业拟出境的数据已达到不含个人信息的处理标准,则又是该场景下监管需要重点考量的问题。
● 场景九:其他普通数据
除了场景五至场景八的各种情况,《征求意见稿》第一条还对不包含个人信息或者重要数据的普通数据进行了兜底性质的描述。即在特定活动中出境普通数据,不需要采取数据出境保障性措施。然而,是否所有类似活动下的普通数据均能自由跨境流动?如何确定“等活动”的具体范围?实践中其他活动如何能类推适用第一条的豁免规定?若对适用范围进行过度演绎,有可能造成所有个人信息出境活动都最终免于采取出境保障性措施的结局;若谨慎推演,实际上兜底条款将流于形式,企业最终仅仅敢于适用的仍然是举例的几类场景。这些细节问题尚待通过实践进行精准判断后,由监管部门逐步形成补充性解释说明。
● 场景十:“自贸区负面清单”数据
《征求意见稿》除了明确提及以上九大场景外,还专门设计了“自贸区负面清单”的特殊机制,因其具有独特性,我们将在下一小节中进行专门介绍,此处仅从完整性角度简单提及。
综上,在企业日常业务活动以外,例如针对境外诉讼、境外执法等情况下要求境内企业提供其在中国境内产生的普通数据(如案涉证据等)。根据以往经验,此类场景下的数据通常出于符合境外法院或仲裁庭的证据开释流程之需而提供。向境外法院提供前须以司法部的司法协助中心意见为准,但是是否需要同时报送网信部门进行数据出境安全评估,本次《征求意见稿》并未作出明确回应。实践中存在因数据出境安全评估的审批时限较长,原告方会因此而遭致举证时限届满的风险,因此这些问题仍然需要监管部门予以进一步关注和澄清。
此外,值得注意的是,虽然《征求意见稿》明确了许多豁免情形,将部分风险较低的个人信息出境场景的风险自评估工作交由企业自主决策,但这并不意味着由此豁免了企业的事前数据安全保护义务、管理义务和安全事件发生时的报告义务。甚至在特定情况下,企业仍需要进一步明确相关数据出境活动的审批流程和要求,以降低自身可能遇到的合规风险。
《征求意见稿》就个人信息跨境传输数量设置了如下三个阈值范围。其判断标准不再如《数据出境安全评估办法》所规定的自上年1月1日起累计计算。具体如下表所示:
| 预计一年内向境外 提供个人信息数量 |
合规要求 | |
| 1 | 不满1万人 | 三项手续均豁免+同意 不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。 |
| 2 | 1万人以上、不满100万人 | 标准合同/认证+同意 与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的,可以不申报数据出境安全评估。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。 |
| 3 | 向境外提供100万人以上 | 安全评估+同意 应当申报数据出境安全评估。基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。 |
首先,该项规定仅考虑预计1年内数据处理者的出境个人信息数量,而不再考虑该数据处理者累计处理的全部个人信息的数量。这样一来,对于总体处理过个人信息数量较大,但在该年度内出境个人信息较少的企业而言,就提供了较多便利。
如表格总结,《征求意见稿》明确指出了预计1年内向境外提供不满1万人个人信息的,豁免数据出境手续(但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意)。这一规定解除了许多企业的疑惑:即按现行数据出境法规的字面理解,即使数据出境规模极为有限,也需要履行签署个人信息标准合同并予以备案的法定手续吗?笔者服务的一些此类客户此前即提出疑惑。在欧盟施行的GDPR等制度中,即存在“有限传输”等针对较少数据传输的处理者(满足相关条件后即)豁免其他法定义务的操作。如按严格语义解释我国数据出境现行法规,企业需要履行相关法定数据出境手续,可能会为其现有较少的出境相关业务增添较多的合规成本。
此外,《征求意见稿》将《数据出境安全评估办法》和《个人信息出境标准合同办法》所采用的以“自上年1月1日起”计算(一些观点俗称的“2年内”)个人信息出境总量门槛修改为预计1年内。《征求意见稿》据此进一步规定,其与《数据出境安全评估办法》《个人信息出境标准合同办法》等相关规定不一致的,按照《征求意见稿》执行。
尽管有以上三种情形的规定,但是该条款仍有部分内容尚未澄清:例如“预计一年内”从何时开始起算?此外,前述数量是否还需要区分一般个人信息和敏感个人信息?《征求意见稿》此次并未单独就传输敏感个人信息的数量和时间设限,但还是强调了跨境传输敏感个人信息仍需遵守有关法律法规的规定,例如《个人信息保护法》中提及的需要事前进行个人信息保护影响评估等。
这一情况下,新旧法规的衔接可能会存在一些有待澄清的地方。比如,根据《数据出境安全评估办法》,自上年1月1日起累计向境外提供超过1万人敏感个人信息,则需要申报数据出境安全评估。而假设《征求意见稿》落地,该企业符合在《征求意见稿》下豁免数据出境安全评估的情况(即1年内出境的个人信息数量没有达到100万人以上;或者达到了1万人以上,100万人以下,且其完成了标准合同备案或者通过个人信息保护认证),这里可能存在一个新法与旧法的冲突适用的问题。《征求意见稿》规定,其与《数据出境安全评估办法》《个人信息出境标准合同办法》等相关规定不一致的,按照《征求意见稿》执行。新规未明确提及敏感个人信息数量的要求,那么此处是否意味着新规不再适用任何关于敏感个人信息的数量计算标准呢?在未来的新旧规定衔接中,《数据出境安全评估办法》既定的敏感个人信息阈值标准是否据此将有所松动,我们也将继续关注。
当然,我们也注意到,即使满足豁免条件或因相关手续的阈值降低而免于按现行规定办理对应手续,作为数据处理者的企业仍需履行其他现有法规要求的合规要求。比如,基于个人同意向境外提供个人信息的,应当取得个人同意;在个人信息出境前,需要完成个人信息保护影响评估等。并且,适当的“松绑”并不意味着监管的放松,网信部门仍然将强化事前事中事后的全方位监管。
(一)澄清重要数据
根据《征求意见稿》第二条,未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
根据现有规定,数据处理者向境外提供重要数据,须履行申报数据出境安全评估义务。尽管目前市面观点普遍认为产生重要数据的行业包括银行业,但现行法律法规或监管部门并没有明确的重要数据目录,这使得国际金融机构及其境内关联机构对于业务开展过程中的数据跨境传输活动存在顾虑。
《征求意见稿》第二条明确了未经监管主动告知数据处理者或公开发布文件的方式识别重要数据的情况下,无需数据处理者进行重要数据的出境申报,这大大减轻了国际金融机构及其境内关联机构判断其掌握数据是否属于重要数据的负担。
从实践的角度来看,尽管《征求意见稿》放松了数据处理者对于重要数据的判断义务,但金融行业仍属于强监管以及金融数据和敏感信息高度集中的行业。因此,对于国际金融机构的境内关联机构而言,其仍应留意相关法律法规对于金融数据合规的要求。
(二)不同数据出境量的不同合规要求
根据《征求意见稿》第六条,如仅涉及少量个人信息出境,即一年内预计出境的个人信息所涉及的个人主体数量不到1万人,无需申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证;如向境外提供达到1万但不足100万人个人信息,则需签订标准合同并备案或进行个人信息保护认证;如向境外提供100万人或以上个人信息,则需要申报数据出境安全评估。
这将极大便利不在中国开展零售业务或者虽开展零售业务但无意向海外传送大体量个人客户信息的国际金融机构。例如,一些总部位于境外的跨国金融机构,在日常经营中仅涉及到少量内地个人客户的信息,但根据经营管理需要将信息传输境外总部储存,如规模未达到上述门槛,则可以豁免严格的监管要求。
(三)非境内收集产生的个人信息出境,豁免数据出境合规要求
根据《征求意见稿》第三条,不是在境内收集产生的个人信息向境外提供,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
该规定在2017年颁布的《信息安全技术 数据出境安全评估指南(征求意见稿)》(“指南”)已有体现。根据该指南,以下两种情形不被视为“数据出境”:(a)非在境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动或加工处理的,不属于数据出境;(b)非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的,不属于数据出境。该指南后续未出台正式稿,而本次《征求意见稿》则正式明确了上述认定标准。
该规定有利于国际金融机构面向境内个人客户开展业务。根据我们实践接触,不少香港银行等境外金融机构均采取境外收集个人信息并外包给境内总行/分支机构储存的运营模式,按照该条规定,该等情形或可豁免数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证等相关要求。
但是,我们也留意到该条仍存在模糊地带,有待实践和监管进一步澄清。例如,“不在境内收集”是指“未向境内开展个人信息收集”,还是“个人信息处理者在地理上未在境内”,存在不同的理解空间。
(四)不属于《征求意见稿》调整范围的情形
根据《征求意见稿》第8条,国家机关和关键信息基础设施运营者、涉密敏感信息的,依法照旧进行,不属于此次《征求意见稿》的调整范围,另行按照相关法律法规的规定进行监管。
目前绝大多数国际金融机构的境内分支机构均未被认定为“关键信息基础设施运营者”,因此对其直接影响不大。但如存在对外提供个人信息的机构被认定为“关键信息基础设施运营者”的情形,则国际金融机构在与该等机构开展业务活动时,需重点关注对方在跨境数据流动过程中是否履行了相关的合规义务。
(五)《征求意见稿》对国际金融机构的影响
总体而言,本次《征求意见稿》对于日常业务中涉及跨境数据传输的国际金融机构而言属于重大利好。
首先,《征求意见稿》排除了数据出境后影响小、跨境数据量小、且实践中高频出境场景下的前置审批程序,提高了适用门槛。
其次,《征求意见稿》给予了国际金融机构和数据出境的数据处理者更明晰的操作指引,比如明确了实施人力资源管理而必须向境外提供内部员工个人信息的,可以豁免申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证等要求。
但是,我们也留意到个人信息跨境的合规监管在实践中存在纷繁复杂的情形,具体数据出境场景的细微差别可能会导致合规监管要求截然不同。本次《征求意见稿》的出台敞开了放松数据跨境传输监管要求的大门,但建议国际金融机构仍需在实践中根据自身实际情况,确定执行标准以及明确合规要求。