总第112期 《促进和规范数据跨境流动规定》要点解读与企业合规应对
2024年3月22日,国家网信办正式发布《促进和规范数据跨境流动规定》(以下简称“《新规》”),对于前期企业在数据出境合规工作中的诸多难点给予了“松绑”。本期专题梳理《新规》要点内容,供企业对照确定数据出境路径,解决当前数据出境场景的迫切需求。
自2021年起《个人信息保护法》等法律法规确立了数据和个人信息出境的三大通路,即:国家网信部门组织的安全评估(“安全评估”)、专业机构进行的个人信息保护认证(“认证”)及按照国家网信部门制定的标准合同与境外接收方订立合同(“标准合同”,合称“数据出境程序”)。
在此基础上,《数据出境安全评估办法》(2022年生效)《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》(v1.0及v2.0版本均于2022年发布)《个人信息出境标准合同办法》(2023年生效)以及相关指南、规则相应出台,我国数据出境程序初步进入了实际操作阶段。按笔者观察,至今全国已经出现一批申报及通过安全评估的案例,同时各地也已陆续有大量处理者提交和完成了标准合同的备案。为进一步规范促进数据依法有序自由流动,国家网信办于2023年9月28日发布了《规范和促进数据跨境流动规定(征求意见稿)》(“新规征求意见稿”),向社会公开征求意见。在新规征求意见稿公布后,业界均对未来的监管调整做出了猜想,并翘首以盼。2024年3月22日,《新规》正式公布并生效,开启了我国数据及个人信息出境监管的新时代。与此同时,全国网络安全标准化技术委员会也于早前一日公布了《数据安全技术 数据分类分级规则》(报批稿),进一步细化了《数据安全法》等法律法规中关于建立数据分级分类保护制度的要求,给行业、地区主管部门和数据处理者的数据分类分级工作给出了更为详细的指引。
《新规》全文一共14条,涉及以下几个方面的主要内容:
1. 明确在未被相关部门、地区告知或者公开发布为重要数据的,数据处理者无需就此数据申报数据出境安全评估
从实操层面来看,在缺乏相关部门、地区告知或者公开发布重要数据目录的情况下,数据处理者很难判断其是否处理了重要数据,更难以基于此不确定性进行数据出境安全评估申报。此条款减少了重要数据识别的不确定性,便利企业开展正常的数据跨境流动,与《征求意见稿》保持一致。
鉴于重要数据对国家安全和社会公共利益的影响,此条款仍然强调了数据处理者应按照相关规定对重要数据进行识别和申报,落实重要数据的安全保护义务。例如,《工业和信息化领域数据安全管理办法(试行)》即规定,工业和信息化领域数据处理者应当定期梳理数据,按照相关标准规范识别重要数据和核心数据并形成本单位的具体目录。2024年3月21日,国家标准《数据安全技术数据分类分级规则》(GB/T 43697-2024)正式发布,其中,附录G规定了重要数据识别指南,列出了对关键行业和领域的重要数据进行识别所应当考虑的因素。另外,天津自贸区发布的《中国(天津)自由贸易试验区企业数据分类分级标准规范》也包括了重要数据的识别目录,并要求企业开展内部数据分类分级工作,并向天津自贸试验区网络数据安全工作主管部门报送重要数据目录。各行业和地区的重要数据目录仍值得进一步关注,以判断是否涉及企业自身所产生或管理的数据。
2. 针对不涉及境内个人信息或者重要数据的数据跨境流动,明确免于出境申报机制
针对不涉及境内个人信息或者重要数据情况下的两类数据跨境流动,《新规》明确豁免其申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
(1)实践中常见的跨境商业经营活动,包括国际贸易、跨境运输、跨国生产制造和市场营销等以及学术合作,如果出境数据不包括个人信息或重要数据,企业可以自由出境。
(2)此外,如果将在境外收集和产生的个人信息传输至境内处理后向境外提供,多见于面向境外用户提供服务的出海企业,假如在处理过程中没有引入境内个人信息或者重要数据的,即不涉及我国境内个人信息主体权益的,也免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
3. 调整不同出境申报机制的触发数量门槛以及计算周期
不同于《数据出境安全评估办法》以数据处理者所持有的存量数据数量作为出境申报的触发门槛之一,《新规》已调整为以数据处理者当年累计出境数量和数据类型作为不同出境机制的触发判断标准,更侧重于对于数据出境风险的评估,并有效降低了企业的合规成本。相较于《征求意见稿》:一是补充了敏感个人信息出境数量作为单独的一项触发评估或备案的标准,二是将触发备案的人数标准从1万提高到10万,三是将出境人数的计算方式从“预计未来一年”变更为“申报当年”,四是将评估有效期从2年改为3年,且经申请可延长。
4. 豁免出境申报的个人信息出境场景
针对实践中需要高频次进行数据出境传输的业务、跨国公司基于跨境人力资源管理需要而对外传输员工个人信息等特定的个人信息出境场景,《新规》也豁免其申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
(1)为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的;
(2)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;
(3)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;
(4)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。
针对上述个人信息出境的豁免情形,实践中普遍关注第二项,即对外传输员工个人信息如何满足豁免申报的要求。与《征求意见稿》相比,《新规》仍然没有明确“跨境人力资源管理”、“确需”的范围和判断标准。根据此前的项目经验,网信部门对于“确需”出境仍有相应的判定标准和要求,后续该等标准和要求是否在豁免情形或者评估、备案项目之中仍将延续或有相应的放宽,仍有待进一步观察。这也意味着,如果企业对外传输员工敏感个人信息累计不足1万人的,除非该等敏感个人信息出境满足本项豁免的要求,否则还是需要按照《新规》第八条的规定与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。因此,该条的后续解释仍值得继续关注。
5. 自由贸易试验区内的数据处理者对外提供“负面清单”以外数据,也可豁免申报
自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称“负面清单”),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。
自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。但此项豁免仅适用于自由贸易试验区内的数据处理者。
6. 重申出境的相关法律要求及数据安全事件的处理义务
《新规》第十条强调,数据处理者向境外提供个人信息的,应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。与《征求意见稿》之中多次强调单独同意的要求相一致,该条款再次强调了,适度放宽的主要是指触发评估和备案的场景范围,而对于涉及到个人信息出境的管理要求并没有改变。对于即便不需要进行评估或备案的企业,上述的出境基本义务仍然应当在业务流程之中落地,不因豁免评估或备案而不遵守相应的基本法律要求。
《新规》第十一条在强调保障数据出境安全的前提下,规定发生或者可能发生数据安全事件的,应当采取补救措施,及时向省级以上网信部门和其他有关主管部门报告。
《网络安全法》施行至今已经6年有余,有关网络安全的各项配套规则和执法活动已逐渐深入和完善。2023年,国家网信办也发布了《网络安全事件报告管理办法(征求意见稿)》,其中规定网络运营者在发生网络安全事件时,应当及时启动应急预案进行处置;属于较大、重大或特别重大网络安全事件的,应当于1小时内进行报告。就跨境数据发生数据安全事件后续的报告流程和具体要求,还需待实践之中进一步明确。该等要求也与目前的实践操作相一致,企业内部也建议预先制定预案流程和管理要求。
| 新规中的七类“豁免场景”(免于履行数据出境前置程序) | ||
| 一般数据豁免 | 场景一 | 国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的。(第三条) |
| 过境数据豁免 | 场景二 | 数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的。(第四条) |
| 特殊场景豁免 | 场景三 | 为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的。(第五条第一款) |
| 场景四 | 按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的。(第五条第二款) | |
| 场景五 | 紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的。(第五条第三款) | |
| 少量、非敏感的 个人信息豁免 |
场景六 | 关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。(第五条第四款) |
| 自贸区清单外豁免 | 场景七 | 自由贸易试验区内数据处理者向境外提供负面清单外的数据的。(第六条第二款) |
对七类豁免场景的理解与适用
场景一:一般数据出境豁免
该条规定与征求意见稿的内容并无实质区别,我们理解其宣誓意义大于实质作用。根据本次新规答记者问的说明,“数据出境安全管理不是对于所有数据,只限于重要数据和个人信息,这里的重要数据是针对国家而言,而不是针对企业和个人。”监管部门藉此重申和强调了“重要数据/个人信息受限出境,一般数据自由出境”的监管态度,监管重点在于重要数据和个人信息两类与国家安全和个人权益高度相关的数据类型,对于既不属于个人信息又不属于重要数据的“一般数据”,自由流通属于应有之义,自然无需履行数据出境的前置行政程序。
场景二:过境数据豁免
本条澄清和说明了境外数据入境后再出境本身就不属于国家网信办列明的三类“数据出境行为”,其主要原因在于境外数据并非是数据处理者在境内运营中收集或产生的,境外数据的“加工贸易”对国家和企业而言利大于弊,且境外数据境内加工中转的活动对于数据监管中重点考量的国家安全和个人权益因素影响较小。因此,对于过境数据,新规明确了“只要境内处理中没有引入境内个人信息或者重要数据”就无需履行数据出境的前置程序,这对于在中国开展海外数据处理业务、数据中心业务的企业无疑是个利好消息。
需要提示的是,从事此类业务首先要有相应的识别机制去判断来自境外的待加工数据在入境前本身是否就含有中国境内个人信息或重要数据;其次,需要关注作为“加工贸易”标的的加工数据内容是否符合中国现有的内容管控和行业管控的要求;另外,还需关注数据来源国/地对于数据出境的合规要求。
场景三:为个人履行合同所必需的豁免
新规借鉴《个人信息保护法》第十三条列明的个人信息处理的合法性基础,并开创性地使用了《个人信息保护法》第三十八条第四款兜底性规定对于国家网信办的授权,细化规定了个人信息处理者为了订立或履行其与个人作为交易对方的合同而跨境提供其个人信息的,属于前置程序的豁免场景。为便于企业理解,新规还举例了跨境购物、跨境支付、机票酒店预订等典型跨境业务场景。
在适用本条规定时,企业应重点核实和确认出境个人信息之于“订立或履行合同”的必要性。例如,在跨境购物中,跨境电商为交付货物目的而处理境内消费者的姓名、收货地址和联系方式,通常而言具有必要性。但如还涉及传输消费者的购物偏好和境内会员注册信息等与购物交付非直接相关的个人信息时,则需要充分论证数据出境的必要性,尤其应从合同目的实现角度(而非从自身CRM等系统长期部署境外等运营视角)去考虑该项信息的出境是否属于必不可少。
场景四:人力资源管理所必需的豁免
因全球统一人力资源管理目的而出境员工个人信息是目前绝大多数跨国公司认为必不可少的典型出境场景。新规依旧沿袭了征求意见稿的思路,充分吸收了在华投资外企的意见,但明确了这一豁免场景需以实施“跨境”人力资源管理为目的(而非简单的“人力资源管理”,请注意与征求意见稿的细微差别)。
由此,我们理解使用这一豁免场景可能需要进行一定程度限缩解释。主张适用本条时,企业应当同时满足:(1)已依法制定了劳动规章制度或依法签订了集体合同;(2)出境目的是便于位于境外的人力资源管理职能部门有效履行其人力管理职责;(3)向境外提供的是员工的个人信息;(4)出境的员工信息为境外人力资源管理职能部门履行职责所必要。
我们认为该规定的目的在于,限制企业随意扩大人力资源管理的范围而任意处置员工个人信息。当然,“人力资源管理”是一个宽泛的业务用语,在监管部门对“跨境”“人力资源管理“确需出境的个人信息”这些用语通过后续政策或者窗口指导做出明确说明前,企业需自行(或借助第三方专业人士力量)判断合理范围。
实操层面,企业和监管部门对于“出境必要性”的理解往往存在认知差距。根据过往的项目经验,审核部门较坚持自己的审核标准。仅凭“员工管理系统部署于境外”、“遵循国外总部的统一安排”这样的理由难以合理论证出境的必要性并得到审核部门的认可,审核部门仍可能拒绝部分字段出境,也有可能要求对允许出境的字段做打码屏蔽等去标识化处理(通常是员工敏感个人信息)。但在新规的背景下,我们亦了解到有监管部门对于该豁免场景下前述四要件的监管尺度存在整体放宽的趋势,表现为监管部门更愿意倾听企业侧的实际必要性。因此,未来企业在判断是否可适用该豁免场景时,应主要根据新规的要求准备好充分的依据,并做好豁免论证的内部留痕,完善相关自评估管理。当然,我们相信,通过后续实操中监管对企业合理业务需求了解程度的不断深入,关于该条的关键要素解释(例如实施跨境人力资源管理所必需的员工信息的合理范围、员工的范围、可依赖的劳动规章制度的范围)肯定会越来越明朗。
场景五:紧急情况下的豁免
该条与征求意见稿无实质区别,适用范围相对特定,企业适用该条豁免场景的机会也较为有限,故我们不对此展开分析。
场景六:少量、非敏感个人信息豁免
对于少量、非敏感个人信息的出境豁免场景,新规呈现出“一收一放”的特点。“收”在于新规没有吸取征求意见稿完全“增量式”的计算方式(即只关注增量数据出境,不关心存量数据出境),而是延续采用“存量式”的计算方法,即以当年1月1日起至评估之日向境外传输个人信息是否达到10万人作为是否需要履行数据出境前置手续的判断标准。而“放”在于对于豁免履行前置手续的门槛提高到10万人。另外,如企业存在本文列举的其他六类豁免场景任意一类的,所涉场景下出境的个人信息无需纳入总数计算。这在更大程度上照顾到了企业的实际需求并减轻了企业的合规负担。
需要说明的是,该条仅适用非CIIO的个人信息处理者;信息类型仅包括个人信息,不含敏感个人信息和重要数据;统计数量为评估期内去重后的人头数。
虽然该条吸取了“存量式”的统计方法,但在实操中,为了确认自身是否达到(或年度内有可能达到)10万人的门槛从而判断是否触及数据监管前置手续,企业仍需进行一定的前瞻预判和评估,根据自身业务规划,设定合理的人头数清点时间节点,定期开展数据盘点并及早做出安排。例如,企业在上半年出境的个人信息数量极少,但预期下半年会开展几个大型营销活动涉及到大量客户的个人信息的采集和出境,并可能突破10万人或100万人的门槛。在这种情形下,企业不能熟视无睹,应积极寻求解决方法,或控制出境数据规模使之不突破法定门槛,或积极着手准备对应适用的数据出境监管手续和相关评估工作。
场景七:自贸区清单外豁免
自贸区因其特殊地位在数据出境方面享受政策优惠。新规延续了征求意见稿的内容,允许自贸区在国家数据分类分级保护制度的框架下可以先行先试,自行制定需要履行出境前置手续的数据清单(即负面清单)。自贸区制定的负面清单需经过省级网络安全和信息化委员会批准并报国家网信部门和数据管理部门备案,体现出负面清单制定程序的严肃性。
未来,在自贸区内的数据处理者如跨境提供负面清单外的数据,可以免于履行数据出境监管前置手续。值得注意的是,新规新增了“国家数据分类分级保护制度的框架”这一限定要件。一般理解下,自贸区的试点授权事项仍然受限于上位法目前对于“核心数据-重要数据-一般数据”和“个人信息-敏感个人信息”的整体数据分类分级保护框架。这种数据跨境传输试点模式并非直接跳脱出数据出境监管机制的适用,而是在现行数据安全基础制度的框架内,允许自贸区以负面清单的形式划定是否适用数据出境前置手续的特殊情形。
但是,考虑到自贸区的试点模式同时也承担了我国对接更高标准的国际和区域性数据自由流动经贸规则的政治任务,自贸区制定负面清单时,如何平衡“有关行业监管基于国内法做出的重要数据出境限制要求”以及“经贸协定基于保障成员国正常经贸往来做出的数据自由流动要求”两者的冲突,有待进一步观察。此外,某些自贸区已出台的政策列明了其适用范围包括未注册在自贸区但其数据经由自贸区出境的企业。这一政策口径是否会因为新规而做出调整,或者说新规对自贸区试点的耐受度,也是另一个值得关注的地方。
根据公开消息,上海自贸区临港新片区已经基本编制完成智能网联汽车车辆远程诊断、公募基金市场投研信息、跨国公司集团管理、生物医药临床试验和研发等20个场景的跨境流动分级分类的首批清单目录,将在完成论证后对外发布。我们建议位于自贸区的企业密切关注有关动态,可以积极同自贸区沟通以探索自贸区便利措施的适用空间。
新规对数据出境合规路径选择模型的重构,也反映出数据出境监管思路的转变。
1. “事前监管”放松,“事中监管”和“事后监管”加紧
新规整体为数据出境合规义务“松绑”,但这并不意味着数据出境合规不再重要;相反,监管部门通过新规一定程度上放松了“事前监管”,恰恰意味着企业需要更加着力于应对潜在的“事中监管”和“事后监管”。此前,数据出境安全评估和个人信息出境标准合同备案虽然可能给企业带来较高的合规成本,但也使得数据出境蕴含的风险被充分暴露,在与监管部门多轮沟通并最终拿到评估/备案结果的过程中,企业理解了监管重点、完成了合规整改,也使得整改后的出境情况得到了监管的认可。
而在新规生效后,虽然部分企业被豁免了申报数据出境安全评估和备案个人信息出境标准合同的义务,但这也意味着保障数据出境安全、合规将在一定程度上成为企业需要“独自面对”的难题,一旦合规保障措施未执行到位,造成严重后果或者被监管部门在例行检查中发现,则企业可能会面临更为严重的责任。
对此,我们建议企业务必重视数据出境合规,无论是否被新规豁免,开展个人信息保护影响评估/数据出境安全评估、签订数据出境相关协议、采取安全保障措施、履行告知义务等都是企业必需履行的合规义务,而履行这些义务并保留相关记录,也将成为应对监管部门检查、防止安全风险的重要举措。
2. 从关注“历史追溯”,到重视“当年预测”
在洞察监管思路时,我们需要厘清事物发展的时间脉络。此前,因数据出境合规制度在我国刚刚确立,多数企业面临的问题是如何使进行过程中的数据出境活动满足数据出境合规监管的要求,而在开展数据出境安全评估申报或个人信息出境标准合同备案的过程中,“已出境数据”的盘点和“拟出境数据”的预测同等重要。
而在新规生效后,一方面,随着数据出境相关制度的成熟,“先出境、再合规”可能已经无法适应监管的要求,对于业务发展中可能新增的数据合规场景,企业应当在合理预测、预留申报/备案/合规整改时间的基础上,及时采取合规措施,确保“先合规、再出境”;另一方面,当年已出境数据量的盘点及拟出境数据量的预测将成为企业选择合规路径的重要一步。
根据我们大量的数据出境项目经验,对拟出境数据量的预测是实务中的难点,在新规生效前,拟出境数据量预测错误可能导致企业需重复申报/备案;而在新规生效后,除上述问题外,对当年已出境数据量监测不及时、对拟出境数据量预测失误等问题还有可能导致数据出境合规路径选择错误,从而使数据出境合规工作出现方向性、根本性的问题。
对此,我们建议企业注重建立数据出境持续监控机制,做到及时感知业务发展中发生的数据出境活动,并及时在专业人士的帮助下选定数据出境合规路径、开展数据出境合规工作。此外,企业应当结合已出境数据量、业务发展状况、企业发展战略等因素,对当年的拟出境数据量做出预测,并在预测时留有空间和余地,避免在出境数据量增加时,使企业陷入“来不及履行数据出境合规义务”而影响业务发展的尴尬境地。