2023年9月28日,国家互联网信息办公室发布了《规范和促进数据跨境流动规定(征求意见稿)》(以下简称“《规定》”),向社会公开征求意见。该《规定》共计十一条,首次规定了不需要事前监管的数据场景、暂缓对重要数据的认定以及提出自由贸易区负面清单制度。这标志着我国数据跨境流通进入了新的发展阶段。笔者以《规定》内容为基础,结合实践经验,浅谈数据出境制度的新变化、新发展。
一、出台背景
国内视数据跨境交易为数据要素市场建设和外商投资优化的重要因素,而国际上欧美间数据流通的重新建立也对全球范围内的数据流通产生了影响。因此,该《规定》也是我国参与国际数据流通生态建设的最新尝试。
在此之前,《个人信息保护法》第三十八条明确规定了个人信息处理者因业务需要确需向中华人民共和国境外提供个人信息的,需具备下列条件之一:1. 通过国家网信部门组织的安全评估;2. 按照国家网信部门的规定经专业机构进行个人信息保护认证;3. 按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;4. 法律、行政法规或者国家网信部门规定的其他条件。因此,可以理解若企业涉及数据出境,则需选择数据出境安全评估、个人信息处理活动安全认证规范以及个人信息出境标准合同办法(以下简称“数据出境的前置性规定”)这三条路径之一。
该《规定》最大的变化是对这些现有规定进行了调整,豁免了部分数据出境事前监管义务,降低了企业的数据合规成本。上海市数据交易专家委员会委员陈吉栋指出,《规定》的出台意味着我国对于数据出境的立法价值追求发生了转变,从数据主权和数据安全转向促进数据跨境流通和数据交易。其对重要数据的认定放宽以及多种场景下的义务豁免,有助于促进跨境数据流通和商业活动的便利。
二、《规定》亮点
亮点一:部分数据出境场景无需履行数据出境的前置性规定
《规定》首次提出符合以下场景的,个人信息处理者无需履行申报数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证的数据合规义务:
01、不包含个人信息或重要数据的国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境;
02、不是在境内收集产生的个人信息向境外提供;
03、为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的;
04、按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的;
05、紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的;
06、预计一年内向境外提供不满1万人个人信息的。
根据笔者的实务经验,目前对于数据出境合规有需求的企业类型多涉及跨境贸易、生产制造、营销,数据类型多涉及从事履行合同所必须提供个人信息的跨境服务,此《规定》未来的出台,会大大减轻企业开展数据出境合规工作的负担,为更多对外投资企业、外商投资企业、小微企业创造更宽松的营商环境。
亮点二:对于适用数据出境的前置性规定的个人信息的数量作出调整
首先,《规定》出台之前只要涉及出境的数据均应该履行数据出境的前置性规定义务,且个人信息量或累积量越大其前置审查力度越高。此次《规定》直接豁免了一些小微型跨境公司的数据出境合规义务,对于个人信息出境量不大,即预计一年内不满1万人信息的,可以不再履行数据出境的前置性规定义务,即使是敏感信息。这对于以前无论多少数据量,只要涉及数据出境均需前置监管的规则是一个突破性的革新。对于规模较小的跨境企业来说,该规定减轻了其履行数据合规义务的负担,为其创造了更好的营商环境。另外,对于预计一年内向境外提供1万人以上、不满100万人的个人信息,网信办也放松了前置监管,不再要求个人信息处理者申报出境安全评估,只需要做备案或认证即可。
下表是新旧规定中企业如何履行数据出境的前置性义务的归纳总结:
法律依据 | 统计方式 | 前置性规定 | 个人信息数量 |
《数据出境安全评估办法》 第四条 | 上一年度累计个人信息数量 | 需要申报数据出境安全评估 | 1. 处理100万人以上个人信息; 2. 自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息 |
《个人信息出境标准合同办法》 第四条 | 需要订立个人信息出境标准合同 | 处理个人信息不满100万人的 + 自上年1月1日起累计向境外提供个人信息不满10万人的 + 自上年1月1日起累计向境外提供敏感个人信息不满1万人的 | |
《个人信息保护法》 第三十八条 | / | 需要通过个人信息保护认证 | 其他出境数据 |
《规范和促进数据跨境流动规定(征求意见稿)》 第五条 | 预计一年内个人信息数量 | 不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证 | 预计一年内向境外提供不满1万人个人信息的 |
《规范和促进数据跨境流动规定(征求意见稿)》 第六条 | 不需要申报数据出境安全评估 | 预计一年内向境外提供1万人以上、不满100万人个人信息+与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的 |
其次,《规定》是对《数据出境安全评估办法》和《个人信息出境标准合同办法》对于出境个人信息数量适用何种前置性义务的全新解读,其删除了对关键信息基础设施运营者的限制,也删除了敏感个人信息的概念,仅按照信息量的多少将出境个人信息的前置性义务履行的划分了三个档次,笔者在下表中做了归纳总结以供参考。这样全新的划分也更有利于企业自查时更快速的确认应该履行哪档前置性义务:
_ | 个人信息数量 | 履行前置性义务 |
第一档 | 个人信息数量<1万 | 不需要履行任何数据出境的前置性义务 |
第二档 | 1万≤个人信息数量<100万 | 选择订立个人信息出境标准合同; 或通过个人信息保护认证 |
第三档 | 100万≤个人信息数量 | 申报数据出境安全评估 |
亮点三:新增自贸区负面清单
《规定》第七条将自贸区作为数据跨境流动的先行试点地区,提出负面清单制度,对于数据出境事宜给予了自贸区极大的自由空间。自贸区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单,报经省级网络安全和信息化委员会批准后,报国家网信部门备案。该举措能够有效提高我国自贸区的数据跨境流通效率,也有利于吸引更多企业落地自贸区从而带动经济发展。
该负面清单制度是对2023年8月13日国务院发布的《关于进一步优化外商投资环境加大吸引外商投资力度的意见》中“探索便利化的数据跨境流动安全管理机制”“试点形成可自由流动的一般数据清单”的落实。在《规定》未发布之前,被称为“国际数据试验田”的上海市临港区国家已进行初步探索,根据《中国(上海)自由贸易试验区临港新片区条例》中规定,自贸区通过制定低风险跨境流动数据目录的形式,促进跨境数据的自由流动。如今临港区对跨境数据流动的探索,已让跨境支付、跨境直播、数字技术、数字内容等服务贸易领域的经济活动在此地加速集聚。临港区试点的成功,进一步论证了尽快落地自贸区负面清单的必要性。
亮点四:注重事中补救,事中事后监督
《规定》豁免了部分企业或企业的业务履行数据出境的前置性规定的义务,但这并不意味着对数据出境合规要求的降低。《规定》第九条提出在发生数据出境安全事件或数据出境安全风险增大时,应当采取补救措施。这意味着企业应当关注出境的数据的全生命周期,不是仅完成事前审查就结束了。而《规定》第十条也强调了各地方网信部门的事中事后监督责任,完善了整体的监督流程,在降低数据出境门槛的同时将监管目光放在整个数据出境全流程之中。
三、亟待解决的问题
此次《规定》征求意见稿的意见反馈时间仅七个工作日,可见国家对于该放宽数据出境“门槛”的急迫性和决心,但笔者认为《规定》还存在以下问题亟需进一步完善和明确:
Q1、部分规定过于笼统
《规定》第三条,不是在境内收集产生的个人信息向境外提供,可以不履行数据出境的前置性规定,那么如果数据在境外收集,但在境内进行存储、传输、加工、利用,再传输至境外,是否可以避免履行数据出境前置性规定的义务?另外,这里的“境内收集”是指地理意义上的境内还是网络意义上(如服务器端口)的境内?
《规定》第四条第一款第二款第三款都出现在了“必需”和“必须”的字眼,以第四条第一款为例,“为订立、履行个人作为一方当事人的合同所必需,必须向境外提供个人信息的”,那么对于“必须”的理解是否应该有一个标准或者具体的解释。在之前的申请数据出境安全评估的实践过程中,企业申请被网信办拒绝的一个很重要的原因是数据出境缺乏“必要性”,那么这里对于必须含义的理解是否又会使企业陷入是否需要履行数据出境前置性义务的不确定性之中?
《规定》第九条“发生数据出境安全事件或发现数据出境安全风险增大的,应当采取补救措施”。这里仅规定了数据处理者采取补救措施的义务,并未规定如何补救,“及时向网信部门报告”也没有具体的时间限制。
Q2、相关制度规定待完善
《规定》第二条“未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。”对于重要数据的界定从《数据安全法》《个人信息保护法》出台后就一直较为模糊。目前还是仅有较少的部门、地区、行业制定并发布重要数据目录。那么重要数据目录的空缺可能会导致未被明确为重要数据的数据不需要通过数据出境安全评估,影响国家数据安全。
《规定》第七条自贸区可自行制定其自贸区的负面清单,国家网信办拟在自贸区推行负面清单制度初衷很好,但实践起来难度较大。如前所述,上海市临港自贸区已先行建立跨境流动数据目录,但在实践中仍存在负面清单无法将重要数据穷尽的问题。根据21世纪经济报道对临港跨境数科总经理李晶的专访,李晶指出目前数据数量大、种类多,各个行业主管部门掌握的数据样本基础也不是很丰富,导致负面清单可以涵盖的数据范围相对很小。目前一些关系到国家关键基础设施或国家安全的数据已被列入负面清单,但在这一清单外的数据还有十倍、百倍的空间仍处于混沌状态。因此,落实该条内容,建立各自贸区的负面清单任重而道远。
《规定》第十条强化网信部门的事前事中事后监管,对于事前监管手段现已明确,但事中和事后的监管措施还需要更详细的规章制度去完善。该条中“拒不改正”“严重后果”的程度及具体情形也需进一步地明确和解释。
Q3、新旧规定的衔接问题
《规范和促进数据跨境流动规定(征求意见稿)》作为数据出境管理制度的巨大变革,与之前的《数据出境安全评估办法》《个人信息出境标准合同办法》确有不一致之处。虽《规定》第十一条说明相关规定与本规定不一致的,按照本规定执行,但是在新规未施行旧规未废止时提交申请,或目前根据旧规要求正在整改的企业,未来新规施行后网信办应该按何标准监管?对于《规定》第五条“预计一年内向境外提供不满1万人个人信息的”,预计一年内该从何时开始计算?这些问题仍待明确。
结语
虽然《规定》存在上述仍待解决的问题,但其无疑是对《数据出境安全评估办法》《个人信息出境标准合同办法》发布后,企业和网信办在实践中遇到困难的回应和解释。同时也展现了国家对于减轻企业数据合规负担,促进数据跨境流动发展的决心和信心。我们期待《规定》的正式出台,为数据跨境流动注入新的活力,为跨国企业提供更好的营商环境,为我们数据合规工作者提供更明确的指引。