来源 | 礼丰律师事务所 宇文沛 胡运思
3月22日,国家互联网信息办公室正式发布《促进和规范数据跨境流动规定》(以下简称“跨境新规”),对我国现行的数据出境合规监管框架进行了重大调整。相较于此前已经出台的《个人信息出境标准合同办法》和《数据出境安全评估办法》,“跨境新规”整体呈放宽趋势,对数据跨境的各类具体场景提供了较为明确的指引。加之,上海自贸区和临港新片区陆续发布了关于数据跨境流动管理新规并公布将在智能网联汽车车辆远程诊断、公募基金市场投研信息、跨国公司集团管理、生物医药临床试验和研发等20个场景的跨境流动分级分类的首批清单目录。相信随着跨境数据流动新规、指引的完善,将进一步便捷相关产业开展跨国业务,减轻合规成本及负担。
本文基于“跨境新规”基本条款内容,总结相关重点产业数据跨境实务问题并进行初步解读,以期为企业数据跨境工作提供有效参考。
01“跨境新规”主要“新”在哪里?对于目前的数据出境法律监管框架有哪些实际的改变及影响?
–明确列举豁免数据出境前置程序情形。在数据过境、个人信息数据未达量情况及特定场景(履行合同必须、人力资源管理、紧急情况确需)的情况下,豁免数据出境前置程序(详细豁免场景请参考Q2答复)。
对于本身处理超过一百万人个人信息的企业具有较大利好,在此前的监管框架中,处理超过一百万人个人信息的企业即便出境少量个人信息,也要进行数据安全评估流程。但在本次“跨境新规”中,并未再提及该情形。可以推测,该“跨境新规”系对于本身处理超过一百万人个人信息企业的合规减负。在实务中,符合此类减负门槛的企业数量较多,减负覆盖面较广。
-明确适用数据范围,一般数据不再监管。“跨境新规”规定,最新跨境监管数据的范围为“个人信息”及“重要数据”,明确表示了在特定行业场景中,企业一般数据跨境流动,不需要进行任何前置审批及备案。
*“重要数据”是指,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。
–重要数据明确判断标准。在实务当中,一般企业很难自行判断是否属于“重要数据”的范围内,“跨境新规”再次明确,只要未被相关部门、地区告知或公开发布出境数据为重要数据,那么出境数据就不是重要数据。该判断标准与实务中判断企业是否掌握重要数据的标准统一。
– 关键信息基础设施运营者 (CIIO)有望减负。根据以往数据跨境监管合规思路,CIIO为重点监管对象,数据跨境监管要求较高。但根据“跨境新规”第七条第二款,CIIO可以与普通企业一样,优先适用数据跨境前置审批流程的豁免,实际给CIIO企业减负不少。
02 何种情形下企业数据跨境不需要履行前置审批手续?
03 数据出境前置审批程序豁免,是否意味着企业个人信息出境无需获得个人信息主体同意?
不是。在过境数据与场景豁免情形下,获得个人信息主体明示同意并非必须条件;但在数量豁免和自贸区非负面清单数据情形下,企业仍需取得个人信息主体的明示同意。
04 何种情形下企业数据跨境需要申报数据出境安全评估?
–达量个人信息及敏感个人信息。自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息的;
-重要数据跨境。
05 通过数据出境安全评估的有效期有多长?
“跨境新规”打破了《数据出境安全评估办法》对于数据出境安全评估有效期为2年且不可延展之规定,“跨境新规”将通过数据出境安全评估的有效期延长至3年,并可延长评估结果有效期3年。
06 个人信息、敏感个人信息是什么?该如何判定?
本次跨境新规强调了敏感个人信息及个人信息不同达量要求,那么这两个概念如何界定?
根据《个人信息保护法》,个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
敏感个人信息,是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
实务中,一般参考《GB/T 35273-2020 信息安全技术 个人信息安全规范》判断敏感个人信息的具体范围。
07 企业应如何选择数据跨境的路径?
依照“跨境新规”,企业可根据以下选择合适的数据跨境路径:
08 自由贸易试验区数据可以自由跨境吗?
自贸区可以制定区内数据跨境负面清单,只有清单内列举的数据跨境才需要做前置审批手续,负面清单外数据则可以自由跨境。
目前,上海临港已基本编制完成智能网联汽车车辆远程诊断、公募基金市场投研信息、跨国公司集团管理、生物医药临床试验和研发等20个场景的跨境流动分级分类的首批清单目录,在完成论证后将于近期对外发布。
09 《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》有什么新规定吗?
国家互联网信息办公室在“跨境新规”发布的同日,发布了《数据出境安全评估申报指南(第二版)》(以下简称“出境安全评估指南(第二版)”)和《个人信息出境标准合同备案指南(第二版)》(以下简称“标准合同备案指南(第二版)”)。新发布的《出境安全评估指南(第二版)》和《标准合同备案指南(第二版)》根据“跨境新规”,对于应当申报数据出境安全评估和进行标准合同备案的情形进行了相应调整。同时,两篇指南都明确简化了申报和备案方式,需要出境安全评估申报和标准合同备案的企业可以通过在线系统提交申报材料。
此外,两篇指南明确将符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他数据处理活动纳入数据出境行为的定义中。
我们后续也将就新发布的两篇指南对于企业数据出境活动的重要影响予以进一步解读。
结语
距离此前征求意见稿已过近半年时间,各方期待已久的《促进和规范数据跨境流动规定》终于尘埃落定,该跨境新规大幅度降低了企业数据跨境的合规成本。从严格的事前监管逐渐转变为事中、事后监管,可以在保障国家数据安全的前提下,有效促进数据的自由流动。企业需结合自身需求,合理判断是否需要履行数据跨境前置程序,选择出最契合的数据跨境路径。
本文作者
宇文沛 合伙人
礼丰律师事务所
宇文沛律师系礼丰律师事务所合伙人,擅长企业合规体系搭建、网络安全与数据合规、隐私与个人信息保护、政府调查方面的法律服务,尤其在数据合规及个人信息保护方面拥有非常丰富的执业经验:宇文沛律师自2018年起,开始从事与数据合规及个人信息保护相关律师业务,曾协助多家大型跨国企业及国内知名互联网企业,处理关于隐私及数据合规体系搭建、数字化转型、互联网产品(APP/小程序)合规、跨境数据传输、AI及算法大模型合规问题,获得客户、合作伙伴及其他项目参与方的广泛好评和认可。
胡运思 律师
礼丰律师事务所
胡运思律师主要从事网络安全与数据合规、隐私与个人信息保护等业务,曾为多家企业提供个人信息保护咨询,参与企业内部数据合规体系搭建项目。她曾参与应对欧盟执法机构针对某全球领先的自动驾驶企业内部数据泄露事件的调查。
注:实习生张欣对本文亦有贡献
特别声明: 本微信公众号发布的文章及其内容仅作为交流讨论之目的,不代作者和/或其任职单位对有关问题的法律意见、观点或立场,也不保证该等文章及其内容在载明日期之后不会被更新。任何仅仅依赖于文章中的全部或部分内容而作出的任何作为或不作为决策所造成的后果,将由行为人自行负责。如果您需要法律意见或其他专家意见,我们建议您向具有相关资格的专业人士寻求专业帮助。