風起于青萍之末——簡評《促進和規範資料跨境流動規定》的細節變化
【珠海律師、珠海法律咨詢、珠海律師事務所、京師律所、京師珠海律所】
2023年9月28日,國家網際網路資訊辦公室公布《規範和促進資料跨境流動規定(征求意見稿)》(下稱“征求意見稿”)後,關于資料跨境新規的出台時間和最終内容一直受到業内關注。雖然2023年11月28日國家網際網路資訊辦公室2023年第26次室務會議審議通過了《促進和規範資料跨境流動規定》(下稱“正式稿”),但時隔近半年後,才正式公布施行。從十一條增加到十四條,對現有資料出境安全評估、個人資訊出境标準合同、個人資訊保護認證等資料出境制度的實施和銜接作出進一步明确,适當放寬資料跨境流動條件,适度收窄資料出境安全評估範圍,展現的是監管部門對于資料跨境流動規則更加科學細緻的思考。
從規定名稱來看,由原來的“規範和促進”修改為“促進和規範”,把促進放在規範的前面,可見監管部門對于資料要素市場發展的主要思想還是促進資料流動和資料要素發展,并非一味強調安全。在答記者問中,有關負責人也指出,資料出境安全管理不是對于所有資料,隻限于重要資料和個人資訊,這裡的重要資料是針對國家而言,而不是針對企業和個人。2024年2月28日,國務院辦公廳印發的《紮實推進高水準對外開放更大力度吸引和利用外資行動方案》提出“健全資料跨境流動規則,科學界定重要資料的範圍。全面深入參與世界貿易組織電子商務談判,推動加快建構全球數字貿易規則。探索與《數字經濟夥伴關系協定》成員方開展資料跨境流動試點,加快與主要經貿夥伴國家和地區建立資料跨境流動合作機制,推動建構多層次全球數字合作夥伴關系網絡。”,此次正式稿出台更有利于推動中國加入《全面與進步跨太平洋夥伴關系協定》和《數字經濟夥伴關系協定》等,促進中國經濟全球化發展。
在保障資料安全和促進資料跨境流動方面,正式稿有以下重要内容及細節變化:
一、明确資料處理者應當按照相關規定識别、申報重要資料義務
重要資料是指一旦遭到篡改、破壞、洩露或者非法擷取、非法利用等,可能危害國家安全、經濟運作、社會穩定、公共健康和安全等的資料。雖然《網絡資料安全管理條例(征求意見稿)》《資訊安全技術 重要資料識别指南》《資料安全技術 資料分類分級規則》等檔案中列明了重要資料的類目和示例,但因國家重要資料目錄制定還需要進一步完善,實踐中資料處理者往往對于所處理的資料是否屬于重要資料存疑。《網絡資料安全管理條例(征求意見稿)》第二十九條規定,重要資料的處理者,應當在識别其重要資料後的十五個工作日内向設區的市級網信部門備案,但因條例還未正式生效,處理者主動申報的積極性不高。在征求意見稿的基礎上,正式稿增加要求資料處理者應當按照相關規定識别、申報重要資料,同時明确未被相關部門、地區告知或者公開釋出為重要資料的,資料處理者不需要作為重要資料申報資料出境安全評估。
二、明确免于申報資料出境安全評估、訂立個人資訊出境标準合同、通過個人資訊保護認證的情形
1、國際貿易、跨境運輸、學術合作、跨國生産制造和市場營銷等活動中收集和産生的資料向境外提供,不包含個人資訊或者重要資料的,免予申報資料出境安全評估、訂立個人資訊出境标準合同、通過個人資訊保護認證。在征求意見稿的基礎上,正式稿增加了跨境運輸這一資料高頻互動的場景。
2、資料處理者在境外收集和産生的個人資訊傳輸至境内處理後向境外提供,處理過程中沒有引入境内個人資訊或者重要資料的,免予申報資料出境安全評估、訂立個人資訊出境标準合同、通過個人資訊保護認證。征求意見稿表述的是“不是在境内收集産生的個人資訊向境外提供”,正式稿更加明确“資料處理者在境外收集和産生的個人資訊傳輸至境内處理後向境外提供,處理過程中沒有引入境内個人資訊或者重要資料的”這一條件,為資料過境場景下是否進行管制措施提供了答案。
3、資料處理者向境外提供個人資訊,符合下列條件之一的,免予申報資料出境安全評估、訂立個人資訊出境标準合同、通過個人資訊保護認證:
(1)為訂立、履行個人作為一方當事人的合同,如跨境購物、跨境寄遞、跨境彙款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等,确需向境外提供個人資訊的。征求意見稿僅明确例舉了跨境購物、跨境彙款、機票酒店預訂、簽證辦理這幾類情形,正式稿增加了跨境寄遞、跨境支付、跨境開戶、考試服務等場景例舉,更有利于物流、資金流、人才流的跨境交易,且表述從“訂立合同所必須”修改為“為訂立合同确需向境外提供”,更加回應了實踐中對于上述場景中必要性的了解。
(2)按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理,确需向境外提供員工個人資訊的。此款在征求意見稿的基礎上首先明确“跨境人力資源管理”場景,其次把“内部員工個人資訊”修改為“員工個人資訊”,有利于解決實踐中集團公司、外包公司必要人員個人資訊出境的争議。
(3)緊急情況下為保護自然人的生命健康和财産安全,确需向境外提供個人資訊的。
(4)關鍵資訊基礎設施營運者以外的資料處理者自當年1月1日起累計向境外提供不滿10萬人個人資訊(不含敏感個人資訊)的。正式稿在征求意見稿的基礎上,首先明确此種情形适用的是非CIIO,另外删除“預計一年内”的争議性表述,明确把不滿1萬人個人資訊修改為不滿10萬人個人資訊(不含敏感個人資訊)的,更加放寬了限制。
三、修改和明确了非CIIO關于個人資訊出境數量有關條款
1、如上所述,非CIIO免予申報資料出境安全評估、訂立個人資訊出境标準合同、通過個人資訊保護認證的數量,由預計一年内不滿1萬人個人資訊修改為自當年1月1日起累計向境外提供不滿10萬人個人資訊(不含敏感個人資訊)。
2、非CIIO預計一年内向境外提供1萬人以上、不滿100萬人個人資訊,與境外接收方訂立個人資訊出境标準合同并向省級網信部門備案或者通過個人資訊保護認證的,可以不申報資料出境安全評估修改為自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人資訊(不含敏感個人資訊)或者不滿1萬人敏感個人資訊的,應當依法與境外接收方訂立個人資訊出境标準合同或者通過個人資訊保護認證。首先是明确了介于出境安全評估和免于管制措施的中間地帶情形應當與境外接收方訂立個人資訊出境标準合同或者通過個人資訊保護認證;其次是相應将1萬起點修改為10萬,從數量方面适當放寬,但是更加明确了敏感個人資訊的數量限制。
3、資料出境安全評估的情形中,因《資料出境安全評估辦法》實施已已過1年半,“自上年1月1日起累計向境外提供10萬人個人資訊或者1萬人敏感個人資訊的資料處理者向境外提供個人資訊”的表述明顯不再适用,修改為“自當年1月1日起累計向境外提供100萬人以上個人資訊(不含敏感個人資訊)或者1萬人以上敏感個人資訊。”對于1萬人以上敏感個人資訊出境須安全評估的要求,一定程度上增加了資料出境安全評估的申報數量。
四、進一步完善自由貿易區負面清單管理
正式稿在征求意見稿的基礎上,明确自由貿易試驗區負面清單管理應當在國家資料分類分級保護制度架構下進行,其次備案部門在國家網信部門基礎上增加了國家資料管理部門,這也符合國家資料局負責協調推進資料基礎制度建設,統籌資料資源整合共享和開發利用,統籌推進數字中國、數字經濟、數字社會規劃和建設等的職責。
目前各個自貿區都在積極推動制定資料跨境便利規則,如2024年1月19上海自貿區臨港新片區釋出的《臨港新片區資料跨境流動分類分級管理辦法(試行)》,結合上海“五個中心”建設,圍繞汽車、金融、航運、生物醫藥等重點領域以及臨港新片區相關行業的發展要求,以跨境需求最迫切的典型場景為切入口,對跨境資料進行分類管理,按照《資料安全法》要求,跨境資料分級從高到低依次分為核心資料、重要資料、一般資料3 個級别,核心資料禁止跨境,重要資料形成重要資料目錄,一般資料形成一般資料清單。
五、調整資料出境安全評估結果有效期
根據《資料出境安全評估辦法》, 通過資料出境安全評估的結果有效期為2年,自評估結果出具之日起計算。正式稿将資料出境安全評估結果有效期調整為3年,自評估結果出具之日起計算。降低申報頻率一定程度上降低了企業的合規成本,促進了資料跨境流動。
另外,根據《資料出境安全評估辦法》,有效期屆滿,需要繼續開展資料出境活動的,資料處理者應當在有效期屆滿60個工作日前重新申報評估。正式稿修改為有效期屆滿,需要繼續開展資料出境活動且未發生需要重新申報資料出境安全評估情形的,資料處理者可以在有效期屆滿前60個工作日内通過所在地省級網信部門向國家網信部門提出延長評估結果有效期申請。經國家網信部門準許,可以延長評估結果有效期3年。
六、更加強調資料處理者個人資訊出境的其他合規義務
正式稿明确資料處理者向境外提供個人資訊的,應當按照法律、行政法規的規定履行告知、取得個人單獨同意、進行個人資訊保護影響評估等義務。資料處理者向境外提供資料的,應當遵守法律、法規的規定,履行資料安全保護義務,采取技術措施和其他必要措施,保障資料出境安全。發生或者可能發生資料安全事件的,應當采取補救措施,及時向省級以上網信部門和其他有關主管部門報告。該規定和《資料安全法》《個人資訊保護法》等保持一緻。
七、監管處置措施的變化
在征求意見稿基礎上,正式稿明确了各地方網信部門健全完善資料出境安全評估制度,優化評估流程的工作,提出事前事中事後全鍊條全領域監管。在發現資料出境活動存在較大風險或者發生安全事件後的處置措施上,從“要求資料處理者進行整改消除隐患;對拒不改正或者導緻嚴重後果的,依法責令其停止資料出境活動”修改為“要求資料處理者進行整改,消除隐患;對拒不改正或者造成嚴重後果的,依法追究法律責任”。征求意見稿在規範資料處理違規行為的法律後果方面僅提到了“禁止資料出境活動”,但正式稿中“依法追究法律責任”表述更為寬泛,鑒于目前資料安全與合規方面除了常用的“三駕馬車”作為執法依據外,還涉及《刑法》《民法典》所規範的法律責任及後果;盡管該表述修改後可以了解為違反後果并未直接禁止資料出境活動,也是監管思想中促進資料跨境流動的表現,但對于資料處理者而言處置措施并未是以放松。
八、更新和優化了申報流程
正式稿出台後,國家網際網路資訊辦公室第一時間更新釋出了《資料出境安全評估申報指南(第二版)》和《個人資訊出境标準合同備案指南(第二版)》。另外在答記者問中明确,申報資料出境安全評估、備案個人資訊出境标準合同可以登入資料出境申報系統,網址:https://sjcj.cac.gov.cn。已經通過線下方式送出安全評估申報、标準合同備案材料的,不需要通過資料出境申報系統進行重新送出。申請個人資訊保護認證可以登入個人資訊保護認證管理系統,網址:https://data.isccc.gov.cn。關鍵資訊基礎設施營運者或者其他不适合通過資料出境申報系統申報資料出境安全評估的,采用線下方式通過所在地省級網信部門向國家網信部門申報資料出境安全評估。
促進資料跨境流動即是中國經濟進一步融入全球化的要求,也是新質生産力發展的重要支援。中國數字經濟的發展既要促進中國資料跨境流動,也要引進境外優質資料。從“三駕馬車”、《資料出境安全評估辦法》《個人資訊出境标準合同辦法》《個人資訊保護認證明施規則》以及《規範和促進資料跨境流動規定(征求意見稿)》到新規正式稿的細微變化,可以看出中國資料治理水準的提高,也展現促進資料跨境流動的頂層治理思想和維護資料安全原則的統一。新規的細節變化影響深遠,新規的出台定是引發新一輪關注和熱議,對于資料處理者,在處理資料出境時,依然要保持謹慎的态度,于合規中行進,于行進中合規。
律師介紹
王岩飛律師
京師深圳律所聯合創始人、法律研究院院長、數字經濟法律事務中心主任,深圳市大資料研究與應用協會首席法律顧問、資料合規研究院執行院長,廣東省律協數字經濟法律專業委員會副秘書長、深圳市律師協會資料合規專委會副主任、德國TUV萊茵學院資料合規官DPO、深圳資料交易所DEXCO
業務領域:
企業合規、資料合規及資訊安全保護、跨境電商平台營運及合規體系建構、私募基金投融資及商業并購等法律服務。
教育背景:
中南财經政法大學