《促进和规范数据跨境流动规定》解读及影响展望
发布时间:2024-04-26
文 | 黄春林律师团队 汇业律师事务所
为了贯彻中央经济工作会议有关精神,落实国务院外资24条等政策精神,经广泛征求社会各界意见并认真听取各部委、地方、行业及业内专家意见,2024年3月22日,内部通过四个月之后,国家网信办终于正式发布了业界翘首以盼的《促进和规范数据跨境流动规定》(下称“数据出境新规”)。
结合前期法律适用、监管实践及项目经验,汇业律师事务所黄春林律师团队解读《数据出境新规》主要内容及影响如下,仅供参考。
一、《数据出境新规》主要内容解读
结合我国数据出境立法与监管的历史沿革、前期安全评估与备案实践,以及各界在《征求意见稿》发布后的主要关切及建议,汇业黄春林律师团队解读《数据出境新规》主要内容如下:
(一) 补齐了“第四条路径”,豁免了部分场景的三类责任,降低了企业合规成本
《个人信息保护法》第三十八条规定了四种数据出境路径,本次《数据出境新规》细化了前三种路径,并明确了下列场景的豁免路径——“第四条路径”:
(1) 不包含个人信息或者重要数据的“非监管数据”,本条属于依法本来就应当豁免的情形。
(2) 境外收集和产生的、传输至境内处理且未添附境内监管数据后向境外提供的“来料加工数据”,本条在前期申报实践中即可以豁免申报。
(3) 个人合同所必需跨境的,与《征求意见稿》基本一致。
(4) 跨境人力资源管理必需跨境的。本条变化比较大,首先对齐了《个人信息保护法》第十三条的规定,即需要以“依法制定的劳动规章制度和依法签订的集体合同”作为支撑,这需要企业开展相应的劳动合规改进;同时明确必须是“跨境人力资源管理”且满足“确需向境外提供”,因此,根据前期申报实践及监管意见,同时满足前述两个条件的人事子场景、主体身份及字段范围将比较有限。
(5) 个人紧急安全必需跨境的,与《征求意见稿》基本一致。
(6) 非CIIO当年累计跨境一般个人信息(不含SPI)低于10万的。相较于《征求意见稿》,本次《数据出境新规》本条标准一松一紧。松在将原来的1万提高到10万,紧在排除了敏感个人信息及被认定为重要数据的个人信息的适用。此外,本条数量为去重的人头数量,计算周期为当年1月1日起至评估之日。
(二) 提高了安全评估的适用阈值,提高了制度的审慎性、包容性和科学性
此前,由于适用100万的存量标准,导致很多仅传输较少个人信息出境的企业被迫开展安全评估,不仅增加了企业的合规负担,也极大的增加了监管部门的评估负担,各方意见很大。本次《数据出境新规》提高了安全评估的适用阈值,仅规定如下情形需要开展安全评估:
(1) CIIO出境个人信息的,与旧政策基本一致。
(2) 向境外出境重要数据的,与旧政策基本一致。不同的是,《数据出境新规》明确了“依法管理、被动申报”的原则。即《数据出境新规》只解决出境申报问题,不解决识别、申报等问题,后者仍应当遵守所在行业、地区关于重要数据的识别规则、年报申报等管理要求。
(3) 当年出境100万+一般个人信息的,与《征求意见稿》基本一致。
(4) 当年出境1万+敏感个人信息的。立法部门吸取了征求意见过程中的意见,填补了《征求意见稿》的一个漏洞,回到了《数据出境安全评估办法》的轨道上。
值得注意的是,不同于旧政策的上一年度起算日期,《数据出境新规》计算周期为当年1月1日起至评估之日。此外,根据前期项目经验,监管部门明确答复,采用加密、脱敏等措施处理属于去标识化手段而不是匿名化手段,因此,去标识化处理后的个人信息仍是个人信息,应当计算在前述统计范围内。最后,立法部门吸取了征求意见过程中的意见,本条的计算数量可以刨除豁免场景的数量(例如跨境人力资源管理的数量)。
为此,安全评估适用阈值降档后,只有如下两种情形需要开展标准合同备案或认证:
(1) 当年出境10万至100万一般个人信息的。根据前期数据出境项目实践,大多数企业可能会降档到该区间。考虑到当前标准合同备案的审查尺度、备案效率等监管实践,因此新政对绝大多数企业合规负担的降低还是显而易见的。
(2) 当年出境1万以内敏感个人信息的。绝大多数企业的人力资源管理子场景、部分主体及部分字段不满足豁免条件的,大概率还是要走标准合同备案路径。
最后,根据前期类似项目经验,监管部门明确,符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息符合前述条件的,应当依法开展安全评估或备案。
(三) 赋予了自贸区先行先试“负面清单”的权利,为进一步完善制度积累经验
《数据出境新规》明确自贸区可以制定需要开展申报、备案及认证的数据清单,即“负面清单”。负面清单以外的数据出境的,自贸区内数据处理者可以走“第四条路径”,即豁免申报、备案及认证。
但是,本次《数据出境新规》提出两点新增要求,即:
(1) 负面清单必须服从国家数据分类分级保护制度框架,意味着重要数据不可能有突破,这对自贸区内的汽车、医药、金融机构的影响较大。
(2) 负面清单且仅适用于自贸区内数据处理者,意味着可能将大大影响自贸区负面清单政策的适用性。在此之前,部分自贸区政策草案的适用范围扩大到了“在自贸区内开展的数据出境活动”。
(四) 优化了申报程序规定,明确了制度衔接及新旧程序安排
首先,《数据出境新规》将安全评估结果的有效期从2年延长至3年,自评估结果出具之日(注意不是送达之日)起计算。且,不变化项目到期后不再是重新申报,而是延长评估结果有效期申请,这就实质降低了企业的合规成本。
其次,《数据出境新规》发布后,根据法律变化情况及前期监管实践经验,优化了相关的申报及备案指南,发布了《数据出境安全评估申报指南 (第二版)》、《个人信息出境标准合同备案指南(第二版)》,并优化了相关的自评估模板文件,例如安全评估的自评估报告不再要求第三方机构盖章,增加了证明性文件要求,优化了风险评估及评估结论的逻辑结构;此外,标准合同备案的自评估模板也大幅简化了内容要求。后续汇业黄春林律师团队将结合类似项目经验,另行解读模板变化对申报、备案工作的实质影响。
再次,立法部门吸取了征求意见过程中的意见,提高了申报、备案程序的数字化、信息化程度,再次开通了专门的网站https://sjcj.cac.gov.cn。
最后,根据有关监管意见,就新旧制度适用等问题,明确如下:
(1) 2024年3月22日前已经通过安全评估的,继续有效,不受影响。
(2) 2024年3月22日前未通过或者部分未通过安全评估,企业可以参照适用《数据出境新规》,要么降档为标准合同备案、保护认证,或者走“第四条路径”。
(3) 2024年3月22日前已经递交的申报、备案项目,企业可以继续按照原程序进行,也可以申请转档或撤回。此前,部分地方网信办已经通知部分企业撤回了不符合新政条件但已在程序中的安全评估申报项目。
二、《数据出境新规》影响展望
结合近期数据出境合规项目经验,汇业黄春林律师团队解读《数据出境新规》主要影响如下:
1. 《数据出境新规》的出台,旨在传达包容、审慎、科学、便利的制度信号,对于进一步优化外商投资环境、提高数据出境便利性和降低企业合规成本具有积极意义,这也将影响后续项目的申报效率、评估尺度和结果科学性。例如,近期部分项目显示,监管部门认定“必要性标准”时采取了更加务实的态度。
2. 基于此,《数据出境新规》的正式实施是一个不错的政策窗口期。企业应当充分利用这个窗口期,根据新政适用情况,加快推进评估或备案项目进度;对于那些前期未通过安全评估的企业,可以整改后再次申报安全评估或者降档为标准合同备案,且实践中已经有多个成功的案例。
3. 此外,《数据出境新规》一大主要变化是强化企业的自评估责任。因此,为了应对未来不时变化的政策及执法环境,我们建议企业即便根据新政无需开展数据出境申报、备案或认证工作的,仍应开展数据出境个人信息保护影响评估或数据出境合规自评估工作,或者在个人信息保护合规审计中强化数据出境合规审计,通过评估/审计工作分析合规差距并整改落地,确保增强告知、单独同意等合规责任落地,确保合规工作留痕,推进“以评促建”,逐步建立和完善数据合规体系。
4. 最后,《数据出境新规》明确规定,强化了事前事中事后全链条全领域监管要求,近年来网信部门也组建了执法部门,加上《反间谍法》、《国家情报法》等叠加影响,因此,企业应当加强数据出境合规常态化管理,建立监管执法调查应对机制,完善相应的风险隔离及保险机制,降低企业及其法定代表人、主要负责人、个人信息保护负责人等的潜在法律风险及责任。
三、中国数据出境立法与监管沿革
整体而言,我国数据出境监管政策经历了理论研究、实践探索、改进完善三个阶段:
(一) 理论研究阶段
2017年《网络安全法》正式实施后,我国数据出境监管政策逐渐浮出水面。随后几年,在组织理论研究和比较分析的基础上,国家网信办相继发布了三版数据出境监管细则并向公众征求意见,紧紧围绕重要数据与个人信息分类监管、安全评估的适用阈值及基本框架、出境协议的主要内容、接收方主要责任等问题,旨在研究符合中国特色的数据出境监管政策,为后续细则出台奠定了理论基础。
(二) 实践探索阶段
随着2021年《个人信息保护法》的正式实施,我国个人信息及重要数据出境的三条路径(即安全评估、标准合同及认证)逐渐清晰。为此,国家网信办先后发布了《数据出境安全评估办法》、《个人信息出境标准合同办法》、《关于实施个人信息保护认证的公告》等及配套的实施细则、实务指南、模板文档等;地方网信办还开启了专门的咨询窗口并组织了多场政策介绍会。
更为重要的是,在该阶段,网信办正式开启了数据出境安全评估、个人信息出境标准合同备案的实践探索,全国范围内开展了数百起数据出境安全评估工作,为后续改进完善我国数据出境监管政策积累了宝贵的实践经验。当然,该阶段也暴露出一些新问题,地方及业界提出了一些改进意见及建议。
(三) 改进完善阶段
为了回应各界关切及建议,进一步优化外商投资环境,提高我国数据跨境流动管理机制的便利性,国务院及时发布了外资24条等政策,随后网信办开展了多场政策沟通会和行业调研会,先后发布了一系列政策旨在改进和完善我国的数据出境监管政策,例如《规范和促进数据跨境流动规定(征求意见稿)》(下称“征求意见稿”)、《粤港澳大湾区个人信息跨境流动标准合同实施指引》等规定。同时,近段时间以来,评估及备案的程序效率大大提高,相关尺度更加明确统一,评估理由更加透明具体,评估及备案结果的审慎性、包容性和科学性也在不断改进完善。
直至本次《数据出境新规》的正式出台,降低了企业的数据出境合规成本,有效平衡了促进数据合理利用与有序自由流动的制度价值,代表着我国数据出境的法律体系基本成型,监管实践日趋成熟。
