2024年3月22日国家互联网信息办公室发布了备受期待的《促进和规范数据跨境流动规定》(以下简称“《数据出境新规》”),这标志着自2023年9月28日发布《规范和促进数据跨境流动规定(征求意见稿)》(以下简称“《征求意见稿》”)近六个月后,我国正式对现有数据跨境流动监管体系作出重要调整。
《数据出境新规》承继了《征求意见稿》适当放宽数据跨境流动尤其是数据出境环节监管的总体趋势,既保持了对重要数据和个人信息(包括敏感个人信息)合理有序管理,又从多个维度大大降低了需要将数据向境外提供的企业的合规负担。
此外,《数据出境新规》进一步明确了地方政府在数据出境安全管理体制中的角色和权重,进一步增加了自贸区在数据出境环节对企业提供的便利。其中最为瞩目的就是引入自贸区数据出境负面清单制度,负面清单制度将为符合相关适用条件的企业带来更多的数据跨境流动便利,而不仅仅局限于《数据出境新规》规定的豁免场景。
一、数据出境新规主要内容解读
数据跨境传输合规是企业数据合规的重要环节,根据我国现行法律规定,针对数据跨境流动的法律监管集中在个人信息和重要数据的数据出境环节。
本文将从个人信息和重要数据两个监管维度对《数据出境新规》进行分析,结合新规中的豁免申报情形及条件、自贸区规则,揭示新规对于企业数据跨境传输合规的影响。
(一)不涉及境内个人信息或者重要数据的数据跨境流动的免于出境申报的情形及条件
相较于《征求意见稿》,《数据出境新规》第三条和第四条进一步拓宽和细化了针对不涉及境内个人信息或者重要数据的数据跨境流动的免于出境申报机制的情形及条件。这也是企业在面对数据跨境传输合规时应当优先判明的事项,如不涉及境内个人信息或者重要数据的数据出境,则可豁免申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的义务。具体而言包含以下两种情况:
一是实践中常见的跨境商业经营活动,如国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的;
二是数据传输存在境外→境内→境外的数据过境链条,即在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的。
(二)个人信息出境监管体系及改变
我国《个人信息保护法》第三十八条确立了个人信息出境的三个途径——数据出境安全评估、个人信息出境标准合同和个人信息保护认证。《数据出境安全评估办法》和《个人信息出境标准合同办法》分别对第三十八条中的安全评估和标准合同进行了细化。
《数据出境新规》则进一步明确了个人信息免予申报安全评估、订立标准合同、通过保护认证的情形,扩大和明确了个人信息出境标准合同和个人信息保护认证的适用范围,便利了个人信息出境,降低了企业个人信息出境合规负担。
企业在处理个人信息出境时应首先审查是否符合《数据出境新规》第五条规定的豁免申报安全评估、订立标准合同、通过保护认证的情形。具体而言包含以下四种情况:
01 一是履行合同所必需的场景,为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的;
02 二是人力资源管理场景,按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;
03 三是紧急情况下豁免,紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;
04 四是未达到数量触发门槛,关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。
对于达到了数量触发门槛,又不属于《数据出境新规》第五条规定的豁免情形的个人信息出境,企业应当参考《数据出境新规》第七条和第八条的规定。对于关键信息基础设施运营者,如向境外提供个人信息则应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
对于关键信息基础设施运营者以外的数据处理者根据向境外提供的个人信息数量分为两种情况:
01 一是自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。
02 二是自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
《促进和规范数据跨境流动规定》全文:http://www.csrcare.com/Law/LawShow?id=231944
来源:任务殿数字科技
本文仅作分享,作品版权归原作者及机构所有,如有侵权请联系,我们立即更正/删除
自主竣工验收
清洁生产审核
排污许可核查
