2024年3月22日晚间,国家互联网信息办公室(以下简称“网信办”)正式发布了业内翘首以盼的《促进和规范数据跨境流动规定》(以下简称“出境新规”),《数据出境安全评估申报指南(第二版)》及《个人信息出境标准合同备案指南(第二版)》也随之面世。出境新规对数据出境合规监管框架进行了重塑,也通过各类举措为数据出境合规义务“减负”,出境新规颁布后,企业应对照新规审视已开展、拟开展或正在开展的数据出境合规工作方向,并及时作出相应调整。
k8凯发天生赢家·一触即发结合自身数据出境合规实务的丰富经验,意在通过本文,在介绍出境新规背景、解读数据出境合规路径选择新模型、分析监管思路变化、指出仍待澄清的问题之基础上,就企业在数据出境合规2.0时代的应对方案提出合规建议。
在过去的两年时间里,数据出境安全评估机制在探索中不断成熟,个人信息出境标准合同备案在《个人信息出境标准合同办法》的指引下逐步落地,全国首张“个人信息保护认证”证书面向数据跨境流动项目发出,我国数据出境合规监管三条路径业已形成,但实操中广泛存在评估触发门槛低、评估周期耗时长、必要性难把握、单独同意难落地等问题。在此背景下,网信办于2023年9月28日发布了《规范和促进数据跨境流动规定(征求意见稿)》(以下简称“征求意见稿”),释放出数据出境监管“松绑”的强烈信号。历经近六个月的等待,出境新规正式出台,在沿袭征求意见稿奠定的“松绑”基调的同时,回应了部分实践中涌现的数据出境合规痛点和难点问题,也标志着中国数据出境监管实践将揭开崭新篇章。
出境新规重构了此前《数据出境安全评估办法》《个人信息出境标准合同办法》确定的数据出境合规路径选择模型。结合《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》等规定的有益探索,自出境新规生效后,企业应当根据如下模型判断需要走哪条数据出境合规路径:
在数据出境路径的重构方面,出境新规亮点颇多,其中亦有部分“未尽事宜”等待澄清,而企业在对这些亮点“津津乐道”同时,亦应关注相应合规义务,以下我们展开详述:
1.部分企业可以豁免安全评估/标准合同/认证
出境新规生效前,所有涉及个人信息/重要数据跨境传输的企业均需要选择安全评估、个人信息标准合同备案、个人信息保护认证之一作为数据出境的合规路径,但出境新规明确下列情形可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
非个人信息及非重要数据自由流动:国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的——该项重申了我国当前的数据出境安全评估、个人信息出境标准合同、个人信息保护认证等监管机制仅适用于个人信息和重要数据,非个人信息、非重要数据的一般数据可自由跨境流动。
数据过境:在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的——该项对实践中常见的“数据过境”定义进行了进一步明确,相比于2017年《信息安全技术 数据出境安全评估指南(征求意见稿)》对“数据过境”的描述[1],出境新规中的描述删除了“非在境内运营中”等较为模糊的表述,直接明确只要在处理来源于境外个人信息的过程中未引入境内个人信息或重要数据的,均可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。此前实践中,由于豁免“数据过境”的明确法律规范缺失,企业往往仅能出于谨慎合规考虑将“数据过境”场景也纳入“数据出境”的申报/备案范畴,而出境新规对“数据过境”的豁免可以给该等企业吃下一颗“定心丸”。
履行合同所必需:数据出境为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等——该项系对《个人信息保护法》的细化和重申。实践中,企业需注意切勿擅自扩张“履行合同所必需”的范围,可以被豁免的情形需为“个人作为一方当事人”,而考虑到《个人信息保护法》中极其重要的“必要性”原则,结合我们的实践,我们认为通常“个人作为一方当事人”的情形往往为由个人主动发起的因个人或家庭事务办理而需将数据传输出境的行为,出境新规对该等情形的列举也可以从侧面印证这一点。
实施人力资源管理所必需:按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息——与前项相同,该项仍为对《个人信息保护法》的细化和重申。实践中,跨国企业跨境传输员工个人信息是极为常见的数据出境场景,出境新规通过豁免该情形为企业减负,但仍未对如何判断具体出境数据字段的必要性、如何处理候选人/实习人员/外包人员/派遣人员等非正式员工个人信息等问题给出答案,我们期待监管部门可以在后续实践中尽快对上述问题予以明确。
紧急情况:紧急情况下为保护自然人的生命健康和财产安全等,确需向境外提供个人信息——与前两项相同,该项仍为对《个人信息保护法》的细化和重申,因其非实务中常见情形,本文不做赘述。
出境数量较小:非关键信息基础设施运营者(以下简称“CIIO”)自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)——该项是对企业影响最大的条款,相比于《数据出境安全评估办法》《个人信息出境标准合同办法》及出境新规征求意见稿,出境新规从数据统计时间、数据量和出境个人信息敏感性三个维度重构了安全评估/标准合同/个人信息保护认证的触发门槛。
值得注意的是,在上述被豁免的场景中,无论数据出境数量如何,均不会触发申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的强制性义务。
对于满足上述条件的数据出境场景较简单、出境数据量较小的企业来说,出境新规豁免了其向监管部门申报或备案的义务,数据出境合规成本将大幅降低。但是,出境新规的豁免并不代表上述企业可以不履行《个人信息保护法》规定的数据出境合规义务,而出境新规第十条[2]也再次强调了履行该等合规义务的必要。具体而言,即使企业满足了上述豁免条件,企业仍需要:
就数据出境行为开展个人信息保护影响评估(以下简称“PIA”)。在开展评估时,除《个人信息保护法》第56条规定的内容外,企业还应参考《数据出境安全评估申报指南(第二版)》《个人信息出境标准合同备案指南(第二版)》确定的数据出境安全评估/PIA报告模板,并注意着重评估、论述企业是否满足出境新规中的豁免条件、为何满足出境新规中的豁免条件。对于此类企业而言,“事前申报”的监管有所放松,更加凸显出应对监管部门“事中审查”“事后审查”的重要,企业需要“自证”其满足出境新规的豁免条件,而个人信息保护影响评估报告将成为企业完成“自证”的重要资料。
告知个人信息主体数据出境的具体情况,并根据法律规定取得个人单独同意。出境新规在豁免部分场景的同时,强调向境外提供个人信息的数据处理者应当按照法律、行政法规的规定履行“取得个人单独同意”的义务。实践中,企业在出境合规过程中“苦单独同意久矣”,但出境新规似乎并未对非基于同意处理的个人信息出境是否仍需“单独同意”做出明确回复,第十条中的“按照法律、行政法规的规定”再次将该问题拉回至对《个人信息保护法》的解释与协调问题,出境的“单独同意”对非基于同意处理的个人信息是否依然必要,仍有待监管部门在实务中予以澄清。
采取必要措施,保障境外接收方处理个人信息的活动达到《个人信息保护法》规定的个人信息保护标准。这是《个人信息保护法》第38条第3款的要求,出境新规生效后,满足上述豁免条件的企业虽然不用在事前与监管部门“打交道”,但在开展数据出境活动时仍要采取安全保障措施,实践中,与境外接收方签订数据跨境传输相关协议、约定双方的权利义务将是简单有效的保障措施之一。
2.数据出境安全评估的触发门槛提高
出境新规生效前,处理100万人以上个人信息的数据处理者只要向境外传输个人信息,无论传输数量如何,均会触发数据出境安全评估义务;此外,若自上年1月1日起的累计出境数据量达到10万人个人信息或者1万人敏感个人信息,也需申报数据出境安全评估。
出境新规生效后,除CIIO和跨境传输重要数据外,只有自当年1月1日起累计向境外提供100万人以上个人信息或者1万人以上敏感个人信息的数据处理者,才会触发数据出境安全评估的强制性义务。而自当年1月1日起累计向境外提供不满10万人个人信息的数据处理者可以免于申报数据出境安全评估、订立个人信息出境标准合同和通过个人信息保护认证;自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息或者不满1万人敏感个人信息的数据处理者,可以通过签署标准合同或者通过个人信息保护认证这类“较为便捷”的方式合规开展个人信息跨境传输。
值得注意的是,根据《<促进和规范数据跨境流动规定>答记者问》[3](以下简称“出境新规答记者问”),符合出境新规豁免条件的大部分情形都不计入累计数量,这将使得需被纳入累计数量的数据大大减少。换言之,将有更多的企业被豁免申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的强制性义务,即使是出境数量较大的企业,也有机会在刨除符合豁免情形的数据量后,通过订立标准合同、开展认证(而非通过数据出境安全评估申报)等方式进行数据跨境传输。因此,新规生效后,三类企业的数据出境合规负担将大幅度减轻:
三是虽当年出境个人信息数量庞大但多数个人信息出境场景可以依新规被豁免的企业。
此外,我们提醒企业注意,在数据跨境监管新框架下,除被豁免情形外,只要出境敏感个人信息,无论出境数量如何,都需要在申报数据出境安全评估、签订个人信息出境标准合同、通过个人信息保护认证三条路中择一进行。具体而言,刨除被豁免情形下的数据后,若自当年1月1日起累计向境外提供不满1万人敏感个人信息,则需要签订个人信息出境标准合同或通过个人信息保护认证;若自当年1月1日起累计向境外提供1万人以上敏感个人信息,则需要申报数据出境安全评估。
3.自由贸易试验区、粤港澳大湾区特别路径
出境新规第六条[4]确立了自由贸易试验区数据出境负面清单制度,自由贸易试验区内企业将负面清单外的数据传输出境,同样可以豁免安全评估/标准合同/认证的义务。而上海自由贸易试验区临港新片区、粤港澳大湾区已在数据出境合规路径探索方面迈出了坚实步伐,相关企业应当对此类数据出境的特色合规路径保持高度关注。
根据《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》,跨境数据分级从高到低依次分为核心数据、重要数据、一般数据3个级别:核心数据禁止跨境;重要数据目录内的数据可通过临港新片区数据跨境服务中心申报数据出境安全评估;一般数据清单内的数据,可向临港新片区管委会申请登记备案,并在满足相关管理要求下自由流动。
根据《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》,注册或位于粤港澳大湾区内地部分的个人信息处理者及接收方,可以通过签署《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》并向广东省互联网信息办公室或香港特别行政区政府政府资讯科技总监办公室备案的方式开展数据跨境流动。
此外,出境新规第六条指出自由贸易区数据出境负面清单需在国家数据分类分级保护制度框架下建立。而就在此前一天,国家标准《数据安全技术 数据分类分级规则》(GB/T 43697-2024)刚刚发布,其中不仅包含数据分类分级规则,也包含重要数据识别指南附录,值得企业重点关注。
4.数据出境安全评估、个人信息出境标准合同备案、个人信息保护认证迎来升级
随出境新规发布的还有第二版《数据出境安全评估申报指南》及《个人信息出境标准合同备案指南》,我们注意到,除安全评估及标准合同备案的触发门槛已随出境新规更新外,安全评估申报/标准合同备案/个人信息保护认证实务中仍有一些值得关注的变化:
例如,“数据出境”的定义被再次完善,“符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息”的“境外直采”情形被明确列为个人信息出境行为。
又如,数据出境安全评估的结果有效期被更新为3年,自评估结果出具之日起计算。同时,出境新规增设了延长有效期的制度,有效期届满,需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的,数据处理者可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请;经国家网信部门批准,可以延长评估结果有效期3年。
再如,数据出境申报系统(网址:http://sjcj.cac.gov.cn)已经上线并配备有《系统使用需知》及《系统使用手册》,个人信息保护认证系统(http://data.isccc.gov.cn)也已可供登录和申请,申报数据出境安全评估、备案个人信息出境标准合同、申请个人信息保护认证可以登录上述系统。根据出境新规答记者问,已经通过线下方式提交安全评估申报、标准合同备案材料的,不需要通过数据出境申报系统进行重新提交;关键信息基础设施运营者或者其他不适合通过数据出境申报系统申报数据出境安全评估的,仍需采用线下方式通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
出境新规对数据出境合规路径选择模型的重构,也反映出数据出境监管思路的转变。
1.“事前监管”放松,“事中监管”和“事后监管”加紧
出境新规整体为数据出境合规义务“松绑”,但这并不意味着数据出境合规不再重要;相反,监管部门通过出境新规一定程度上放松了“事前监管”,恰恰意味着企业需要更加着力于应对潜在的“事中监管”和“事后监管”。此前,数据出境安全评估和个人信息出境标准合同备案虽然可能给企业带来较高的合规成本,但也使得数据出境蕴含的风险被充分暴露,在与监管部门多轮沟通并最终拿到评估/备案结果的过程中,企业理解了监管重点、完成了合规整改,也使得整改后的出境情况得到了监管的认可。
而在出境新规生效后,虽然部分企业被豁免了申报数据出境安全评估和备案个人信息出境标准合同的义务,但这也意味着保障数据出境安全、合规将在一定程度上成为企业需要“独自面对”的难题,一旦合规保障措施未执行到位,造成严重后果或者被监管部门在例行检查中发现,则企业可能会面临更为严重的责任。
对此,我们建议企业务必重视数据出境合规,无论是否被出境新规豁免,开展个人信息保护影响评估/数据出境安全评估、签订数据出境相关协议、采取安全保障措施、履行告知义务等都是企业必需履行的合规义务,而履行这些义务并保留相关记录,也将成为应对监管部门检查、防止安全风险的重要举措。
2.从关注“历史追溯”,到重视“当年预测”
在洞察监管思路时,我们需要厘清事物发展的时间脉络。此前,因数据出境合规制度在我国刚刚确立,多数企业面临的问题是如何使进行过程中的数据出境活动满足数据出境合规监管的要求,而在开展数据出境安全评估申报或个人信息出境标准合同备案的过程中,“已出境数据”的盘点和“拟出境数据”的预测同等重要。
而在出境新规生效后,一方面,随着数据出境相关制度的成熟,“先出境、再合规”可能已经无法适应监管的要求,对于业务发展中可能新增的数据合规场景,企业应当在合理预测、预留申报/备案/合规整改时间的基础上,及时采取合规措施,确保“先合规、再出境”;另一方面,当年已出境数据量的盘点及拟出境数据量的预测将成为企业选择合规路径的重要一步。
根据我们大量的数据出境项目经验,对拟出境数据量的预测是实务中的难点,在出境新规生效前,拟出境数据量预测错误可能导致企业需重复申报/备案;而在出境新规生效后,除上述问题外,对当年已出境数据量监测不及时、对拟出境数据量预测失误等问题还有可能导致数据出境合规路径选择错误,从而使数据出境合规工作出现方向性、根本性的问题。
对此,我们建议企业注重建立数据出境持续监控机制,做到及时感知业务发展中发生的数据出境活动,并及时在专业人士的帮助下选定数据出境合规路径、开展数据出境合规工作。此外,企业应当结合已出境数据量、业务发展状况、企业发展战略等因素,对当年的拟出境数据量做出预测,并在预测时留有空间和余地,避免在出境数据量增加时,使企业陷入“来不及履行数据出境合规义务”而影响业务发展的尴尬境地。
出境新规的发布正当其时,在坚守安全底线的同时,体现了为企业松绑减负、促进数据流动的思想,也为国家持续对外开放与数字经济发展保驾护航,将对我国外资营商环境、中国企业走出去产生积极的影响。
根据我们的经验,后续各地监管部门形成对出境新规的统一解释还需要一定时间,我们建议就相关实操问题,企业务必关注监管部门的“窗口指导意见”。同时,我们建议企业尽快开展以下工作,以抓住数据出境合规2.0时代的发展机遇,积极拥抱监管:
针对已经完成数据出境安全评估申报/个人信息出境标准合同备案的企业,已通过申报/备案的场景可以根据申报/备案情况继续出境,同时,企业应关注数据出境场景是否发生变化,并着手建立数据出境长效监督机制。如数据出境场景发生变化,或出现新的数据出境场景,企业需结合出境新规制定合适的合规方案,并注重与监管部门持续沟通。
针对正在开展数据出境安全评估申报/个人信息出境标准合同备案的企业,应对照出境新规审视当前对合规路径的选择是否正确,若当前选择的合规路径与出境新规存在出入且企业已经向监管部门递交过相关材料,企业应当及时征求监管部门的处理意见(根据出境新规答记者问,(1)出境新规施行前未通过或者部分未通过数据出境安全评估,根据出境新规免予申报数据出境安全评估的数据出境活动,数据处理者可以依法通过订立个人信息出境标准合同、通过个人信息保护认证等其他途径向境外提供个人信息;(2)出境新规施行前已经申报数据出境安全评估、提交个人信息出境标准合同备案,根据出境新规无需开展上述程序的,数据处理者可以按照原程序进行,也可以向所在地省级网信部门撤回申报、备案);若企业尚未向监管部门递交过相关材料,企业应当根据出境新规重新确立数据出境合规方案。同时,如前文所述,“做评估”“签合同”“拿同意”等仍是企业需要履行的合规义务。
针对尚未开展数据出境安全评估申报/个人信息出境标准合同备案的企业,应及时启动数据出境合规相关工作,开展数据出境场景的梳理与排查,并根据出境新规制定数据出境合规方案。需要特别注意的是,即使企业当前并无数据出境场景,也应当尽快建立数据出境活动的识别机制,以在可能触发数据出境时快速掌握信息并开展合规工作;即使企业根据出境新规无需申报数据出境安全评估、无需进行个人信息出境标准合同备案、无需开展个人信息保护认证,也应当尽快建立数据出境活动监测与预警机制,并履行“做评估”“签合同”“拿同意”等合规义务。
*实习生张欣对本文亦有贡献。
[1]《信息安全技术数据出境安全评估指南(征求意见稿)》第3.7条注3规定:非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的,不属于数据出境。
[2]《促进和规范数据跨境流动规定》第十条规定:数据处理者向境外提供个人信息的,应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。
[3]《<促进和规范数据跨境流动规定>答记者问》问11:如何计算“自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息”?
答:计算周期为自当年1月1日起至申报数据出境安全评估之日,数量以自然人为单位去重后的统计结果为准。 属于《规定》第三条、第四条、第五条第一款第一项至第三项、第六条规定情形的,不计入累计数量。
[4]《促进和规范数据跨境流动规定》第六条规定:自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。 自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
调配全所资源、长期陪伴客户的一站式法律服务