为保障国家数据安全,保护个人信息权益,进一步规范和促进数据依法有序自由流动,国家互联网信息办公室(以下简称“网信办”)于2023年9月28日发布《规范和促进数据跨境流动规定(征求意见稿)》(以下简称“《数据跨境规定(征)》”),向社会公开征求意见,意见反馈截止时间为2023年10月15日。尽管该规定目前尚属征求意见阶段,但其透露的信息标志着我国数据跨境监管要求将发生重大变化,影响深远。本文将从实务角度浅谈几点理解。
数据跨境监管要求的变化
我国对于数据跨境的管控,目前主要围绕重要数据和个人信息两种数据类型。数据立法领域“三驾马车”(即《网络安全法》《数据安全法》《个人信息保护法》)均对数据出境条件进行了概括性规定,奠定了数据跨境监管机制的基础(见下图)。
2022年7月起,网信办陆续发布了《数据出境安全评估办法》《个人信息保护认证实施规则》《个人信息出境标准合同办法》,落实数据跨境三大合规路径。在实务中,相关企业主要适用数据出境安全评估及个人信息出境标准合同开展数据跨境合规的工作,而个人信息保护认证这一路径目前暂未有公开通过认证的实例。
《数据跨境规定(征)》对数据跨境合规监管要求带来的主要变化如下:
▍重要数据
我国目前公开的法律法规或相关标准中,对于重要数据的识别认定规则大都属于较为原则性的规定。根据《数据安全法》,重要数据目录由国家数据安全工作协调机制统筹协调有关部门进行制定,如目前由工信部牵头在工业领域、电信与互联网领域开展的重要数据识别认定工作。由于大部分行业领域的重要数据目录尚未正式公布,在实践中企业对于自身是否处理了重要数据存在疑惑,导致合规策略的不确定性。
根据《数据跨境规定(征)》第二条,如未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。基于此,虽然重要数据出境需通过安全评估这一要求并未变化,但企业对于自身是否处理重要数据的判断可转为相对“被动”的模式,即企业如未被告知存在重要数据,或其处理的数据未落入公开发布的重要数据目录范围的,则可无需作为重要数据申报数据出境安全评估。
尽管如此,根据我们的经验,在重要数据目录正式形成、公开发布前,相关主管部门往往会通知该领域的重点企业开展重要数据识别认定工作,涉及交叉业态的,则可能面临多行业主管部门的通知,需从不同行业维度识别重要数据。建议相关企业应保持一定预判,对于未来可能被认定为重要数据且确需出境的,应提前部署数据出境安全评估及相关整改工作,确保业务连续性。
▍个人信息
《数据跨境规定(征)》在个人信息跨境监管要求方面变化较大,主要体现在以下方面:
1、明确豁免场景
根据《数据跨境规定(征)》第四条,以下必须向境外提供个人信息的场景不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:(1)为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等场景;(2)按依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理的场景;(3)紧急情况下为保护个人的生命健康和财产安全的场景。
(1)和(2)在实务中为申报个人信息出境安全评估或标准合同备案最为常见的场景,同时也具备《个人信息保护法》第十三条中规定的合法性基础。除合法性外,其出境的必要性、正当性亦在前期对大量企业的评估审查工作中得到充分论证。值得关注的是,《数据跨境规定(征)》对于个人信息的类型不再区分敏感个人信息或一般个人信息。
2、调整触发量级
根据《数据跨境规定(征)》第五、六条,出境数量统计的时间周期调整为一年,触发数据出境监管要求的个人信息量级如下:
(1)向境外提供100万人以上个人信息:数据出境安全评估;
(2)向境外提供1万人以上、100万人以下个人信息的:标准合同备案或保护认证;
(3)向境外提供不满1万人个人信息的:豁免。
在此前《数据出境安全评估办法》《个人信息出境标准合同办法》的规定中,处理100万人以上个人信息的数据处理者向境外提供个人信息,或者自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息,均需要申报个人信息出境安全评估;而对于未达到安全评估门槛的企业,则均需要通过个人信息标准合同备案或保护认证。《数据跨境规定(征)》对个人信息量级及对应合规路径适用范围的调整,目前影响较大的是个人信息出境量较小(不到1万人个人信息)的企业,因这类企业数量大,此前需与境外接收方签署个人信息出境标准合同并提交网信办备案,经调整后这一义务将得到豁免。本项调整将进一步促进数据安全有序自由流动,是对数据跨境流动安全管理机制便利化的积极探索。
企业应对建议
《数据跨境规定(征)》作出的调整切合现实,为企业实现减负,节省了行政资源。落脚到实务中,由于《规范和促进数据跨境流动规定》尚未正式出台,大量企业已按照《数据出境安全评估办法》《个人信息出境标准合同办法》完成或正在开展数据出境合规工作,面对与《数据跨境规定(征)》规定不一致的,如何应对成为目前摆在各企业面前的问题。从时间上,由于《个人信息出境标准合同办法》自2023年6月1日起施行,留给企业6个月“整改期”即将于2023年12月1日到期,为实现及时调整,相信《数据跨境规定(征)》正式稿将很快问世,前述豁免情形等确定的方向,将会形成落地的数据跨境便利机制。
关于企业应对思路,首先还需明确的是,《数据跨境规定(征)》的相关调整或豁免的出境手续并未突破上位法《个人信息保护法》或降低个人信息的保护标准,如《个人信息保护法》第39条、55条等规定的告知、事先开展个人信息保护影响评估等要求,仍然是具有个人信息出境场景的企业所必须要履行的合规义务;同时,对于重要数据、CIIO等数据跨境监管合规手续依然未发生实质性变化。
基于上述前提,针对目前《数据跨境规定(征)》暂未正式生效的窗口期,企业如何应对未来的变化趋势,我们的建议如下:
1、建议企业结合《数据跨境规定(征)》对数据跨境流动监管要求的调整,评估对企业数据出境合规工作的影响。一方面,判断数据出境场景的合法性基础,排查是否可能属于豁免场景;另一方面,对于一年内的个人信息出境数量级进行统计、预估,由于目前在《数据跨境规定(征)》中关于“一年”的时间起算点暂不明确,我们建议可从上一年度2022年1月1日计算2022年度的个人信息出境数量,结合2023年度出境数量的增幅及未来业务预计增长率对未来一年内的平均数量级进行估计,预判未来数据出境的合规路径,如属于需调整情形,需提前做好准备。
2、根据《数据跨境规定(征)》规定,落入豁免范围的企业,在正式稿生效前,现行合规工作建议可继续进行,如目前正在准备的个人信息出境标准合同及个人信息保护影响评估(出境版)依然可以参考现行合同模板及评估框架开展。理由如下:根据《个人信息保护法》第三十八条第三款的规定,笔者认为,与境外接收方签署必要的法律文件约定个人信息保护义务,可作为个人信息处理者保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准所采取的必要措施之一。如未来在正式稿中确定获得豁免,尽管可免除签署个人信息出境标准合同,但在实操中与境外接收方签署约定个人信息保护义务的合同(如一般数据传输协议)仍可参考标准合同模板中体现的个人信息保护水平及要求,拟定符合企业实际的合同文件。
3、由于数据出境与企业业务的开展情况高度关联,其动态性及实时性特征明显,建议企业对《数据跨境规定(征)》的立法状态及其他数据跨境相关政策保持跟踪,并在内部尽早建立起常态化的数据出境合规管理机制,监测企业数据出境情况,结合实际业务和管理组织架构,制定企业数据出境合规SOP,配套相应的管理制度及落地规则,以确保动态变化的数据出境活动实现合规闭环。
作者 | 上海赛博网络安全产业创新研究院
高级研究员/咨询顾问 陶然彩
文章来源:赛博研究院