数据跨境流动已经成为全球资金、信息、技术等资源要素交换、共享的基础。
日前,国家互联网信息办公室公布《促进和规范数据跨境流动规定》(简称《规定》),自公布之日起施行。《规定》将如何便利数据跨境流动、充分释放数据要素价值?如何助力实现数据利用与安全的平衡?
出台背景
我国积极促进数据依法有序自由流动,相继制定实施《网络安全法》《数据安全法》《个人信息保护法》,对数据出境活动作出明确规定。法律作出规定,是为了切实保护人民群众利益,维护国家网络和数据安全,促进数据依法有序自由流动。数据出境安全管理不是对于所有数据,只限于重要数据和个人信息,这里的重要数据是针对国家而言,而不是针对企业和个人。
落实法律规定要求,国家互联网信息办公室公布了《数据出境安全评估办法》和《个人信息出境标准合同办法》,联合国家市场监督管理总局公布了《关于实施个人信息保护认证的公告》,基本构建了数据出境安全管理制度。此外,国家互联网信息办公室先后公布了《数据出境安全评估申报指南》《个人信息出境标准合同备案指南》等文件,对数据处理者申报安全评估、备案标准合同的方式、流程及需提交的材料等具体要求作出了说明。
国家互联网信息办公室结合数据出境安全管理工作实际,制定《规定》,对现有数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的实施和衔接作出进一步明确,适当放宽数据跨境流动条件,适度收窄数据出境安全评估范围,在保障国家数据安全的前提下,便利数据跨境流动,降低企业合规成本,充分释放数据要素价值,扩大高水平对外开放,为数字经济高质量发展提供法律保障。
主要内容
符合规定情形的重要数据出境需要经过安全评估。数据跨境流动管理的基础是区别重要数据和非重要数据。依据《规定》,重要数据的跨境流动需要经过安全评估,数据处理者应当按照相关规定识别、申报重要数据。但是,未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
不包含个人信息或者重要数据的出境豁免。依据《规定》,国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,如果不包含个人信息或者重要数据,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供的,如果处理过程中没有引入境内个人信息或者重要数据,也免予申报数据出境安全评估、订立个人信息出境标准合同以及通过个人信息保护认证。
部分个人信息出境豁免。《规定》指出,为订立或者履行个人作为一方当事人的合同确需向境外提供个人信息、按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理确需向境外提供员工个人信息、紧急情况下为保护自然人的生命健康和财产安全确需向境外提供个人信息、关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人非敏感个人信息,只要不包含重要数据,免予申报数据出境安全评估、订立个人信息出境标准合同以及通过个人信息保护认证。
自贸区特别立法权与负面清单制度。《规定》指出,自由贸易试验区在国家数据分类分级保护制度框架下可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单,即负面清单,经省级网络安全和信息化委员会批准后报国家网信部门、国家数据管理部门备案。自贸区内数据处理者向境外提供负面清单之外的数据可以免予数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
细化数据出境安全评估和个人信息出境标准合同及认证制度。《规定》对需要进行数据出境安全评估的情形作出了明确规定:
●关键信息基础设施运营者向境外提供个人信息或者重要数据;
●关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上非敏感个人信息或1万人以上敏感个人信息。通过数据出境安全评估的结果有效期为3年,满期后可申请延长。
亮点纷呈
便利数据跨境流动
“《规定》对数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度作出优化调整。”国家网信办有关负责人表示。
其中便利数据跨境流动的相关条款引人关注。“《规定》采用列举方式对无需进行数据出境安全评估或者个人信息出境标准合同备案的出境场景进行了规定。”中国社会科学院法学研究所网络与信息法研究室副主任周辉说,此种设计积极回应了国内外各方经营主体对中国企业出海及外国企业在华投资经营的需求与期待,有利于高质量数据资源等优质生产要素顺畅流动和高效配置。
“针对商业活动场景需求,健全细化数据跨境传输制度就极为重要。《规定》侧重针对特定场景的业务需求,在不包含个人信息或者重要数据的前提下,允许国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中产生的数据出境活动不适用数据出境安全评估、个人信息标准合同和个人信息保护认证机制。”北京大学宪法与行政法研究中心主任王锡锌说,此种豁免情形无疑为中国企业出海开展跨境业务提供了极大便利。
解决企业合规认定难题
“在监管实践中,部分企业对自身数据跨境传输业务的法律性质认知不够,难以准确地确认适用何种数据跨境传输流动机制。”王锡锌说。
为了在法律实施层面解决数据跨境流动机制的适用标准模糊问题,《规定》将无需适用数据出境安全评估、个人信息出境标准合同、个人信息保护认证的情形予以列举。
同时,《规定》还回应了数据跨境实践中有关重要数据认定困难的合规难题。实践中,一旦涉及重要数据出境活动,就需要严格适用特定的数据跨境传输制度。但是,企业有时因其自身业务合规水平有限,对于重要数据的识别标准和认定范围难以准确把握,往往无法确定数据跨境传输活动是否需要适用数据出境安全评估等制度。
“为了提供明确且可操作的行为规范,《规定》明确,只要出境的数据不属于被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。”北京航空航天大学法学院副教授赵精武说,此种制度安排化解了企业因无法准确识别重要数据而可能导致的业务不合规风险。
实现利用与安全兼顾
数据跨境传输制度是我国探索新型跨境数字贸易活动的重要依托和安全保障。王锡锌表示,《规定》所设置的数据清单能够让自贸区在兼顾安全管理的基础上,更多地偏向探索具有自贸区经济特色的数据跨境流动体制机制。
“《规定》创新自由贸易试验区牵头制定并实施的数据跨境负面清单机制,明确豁免自由贸易试验区范围内负面清单外数据出境的事前评估认证义务。”周辉认为,这为高标准建设自由贸易试验区、打造高能级数字经济对外开放合作平台、联通国内国际双循环提供制度型开放基础,也为全球数据流动治理探索、积累和提供中国经验。
数据利用是目的,数据安全是保障。
“数据跨境传输制度的立法目的是最大限度地实现利用与安全的平衡兼顾,并且,这种平衡兼顾的方式没有停留于口号层面,而是通过具体的制度规范实现数据‘又好又快’出境。”赵精武说。
浏览全文,《规定》多项条款体现了对于“数据安全”的重视。中国人民大学法学院教授张新宝说,《规定》对重要数据和敏感个人信息提供了更加精确的保护,有利于实现发展与安全的平衡,更好地保障数据安全,保护个人信息权益。
一问一答
个人信息、敏感个人信息是什么,如何判断?
根据《个人信息保护法》,个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。
个人信息采用加密、脱敏等措施处理属于去标识化,去标识化处理后的个人信息仍是《个人信息保护法》规定的个人信息。去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。
敏感个人信息,是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
哪些数据出境活动免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证?
下列六种数据出境活动免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
一是国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的。
二是在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的。
三是为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的。
四是按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的。
五是紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的。
六是关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。其中,第三种至第六种条件所称向境外提供的个人信息,不包括被相关部门、地区告知或者公开发布为重要数据的个人信息。
数据处理者如何申报数据出境安全评估、备案个人信息出境标准合同、申请个人信息保护认证?
申报数据出境安全评估、备案个人信息出境标准合同可以登录数据出境申报系统(网址:https://sjcj.cac.gov.cn)。已经通过线下方式提交安全评估申报、标准合同备案材料的,不需要通过数据出境申报系统进行重新提交。
申请个人信息保护认证可以登录个人信息保护认证管理系统(网址:https://data.isccc.gov.cn)。
关键信息基础设施运营者或者其他不适合通过数据出境申报系统申报数据出境安全评估的,采用线下方式通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
本文综合自人民日报、网信中国、中国水运网等媒体报道
