引言
2023年9月28日,国家互联网信息办公室(简称“国家网信办”)发布了《规范和促进数据跨境流动规定(征求意见稿)》(简称“《征求意见稿》”),并向社会公开征求意见。本次公众意见的收纳部门为国家互联网信息办公室网络数据管理局,其将于2023年10月15日截止意见征求—因中间间隔了中秋和国庆长假,公开征求意见的周期实则很短。从以上信息综合可见,因《数据出境安全评估办法》《个人信息出境标准合同办法》已实施有段时日,且离《个人信息出境标准合同办法》规定的整改时限截止日期也已不足二个月,该征求意见稿的出台,一方面为了解决不少企业虽符合数据出境安全评估申报或标准合同备案的情形但实践中仍因程序复杂或合规成本太高等问题遇到的挑战,另一方面也反映出国家通过结合国内外最新形势,因地制宜地构建了我国数据跨境流动的体系框架,在确保把牢国家安全底线的基础上,消除可能造成阻碍经济流通的高成本“壁垒”,充分打开数字贸易发展格局,提升对外开放水平,实现数字全球化战略与数据资源的全球化配置,以促进国家经济不断发展。
因本《征求意见稿》对企业开展数据出境的合规要求与保障性措施的选择有重大影响,我们将结合本次新规要求和实践情况,进行如下解读。
一、出台背景
开放与合作是新一轮国际数据跨境流动的新趋势。[1]特别在今年六、七月间,美国和英国基于“数据桥”达成数据跨境流动合作协议、美国和欧盟也基于“隐私盾2.0”达成新的数据隐私框架,这意味着国际间的数字贸易活动得到了数据跨境新制度的进一步支撑。全球主要贸易大国均从数据流动“冰冻期”中苏醒,正在加快制定全球数字贸易规则,积极构建数据跨境生态圈。故《征求意见稿》以优化数据跨境流动规则为牵引,有利于我国进一步推进融入《数字经济伙伴关系协定》(Digital Economy Partnership Agreement,“DEPA”)《全面与进步跨太平洋伙伴关系协定》(Comprehensive and Progressive Agreement for Trans-Pacific Partnership,“CPTPP”)等国际数字贸易协定,为我国数字贸易未来的显著增长发挥良性作用。
此外,《征求意见稿》依据我国《“十四五”服务贸易发展规划》的相关宗旨,体现了我国在持续发展服务贸易优势的同时,相信并看重“数字贸易”必将成为新的发力机会,主要表现在二大方面:其一,有意促进“离岸数据加工业务”“离岸数据服务外包业务”等数据贸易新业态的发展,促进服务要素跨境流动便利化,探索数据贸易的新模式,推动服务贸易数字化进程。例如《征求意见稿》第三条规定,“不是在境内收集产生的个人信息向境外提供,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”,豁免境外数据入境后再出境场景下的安全措施路径。其二,通过提出由自由贸易区(简称“自贸区”)制定“负面清单”的政策,允许自贸区内的相关监管机构探索宽松的数据出境措施,将自贸区打造成数字贸易示范区,实现跨境数据流动分级分类监管,满足自贸区企业多元化的出境需求,发挥其在数字贸易上的产业优势,使自贸区成为数字贸易和数据跨境活动的重要通道。例如《征求意见稿》第七条规定,“自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(即负面清单),报经省级网络安全和信息化委员会批准后,报国家网信部门备案。负面清单外数据出境,可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”。
二、变化逻辑及判断公式
根据我国目前的数据出境合规监管框架,企业数据出境时,应结合自身的主体类型、出境数据类型和数量,综合判断是否需要额外(1)申报并通过数据出境安全评估;(2)订立并备案个人信息保护标准合同(简称“SCC”);或(3)通过个人信息安全保护认证(简称“认证”)(上述三点合称为“数据出境保障性措施”)。具体而言:
-
如果关键信息基础设施运营者(简称“CIIO”)确因业务需要,向境外提供在中国境内运营中收集和产生的个人信息和重要数据的,应按照国家网信部门与国务院有关部门制定的办法进行数据出境安全评估。如果有其他法律、行政法规的规定,也需要按照其要求执行。
-
如果一般企业拟出境的数据为重要数据的,其应当申报并通过网信办的数据出境安全评估。
-
如果一般企业拟出境的数据为个人信息的,满足以下任一条件时,其也应当申报并通过网信办的数据出境安全评估:
(i)处理100万人以上个人信息的;
(ii)自上年1月1日起累计向境外提供10万人个人信息的;或
(iii)自上年1月1日起累计向境外提供1万人敏感个人信息的。
-
如果一般企业拟出境的数据为个人信息,但未满足上述任一情形的,则可以选择(i)订立并备案SCC,或(ii)通过个人信息安全保护认证后出境个人信息。
然而,基于《中华人民共和国个人信息保护法》(简称《个保法》)第三十八条第一款第四项后半段规定,个人信息处理者因业务等需要确需向中华人民共和国境外提供个人信息的,国家网信部门有其他规定条件的,应根据该规定执行。本次《征求意见稿》在效力上属于国家网信部门制定的部门规章,相关规定符合国家网信部门规定其他条件的标准。并且,《征求意见稿》第十一条明确表示“《数据出境安全评估办法》《个人信息出境标准合同办法》等相关规定与本规定不一致的,按照本规定执行”。倘若《征求意见稿》的正式稿保持本次《征求意见稿》版本,仍然对数据出境保障性措施的适用逻辑有较大调整的,则表示我国数据出境合规路径的判断公式应进行调整,具体如下: -
首先一般企业应当判断拟出境的数据是否构成重要数据。根据《征求意见稿》方法非常简单,只需要注意相关部门、地区是否已经告知企业或者是否已经公开发布了该企业所处理的重要数据目录和重要数据清单。尽管如此,建议企业仍应主动结合法律法规、公开案例和未生效的国家标准《信息安全技术 重要数据识别指南》开展内部排查与自评估。
-
若一般企业拟出境的是个人信息,则不再关注敏感个人信息,只讨论个人信息出境的情况;且不再谈论上一年度和累计存量个人信息出境问题,而是重点关注预计未来一年内拟出境的个人信息主体数据量。
1. 预计一年内向境外提供1万人以下个人信息的一般企业,将豁免数据出境安全评估申报、标准合同备案或个人信息保护认证;
2. 预计一年内向境外提供1万人以上不满100万人个人信息的一般企业,需要进行标准合同备案或个人信息保护认证,可以不申报数据出境安全评估;
3. 预计一年内向境外提供100万人及以上个人信息的一般企业,需要申报数据出境安全评估。
不仅如此,《征求意见稿》还针对十大重点场景,规定了数据出境保障性措施的豁免机制(具体将在本文第三节进行释明),这将大大降低个人信息出境要求的门槛。尤其针对每个跨国企业和国内企业具有出海业务时均会遇到的员工个人信息出境问题,提供了较为宽松的环境,大大简化了跨国企业内部流程并提高了企业内部数据跨境的效率:只要企业能够自证是按照法定劳动规章制度和依法签订的集体合同向境外提供内部员工个人信息的,可豁免提供数据出境保障性措施。
此外,《征求意见稿》设置了一个典型的数据出境保障性措施豁免场景,即“自贸区负面清单”豁免机制。当企业住址所在地位于自贸区,且该自贸区公布的“负面清单”中无该企业拟跨境传输的数据类型,则该企业拟出境的数据可以自由流出。虽然《征求意见稿》规定自贸区设置“数据黑名单”需要提前报经省级网络安全和信息化委员会批准,并报国家网信部门备案,但国家层面只负责备案管理不进行统筹协调,因此不同自贸区的“黑名单”将来会存在多大差异、企业拟出境数据在“黑名单”外的审查工作将由哪个部门执行、此前未在自贸区注册甚至已在其他省进行数据跨境传输的企业是否会纷纷与自贸区产生“连接点”并由此涌入自贸区走自贸区数据出境的捷径,目前不得而知,但均为亟待明确落实的一系列实际问题。 -
若CIIO因业务需要,向境外提供个人信息或重要数据的,虽然国家将若干场景的个人信息出境风险判断让位于企业进行自我评估(实际上并没有免除相关监管部门的事中事后检查或由第三方进行审计的权利),但国家仍然坚守维护国家安全的底线,始终须严控CIIO向境外传输数据的风险,强制要求提交事先审查。《征求意见稿》第八条明确规定,国家机关和CIIO向境外提供个人信息和重要数据的,不管处于任何一类豁免场景下,须对其个人信息或重要数据的出境活动向国家网信部门申报数据出境安全评估。鉴于这个底层逻辑,这点与老规定保持一致,未发生改变。
三、具体条款释义
(一)有关“重要数据”出境的监管新规
为了确保数据安全和维护国家利益,规制重要数据跨境传输已成为各国或各地区关注的规制焦点。我国监管部门也明确要求企业对“重要数据”的出境活动在进行安全风险自评估的基础上,向网信部门申报安全评估,以加强数据流出的监管,确保数据的安全和保密。但在实践操作过程中,虽然法律法规对于“重要数据”有相关定义,但迄今为止,界定何为重要数据的标准仍然较为模糊,不少企业在自行判断拟出境数据是否属于重要数据时,存在一定的合规挑战和风险。本次《征求意见稿》提出了明确指引,采用与判断企业是否属于“CIIO”同一方法,即以地方和行业主管部门的告知为标准。这无疑也对各类机构执行《数据出境安全评估办法》规则提供了清晰的方向,使其对自身数据出境合规风险有了一定程度的可预见性,同时也减轻了企业的合规负担。
这种在保护数据安全同时兼顾解决企业实际操作困难的平衡性做法是值得肯定的,但依然还有不少企业会对各行业、各地区、各部门何时发布“重要数据”目录及具体清单存在困惑,故建议各行业、各地区、各部门加快建立“重要数据”目录和清单,也同时建议相关企业保持对“重要数据”目录及清单出台时间的高度关注,在此之前,仍应审慎对待本企业的数据出境活动。如有可能,建议与各主管部门能够保持积极且透明的沟通,及时调整数据跨境策略,以避免潜在的合规风险。并且,企业应注意“重要数据”目录和清单是会动态调整的,因此在实际执行中,还需要不断关注重要数据的调整范围,并对本企业拟出境数据合规性进行阶段性确认,对未来可能的政策变化进行提前预防。
(二)有关“个人信息”的出境监管新规
正如第二节所述,《征求意见稿》从不同维度对个人信息的出境规定进行重构。从第三条至第六条,既涉及对出境人数的衡量逻辑与标准进行了重新构建,还创新了数据出境保障性措施的豁免场景。本小节,我们仅对《征求意见稿》的第五条和第六条(保障性措施选择逻辑)进行具体阐述,关于第三条和第四条涉及的场景豁免问题,我们将放于下一小节中,与其他豁免场景合并进行介绍。
《征求意见稿》第五条明确预计一年内出境个人信息数量少于1万人时,可以豁免一般性企业采取数据出境保障性措施。对于大多数企业来说,虽然存在个人信息的出境活动,但通常出境活动所涉及的个人信息主体数量并不太多。例如,某跨国制药企业在境内设有多家子公司,每家子公司都有一定数量的员工和供应商。这些子公司的员工和供应商联系人的个人信息需要存储在其总部的海外系统中,以便进行统一采购和管理。由于该企业每家子公司的员工和供应商数量有限,预计一年内出境的个人信息人数会少于1万人,且获取供应商联系人的个人信息是为了履行采购合同所必须。因此,根据《征求意见稿》第五条的规定,该跨国制药企业的境内子公司均可以豁免采取数据出境的保障性措施,即无须进行标准合同备案、通过个人信息保护认证或申报数据出境安全评估。
然而,需要注意的是,豁免跨国制药企业的境内子公司采取数据出境保障措施,并不意味着免除了该企业境内子公司所有《个保法》下的个人信息保护义务。因此,其境内子公司仍然需要依法履行对拟出境个人信息对应的员工和供应商联系人的“告知-同意”义务,并且需要根据《个保法》第五十五条的规定,在个人信息出境前进行个人信息保护影响评估。如果制药企业各境内子公司在《征求意见稿》出台前已开展了部分数据出境合规工作(例如出境数据资产摸排和个人信息保护影响评估)的,则建议应继续进行,并将个人信息保护影响评估报告至少留存三年以备检查、确保合规。
此外,《征求意见稿》有关个人信息出境方面,还有几个重要问题需要厘清:
首先,《征求意见稿》采用“一刀切”方式将“预计未来一年内出境个人信息人数”作为豁免数据出境保障性措施的判断基准,然后由第六条进一步补充“预计一年内出境个人信息数量在1万人以上”的处理标准,即再将出境个人信息的人数达到“100万人”作为“切分点”,作为是否需要申报数据出境安全评估、备案SCC、进行认证的判断标准;但《征求意见稿》并没有清楚地说明上述基准是否能够完全取代《数据出境安全评估办法》《个人信息出境标准合同办法》已经确定的判断标准。如前所述,我们认为同一行政机关颁发的部门规章,应根据“新法优于旧法”的原则进行适用,但数据出境事关重大,网信办若能在正式稿中以及后续的官方释义或监管咨询中可以给出更加确定的答复意见,则得以解决实践中的一些具体问题。相关问题示例如下:
-
是否完全无须考虑存量数据已经出境的情况?敏感个人信息出境情况是否完全无须成为考虑因素?例如某企业从去年1月1日起已累计向境外提供了10万人个人信息,但预计未来1年内个人信息的出境数量不会超过1万人,或者某企业已经累计向境外提供了1万人以上的敏感个人信息,但预计未来1年内出境数量不会超过1万人,是否可以按照新规豁免申报数据出境安全评估?
-
已处理100万人个人信息的个人信息处理者,依据我国不同的法律法规,须履行不同的合规义务,相关条款都已成为“明星条款”。那么历史处理了100万人个人信息的个人信息处理者在出境个人信息时,实际将自动采取数据出境安全评估这条合规路径是否将彻底被本《征求意见稿》废除?例如,某企业属于已经处理了100万人以上个人信息的个人信息处理者,根据原有规定即使其只出境了1个自然人的个人信息,也需申报数据出境安全评估。过去,此类企业觉得负累太重。那么根据《征求意见稿》,只要该企业自已预计未来1年内出境数量少于1万人,可以彻底免于申报数据出境安全评估。
-
即使我们前几段中的理解均是准确的,那么又应如何计算“预计一年内”的时间起点,是以日历自然年的每年1月1日为起算点,还是应以每个企业拟出境个人信息时的时间为起算点?如果是后者,则是否需要同时考虑过去一个日历自然年中该企业出境个人信息的人数?《数据出境安全评估办法》《个人信息出境标准合同办法》均是以上一年度的1月1日为起算点计算累积出境个人信息的人数。
-
在预估未来一年可能出境个人信息的人数时,是否需要将《征求意见稿》第四条第二项中豁免的员工个人信息数量纳入计算?关于该问题,我们还会在下节分析中进一步讨论。
-
《征求意见稿》第六条所说的“预计一年内向境外提供1万人以上、不满100万人个人信息,……”“向境外提供100万人以上个人信息的,……”(特别是后者)中的“向境外提供100万人以上个人信息”的计算周期是否也须同样遵循“预计一年内”的时间窗口?
(三)有关豁免“数据出境保障性措施”的十大场景
-
场景一:个人信息过境
根据《征求意见稿》第三条,对于不在境内收集产生的个人信息不再需要采取数据出境保障性措施。例如,某国内电商平台在境外设有物流仓库,并与境外的物流公司和航空公司合作。当境外消费者在该平台国际站购买商品后,平台内商家通过境外物流公司运输商品,最终由国外航空公司承运后送到消费者手中。在这个流程中,境内电商平台、平台内商家、物流公司和航空公司等参与方均会涉及消费者个人信息的处理。但由于用户个人信息的收集产生不在境内(即使消费者的订单信息由国内电商平台的境外站收集后入境,消费者注册的线上平台账号由国际站负责运营管理),该电商平台无需采取数据出境保障性措施,以此提高跨境电商的服务效率。
但是实践中该类出境场景较为复杂,例如是否仅涵盖在境外收集的境外个人信息传输至中国境内后直接再出境的情况,还是也包括其他情况。因此,需要进一步明确“数据过境”概念的具体定义和适用范围,特别是境外数据入境后进行了汇聚、加工、融合或其他处理活动后的个人信息再出境,是否符合“数据过境”的定义并适用豁免规定。
-
场景二:基于人力资源管理所必须而出境员工个人信息
根据《征求意见稿》第四条第二项,按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的,不需要采取数据出境保障性措施。由于跨国企业,此类场景下的个人信息传输不可避免,实践案例比较丰富,因此我们不再具体举例说明。但是,企业依据本场景豁免采取数据出境保障性措施的,还需进一步明确以下问题:
(1)如何确定出境员工个人信息的行为是为实施人力资源管理所“必须”的;
(2)如何确定特定字段的出境是为实施人力资源管理所“必须”的,又是否可以免去员工的单独同意;
(3)如何解释第四条第二项与第六条之间的关系,即如果符合第四条第二项的豁免条件,但该企业出境的员工个人信息数量超过1万人而不满100万人的,是否仍需要按照第六条的规定完成标准合同备案或认证;当出境的员工人数超过100万人时是否仍须申报安全评估;
(4)仍然需进行安全评估或标准合同备案或个人信息保护认证的企业,是否需要将该豁免场景纳入自评估报告中进行分析。
-
场景三:为订立、履行个人作为一方当事人的合同所必需
根据《征求意见稿》第四条第一项,符合“为订立、履行个人作为一方当事人的合同所必需”这一前提,必须向境外提供个人信息的,不需要采取数据出境保障性措施。该条针对“履行合同所必需”进行了场景上的罗列,例如跨境购物、跨境汇款、机票酒店预订、签证办理等需要向境外提供个人信息的情形。例如,消费者投资国际金融产品时,可能需要向境外提供个人信息,例如投资人姓名、身份证信息、联系方式、财务状况等,这些信息是为了满足合同的要求和法律规定而必要的。但哪些信息属于“必需”的范畴,仍待进一步明确和通过实践案例进行精确识别。同时,个人还应注意选择可靠的合作方和合规的数据传输方式,以确保个人信息的安全。
-
场景四:紧急情况下为保护自然人的生命健康和财产安全
根据《征求意见稿》第四条第三项,“紧急情况下为保护自然人的生命健康和财产安全等”必须向境外提供个人信息的,不需要采取数据出境保障性措施。例如,某国家发生了突发性疫情,为了挽救已受影响的人民群众的生命安全和提供紧急救援,某些组织可能需要将患者的个人信息发送给国际救援机构,以便及时确定该突发疫情形成的原因、在其他国家或地区是否已有发生和确认其相似度、受灾地区的药品供应情况并采取必要的救援措施等。这样的举措旨在确保救援资源的合理配置和生命安全的保护。但“紧急”到何种程度才可以受豁免,以及一般企业在日常运营中遇到的情况不多,因此对该情形的具体适用与理解仍然需要等待监管部门的进一步解释。
-
场景五:国际贸易
根据《征求意见稿》第一条,国际贸易活动中产生的数据出境,不包含个人信息或者重要数据的,不需要采取数据出境保障性措施。例如,当某国内外贸企业向他国出口商品时,关于商品的数量、规格、重量、价值以及运输方式等信息需要发送给进口方。这些数据的出境可以帮助各国的海关、物流公司和贸易伙伴更好地管理和监控这批出口货物的安全运输和交付过程,确保货物能够按时到达目的地,并保证贸易合规性。但是“国际贸易”概念的外延十分宽泛,何种类型的商业活动属于“国际贸易”的范畴、哪些实践中的流程环节属于“国际贸易”、境外数据接收方是否仅限于贸易相对方等等,同样需要被进一步解释说明。
-
场景六:学术合作
根据《征求意见稿》第一条,学术合作活动中产生的不包含个人信息或重要数据的普通数据出境活动,不需要采取数据出境保障性措施。例如,当国内某高校研究所与其他国家或机构的研究人员合作进行学术研究时,可能需要共享一些数据,例如实验结果、调查结论、统计数据等,不包含个人信息或重要数据。通过这些数据的出境,研究人员可以更好地共享知识、经验和研究成果,推动国际学术界的合作与交流,促进全球科学研究的发展。但是,该场景下的数据出境与“场景五”相似,涉及行业及领域的适用性较宽,某些敏感领域中的数据,即使不属于个人信息或重要数据,但是否还可能构成“情报”信息等也有待观察。并且,实践中如何在学术合作场景中鉴别被共享的学术数据不涉及重要数据或者国家秘密,也是一项技术性很强的工作。因此此类场景适用豁免规定需要特别小心、不得大意,不然可能会危害到我国国家安全与社会利益。
-
场景七:跨国生产制造
根据《征求意见稿》第一条,跨国生产制造活动中产生的不包含个人信息或重要数据的普通数据出境活动,同样也不需要采取数据出境保障性措施。例如一家制造型国企在全球多个国家设有生产基地,在进行产品生产制造和装配时,一些数据可能需要从我国出境以支持对生产基地的有效供应链管理,例如物料库存管理信息、零部件生产计划、物流运输信息等,以使该企业更好地协调和管理其在全球的供应链,确保物料的及时供应、使当地生产顺利进行,不仅提高生产制造的效率和质量,还保障向国际客户准时交付,赢得我国企业在国际上的口碑。但类似于“场景五”,“跨国生产制造”的概念也较广泛,其涉及的环节也较多、程序繁琐、参与方多样,数据出境的链条也可能相对复杂,因此,相关企业仍需在实践中进一步探索合规落地标准,也建议与监管机构保持沟通,获取对不明确问题的指导与解释。
-
场景八:跨国市场营销
根据《征求意见稿》第一条,跨国生产营销活动中产生的不包含个人信息或重要数据的普通数据出境活动,不需要采取数据出境保障性措施。例如,一家跨国消费品企业打算进入我国市场或扩大其在中国市场的业务前,针对国内市场的调研至关重要。在这个过程中,该快消企业必然需要收集和分析一些市场数据,包括我国各线市场调研报告、同行市场占比分析数据、消费者行为数据等,以了解目标市场的消费者需求、竞争情况、市场趋势等。通过将这些数据出境,该跨国公司可以更好地了解和把握目标市场的特点和机会,制定相应的市场营销策略和计划,有助于支持公司在我国市场的营销决策和推广活动,提高市场竞争力和业务增长。
而实践中,快消行业的营销活动往往利用的是“个人信息”,既包括针对明确的个人信息主体进行的精准营销,也包括利用去标识化等处理后得到的数据对特定人群包的数据进行定向分析和营销。根据《个保法》的规定,如个人信息经匿名化处理,则其不再属于个人信息的范畴。企业若要适用《征求意见稿》该场景下的豁免机制,需要准确判断用于拟传输出境的数据是否已经完全达到匿名化的处理要求。最终由谁来评估判断该企业拟出境的数据已达到不含个人信息的处理标准,则又是该场景下监管需要重点考量的问题。
-
场景九:其他普通数据
除了场景五至场景八的各种情况,《征求意见稿》第一条还对不包含个人信息或者重要数据的普通数据进行了兜底性质的描述。即在特定活动中出境普通数据,不需要采取数据出境保障性措施。然而,是否所有类似活动下的普通数据均能自由跨境流动?如何确定“等活动”的具体范围?实践中其他活动如何能类推适用第一条的豁免规定?若对适用范围进行过度演绎,有可能造成所有个人信息出境活动都最终免于采取出境保障性措施的结局;若谨慎推演,实际上兜底条款将流于形式,企业最终仅仅敢于适用的仍然是举例的几类场景。这些细节问题尚待通过实践进行精准判断后,由监管部门逐步形成补充性解释说明。
-
场景十:“自贸区负面清单”数据
《征求意见稿》除了明确提及以上九大场景外,还专门设计了“自贸区负面清单”的特殊机制,因其具有独特性,我们将在下一小节中进行专门介绍,此处仅从完整性角度简单提及。
综上,在企业日常业务活动以外,例如针对境外诉讼、境外执法等情况下要求境内企业提供其在中国境内产生的普通数据(如案涉证据等)。根据以往经验,此类场景下的数据通常出于符合境外法院或仲裁庭的证据开释流程之需而提供。向境外法院提供前须以司法部的司法协助中心意见为准,但是是否需要同时报送网信部门进行数据出境安全评估,本次《征求意见稿》并未作出明确回应。实践中存在因数据出境安全评估的审批时限较长,原告方会因此而遭致举证时限届满的风险,因此这些问题仍然需要监管部门予以进一步关注和澄清。
此外,值得注意的是,虽然《征求意见稿》明确了许多豁免情形,将部分风险较低的个人信息出境场景的风险自评估工作交由企业自主决策,但这并不意味着由此豁免了企业的事前数据安全保护义务、管理义务和安全事件发生时的报告义务。甚至在特定情况下,企业仍需要进一步明确相关数据出境活动的审批流程和要求,以降低自身可能遇到的合规风险。
(四)有关未列入“自贸区负面清单”的豁免机制
如本文第二节所述,《征求意见稿》允许自贸区自行制定负面清单,并经省级网络安全和信息化委员会批准后报国家网信部门备案,以简化数据出境机制,对于促进自贸区内企业的跨境数据流通具有积极意义。以下是一些已经实施或计划及有望实施类似负面清单的自贸区实例:
-
上海自贸区:是我国设立的第一个自由贸易试验区,在数据跨境流通方面一直处于先行先试的地位。根据《中国(上海)自由贸易试验区临港新片区条例》,自贸区内将探索制定低风险跨境流动数据目录,符合相关要求的数据可以免于申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。同时《临港新片区国际数据产业专项规划(2023-2025年)》中提出“在依法合规、风险可控的前提下,加快推进金融领域数据跨境流动,打造跨境资产管理示范区,服务上海国际金融中心建设,协同行业重点企业加快推进金融数据流动负面清单制度研究”。这为企业提供了更为便利的数据跨境流通环境。
-
广东自贸试验区:在数据跨境流通方面也拟采取与上海自贸区类似的负面清单机制。根据该自贸区计划拟定的负面清单,一些特定的数据出境活动可以免于前置审查程序,如数据出境安全评估、个人信息出境标准合同和个人信息保护认证,也同样为自贸区内企业提供了更便捷的数据跨境流通通道。
-
横琴粤澳深度合作区:提出促进国际互联网数据跨境安全有序流动、开展数据跨境传输安全管理试点,同时计划通过制定清单机制等简化数据出境的流程,为合作区企业提供安全传输通道提升数据出境安全性。
-
海南自贸区:《中华人民共和国海南自由贸易港法》《海南自由贸易港建设总体方案》都提出了国家支持海南自由贸易港探索实施区域性国际数据跨境流动制度安排,如指出海南自由贸易港依法建立安全有序自由便利的数据流动管理制度,扩大数据领域开放,促进以数据为关键要素的数字经济发展。凭借将数据出境绿色通道写入立法这一得天独厚优势,海南自贸区有望通过建立负面清单的方式提供数据流动监管的便捷性。
-
河套深港科技创新合作区:提出在国家数据跨境传输安全管理制度的框架下,探索形成既能便利流动又能保障安全的机制,相关机制在未来即可涵盖建立负面清单这一方式。
以上这些例子表明,自贸区的负面清单政策在一定程度上是为了促进了自贸区内企业的数据跨境便捷流通。通过简化行政程序、提供数据出境安全环境,使企业可以更灵活地进行数据出境活动。此外,这些负面清单的制定权力集中在省级层面,国家仅做备案管理,为各自贸区根据实际情况制定负面清单提供了灵活条件。
类似地,部分省/地区政府也牵头制定了促进数据跨境流动的“白名单”机制。例如,今年9月20日,北京市商务局牵头起草并发布了《北京市外商投资条例》(草案征求意见稿),旨在促进本市外商投资,规范外商投资管理,保护外商投资合法权益,推动首都开放型经济高质量发展。其中第六章明确了数据跨境等方面相关便利措施。虽然北京两区办也曾开展过“数据跨境流动试点”,但北京本次由市网信部门会同有关部门,按照国家部署,制定具体措施,为符合条件的外商投资企业建立绿色通道,高效开展重要数据和个人信息出境安全评估,制定可自由流动的一般数据清单,促进数据安全有序自由流动。
此外,国家互联网信息办公室与香港特区政府创新科技及工业局于今年6月29日签署了《关于促进粤港澳大湾区数据跨境流动的合作备忘录》。进一步有序扩大负面清单制度适用的地域范围限制,将有助于在国家数据跨境安全管理框架下建立粤港澳大湾区数据跨境流动的安全规则,推动该区域数字经济产业的高质量发展。这也与本《征求意见稿》制定的背景和着眼点高度一致。
当然,仍还有一些问题需要被进一步澄清。例如,需要明确具体哪些自贸区有资格制定相关负面清单、在自贸区注册登记但数据处理活动发生在自贸区以外地区的企业是否能够适用本《征求意见稿》的该条规定,以及是否不限自贸区,若省级政府通过发布地方性法规设置数据跨境流动白名单的,是否可视为起到同样的效果?各省、自贸区之间是否会为竞争成为各大企业数据出境地而发布各种名目的“白名单”“黑名单”,从而吸引企业入驻后反而导致企业在合规落地时由于纷来沓至的各种政策产生混乱?
对这些问题的明确,将有助于更好地推动自贸区内企业的数据跨境流通。期待国家网信办与各自贸区尽快发布更详细的细则,并为相关企业提供更加明确的操作指南。
(五)CIIO等向境外提供重要数据或个人信息
《中华人民共和国网络安全法》(简称《网络安全法》)第三十七条规定,CIIO在中国境内运营中收集和产生的个人信息和重要数据应当存储在境内。如果确有业务需要向境外提供这些信息,应当按照国家网信部门与国务院有关部门制定的办法进行安全评估。如果有其他法律、行政法规的规定,也需要按照其要求执行。《征求意见稿》第八条对此也进行了规定,如果CIIO向境外提供个人信息和重要数据,将需要按照相关法律法规进行监管。
需要注意的是,即使《征求意见稿》最终正式出台,从法律层级上来说,它并不属于“法律、行政法规”。因此,CIIO向境外提供个人信息或重要数据,不适用《征求意见稿》中任何一条关于数据出境保障措施的豁免,仍需要遵守《网络安全法》第三十七条、《个保法》第四十条和《数据出境安全评估办法》的相关规定。这是因为这些CIIO数据的泄露、损毁与灭失将可能对国家安全、社会稳定和个人隐私产生重大影响。
为此,《征求意见稿》第八条的立法重心与上述目标遥相呼应,亦是为了加强对国家机关和CIIO向境外提供个人信息和重要数据的监管,以保护国家安全、社会稳定和个人隐私。具体如下:
-
国家机关向境外提供个人信息和重要数据:国家机关在处理敏感信息时,需要确保这些信息不会被滥用或泄露给外部势力。例如,国家安全机关可能会涉及到涉密信息的处理,包括国家机密、军事情报和涉及国家安全的重要数据。通过对国家机关向境外提供个人信息和重要数据进行监管,可以有效保护国家的安全利益。
-
CIIO向境外提供个人信息和重要数据:CIIO通常包括电信运营商、金融机构、能源供应商等,他们掌握大量的个人信息和重要数据。这些数据的安全性对于国家和个人都至关重要。例如,金融机构处理客户的财务信息,电信运营商处理用户的通信数据,能源供应商掌握能源供应和分配的关键数据。通过对CIIO向境外提供的个人信息和重要数据进行监管,可以防止这些数据被滥用、泄露或用于不法目的。
-
涉及党政军和涉密单位敏感信息、敏感个人信息:国家对党政军和涉密单位的敏感信息和敏感个人信息给予特别关注。这些信息的泄露可能对国家安全和社会稳定造成严重威胁。例如,涉密单位可能涉及到国家机密、军事机密和商业机密等重要信息。通过对涉及党政军和涉密单位敏感信息、敏感个人信息向境外提供进行监管,可以保护国家安全和个人隐私。
虽然目前大多数企业并未被认定为CIIO,对它们的直接影响相对较小,但这些企业也需要关注其客户或合作方是否有可能属于CIIO,以及企业在与CIIO客户进行业务活动时,需要特别遵守与对方在跨境数据交互过程中的合规义务。
四、对企业的合规建议
首先,企业需密切关注《征求意见稿》正式稿的发布时间和立法动态,并及时评估对现有数据出境合规工作的影响。企业应根据自身个人信息出境的数量,判断是否可以豁免某些保障性措施的合规路径或切换适用其他路径。对于不需要实施数据出境安全评估、标准合同备案和个人信息保护认证三类数据出境保障性措施的企业,也需要根据《个保法》等法律法规,继续完成其他例如保障个人信息主体权益、获取个人信息主体同意、事先进行个人信息保护影响评估等合规要求。对于仍需要遵循安全评估、标准合同备案或个人信息保护认证路径的企业,应继续按时完成相应的申报、备案或认证工作,准确了解数据出境保障措施的具体要求和流程,并按照相关规定进行操作,以确保数据出境活动符合法规要求。
其次,企业应密切关注监管部门对于《征求意见稿》的解释与适用,尤其我们在第三节中提出的各类亟待监管确认和解释的内容,例如关于个人信息出境数量标准和豁免场景中适用最多的符合人力资源管理所必需的解释等。同时,企业应根据监管部门的最新规定,判断自身的数据出境情况是否满足豁免条件,并根据实际情况,及时调整合规策略,确保企业在数据出境方面符合法规要求。此外,企业还应积极履行数据安全和个人信息保护方面的其他义务,满足相关合规的综合性底线要求,确保数据跨境流通的合规性和安全性。
最后,建议设立在自贸区的企业应特别关注自贸区数据出境负面清单的最新规定,及时了解所在自贸区是否为企业设置了数据跨境流通的便利通道并应遵守相关规定,由此确保既符合数据出境活动的合规性,又享受自贸区内顺畅进行数据跨境流通的优惠待遇,降低数据出境的合规成本和业务压力。
五、对《征求意见稿》的完善建议
首先,由于设置了众多豁免场景,反而触发了数据出境安全评估必要性存在的争议。建议在最终稿中能够明确不同出境场景下的安全评估要求,考虑根据数据的敏感程度、数据的用途等因素确定是否需要进行安全评估,而不仅仅以未来一年企业自己预计的数据量作为判断标准。至于有关数据出境安全评估周期过长的问题,可以考虑在最终稿中明确缩短评估周期的措施、简化评估流程,优化评估机制,提高评估效率。同时,建议加强监管部门的人力和技术支持,以确保评估工作能够及时进行并及时反馈结果。
其次,关于解决豁免机制中企业对拟出境数据统计和数据预测难的问题,建议在最终稿中明确数据统计的方法和要求,建立完善的数据管理和监测机制,包括如何统计境内存量数据、已出境数据等,结合行业发展趋势和企业需求,进行数据出境数量的预测、判断、建立数据预测模型,以便更好地规划和管理数据跨境流动活动与企业自评估工作。
再次,针对新旧办法的适用和衔接问题,建议在最终稿中明确过渡措施和具体操作步骤。例如,对于已经开始的数据出境安全评估或备案流程,可以规定是否继续按照旧办法进行,以及未开始的如何转为新规定的程序。明确对于已下发的评估结果或备案通知的处理方式,确保不同制度下的结果能够得到妥善处理。
最后,强调加强事中事后监管的重要性。尽管本《征求意见稿》有让企业大快朵颐的国家“放权”姿态,但仍然建议在最终稿中明确监管部门的职责和要求,包括在信任企业“预判”能力的前提下,不断提升监管机构对风险的识别能力、数据安全的控制能力、阻断能力和数据追溯能力。建立数据风险监测和报告机制,及时发现和处理数据出境活动中的安全风险,确保我国数据出境的总体合规和安全。
六、结语
通过对《征求意见稿》的解读和分析,基本能感受到的是对企业合理减负信号的释放,总体上充满了轻松和友好的气氛。
该《征求意见稿》还为自贸区内负面清单制度的先行先试留下了政策空间。并且,相较于《数据出境安全评估办法》和《个人信息出境标准合同办法》,《征求意见稿》第十条和第十一条规定的罚则也更为缓和,给予了数据处理者接受监督、及时整改、消除隐患的机会,同时还为数据出境合规提供了更加确定的指引,对于拟开展数据出境合规的企业是一大利好消息。
虽然如我们所提出的建议,《征求意见稿》还有些方面需要进一步完善,但我们对正式稿的出台落地充满期待,相信正式稿将为众多企业带来更为明确的数据出境活动的指引,解决当前许多企业在数据跨境流动方面所面临的悬而未决的问题,为企业提供更稳定、可靠的数据跨境流动环境,进一步协助企业完成数据出境的合规,并有助于促进数据跨境流动的规范化和便利化。
注释:
[1] 于洋, 梁正. 全球数据流动、保护及中国方案[J]. 中国科技论坛, 2022(11): 9-15.