2023年9月28日,国家互联网信息办公室(“国家网信办”)就《规范和促进数据跨境流动规定(征求意见稿)》(“《数据跨境新规》”)公开征求意见。征求意见反馈截止时间为2023年10月15日。
《数据跨境新规》具有减负、澄清及豁免的积极意义。其共11条,整体就《数据出境安全评估办法》《个人信息出境标准合同办法》等现行数据及个人信息出境规定中相关企业的义务开展“减负”,并就业内在近期实务中存在的一些困惑及疑点进行了澄清。本文将《数据跨境新规》涉及的实质性变化或新增要点梳理如下,供有个人信息和数据跨境传输需要的企业参考。
一、个人信息及数据出境的法规背景
在详述本次《数据跨境新规》前,我们先就现行数据及个人信息出境法规的规定进行初步梳理。目前,因业务等需要,确需向中国境外提供个人信息的处理者,应当完成安全评估、个人信息保护认证或签署跨境传输合同等手续之一。具体而言,即:
- 事先通过国家网信部门组织的数据出境安全评估;
- 按照国家网信部门的规定经专业机构进行个人信息保护认证;
- 按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;或
- 法律、行政法规或者国家网信部门规定的其他条件
(以上合称“数据出境手续”)。
就安全评估而言,《数据出境安全评估办法》要求符合相关条件的企业实施数据出境安全评估[1],这一制度现已实施一年有余[2]。公开资料显示各地也已出现了通过该等评估的企业案例。
就认证而言,对于不适用评估的个人信息处理者,其应当选择订立个人信息出境标准合同或通过个人信息保护认证的通路。其中,目前公开资料尚未显示有明确开始实施个人信息保护认证(跨境处理)的机构。
就签署跨境传输合同而言,自《个人信息出境标准合同办法》于2023年6月1日起生效后,公开资料显示各地目前已有一些企业通过该项通路的成功案例。
不过,在实务中,不少企业因其数据出境数量不大、数据出境需求较难回避等原因而对现行规定的实施口径存在一定疑惑。有鉴于此,《数据跨境新规》进一步提出了如豁免特定情形下企业履行数据出境手续的要求等规定。
二、明确几项豁免情形
因应实务中一些企业的现实情况,《数据跨境新规》明确列举了几项无需办理数据出境手续的情形:
1. 豁免一:国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的。
《数据跨境新规》充分考虑到在国际贸易、跨国生产制造和市场营销等领域企业的日常经营活动中因业务或产业链分工需要而不可避免地涉及普通数据出境的情况。为了避免企业增加合规负担,在不包含个人信息或者重要数据的前提下,其可豁免申报数据出境手续。
这一规定主要重申了对于现有法规的理解,即《数据出境安全评估办法》《个人信息出境标准合同办法》等现行法规要求的如存在传输个人信息或重要数据即须履行不同数据出境手续的确认。
此外,在实务中,一些学术机构等组织开展的中外学术、会议交流活动也会涉及到一定数量的数据跨境传输。在本条规定明确相关要求之前,一些机构存在相应的顾虑:即按现行法规的字面理解其可能需要履行办理数据出境手续的义务。如披露相关学术共享内容并履行数据出境手续,确有可能影响各方学术交流的效率。
不过,即使不包含个人信息或者重要数据,若系关键信息基础设施运营者(“CIIO”)开展前述场景的数据出境,《数据跨境新规》仍然要求其遵守依照有关法律法规要求的相关合规义务。这项要求重申了《数据出境安全评估办法》规定的CIIO向境外传输数据需要申报数据出境安全评估的情况。
2. 豁免二:不是在境内收集产生的个人信息向境外提供。
此项要求呼应了实务中广泛存在的一些场景:如个人信息系在境外收集产生,但在境内处理后又传输到境外等业务场景。例如,在跨境贸易中,位于中国的实体只是一个信息或数据处理的中转站。原本在境外收集的个人信息,在经过中国的服务器传输或者在中国处理后,最后再次传输到了境外。
早在现行数据出境相关法规落地之前的2017年,《信息安全技术 数据出境安全评估指南(征求意见稿)》第3.7条中就曾指出两种不属于数据出境的情况。这两种情况为“非在境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动或加工处理的,不属于数据出境”以及“非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的,不属于数据出境。”本次《数据跨境新规》进一步承接了这一标准。
我们推测,在此项场景下,传输的数据一般不直接涉及中国境内自然人的相关权益(或对中国个人权益的影响较小)。因此,本次的《数据跨境新规》暂未将该等场景纳入须履行数据出境手续的情况。
不过,也有一些本条没有完全明确,但可由大家合理推测的地方。比如,在中国境内未设立主体的境外金融等服务行业的企业,其服务的客户涉及未于当时居住于中国境内的中国公民。如该等位于境外的中国公民向境外企业提供这些与其境内生活“痕迹”有关的个人信息,是否也属于本项下的豁免事项呢(抑或因其全程系境外传输,并不符合自境内向境外跨境传输的定义而直接可以排除适用数据出境手续)?
3. 豁免三:为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的。
《数据跨境新规》以罗列的形式展示了“为订立、履行个人作为一方当事人的合同所必需”的几种高频次场景。在笔者与笔者服务的客户就现行数据出境法规的沟通中,其也经常以这几类场景类比其业务形式,并讨论其办理数据出境手续的必要性。此次新规肯定了这一类场景的现实存在。《数据跨境新规》从立法层面释放了对于此类有较强的数据出境需求,且对境内个人信息权益影响较为有限的场景的“松绑”信号。对于涉及此类业务的跨国企业而言,这无疑是一个利好的信号。不过,就这一条款的“必需(必须)”的定义而言,除列举的几种场景外,该如何判断其他类似场景是否也可以适用,可能还有待未来网信部门的进一步实操与解读。
4. 豁免四:按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的;
在跨国企业的全球管理体系中,其往往存在集团统一的人力资源管理系统。中国境内企业的员工个人信息据此可能需要跨境传输至其总部或位于国外的集团服务器保存。尽管确实发生了一定数量的个人信息出境,但该等场景为跨国企业日常管理需要的常规操作。一般跨国企业仅出于人力资源管理目的留存该等信息。因此,如《数据跨境新规》落地,企业单纯因这一情况而需要向境外提供员工个人信息的,有望据此主张无需履行相关数据出境手续。需要注意的是,企业仍然需要履行将上述传输安排明确纳入符合法定程序的劳动规章制度等程序。
5. 豁免五:紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的。
其实,这一场景在《个人信息保护法》第13条的规定中已经出现,即为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需,个人信息处理者可以在未取得个人同意的情况下处理个人信息。此处将“处理”进一步细化落入了跨境数据传输的场景。从实践的角度看,当自然人的生命健康和财产安全受到威胁时,也无法有足够时间事先进行订立个人信息出境标准合同或通过个人信息保护认证。
6. 豁免六:预计一年内向境外提供不满1万人个人信息。(但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。)
具体将在本文第四部分“个人信息跨境传输数量认定变化”中详述。
前述几项出境情形一般都涉及企业的日常经营,或不涉及重要数据或仅涉及少量的个人信息或数据出境,其对个人信息权益影响一般都较小。在目前经济形势下,《数据跨境新规》如可落地,将进一步为企业减轻数据跨境传输的合规成本。
欧盟施行的GDPR在其第五章“向第三国或国际组织转移个人数据”第49条亦提及特殊情形下的豁免(Derogations for Specific Situations)。该条规定,在缺乏充分性认定和适当保障措施的情况下,数据传输者仍可以在满足特定条件的情况下,将个人数据转移到第三国或国际组织。具体可以适用的场景如:数据主体已明确同意、履行合同所必需、为公共利益目的、确立、行使或抗辩法定请求权的必要条件、在数据主体不能给予同意的情况下,为保护数据主体或其他人的重要利益所必要的等。此外,GDPR还列出了在“特殊情形下的豁免”条件均无法满足时的最终豁免情形(“有限传输”),即如跨境传输没有重复进行、只涉及少量数据主体、追求合法利益目的所必要的,并且该利益没有被数据主体的利益、权利和自由所覆盖,同时数据控制者已经围绕数据转移评估了所有的情形,并根据该评估提供了保护个人数据的适当的措施。此外,数据控制者还应当将要进行的数据转移通知监管机构。[3]我们注意到,《数据跨境新规》列举的部分豁免情形与GDPR的特殊情形下的豁免存在部分相似内容,这可能也是基于我国网信部门对于GDPR等域外数据法规的有益借鉴。
三、重要数据出境是否需要申报数据出境安全评估得以澄清
《数据安全法》规定,各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。[4]在此基础上,《数据出境安全评估办法》要求重要信息出境应当履行数据出境安全评估手续。现行的《数据出境安全评估办法》第19条将“重要数据”定义为“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。”此外,2022年1月7日完稿的《信息安全技术 重要数据识别指南(征求意见稿)》就重要数据的识别进行了指引。但是实践中,不同行业的重要数据该如何鉴别,这仍具有诸多不确定性。
在《数据跨境新规》发布时,尚未有公开资料显示有关地区/部门发布了其行业/领域的重要数据目录。因此,对于一些企业而言,其并不清楚其是否构成传输重要数据。重要数据的出境手续要求成为了这些企业头上的达摩克里斯之剑。此次《数据跨境新规》明确规定,未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
通过以相关部门是否明确发布重要数据的方式予以判断,《数据跨境新规》为企业在鉴别自身数据是否为重要数据上提供了明确指向。
四、个人信息跨境传输数量认定变化
《数据跨境新规》就个人信息跨境传输数量设置了如下三个阈值范围。其判断标准不再如《数据出境安全评估办法》所规定的自上年1月1日起累计计算。具体如下表所示:
首先,该项规定仅考虑预计1年内数据处理者的出境个人信息数量,而不再考虑该数据处理者累计处理的全部个人信息的数量。这样一来,对于总体处理过个人信息数量较大,但在该年度内出境个人信息较少的企业而言,就提供了较多便利。
如表格总结,《数据跨境新规》明确指出了预计1年内向境外提供不满1万人个人信息的,豁免数据出境手续(但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意)。这一规定解除了许多企业的疑惑:即按现行数据出境法规的字面理解,即使数据出境规模极为有限,也需要履行签署个人信息标准合同并予以备案的法定手续吗?笔者服务的一些此类客户此前即提出疑惑。在欧盟施行的GDPR等制度中,即存在“有限传输”等针对较少数据传输的处理者(满足相关条件后即)豁免其他法定义务的操作。如按严格语义解释我国数据出境现行法规,企业需要履行相关法定数据出境手续,可能会为其现有较少的出境相关业务增添较多的合规成本。
此外,《数据跨境新规》将《数据出境安全评估办法》和《个人信息出境标准合同办法》所采用的以“自上年1月1日起”计算(一些观点俗称的“2年内”)个人信息出境总量门槛修改为预计1年内。《数据跨境新规》据此进一步规定,其与《数据出境安全评估办法》《个人信息出境标准合同办法》等相关规定不一致的,按照《数据跨境新规》执行。
尽管有以上三种情形的规定,但是该条款仍有部分内容尚未澄清:例如“预计一年内”从何时开始起算?此外,前述数量是否还需要区分一般个人信息和敏感个人信息?《数据跨境新规》此次并未单独就传输敏感个人信息的数量和时间设限,但还是强调了跨境传输敏感个人信息仍需遵守有关法律法规的规定[5],例如《个人信息保护法》中提及的需要事前进行个人信息保护影响评估等。
这一情况下,新旧法规的衔接可能会存在一些有待澄清的地方。比如,根据《数据出境安全评估办法》,自上年1月1日起累计向境外提供超过1万人敏感个人信息,则需要申报数据出境安全评估。而假设《数据跨境新规》落地,该企业符合在《数据跨境新规》下豁免数据出境安全评估的情况(即1年内出境的个人信息数量没有达到100万人以上;或者达到了1万人以上,100万人以下,且其完成了标准合同备案或者通过个人信息保护认证),这里可能存在一个新法与旧法的冲突适用的问题。《数据跨境新规》规定,其与《数据出境安全评估办法》《个人信息出境标准合同办法》等相关规定不一致的,按照《数据跨境新规》执行。新规未明确提及敏感个人信息数量的要求,那么此处是否意味着新规不再适用任何关于敏感个人信息的数量计算标准呢?在未来的新旧规定衔接中,《数据出境安全评估办法》既定的敏感个人信息阈值标准是否据此将有所松动,我们也将继续关注。
当然,我们也注意到,即使满足豁免条件或因相关手续的阈值降低而免于按现行规定办理对应手续,作为数据处理者的企业仍需履行其他现有法规要求的合规要求。比如,基于个人同意向境外提供个人信息的,应当取得个人同意;在个人信息出境前,需要完成个人信息保护影响评估等。并且,适当的“松绑”并不意味着监管的放松,网信部门仍然将强化事前事中事后的全方位监管。
五、自由贸易试验区(“自贸区”)负面清单制度
此次《数据跨境新规》的一大突破在于,进一步规定了自贸区的负面清单制度。具体而言,自贸区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称“负面清单”),报经省级网络安全和信息化委员会批准后,报国家网信部门备案。负面清单外数据出境,可以不申报数据出境手续。
当然,这一制度的细节还有待落地后进一步细化。比如广泛存在的企业的注册地与实际经营/数据处理/服务器所在地不在同一地点的情况下,是否均可适用自贸区的负面清单呢?
六、结语
总体而言,我们欣喜地看到,此次《数据跨境新规》回应了实务中一些企业对现有数据出境法规提出的疑惑和建议,进一步为数据跨境流动提供了更为便利的制度基础。根据我们既往对法规的有关解读经验以及对于当前中外合作交流及投资环境的理解,我们倾向于认为,《数据跨境新规》的规定落地将有较大概率指日可待。
此外,我们也注意到,《数据跨境新规》仍有尚未完全回应实务中疑问的情况。比如,《数据安全法》以及《个人信息保护法》中要求,向外国司法或者执法机构提供存储于中国境内的个人信息或数据需要经中国主管机关批准。[6]本次《数据跨境新规》未就这一机制做出更新的规定。前述取得中国主管部门批准的要求仍应有效。未来,在《数据跨境新规》的基础上,涉外争议解决中存在的向境外司法或执法机构提供境内个人信息及数据的操作将如何合规开展,仍旧有待进一步的细节性规定指引。
若《数据跨境新规》落地,现有数据和个人信息出境手续监管也将发生一些变化。尚未开展/尚未完成数据出境手续的企业可以参照本次规定再次评估其现状,适时决定是否以及如何开展其数据出境手续。正在办理数据出境手续的企业应当据此适时评估并与网信部门沟通,选取合适的数据出境手续通路;或者在沟通基础上评估其是否需要更改或撤回相关材料。已经完成数据出境手续的企业也应适时关注其数据出境情况,选取未来合适的更改或汇报机制。
当然,不论企业属于什么状态,其仍然应该继续遵守现有法规要求的数据及个人信息处理的各项要求,比如,只要企业涉及向境外提供个人信息,个人信息处理者即应按照《个人信息保护法》的规定开展事前进行个人信息保护影响评估等操作。
注释:
[1] 数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
(一)数据处理者向境外提供重要数据;
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。
[2] 《数据出境安全评估办法》于2022年9月1日起生效。
[3] Article 49 of GDPR: Where a transfer could not be based on a provision in Article 45 or 46, including the provisions on binding corporate rules, and none of the derogations for a specific situation referred to in the first subparagraph of this paragraph is applicable, a transfer to a third country or an international organisation may take place only if the transfer is not repetitive, concerns only a limited number of data subjects, is necessary for the purposes of compelling legitimate interests pursued by the controller which are not overridden by the interests or rights and freedoms of the data subject, and the controller has assessed all the circumstances surrounding the data transfer and has on the basis of that assessment provided suitable safeguards with regard to the protection of personal data. The controller shall inform the supervisory authority of the transfer. The controller shall, in addition to providing the information referred to in Articles 13 and 14, inform the data subject of the transfer and on the compelling legitimate interests pursued.
[4] 《数据安全法》第21条:各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
[5] 《数据跨境新规》第8条。
[6] 实务中,部分案件中已存在由司法部司法协助交流中心会同最高人民法院、国家网信办及/或相关业务主管部门开展的审核机制。