您的位置 : 环球研究 / 环球评论 / 新闻详情
如何正确适用“2024数据新规”?
2024年03月25日张桐 | 刘展 | 吴骏坤 | 王鸿雁

2024年3月22日,国家网信办正式发布了《促进和规范数据跨境流动规定》(于当日生效,“《跨境流动新规》”),并于同日同步发布了更新的《数据出境安全评估申报指南(第二版)》《个人信息出境标准合同备案指南(第二版)》及其答记者问等文件。

 

全国网络安全标准化技术委员会也于早前一日公布了《数据安全技术 数据分类分级规则》(报批稿)(GB/T 43697-2024,下称“《分类分级新规》”;本文中,《分类分级新规》与《跨境流动新规》合称“2024数据新规”),该规则将于2024年10月1日实施。

 

一、2024数据新规出台的背景

 

自2021年起《个人信息保护法》等法律法规确立了数据和个人信息出境的三大通路,即:国家网信部门组织的安全评估(“安全评估”)、专业机构进行的个人信息保护认证(“认证”)及按照国家网信部门制定的标准合同与境外接收方订立合同(“标准合同”,合称“数据出境程序”)。

 

在此基础上,《数据出境安全评估办法》(2022年生效)《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》(v1.0及v2.0版本均于2022年发布)《个人信息出境标准合同办法》(2023年生效)以及相关指南、规则相应出台,我国数据出境程序初步进入了实际操作阶段。按笔者观察,至今全国已经出现一批申报及通过安全评估的案例,同时各地也已陆续有大量处理者提交和完成了标准合同的备案。为进一步规范促进数据依法有序自由流动,国家网信办于2023年9月28日发布了《规范和促进数据跨境流动规定(征求意见稿)》(“新规征求意见稿”),向社会公开征求意见,意见反馈截止日期为2023年10月15日。在新规征求意见稿公布后,业界均对未来的监管调整做出了猜想,并翘首以盼。2024年3月22日,《跨境流动新规》正式公布并生效,开启了我国数据及个人信息出境监管的新时代。与此同时,《分类分级新规》也进一步细化了《数据安全法》等法律法规中关于建立数据分级分类保护制度的要求,给行业、地区主管部门和数据处理者的数据分类分级工作给出了更为详细的指引。

 

二、《跨境流动新规》的主要内容

 

《跨境流动新规》的篇幅并不是很长,其从程序角度对数据出境程序的操作“门槛”、相关程序的豁免场景、部分程序性事项和监管要求予以调整和细化。由于该新规的文字均较为直接,且业内已对此前的新规征求意见稿较为熟悉,我们在此仅快速总结与提取《跨境流动新规》的主要内容,以如下图表对个人信息及数据跨境传输的相关手续的流程予以总结(红字内容为本次《跨境流动新规》的新增/调整内容)。

 

图片

图一:个人信息跨境传输

 

图片

图二:(除个人信息外的)数据跨境传输

 

三、仍尚待澄清的问题

 

此次《跨境流动新规》最大的进步,在于提供了一系列无需履行任何数据出境程序的“被豁免场景”。然而,在相当数量的业内同仁欢呼从此不少客户数据出境将更为直接、便利的同时,我们也注意到在此新规下仍存有若干实操中的疑难急需澄清:

 

(一)数据已出境后方被告知、公布为重要数据,数据处理者如何应对?

 

在《跨境流动新规》施行后,不论在何种出境场景或限于任何规模,任何重要数据出境仍需办理出境风险自评估和网信办安全评估的手续。依据《跨境流动新规》第二条的规定,如未被相关部门和地区告知或公布为重要数据的,数据处理者不需要将相关数据作为重要数据申报数据出境安全评估。在部门及地区主管部门的重要数据目录尚未“普及”的阶段,这无疑极大消减了不少企业对于担心触碰重要数据“红线”的顾虑。

 

不过,我们认为该条款并未构成针对所有数据处理者的一项绝对的“安全港”。该条款并未明文以溯及既往的方式豁免各类数据出境主体在本次新规生效之前的数据出境行为。另外,基于《跨境流动新规》,企业是否可以在不与相关主管部门正式澄清前就擅自将其处理、控制的任何数据都任意安排出境呢?《跨境流动新规》下,评定是否是重要数据的误判风险其实是被留给了数据处理者自己。

 

基于现有的重要数据相关规定(包括《分类分级新规》),我们认为各类企业等数据处理者仍不可高枕无忧地完全不考虑重要数据的因素,自行给自己的数据出境在这一问题上“大开绿灯”。

 

(二)如何判断未引入境内个人信息的数据出境?

 

《跨境流动新规》第四条将“数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据”的情况列为豁免数据出境程序的场景之一。这一场景似乎较易理解,即在境外收集的个人信息只是在境内“稍事停留”、“中转”后就离开境内。

 

不过,“境内个人信息”该如何界定?究竟应以相关个人的国籍状态还是其所在地作为判断的标准?例如,针对身处中国境内的外籍人士,如相关处理发生在其居留中国境内期间,其信息是否也构成“境内个人信息”?抑或,数据处理者在境外收集和处理的个人信息来自于居住在国外但身份为中国国籍的“境内”人士,则包含此类信息的数据包是否还可适用上述的“数据中转”豁免情形?

 

实务中,针对跨境电商业务、B2C的电子商务或SAAS服务业务场景等,进行“数据中转”的个人信息数据包中或可能混有境外收集的中国国籍人士的个人信息,或可能在境内“中转”时会需添加身处中国的外籍人士的个人信息;这在电商或跨境商业场景中都是较为常见的操作。前述“数据中转”的豁免条款,究竟如何正确适用到这些业务场景,仍存疑。

 

(三)以订立、履行合同为目的的场景的豁免应如何判定?

 

《跨境流动新规》第五条第(一)项规定,如满足(i)为订立、履行个人作为一方当事人的合同(如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等),以及(ii)确需向境外提供个人信息的,这两项要素的,免予要求办理数据出境程序。

 

实操中的问题在于,此类场景下所指的被豁免的出境主体,究竟是指,(i)直接与境外服务/产品提供商签订合同并向其提供自己的个人信息的个人,还是(ii)与境内个人订立中介或其他服务合同的境内企业,再由此类境内企业向海外实际提供产品/服务的境外主体传输此类个人的信息?

 

《跨境流动新规》第五条的前提是“数据处理者向境外提供个人信息”,且数据出境程序的法理基础之一—《个人信息保护法》第38条也规定需要办理数据出境程序的前提是“个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的”。可见,此项要求的对外传输主体应是个人信息/数据处理者。而境内个人本人,是否需要被认定为处理自己信息的处理者?

 

就此疑问的一项域外立法澄清可见欧洲数据保护委员会发布的关于GDPR的一项指南[1]。该项指南指出:数据接收方自欧盟境内数据主体(类似我国法律下的“境内个人”)直接接收数据的行为不构成数据跨境传输,即这一情况无需遵守GDPR项下数据跨境的合规要求。也即,从比较法角度来看,GDPR下上述第(i)种场景本就不应属于个人信息和数据出境监管法规的规制对象;作为境内个人,自行向境外提供自己的个人信息本应构成该个人可自行选择境外服务或商品流动的自由。

 

因此,我们是否可以推论上述第(ii)种场景在《跨境流动新规》下也构成了一项针对包括航司、旅行社、境内银行、跨境电商等境内个人信息处理者向实际提供产品/服务的境外主体传输来自我国的个人信息时绝对的“安全港”呢?由于尚缺乏实操的检验和法规明文的指引,我们目前对此结论尚只能存疑。

 

我们需要注意:此存疑的“安全港”条款,还很容易被滥用在境内敏感个人信息(例如银行账户金融信息)出境的场景,从而和需要认证或标准合同的场景(出境不满一万人的敏感个人信息)或需要安全评估的场景(出境一万人以上的敏感个人信息)的条款相冲突、竞合。该如何区分适用?这又是摆在特别是跨境电商、旅行社等常见敏感个人信息境内处理者面前的一大难题。

 

(四)人力资源管理目的场景如何适用?

 

《跨境流动新规》第五条第(二)项规定,如满足(i)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,(ii)确需向境外提供员工个人信息的,免予要求办理数据出境程序。这一规定确实大大为跨国公司等类型企业的跨境人力资源管理场景提供了“松绑”。

 

不过,我们注意到,此处“按照依法制定的劳动规章制度和依法签订的集体合同实施”的行文与《个人信息保护法》第十三条第二款规定的处理个人信息的前提的表述一致,也采用了“和”的表述。那么,如境内企业作为处理者希望符合这一豁免条件,是否须同时将个人信息出境纳入其依法制定的劳动规章制度并写入其依法签订的集体合同呢?除了一般企业较为熟悉的劳动规章制度,订立集体合同的流程对于一些企业来说可能相较复杂。根据《劳动合同法》的规定,集体合同由工会与用人单位订立;尚未建立工会的,由上级工会指导劳动者推举的代表与用人单位订立。在集体合同订立后,还应当报送劳动行政部门,劳动行政部门未提出异议的方可生效。[2]从便利企业操作的角度猜想,此处两项操作是否可以按“或”的关系来解读?此外,企业该如何论证其“确需向境外提供员工个人信息”?企业可否主张仅建立本地HR管理系统无法有效支持本地运营?这些疑问也有待进一步的明确。

 

另外,本条下的“员工”,是否需要狭义理解为只包含直接与境内数据处理者缔结劳动合同的劳动者?企业内按照劳务派遣或劳务合同安排下的“员工”的个人信息若需出境,是否不可适用此豁免条款?

 

例如,在我国尚还存在的境外企业/机构在境内注册的代表处结构下,大部分中国“员工”的劳动合同架构常见为第三方劳务派遣;而此类代表处(作为非法人实体)其实在实操中或属于一类最需要将境内“员工”个人信息(例如为薪资福利管理的目的)向境外总部传输的主体,其可否直接适用此豁免条款?仍有存疑之处。

 

(五)自贸区负面清单场景如何适用?

 

本次《跨境流动新规》落地的一大亮点是第六条规定的:自贸区可自行制定需要纳入数据出境程序管理范围的负面清单,且在负面清单以外的数据跨境传输可以豁免数据出境程序。

 

近期,以中国(上海)自由贸易试验区为代表的一些自贸区出台了涉及便利数据跨境传输的办法/规范等文件。例如,临港新片区即发布了《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》(“《临港管理办法》”)。该办法即从数据分级的角度对数据出境予以区别对待:核心数据禁止出境;对重要数据目录内的数据,可通过临港新片区数据跨境服务中心申报安全评估;对在一般数据清单内的数据,可向临港新片区管委会申请登记备案,并在满足相关管理要求下自由流动。目前,临港新片区的重要数据目录及一般数据清单尚未正式公布。类似地,目前公开报道也尚未显示有任何自贸区已发布其官方负面清单。

 

从数据处理的特性来说,其地域性是较为模糊的,从“属地”和“属物”的角度都可能无法泾渭分明地做出判断。实务中,也许注册地在某自贸区内的数据处理者,其实际数据的处理服务器物理地点位于另一地,甚至交由跨地区的若干服务器予以处理。那么适用自贸区负面清单的主体及数据范围该如何确认?

 

我们注意到,《临港管理办法》规定其适用于(i)在临港新片区范围内登记注册的,或(ii)在临港新片区开展数据跨境流动相关活动的数据处理者。据此文意,是否只要在(i)场景下注册于临港新片区的企业即可在全国范围内开展一般数据的跨境传输?此外,如何界定数据跨境流动活动系在场景(ii)下于临港新片区开展?场景(ii)否意味着,一家企业在跨境流动中涉及的数据,只有经由临港片区区内的服务器进行对外传输的一般数据方可享受此类豁免?

 

此类问题,尚还不一而足。在自贸区负面清单场景下,如何划分其适用范围,还有待未来相关规定和实践的进一步澄清。

 

四、《分级分类新规》的内容及难点

 

如前所述,伴随《跨境流动新规》的发布,《分类分级新规》也配套为企业数据合规建设提供了更为清晰的指引。

 

在《跨境流动新规》以前,已有一些国家、地方及行业层面的标准、规则、指南及相关征求意见稿。《分类分级新规》一定程度上吸收和借鉴了这些文件的内容,并予以了更新和调整。[3]从内容来看,除常规的范围、引用文件、术语与定义等内容外,《分类分级新规》还系统总结了数据分类分级的基本原则、数据分类的规则(框架及方法)、数据分级规则及数据分类分级流程。特别地,其囊括了10项附录,提供了大量数据分类分级的考虑因素、示例、指南和参考。限于篇幅,我们在此不就具体内容予以赘述;但我们希望在此同样提出几点基于《分类分级新规》的实操难点,以供业内讨论:

 

(一)如何理解数据分级中的定性与定量

 

此前既往的分类分级规则中,均以若干的定性性质的语言指引数据分级。但在具体的适用时,企业往往需要结合实际场景判断相应事项,这一般是需要从定性的角度支持的。尽管在如附录F《影响程度参考示例》等部分中,《分类分级新规》提出了个别人数等指标的示例,但总体上《分类分级新规》仍比较缺乏定量这方面的细化。

 

例如,在附录H《一般数据分级参考》中,其点明对个人权益、组织权益等造成“一般/严重/特别严重危害”是一项判断标准,但此类形容词性质的判断仍较难具象化。企业可能希望,在适用这些标准时,是否可以通过(可能)造成多少金额的经济损失,或者覆盖多少范围的企业/人口等标准具象对应相应的危害程度。

 

(二)如何应对不同行业分级标准的竞合

 

对于分级的考虑,其还可能同时基于多个维度。如前所述,不同的行业/主管部门,以及不同地区可能存在不同的监管要求,其对同样事项的分级要求可能不一致。企业如何在这种多维度并存的情况下梳理其数据?《分类分级新规》提出了就高从严原则,即采用就高不就低的原则确定数据级别,当多个因素可能影响数据分级时,按照可能造成的各个影响对象的最高影响程度确定数据级别。不过,企业还是需要基于其实际情况予以综合判断的。

 

例如,《工业和信息化领域数据安全管理办法(试行)》要求将工业和信息化领域数据分为一般数据、重要数据和核心数据三级。而《金融数据安全 数据安全分级指南》(JR/T 0197—2020)将金融行业数据分为五级。当同一项数据同时涉及两个行业的属性时,可能不同因素下其所处级别会相当不一致。

 

(三)如何处理同一数据针对不同主体可能适用不同分类标准的矛盾

 

如上文所述,在《分类分级新规》的基础上,企业还需适用各项具体行业和地区分类分级标准。这些标准是由地区和行业主管部门从其监管角度较为宏观的层面提出的,其可能以较原则性的语言得以广泛适用于不同场景。但在企业具体落地这些标准时,各个企业的具体情况可能是不一样的,该如何衔接企业具体情况往往需要个案分析。

 

例如,《金融数据安全 数据安全分级指南》(JR/T 0197—2020)将影响对象分为国家安全、公众利益、个人隐私和企业合法权益。如一家商业银行服务于某大型国有企业,其获得的金融数据可能存在多场景的用途。何种情况的数据上升为国家安全,何种情况归结为公众利益,何种情况为企业合法权益,该商业银行仍可能很难通过笼统性的规范来予以判别。

 

(四)如何梳理动态的数据

 

企业在自行梳理数据时,可以遵循《分类分级新规》的“点面结合”“动态更新”等原则,但基于数据的特性和企业技术的局限,这往往需要企业投入一定的精力。由于数据的来源不同(部门、设备、外部资源等),企业可能较难轻松地从“综合”的角度予以把控。例如,一个静态的用户数据,在单独适用时属于较为低级别的数据。但当其结合其他的数据,这一数据就很可能变为更高层级的数据。一般企业很可能无法通过简单的单字段提取分类予以鉴别,这可能还需要企业通过合适的技术手段予以进一步梳理。

 

五、结语

 

我们欣喜地看到新近发布的《跨境流动新规》和《分类分级新规》为企业提供了一定的制度“松绑”与明细指引,有助于企业更好地开展其数据流动,完善其数据和个人信息管理合规建设。但各类企业万不能据此简单理解为可以松懈数据合规管理。我们在上述指出的,或许只是实践中企业会遇到的部分问题,但其代表的可能正是各类个人信息和数据处理者以及监管部门仍需不断实践和改进的方向。

 

注释:

[1] 《关于GDPR第三条适用与第五章数据跨境传输条款间的相互作用的指南》, Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR.

[2] 《劳动合同法》第51条和第54条。

[3] 特别是全国信息安全标准化技术委员会秘书处发布的《网络安全标准实践指南 网络数据分类分级指引》(《分类分级新规》与其在体例及内容上存在一定重合)。