自去年9月28日《规范和促进数据跨境流动规定(征求意见稿)》发布以来,有关中国数据跨境流动的监管政策一直处于“犹抱琵琶半遮面”的状态。尽管近一年来中央和地方政府频频释放将松绑数据出境监管的政策信号,但数据跨境管理细则悬而未定、评估标准和结果不够透明等,导致有数据出境需求的国内外企业对于后续监管走向及自身“要不要报”、“该怎么报”、“报些什么”有诸多疑虑,在日益凸显的“焦虑感”中或踌躇不前或缓步前行。
征求意见稿发布近半年后,3月22日晚,定位为网信办部门规章的《促进和规范数据跨境流动规定》(下称“新规”)终于“千呼万唤始出来”。新规一大亮点是确定了多种情形下企业的数据出境活动可以豁免现行的数据出境行政流程,明确传递出“适当放宽数据跨境流动条件”的减负信号。本文将基于笔者过往项目的经验和观察,就新规中明确免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的七类数据出境活动条件(为行文方便,以下简称“豁免场景”)提供理解,希望为相关企业提供简明清晰的实务指导。
新规明确的七类豁免场景
对七类豁免场景的理解与适用
场景一:一般数据出境豁免
该条规定与征求意见稿的内容并无实质区别,我们理解其宣誓意义大于实质作用。根据本次新规答记者问的说明,“数据出境安全管理不是对于所有数据,只限于重要数据和个人信息,这里的重要数据是针对国家而言,而不是针对企业和个人。”监管部门藉此重申和强调了“重要数据/个人信息受限出境,一般数据自由出境”的监管态度,监管重点在于重要数据和个人信息两类与国家安全和个人权益高度相关的数据类型,对于既不属于个人信息又不属于重要数据的“一般数据”,自由流通属于应有之义,自然无需履行数据出境的前置行政程序。
场景二:过境数据豁免
本条澄清和说明了境外数据入境后再出境本身就不属于国家网信办列明的三类“数据出境行为”,其主要原因在于境外数据并非是数据处理者在境内运营中收集或产生的,境外数据的“加工贸易”对国家和企业而言利大于弊,且境外数据境内加工中转的活动对于数据监管中重点考量的国家安全和个人权益因素影响较小。因此,对于过境数据,新规明确了“只要境内处理中没有引入境内个人信息或者重要数据”就无需履行数据出境的前置程序,这对于在中国开展海外数据处理业务、数据中心业务的企业无疑是个利好消息。
需要提示的是,从事此类业务首先要有相应的识别机制去判断来自境外的待加工数据在入境前本身是否就含有中国境内个人信息或重要数据;其次,需要关注作为“加工贸易”标的的加工数据内容是否符合中国现有的内容管控和行业管控的要求;另外,还需关注数据来源国/地对于数据出境的合规要求。
场景三:为个人履行合同所必需的豁免
新规借鉴《个人信息保护法》第十三条列明的个人信息处理的合法性基础,并开创性地使用了《个人信息保护法》第三十八条第四款兜底性规定对于国家网信办的授权,细化规定了个人信息处理者为了订立或履行其与个人作为交易对方的合同而跨境提供其个人信息的,属于前置程序的豁免场景。为便于企业理解,新规还举例了跨境购物、跨境支付、机票酒店预订等典型跨境业务场景。
在适用本条规定时,企业应重点核实和确认出境个人信息之于“订立或履行合同”的必要性。例如,在跨境购物中,跨境电商为交付货物目的而处理境内消费者的姓名、收货地址和联系方式,通常而言具有必要性。但如还涉及传输消费者的购物偏好和境内会员注册信息等与购物交付非直接相关的个人信息时,则需要充分论证数据出境的必要性,尤其应从合同目的实现角度(而非从自身CRM等系统长期部署境外等运营视角)去考虑该项信息的出境是否属于必不可少。
场景四:人力资源管理所必需的豁免
因全球统一人力资源管理目的而出境员工个人信息是目前绝大多数跨国公司认为必不可少的典型出境场景。新规依旧沿袭了征求意见稿的思路,充分吸收了在华投资外企的意见,但明确了这一豁免场景需以实施“跨境”人力资源管理为目的(而非简单的“人力资源管理”,请注意与征求意见稿的细微差别)。
由此,我们理解使用这一豁免场景可能需要进行一定程度限缩解释。主张适用本条时,企业应当同时满足:(1)已依法制定了劳动规章制度或依法签订了集体合同;(2)出境目的是便于位于境外的人力资源管理职能部门有效履行其人力管理职责;(3)向境外提供的是员工的个人信息;(4)出境的员工信息为境外人力资源管理职能部门履行职责所必要。
我们认为该规定的目的在于,限制企业随意扩大人力资源管理的范围而任意处置员工个人信息。当然,“人力资源管理”是一个宽泛的业务用语,在监管部门对“跨境”“人力资源管理“确需出境的个人信息”这些用语通过后续政策或者窗口指导做出明确说明前,企业需自行(或借助第三方专业人士力量)判断合理范围。
实操层面,企业和监管部门对于“出境必要性”的理解往往存在认知差距。根据过往的项目经验,审核部门较坚持自己的审核标准。仅凭“员工管理系统部署于境外”、“遵循国外总部的统一安排”这样的理由难以合理论证出境的必要性并得到审核部门的认可,审核部门仍可能拒绝部分字段出境,也有可能要求对允许出境的字段做打码屏蔽等去标识化处理(通常是员工敏感个人信息)。但在新规的背景下,我们亦了解到有监管部门对于该豁免场景下前述四要件的监管尺度存在整体放宽的趋势,表现为监管部门更愿意倾听企业侧的实际必要性。因此,未来企业在判断是否可适用该豁免场景时,应主要根据新规的要求准备好充分的依据,并做好豁免论证的内部留痕,完善相关自评估管理。当然,我们相信,通过后续实操中监管对企业合理业务需求了解程度的不断深入,关于该条的关键要素解释(例如实施跨境人力资源管理所必需的员工信息的合理范围、员工的范围、可依赖的劳动规章制度的范围)肯定会越来越明朗。
场景五:紧急情况下的豁免
该条与征求意见稿无实质区别,适用范围相对特定,企业适用该条豁免场景的机会也较为有限,故我们不对此展开分析。
场景六:少量、非敏感个人信息豁免
对于少量、非敏感个人信息的出境豁免场景,新规呈现出“一收一放”的特点。“收”在于新规没有吸取征求意见稿完全“增量式”的计算方式(即只关注增量数据出境,不关心存量数据出境),而是延续采用“存量式”的计算方法,即以当年1月1日起至评估之日向境外传输个人信息是否达到10万人作为是否需要履行数据出境前置手续的判断标准。而“放”在于对于豁免履行前置手续的门槛提高到10万人。另外,如企业存在本文列举的其他六类豁免场景任意一类的,所涉场景下出境的个人信息无需纳入总数计算。这在更大程度上照顾到了企业的实际需求并减轻了企业的合规负担。
需要说明的是,该条仅适用非CIIO的个人信息处理者;信息类型仅包括个人信息,不含敏感个人信息和重要数据;统计数量为评估期内去重后的人头数。
虽然该条吸取了“存量式”的统计方法,但在实操中,为了确认自身是否达到(或年度内有可能达到)10万人的门槛从而判断是否触及数据监管前置手续,企业仍需进行一定的前瞻预判和评估,根据自身业务规划,设定合理的人头数清点时间节点,定期开展数据盘点并及早做出安排。例如,企业在上半年出境的个人信息数量极少,但预期下半年会开展几个大型营销活动涉及到大量客户的个人信息的采集和出境,并可能突破10万人或100万人的门槛。在这种情形下,企业不能熟视无睹,应积极寻求解决方法,或控制出境数据规模使之不突破法定门槛,或积极着手准备对应适用的数据出境监管手续和相关评估工作。
场景七:自贸区清单外豁免
自贸区因其特殊地位在数据出境方面享受政策优惠。新规延续了征求意见稿的内容,允许自贸区在国家数据分类分级保护制度的框架下可以先行先试,自行制定需要履行出境前置手续的数据清单(即负面清单)。自贸区制定的负面清单需经过省级网络安全和信息化委员会批准并报国家网信部门和数据管理部门备案,体现出负面清单制定程序的严肃性。
未来,在自贸区内的数据处理者如跨境提供负面清单外的数据,可以免于履行数据出境监管前置手续。值得注意的是,新规新增了“国家数据分类分级保护制度的框架”这一限定要件。一般理解下,自贸区的试点授权事项仍然受限于上位法目前对于“核心数据-重要数据-一般数据”和“个人信息-敏感个人信息”的整体数据分类分级保护框架。这种数据跨境传输试点模式并非直接跳脱出数据出境监管机制的适用,而是在现行数据安全基础制度的框架内,允许自贸区以负面清单的形式划定是否适用数据出境前置手续的特殊情形。
但是,考虑到自贸区的试点模式同时也承担了我国对接更高标准的国际和区域性数据自由流动经贸规则的政治任务,自贸区制定负面清单时,如何平衡“有关行业监管基于国内法做出的重要数据出境限制要求”以及“经贸协定基于保障成员国正常经贸往来做出的数据自由流动要求”两者的冲突,有待进一步观察。此外,某些自贸区已出台的政策列明了其适用范围包括未注册在自贸区但其数据经由自贸区出境的企业。这一政策口径是否会因为新规而做出调整,或者说新规对自贸区试点的耐受度,也是另一个值得关注的地方。
根据公开消息,上海自贸区临港新片区已经基本编制完成智能网联汽车车辆远程诊断、公募基金市场投研信息、跨国公司集团管理、生物医药临床试验和研发等20个场景的跨境流动分级分类的首批清单目录,将在完成论证后对外发布。我们建议位于自贸区的企业密切关注有关动态,可以积极同自贸区沟通以探索自贸区便利措施的适用空间。
适用豁免场景的企业是否可以高枕无忧?
新规仅仅是对数据出境特定场景下前置行政程序的放宽,但并不意味着适用豁免场景的企业都可以高枕无忧。企业开展数据出境活动,仍需履行《网络安全法》《数据安全法》《个人信息保护法》等上位法规定的法定义务,并遵从行业监管规定。
对于一般数据处理者(含个人信息处理者),应依法:
- 履行数据分类分级和重要数据识别义务
- 履行数据安全保护义务
- 采取技术措施和其他必要措施确保数据安全
- 发生或者可能发生数据安全事件的,采取补救措施,及时向省级以上网信部门和其他有关主管部门报告
对于个人信息处理者,还应依法:
- 履行向个人信息主体的告知义务
- 在适用同意作为个人信息出境的合法性基础情形下,取得个人单独同意
- 进行事前个人信息保护影响评估
- 与境外接收方签署数据处理协议
写在最后
整体而言,我国对数据出境监管思路的演变伴随着国际局势和经济环境的变化、国家数据治理总体布局和企业实践的探索发展。新规释放了“便利数据跨境流动,降低企业合规成本”的积极信号,增强了数据出境规则的确定性,改善和强化了跨国企业的预期与信心。我们乐见监管侧以更加务实和科学的方式提出数据出境监管的中国方案,也期待新规中部分仍需要澄清的话题(如“重要数据和敏感个人信息范围”、“必要性检验”)能在未来监管与企业的良性互动和实践中加以明确。
与此同时,在放宽前置行政程序后,开展数据出境活动的企业将面临后端承压。我们有理由相信中央和地方网信部门将继续强化全链条全领域的监管,并会在事中事后监管中加大执法和处罚力度,亦有可能在合适时刻发布处罚案例以警示违法企业。因此,在华跨国公司和拥有数据出海需求的本地企业仍应围绕新规盘点自身的业务和数据出境实际情况,合理判断是否需要履行数据出境前置程序,积极履行法定合规义务并做好自证留痕工作,扎扎实实地在日常运营中提高数据安全性和隐私合规性。