充分发挥新质生产要素,解析《促进和规范数据跨境流动规定》
充分发挥新质生产要素,解析《促进和规范数据跨境流动规定》
2024年3月22日,国家互联网信息办公室正式公布了《促进和规范数据跨境流动规定》(以下简称“规定"),即时施行。《规定》旨在进一步促进和规范数据跨境流通,同时确保数据安全和保护个人信息权益。《规定》体现了我国已经将数据作为驱动经济运行的新质生产要素,保障和促进数据跨境流动活动的有效性与合规性。
在现有《数据出境安全评估办法》与《个人信息出境标准合同办法》的基础上,《规定》对企业跨境合规义务进行了实质上的“减负":通过加入跨境合规义务的“豁免"情形,并对原有触发安全评估、标准合同以及认证的条件进行了精炼与重新界定,大大降低了企业的合规成本,为企业的发展创造更为友好的营商环境,为数据的跨境流动创造更为宽松的监管环境。
本文将解析《规定》的发布背景、适用条件以及在新规框架下企业应如何调整其合规策略,旨在为有关企业提供清晰的导向与指引,助力其在新的法规体系下确保数据跨境活动的合规性。
一图读懂《促进和规范数据跨境流动规定》
一、《规定》发布的背景
近年来,在着力发展数字经济、拓展数字经济国际合作的背景下,我国持续推进数据跨境流动机制建设,并积极探索构建安全、自由的数据跨境流动机制,为符合条件的外商投资企业建立绿色通道,以促进数据安全有序自由流动,并支持试点探索形成可自由流动的一般数据清单,建设服务平台,提供数据跨境流动合规服务。
此次发布的《规定》正是我国对这一政策趋势的制度性回应。在去年九月的《规范和促进数据跨境流动规定(征求意见稿)》中,规范先行,促进在后。而正式稿则将两个词对调,也与上表中政府积极开放数据流动利用的初衷相一致。《规定》进一步明确了我国数据跨境流动的监管框架,旨在减少制度性障碍,并积极促进投资,特别是跨境投资活动。
为助企业更好地理解《规定》的发布背景,我们按照时间线梳理过去一年多有关的政策背景如下:
二、新规适用下的“变"与“不变"
根据《立法法》第103条的规定,同一机关制定的法律、行政法规、地方性法规、自治条例和单行条例、规章,特别规定与一般规定不一致的,适用新的规定。鉴于《规定》与《数据出境安全评估办法》《个人信息出境标准合同办法》均由国家网信办发布,在《规定》生效之后,如上述法规之间存在冲突,应按照新法优于后法的原则,以《规定》为准。具体而言,《规定》下的数据出境合规框架存在如下“变"与“不变":
1、引入“豁免"情形。依据《个人信息保护法》第38条,涉及个人信息跨境传输的企业需要完成安全评估申报、标准合同备案、认证,或符合相关法律、行政法规及国家网信部门的其他规定。针对此,国家网信办制定了《数据出境安全评估办法》和《个人信息出境标准合同办法》,为满足不同主体资格(如处理超过100万个人信息的实体)及数据属性(例如,重要数据)的企业设定了具体的跨境合规路径。《规定》在此基础上进一步引入了“豁免"机制,即满足特定情境的企业,在跨境传输数据时,可免于进行安全评估、标准合同备案或认证的程序:
2、数据出境合规路径适用条件的改变。我们理解,自该规定正式生效起,那些未落入“豁免"情形下的企业,将不再遵循《数据出境安全评估办法》和《个人信息出境标准合同办法》来确定数据出境的合规路径。相反,这些企业应当根据《规定》的要求,并结合其具体的业务状况,来确认其数据出境的合规路径:
3、安全评估、标准合同与认证的方法论的沿用。值得注意的是,《规定》所调整的是安全评估、标准合同与认证的适用条件,并在此基础上引入了“豁免"机制,但其并未改变安全评估、标准合同与认证的工作方法论。例如,依照《规定》仍落入安全评估和标准合同备案义务范畴的企业,应当按照《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》(于2024年3月22日发布)的要求,积极准备申报表、风险自评估报告与法律文件等必备文件,并重点说明出境场景与出境数据字段的必要性。
三、合规义务
基于我们此前数据出境安全评估以及个人信息出境标准合同备案的实操经验,我们谨提出以下建议,供企业参考。
1、非“豁免"企业尽快履行数据出境申报/备案义务
此前,《规定》一直处于征求意见阶段,不具备法律效力,因此很多可能落入豁免条件的企业对是否申报出境安全评估和个人信息持观望态度。鉴于《规定》自公布之日起即刻实施,我们建议企业尽快根据正式版本的《规定》再行评估合规的数据跨境传输路径,并尽快履行相关义务。
特别是对于已经获得国家网信办数据出境安全评估部分通过结论的企业,针对未通过但却被《规定》豁免的部分数据,鉴于这些数据已经在网信办“挂号",我们建议这些企业也不要轻易“不了了之",可与监管进行有效沟通,寻求适应的解决方案。
2、重视其他合规义务与留痕
《规定》仅是对数据跨境传输特定场景下特殊合规要求的“松绑",企业仍需遵守法律、行政法规的规定,履行数据安全保护义务。包括但不限于:
(1)履行告知义务:《个人信息保护法》第39条规定,个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项。前述告知事项不因个人信息处理的合法性基础或合规路径变化而有所减损。因此,就个人信息跨境传输活动而言,企业仍需通过有效途径触达个人信息主体。
(2)个人信息保护影响评估:《个人信息保护法》第55条规定,向境外提供个人信息的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录。因此在进行个人信息跨境传输前,企业应当进行个人信息保护影响评估,对传输的个人信息的合法性、正当性和必要性,对个人权益的影响及安全风险,以及所采取保护措施的有效性等重大事宜进行评估,并留存评估报告和处理情况记录至少三年。
(3)确保境外处理者的个人信息保护水平:《个人信息保护法》第38条第三款规定,个人信息处理者应当采取必要措施,确保境外接收方处理个人信息的活动达到《个人信息保护法》规定的个人信息保护标准。《规定》中也对此项要求作出强调:数据处理者向境外提供数据的,应当遵守法律、法规的规定,履行数据安全保护义务,采取技术措施和其他必要措施,保障数据出境安全。发生或者可能发生数据安全事件的,应当采取补救措施,及时向省级以上网信部门和其他有关主管部门报告。我们建议不负有申报或备案义务的拟出境企业可以《个人信息出境标准合同》为模版,推进与境外接收方签署数据出境协议或条款,通过合同方式要求和约束境外接收方的数据处理活动达到中国法下的保护水准,并明确双方的权利义务。
(4)建立数据安全应急联动处置机制:《规定》第11、12条对数据安全保护风险管控作出强调,其宗旨与《数据安全法》《个人信息保护法》一脉相承。因此,企业应当建立有效的数据安全应急联动处置机制。特别对于大型跨国企业集团,由于其数据处理活动分散在全球各地,有效的全球联动处理机制在安全事件发生时显得非常重要。我们建议企业针对中国监管机构的要求制定本地化的措施,对数据处理活动进行有效的内部监督和风险补救。针对数据出境安全事件,应当特别注意合规和安全培训以及应急处置留痕,如发生数据出境安全事件或者发现数据出境安全风险增大的,建议及时进行评估并向网信部门报告。
3、事前确认重要数据范围
根据《规定》,企业无需要申报数据出境安全评估的情况包括“未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估"。这一规定从文意上似乎明确了“重要数据"消极确认的识别路径,解决了此前企业合规中长久以来对重要数据边界认知不清的问题。
但上述规定并不能免除企业的合规应对义务。目前很多行业主管部门已经在制定重要数据目录以及拟定有关范围的过程中,只是尚未公开发布。为避免任何误解或事后补救义务,我们建议企业在着手进行数据跨境传输之前,应与行业主管部门沟通确认其数据是否属于重要数据并进行留痕,主动了解重要数据目录制定的相关标准和范围,并定期跟踪目录制定进程。不宜仅凭主管部门尚未正式发布重要数据目录的事实而判定自己所掌握的数据不属于重要数据。
4、涉党政军敏感信息的处理与传输
虽然正式稿《规定》中删除了“向境外提供涉及党政军和涉密单位敏感信息、敏感个人信息的,依照有关法律、行政法规、部门规章规定执行",我们认为,党政军数据具有极高的敏感性,一旦泄露,可能会对国家的安全和利益造成重大影响。
因此,对于此类数据企业应当积极识别,即便其未落入重要数据目录或者负面清单,也不属于需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的其他场景,我们仍建议在进行严格谨慎的评估后,再考虑是否进行跨境传输。
四、结语
《规定》的发布凸显了我国对于优化数据管理、促进数据自由流动与经济增长的坚定决心。在持续保持高水平开放与积极吸引外商投资的双重背景下,高效且安全的数据跨境流通成为经济发展的核心动力。通过这一规定,我国不仅进一步明确了数据安全的标准,同时也为企业提供了更为清晰的数据跨境流动框架,从而进一步激发数据要素这一新质生产要素,推动新质生产力的发展和科技创新。总体而言,虽然新规下企业数据跨境的合规义务得以“减负",但对于有关敏感产业,特别是金融、医疗等需要处理大量敏感个人信息的行业,有关企业仍需结合自身的业务实际情况,及时采取相应的策略和措施来确保数据跨境传输的合法合规性。