数据跨境新规出台,六大情形出境不设限,明确安全评估有效期
3月22日,国家互联网信息办公室公布《促进和规范数据跨境流动规定》(以下简称《规定》),自公布之日起施行。
据南都大数据研究院此前报道,《规定》曾于2023年9月至10月公开征求意见。与全文共11条的征求意见稿相比,正式发布的《规定》全文增至13条,除列明不需要申报数据出境安全评估的多种情形外,还明确了数据出境安全评估的有效期限和延期申请、数据安全保护义务和监督管理责任、与数据出境安全管理其他规定的衔接适用等。
六种情形可免
安全评估、订立合同、个保认证
南都大数据研究院留意到,《规定》放宽了此前《数据出境安全评估办法》《个人信息出境标准合同办法》等文件提出的数据出境要求。
《规定》首先提出,未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
同时,《规定》列明了免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的六大数据出境活动情形:
一是国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的;
二是在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的;
三是为订立、履行个人作为一方当事人的合同,确需向境外提供个人信息的;
四是按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;
五是紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;
六是关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。
对于这一变化,北京理工大学法学院教授洪延青表示,上述“豁免”覆盖了跨境电商、跨境物流、跨境出行等大量数字贸易活动,降低了数据处理者的合规成本。他还提醒,在上述第3至5项情形中,出境的个人信息即便涉及超过100万人,上述豁免仍然适用。
自贸区可自行制定
数据出境负面清单
《规定》还提出设立自由贸易试验区负面清单制度。自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内负面清单,经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
在洪延青看来,对于各个自贸区确立的发展方向(特别是数字化领域)所同时伴生的数据跨境流动需求,国家网信部门此次给各个地方做了监管适配性的授权。这对我国自贸区的发展来说,无疑是一次非常积极的举措。
三大数据出境途径
适用范围明确,材料简化
南都大数据研究院还留意到,《规定》进一步明确了数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证,这三种主要个人信息合法出境途径的适用范围。
具体而言,以下情形应当申报数据出境安全评估:
一是关键信息基础设施运营者向境外提供个人信息或者重要数据;
二是关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。
除上述两类情形外,关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息,可通过订立个人信息出境标准合同,或者通过个人信息保护认证的方式,合法合规地向境外提供个人信息。
此外,国家互联网信息办公室还于3月22日发布了《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》,对申报数据出境安全评估、备案个人信息出境标准合同的方式、流程和材料等具体要求作出了说明,对数据处理者需要提交的相关材料进行了优化简化。同时开通“数据出境申报系统”,供数据处理者线上申报数据出境安全评估、备案个人信息出境标准合同;开通“个人信息保护认证管理系统”,供数据处理者申请个人信息保护认证。
数据出境安全评估
3年有效,到期可续
《规定》还提出,通过数据出境安全评估的结果有效期为3年,自评估结果出具之日起计算。有效期届满,需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的,数据处理者可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请。经国家网信部门批准,可以延长评估结果有效期3年。
专家:新规向数字市场释放“利好”信号
国家互联网信息办公室有关负责人表示,数据跨境流动已经成为全球资金、信息、技术、人才、货物等资源要素交换、共享的基础。为了促进数据依法有序自由流动,激发数据要素价值,扩大高水平对外开放,《规定》对数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度作出优化调整。
南都大数据研究院留意到,这并非国家互联网信息办公室首次放宽数据跨境流动相关要求。2023年12月13日,国家互联网信息办公室、香港创新科技及工业局公布《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(以下简称《大湾区标准合同指引》),提出不再对大湾区内地九市与香港特区之间跨境转移个人信息的数量提出限制,且简化了个人信息保护影响评估要求。
北京航空航天大学法学院副教授赵精武表示,此次《规定》的公布无疑向数字市场释放“利好”信号,极大解决了企业数据跨境传输业务合规的常见困惑,反映了我国监管机构在数据跨境传输监管实践中监管能力和监管方式的提升和优化。
赵精武指出,数据跨境传输活动的形式并非一成不变,不同的业务场景、技术应用等因素往往会产生不同的跨境传输需求。虽然安全评估、标准合同以及保护认证已经为企业业务合规提供了多渠道数据出境的选择空间,但为了更深层次地激发跨境传输领域的数据要素经济价值,仍然需要持续探索更加高效的数据出境机制。
洪延青表示,相信在未来,我国数据出境安全管理制度还会不断更新完善,以适应不断变化的经济发展模式和国际合作需要。保障数据安全的同时促进数据发展,是中国数据治理的核心要义,也是数据出境安全管理始终坚持的宗旨。
出品:南都大数据研究院 数据安全治理与发展研究课题组
采写:南都研究员 李伟锋
编辑:李伟锋
banquan@nandu.cc. 020-87006626
