新规放宽跨境数据流动管控

0
225
LinkedIn
Facebook
Twitter
Whatsapp
Telegram
Copy link

国家互联网信息办公室(下称“网信办”)近日公布了业界期待已久的《促进和规范数据跨境流动规定》,适当放宽了中国先前严格的数据跨境传输管控。

新规将自2024年3月22日起施行,是继2021年颁布《个人信息保护法》、2022年底开始实施数据出境安全评估和《个人信息出境标准合同规定》后,监管层面推出的一项积极举措。

网信办在六个月前便公布征求意见稿,回应了在华经营的多家企业——尤其是有海外投资的企业——提出的关切和不满。当时主要争议在于对数据出境设置了过于繁复的要求,以及数据出境安全评估申请的受理时间过长、相关流程和手续不透明。

网信办在2023年11月底如期审议通过了新规。不过,也许是因为围绕着监管和放宽数据出境条件的政策导向有诸多争议,网信办直到近日才正式公布新规。

哪些数据受监管?

新规和网信办对媒体的官方答复都强调,数据出境的安全管理规定仅适用于两类数据:个人信息和重要数据。这两类数据的跨境传输必须办理以下手续,其他数据则不受此限制:

    • 申报数据出境安全评估;
    • 订立和备案个人信息出境标准合同;以及
    • 申报个人信息保护认证证书。

有关“重要数据”界定范围模糊的问题,已困扰在华经营企业多时。好消息是,根据新规,未被相关部门、地区告知或者发布为重要数据的、未列入重要数据目录的,数据处理者可将数据视为非重要数据。

免予申报安全评估的数据

重要数据出境均须通过安全评估,无一例外。只要是重要数据的出境,数据处理者必须向省级和国家网信部门申报安全评估并获得批准。

对于个人信息出境,在下列六种情形下,信息处理者免予申报数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证。

传输中数据免予申报安全评估。在境外收集和产生个人信息,并传输至境内处理后出境的,且处理过程中没有引入境内收集或产生的个人信息或重要数据的。换言之,仅在中国存储海外个人信息的,或传输海外个人信息时经过中国的,免予申报安全评估。

免予订立标准合同。数据处理者为订立、履行个人作为一方当事人的合同确需向境外提供个人信息的。其目的包括跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签订办理、考试服务等。

人力资源管理信息免予办理安全评估。按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的。

紧急情况豁免。数据处理者在紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的。

小规模数据出境豁免。关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人非敏感个人信息的。

关键信息基础设施运营者须遵守更严苛的要求,如个人信息和重要数据本地化储存,关键信息基础设施运营者的活动必须申报安全评估。为避免不确定性,网信办明确说明,由相关主管部门认定关键信息基础设施运营者并通知运营者该认定结果。这就意味着,如果数据处理者没有收到主管部门发送的关于认定其为关键信息基础设施运营者的正式通知,数据处理者可推定自己不是关键信息基础设施运营者。

自贸区

根据新规,中国的各个自贸区在国家数据分类分级保护制度框架下,可以自行制定区内的负面清单,进一步放宽了数据出境的条件。因此,对于在自贸区经营的数据处理者而言,只有负面清单范围内的数据出境活动需要申办安全评估、个人信息出境标准合同和个人信息保护认证手续。

自贸区的主管部门在发布负面清单前,须先获得省级和国家主管部门的批准。目前,据报道,上海临港自贸区和天津自贸区正在制作本区的负面清单,预计不久将发布。

申报门槛大大提高

网信办大大提高了申报数据出境安全评估、个人信息出境标准合同备案和个人信息保护认证手续的门槛,更多数据处理者将免予申报安全评估手续,甚至免予办理所有正式手续。

同时,网信办就多大规模的个人信息出境需申报数据出境安全评估给出了指示,但计算标准仍不够清晰。

  • 计算期从最近一年的1月1日起计,至提交安全评估申请之日截止。笔者预计,如果数据规模没有触发申报安全评估的要求,截止日期可能是提交个人信息出境标准合同备案或提交个人信息保护认证申请之日。
  • 自然人不计算两次,即,对于个人信息出境超过一次的自然人,数据处理者只须申办一次。
  • 个人信息符合免予办理情形的自然人不予计算,小规模数据出境豁免的情形除外,因为自然人的数量是决定是否符合豁免的关键。

其他重要规定

根据新规,安全评估的有效期从两年延长到三年,有效期从数据处理者收到网信办的最终评估结果之日起计。数据处理者提出申请的,如无其他触发新安全评估要求的情形,有效期可另外延长三年。

建议

还未评估和履行新规手续要求的数据处理者,我们建议采取以下行动:

  • 检查自己的数据出境活动属性,确定这些活动是否在新规的手续要求范围内;以及
  • 重新评估自己的数据处理和数据出境活动是否符合法定要求,评估所处理的个人信息,即便得出结论认为这些个人信息符合一个或多个免予办理手续的情形,也应制作个人信息保护影响评估报告。

《商法摘要》由贝克·麦坚时国际律师事务所协助提供,内容仅供参考之用。读者如欲开展与本栏内容相关之工作,须寻求专业法律意见。读者可通过以下电邮与贝克·麦坚时联系:吴昊(上海)howard.wu@bakermckenzie.com

LinkedIn
Facebook
Twitter
Whatsapp
Telegram
Copy link