原标题:数据跨境观察丨《促进和规范数据跨境流动规定》:六大亮点和实操问题探讨
【编者按】3月22日,国家互联网信息办公室公布《促进和规范数据跨境流动规定》。《互联网法律评论》观察到,这项数据跨境新规明确指向数据要素配置优化、提升数字化的经济制度型开放水平。
在中央政府大力推进新质生产力发展的大背景下,企业如何在此新规之下高效、稳妥、合规地推进跨境数据业务?今日,《互联网法律评论》获作者授权转载一篇相关解读文章。
本文作者走出去智库(CGGT)特约法律专家、中伦律师事务所合伙人李瑞与高级顾问贾申认为,新规宽严并济,对于敏感个人隐私信息保护、关键信息基础设施运营者等问题的监管尺度未做实质性放松,而是进行了重申和明确,并加强了这些要求与前述克减后新规的衔接。从宏观监管政策及其他配套文件来看,数据跨境流动监管网络呈现全面铺开、有层次、有梯度的监管框架稳步落地的趋势;由此也可预计,数据跨境合规监管将进入新的成熟阶段,不久的未来相关执法与监管活动将基于该更明晰、细化的监管框架稳步地开展和推进。
2024年3月22日,《促进和规范数据跨境流动规定》(下称“《跨境流动新规》”)在万众瞩目之下终于发布并正式施行。从发布的文件日期来看,《跨境流动新规》于2023年11月28日就已通过,但于日前才发布。在新规征求意见的过程中,全球数据跨境流动的监管立法变化频繁,尤其是美国频繁出台法案及行政令,使得中美企业间数据流动的前景蒙上一层阴影,也导致业界就中国监管机关此前放出的促进数据跨境活动的信号是否会随之调整这一问题产生了一定疑问;但从实际发布的《跨境流动新规》来看,新的数据跨境流动监管框架充分响应了数据发展与安全并重的号召,释放了较强的促进正常商贸活动中的数据流动的信号,同时进一步明确了监督管理机制与要求,对于开展跨境经营的企业而言意义重大。
从关键内容来看,《跨境流动新规》从多重维度克减了企业需承担的数据出境合规义务,在重申个人隐私信息数据跨境活动需要满足法律规定的基础合规义务(包括告知相关个人并获得单独同意、开展个人隐私信息保护影响评估(PIA)等)的基础上,对现行跨境监督管理机制做出了以下调整:
(1) 明确了不涉及重要数据和个人隐私信息的数据跨境传输免予履行数据出境安全评估、个人隐私信息出境标准合同订立和/或通过个人隐私信息保护认证机制(每一项均为“数据出境合规专项机制”,统称“三大数据出境合规专项机制”);
(2) 针对4大类存在较强出境必要性且安全风险较弱的场景豁免了履行三大数据出境合规专项机制的义务;
(3) 调整了三大数据出境合规专项机制的触发阈值,使得企业合规义务得到明显降级适用,合规成本降低。
但不可忽视的是,新规宽严并济,对于敏感个人隐私信息保护、关键信息基础设施运营者等问题的监管尺度未做实质性放松,而是进行了重申和明确,并加强了这些要求与前述克减后新规的衔接。
监管部门不仅发布《跨境流动新规》,还同步发布了《数据出境安全评估申报指南(第二版)》和《个人隐私信息出境标准合同备案指南(第二版)》,就合规义务履行的流程和细节进行了加强完善与确定。此外,有关数据分类分级的国标—GB/T 43697-2024《数据安全技术 数据分类分级规则》也已正式出台,这标志着以分类分级为基础的数据安全保护体系(包括数据跨境流动)逐渐完备。因此,从宏观监管政策及其他配套文件来看,数据跨境流动监管网络呈现全面铺开、有层次、有梯度的监管框架稳步落地的趋势;由此也可预计,数据跨境合规监管将进入新的成熟阶段,不久的未来相关执法与监管活动将基于该更明晰、细化的监管框架稳步地开展和推进。
有鉴于此,本文将首先着眼《跨境流动新规》的亮点,对公司如何理解新规所带来的影响进行解析,其次结合项目经验对于实操要点及数据跨境流动合规体系搭建的方法论进行探析,以供企业及时作出调整合规策略,优化合规流程与操作,助力商业发展。
(一)亮点1:重申和明确若干数据出境活动无需适用数据出境合规专项机制要求
在数据出境合规实践中,由于企业对于三大数据出境合规专项机制的适合使用的范围始终存在一些疑问,因此时常导致过度合规、合规策略不明确、进而影响数据正常跨境流动的情况。对此,《跨境流动新规》的第2条至第4条,首先重申和明确了三种数据出境活动不应落入数据出境合规专项机制适合使用的范围内。具体如下:
(1) 国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人隐私信息或者重要数据的,免予履行三大数据出境合规专项机制。
(2)数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
(3)不是在境内收集产生的个人隐私信息,且在传输至境内处理后没有引入境内个人隐私信息或者重要数据的,如再向境外提供,免予履行三大数据出境合规专项机制。
虽然新规在行文中使用了“免予”的口径,但上述三类场景在数据跨境新规出台以前一般来讲也无需履行三大数据出境合规专项机制。本次发布的新规更为紧密地结合了企业跨境运营的实践,使得豁免的情形更为明确和易懂。以上述第3项场景为例,目前有大量出海企业存在将海外运营数据汇聚至境内技术团队开展统一处理的情形,新规中明确了“在传输至境内处理后没有引入境内个人隐私信息或者重要数据的”作为免予履行出境合规专项机制的前提,使得相关企业在操作时更能把握风险控制要点,采取将海外运营数据与境内运营的数据单独处理等模式优化数据运营的同时降低合规负担。这不仅符合出海企业跨境经营的需求,更与全球数据跨境监管的最佳实践接轨,例如新加坡个人隐私信息保护法律和法规中的“Data in Transit”就采取了类似的监管思路。
(二)亮点2:若干此前需履行数据出境合规专项机制的数据出境活动将豁免适用该机制要求
《跨境流动新规》第5条对此前数据出境合规专项机制的适合使用的范围做出实质性调整,明白准确地提出4类目前需履行数据出境合规专项机制的数据出境活动,在新规落地后将无需再适用相关专项机制要求。这一亮点将惠及大量数据出境场景简单且出境个人信息量级较小的企业。需注意的是,尽管依据新规,落入下述4类情形的数据出境活动将无需再履行有关数据出境合规专项机制义务,但根据《个人隐私信息保护法》(“个保法”)的要求,这些场景中的个人隐私信息处理者仍需满足告知同意及个人隐私信息保护影响评估等个保法规定的个人隐私信息出境基础合规要求。这一点在《跨境流动新规》的第10条也做了重申和强调。
新规认可以下3大场景下个人隐私信息出境的必要性,并拟通过克减相关专项合规要求来促进这几个场景下的数据跨境流动,从而促进相关商贸、经营或应急活动的开展:
① 为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人隐私信息的。
② 按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供内部员工个人隐私信息的。
③ 紧急情况下为保护自然人的生命健康和财产安全等,确需向境外提供个人隐私信息的。
从个人信息出境影响的角度,《跨境流动新规》第5条还针对小规模个人信息出境活动所需履行的数据合规专项机制要求做了克减。具体而言,关键信息基础设施运营者(下称“CIIO”)以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人隐私信息(其中不包括敏感个人隐私信息)的,无需履行数据出境合规专项机制下义务。
相较此前发布的征求意见稿而言,《跨境流动新规》对于本亮点所讨论的4大免于履行三大数据出境合规机制义务的场景进行了更为细致及严禁的规定,更体现了宽严并济的原则:
(1) 一方面,新规增加了对于为订立、履行个人作为一方当事人的合同而必需出境、从而免于履行三大数据出境合规机制的具体场景的列举,将跨境支付、跨境开户等场景列入其中;
(2) 另一方面,新规将第二类豁免场景的阈值从征求意见稿中的“1万人”调整为“10万人”,利好的尺度进一步加大,但同时明确了只有在出境活动不包含敏感个人隐私信息的情况下,这一豁免情形才适用,这说明监管部门在降低对一般个人隐私信息出境的监管门槛的同时,敏感个人隐私信息的出境活动仍然是监管关注重点。
《跨境流动新规》第7条和第8条集中对于三大数据出境专项合规机制适用的触发阈值进行了调整。这一对于触发阈值的实质性调整将广泛影响大部分拟开展和/或已开展的数据跨境传输活动。首先,《跨境流动新规》第7条和第8条对于适用主体(是否为CIIO)及所涉数据类型(重要数据、除敏感个人隐私信息外的个人隐私信息、敏感个人隐私信息)进行了明确区分,使得数量计算及适用推定方式更为清晰,呈现精细化立法的特征。其次,在触发阈值门槛上,如上所述,新规秉承宽严并济的原则,针对一般个人隐私信息出境活动的监管门槛有实质性放松,但对于敏感个人隐私信息的申报阈值仅仅略作降低(从上年1月1日开始累计超过1万人变为从当年1月1日开始累计超过1万人),且对于CIIO的监管与此前相比保持不变。具体总结如下:
《跨境流动新规》第6条指出自由贸易试验区可在国家数据分类分级的保护制度下制定“负面清单”,该负面清单报经省级网络安全和信息化委员会批准后,应报国家网信部门、国家数据管理部门备案。负面清单一旦制定完成,则自由贸易试验区内的企业向境外提供负面清单外的数据,可以免予履行数据跨境合规专项机制。由此可见,自贸区的数据跨境合规监督管理机制,相对于别的地方,将拥有更大的数据出境灵活度。
《跨境流动新规》第9条专门针对数据出境安全评估机制有效期(3年)到期后的解决方法进行了完善。为逐步提升便利性,如有效期届满,企业要继续开展数据出境活动且未发生要重新申报数据出境安全评估情形的,数据处理者可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请。经国家网信部门批准,能延续评估结果有效期3年。
此外,国家网信办也于3月22日同步发布了《数据出境安全评估申报指南(第二版)》和《个人隐私信息出境标准合同备案指南(第二版)》,简化了数据处理者要提交的相关材料,并开通了“数据出境申报系统”。
《跨境流动新规》从数据处理者和监管部门两个角度,提出要对数据出境活动做监督和监管,并在发生数据出境安全事件或者发现数据出境安全风险增大时立即采取一定的措施。这说明在对符合特定条件的数据出境活动的事前监管有所“松绑”的同时,监管部门的数据出境合规监管思路,将从当前的主要依赖于事前监管,转向事前、事中、事后均衡、动态着力。这一监管如能得到一定效果贯彻,相信将能更好地在促进数据流动和维护数据安全、保护中国个人隐私信息主体权益之间找到平衡。
《跨境流动新规》出台后,数据跨境传输监管形成了新的框架与思路。面对新的监管趋势,企业应如何衔接现有合规基础与新要求?如何管控不断产生的新经营与业务需求所带来的数据跨境合规风险?结合新规的重点内容及项目经验,我们总结梳理了5大要点,供企业参考:
准确识别数据跨境传输场景是企业能够准确甄别是否触发的合规义务的首要环节。数据跨境传输活动主要可分为数据主动出境、数据被动出境及监督管理的机构所明确的其他出境活动三大类,有关具体业务场景的分析与映射,请见笔者此前发布的《企业数据出境合规系列解读(一):盘点常见数据出境风险场景》。此外,需要我们来关注的是,并非所有数据出境场景均会触发数据出境合规专项机制,目前免予履行三大数据出境合规机制的场景归纳请见上文亮点1级亮点2。
在梳理跨境传输场景时,企业应着重关注自身主体类型、所涉及的数据类型和数据量级3大要素,以更好地衡量判断所触发的合规义务。具体而言:
如我们在前文中所提及的,企业自身主体角色是判断是否能免予履行三大数据出境合规专项机制或具体触发哪一机制的重要变量。企业首先需明确自身是不是属于CIIO,再准确判断其应适用的规则。
重要数据和个人隐私信息,是两类首当其冲的受制于出境监管的数据。就重要数据而言,GB/T 43697-2024《数据安全技术 数据分类分级规则》的发布使得重要数据识别规则能够进一步明确,但目前大部分行业的重要数据目录仍未出台,因此有待持续观察。现阶段,就尚未被明确认定为重要数据的数据而言,依据新规,企业无需按照重要数据的标准来处理。此外,个人隐私信息中的敏感个人隐私信息由于其高敏感程度,在新规所搭建的数据跨境传输监管新框架下可能适用比其他个人隐私信息更高的合规义务。因此,首先企业应对于自身数据跨境传输活动涉及的数据类型进行区分。
在实操中,企业可能对于拥有多家子公司的集团是否需合并计算,豁免数据出境合规专项机制的个人隐私信息出境场景是否仍需计入等问题存在疑问。我们基于对于法律和法规的理解及项目经验进行了初步的分析,还有待《跨境流动新规》落地实践的进一步验证,具体请见下文“三、实操难点问题探讨”。
就《跨境流动新规》中所提及的自由贸易试验区 “负面清单”,而言,已有不少自贸区正在密切跟进有关政策和清单的制定。上海临港行片区和天津自贸试验区先后于2024年1月及2月发布了《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》和《中国(天津)自由贸易试验区企业数据分类分级标准规范》,为数据跨境流动规则的逐步优化打下基础。因此,在自贸区有生产经营的企业应重视自贸区政策,并积极运营政策优势,优化合规部署。
虽然《跨境流动新规》对于数据出境专项合规机制的适用进行了合规义务克减,但就企业需进行的数据跨境流动安全管理要求并未放松。对公司而言,应搭建好事前审批、事中监测、全程巡查的机制,例如建立数据出境合规审批流程、考虑采购动态监测的技术软件、建立应急响应方案等,更好地加强动态管控和安全管理。
在全球数字化经济蒸蒸日上的当下,数据跨境流动的监管与规制慢慢的变成了世界各个国家和地区的数据合规立法和执法重点。不仅中国已形成较为完善且周密的数据跨境传输合规监督管理机制,境外大部分法域也已出台了相关法律和法规以规制数据的跨境流动。因此,对于有频繁数据出境需求的跨境经营企业,尤其是将出海作为近期主要战略的企业而言,境外数据回流的合规风险管理也十分重要。有鉴于此,我们提议相关企业对于境外经营所涉数据跨境流动活动进行摸排,着重关注数据量级较大、业务较为活跃和/或当地监管较为严格的法域,并考虑与境内数据出境合规管理体系联动,搭建一体化的合规管理方案。
如上文所说,相信《跨境流动新规》的落地将更好地在促进数据流动和维护数据安全、保护个人隐私信息主体权益之间找到平衡。在2023年9月28日新规征求意见稿发布后,引起了企业的广泛关注以及一些疑问,我们在《跨境数据观察|网信办发布数据跨境流动监管新规(征求意见稿)——六大亮点、实务难点及合规建议》中也以虚拟案例的方式,提出了一些有待澄清的实操问题。在《跨境流动新规》新规正式落地后,绝大部分问题都得到了解答,在此我们将相关实操问题的答复更新如下:
(一)实操问题一:新规第5条第(2)款规定的无需再适用数据出境合规专项机制的情形之一,“依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理”,应当怎么理解?
一些企业从文义方面出发,对这条规定存在疑问,尤其是,如果没有订立集体合同,是否可根据此条,就人力资源管理场景的个人隐私信息出境不履行数据出境合规专项机制?首先,本条的措辞与《个保法》第13条第二款,可免于履行告知同意要求的措辞相同,因而在适用方面,应可借鉴《个保法》第13条第二款的实操经验。其次,此条规定强调的可豁免情形为基于人力资源管理需求,“确需向境外提供员工个人隐私信息的”的情形,因此,不能一概认为在人力资源管理场景中出境的所有个人隐私信息都可免于履行数据出境合规专项机制要求,另外,可落入本条范围的个人隐私信息范围仍应遵从个保法规定的最小必要原则。一般而言,企业收集与订立和履行劳动合同直接相关的个人隐私信息大概率能够落入这一范围,但收集婚育情况、是否为等信息则大概率不属于这一范围。
(二)实操问题二:就新规第5条第(4)款规定的适用而言,境内有多家子企业的集团公司的出境所涉个人隐私信息主体数量应以单个法律实体为单位做计算,还是应以集团为单位做合并计算?
新规第5条规定,关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人隐私信息(不含敏感个人隐私信息)的。实践中,很多企业有多家子公司,每家子公司的出境个人隐私信息数量并不多,但合并后超过每年10万人的数量。如果第5条适用时可以单个法律实体为单位计算数量,而不要求以集团为单位就统一的个人隐私信息出境场景合并申报,那么将有大量企业可适用这一条规定;这与新规中所体现的数量计算更为明确的立法原意不符,客观上将造成规避新规适用的效果,因此我们大家都认为,在同一集团旗下子公司出境活动的场景相同、出境路径也相同的情况下,不应将每一家子公司的出境数量单独计算,而应当合并计算。
(三)实操问题三:就新规第5条第(4)款的适用而言,统计一年内向境外提供的个人隐私信息数量时,是否应当包含落入新规第5条前3款所列情形的人数?
举例来说,如果一个企业出境人数为十万二千人,但其中有五千人是员工,出境场景符合新规第5条第(2)款规定的人力资源管理可豁免数据出境合规专项机制要求的情形,余下九万七千人是别的类型个人隐私信息,这样的一种情况是否仍需办理有关数据出境合规专项机制?
新规第7条及第8条在明确三大数据出境专项合规机制的同时,专门提及“属于本规定第三条、第四条、第五条、第六条规定情形的,从其规定”,因此,新规拟将免予履行专项合规机制的情形排除至累计人数计算范围之中。在网信部门发布的《答记者问》中,网信部门也提出新规第3条、第4条、第5条、第6条规定豁免情形的,不计入累计数量。因此,企业在推断新规第5条第(4)款是否能适用时,应将已受到豁免的个人隐私信息出境场景排除在外。
(四)实操问题四:新规生效后,已申报有关数据出境合规专项机制、但可根据新规规定免于履行或降级履行相关出境专项合规机制的企业,应当如何衔接?
目前,已有大量企业根据此前的数据出境合规有关规定法律法规办理了数据出境安全评估、个人隐私信息出境标准合同备案等机制,且有很多企业的相关程序仍未办结。新规生效后,已申报有关数据出境合规专项机制、但尚未办结的企业,应当怎么样处理当前程序,是不是能够撤回申请?针对这一实操问题,网信部门在《答记者问》中进行了说明:新规施行前已经申报数据出境安全评估、提交个人隐私信息出境标准合同备案,根据新规无需开展上述程序的,数据处理者可根据原程序进行,也可以对所在地省级网信部门撤回申报、备案。