2024年3月22日国家网信办颁布了《促进和规范数据跨境流动规定》(以下简称“《新规》”),并于公布当日开始实行。
《新规》的实行对于企业数据出境行为来说是重大利好的消息,相较于之前的《数据出境安全评估办法》和《个人信息出境标准合同办法》等数据出境相关的法律法规,《新规》新增特别场景下的数据出境监管豁免情形,同时调整了数据出境安全评估、个人信息出境标准合同和个人信息保护认证三种不同出境“三选一”义务的适用标准,还设置了自贸区负面清单制度,使得对数据出境的监管更为灵活、实际,能有效促进数据的跨境流动,同时也能满足当前企业便利数据出境的需求。
接下来,本文将针对《新规》中的企业数据出境义务以及需要重点关注的内容进行分析解读,以便企业厘清目前应当如何应对数据出境的监管。
01
《新规》下数据出境义务自判断图
根据《新规》规定,可以总结出以下合规义务判断流程图,企业在进行数据出境行为前,或者是需要对数据出境行为提前进行研判时,可以参照下列流程进行自判断,从行为性质、主体性质、数据字段、特殊场景以及数据量级等多个角度进行分析,从而确定自身的数据出境行为应当适用哪一种标准,是否存在豁免的情形。
关键基础信息设施:是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
重要数据:指的是在特定领域、特定群体、特定区域或达到一定精度和规模的,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。
根据《新规》规定,可以总结出以下合规义务判断流程图,企业在进行数据出境行为前,或者是需要对数据出境行为提前进行研判时,可以参照下列流程进行自判断,从行为性质、主体性质、数据字段、特殊场景以及数据量级等多个角度进行分析,从而确定自身的数据出境行为应当适用哪一种标准,是否存在豁免的情形。
02
《新规》重点内容解读
重要数据出境需要进行安全评估
《新规》将数据分为三个关键词来确定数据处理者的数据出境“三选一”义务,分别是重要数据、个人信息和敏感个人信息。
其中,监管部门对于重要数据的出境采取的是最严格的监管态度,数据处理者向境外提供重要数据的,均需进行数据出境安全评估申报。也就是说,无论重要数据出境的数量如何,也无论出境的场景和数据的字段,只要进行出境都需要进行数据出境安全评估。
同时,《新规》中还规定“数据处理者应当按照相关规定识别、申报重要数据”,强调了企业对重要数据的识别、申报义务。重要数据的存在与否关系着企业数据出境义务的轻重,因此无论企业出境的数据量大小如何,都建议提前对自身的数据进行识别、梳理和分类,确认是否存在重要数据。
第一,企业需要时刻关注自身所属行业的主管(监管)部门颁布的重要数据清单及相关动态。
除了等待行业发布重要数据清单进行重要数据认定以外,企业可以提前对自身各类数据进行梳理,落实分类分级工作。目前各行业的重要数据分类、清单仍在制定当中,不同行业的重要数据规定并不十分明晰,因此企业可以先自行落实数据梳理、分类工作,以便在进行数据出境行为时作为自身行为合规的佐证。
目前各行业领域主管(监管)部门正在积极遵循国家有关规定,在法律法规要求的基础上制作重要数据清单,例如《工业和信息化领域数据安全管理办法(试行)》对工业和信息化领域数据中的重要数据识别进行了细化的规定。此外,还有《信息安全技术 重要数据识别指南(征求意见稿) 》、《网络安全标准实践指南——网络数据分类分级指引》、《工业数据分类分级指南(试行)》《基础电信企业重要数据识别指南》《金融数据安全 数据安全分级指南》《信息安全技术 网络数据分类分级要求(征求意见稿)》等法律法规,为重要数据的认定提供了指引。同时,即将发布的《数据安全技术 数据分类分级规则》(简称“《技术规则》”)也针对如何开展行业领域数据分类分级工作、制作各行业数据清单规定提供了原则、方法和标准的指引。
第二,企业可以先自行落实数据梳理、分类工作,以便在进行数据出境行为时作为自身行为合规的佐证。
除了等待行业发布重要数据清单进行重要数据认定以外,企业可以提前对自身各类数据进行梳理,落实分类分级工作。目前各行业的重要数据分类、清单仍在制定当中,不同行业的重要数据规定并不十分明晰,因此企业可以先自行落实数据梳理、分类工作,以便在进行数据出境行为时作为自身行为合规的佐证。
1.数据资产梳理:对数据资产进行全面梳理,确定待分类分级的数据资产及其所属的行业领域。
2.制定内部规则:按照行业领域数据分类分级标准规范,结合处理者自身数据特点,参考《技术规则》制定自身的数据分类分级细则。
3.实施数据分类分级:对数据进行分类,并对公共数据、个人信息等特殊类别数据进行识别和分类;对数据进行分级,确定核心数据、重要数据和一般数据的范围。[1]
以数据过境为主的非数据出境行为可以获得义务豁免
根据《新规》规定,“数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”,本文将此种行为称为“数据过境”。
可以看出数据过境行为的特点在于,一是其处理的个人信息是在境外收集和产生的,二是在处理过程中没有引入境内个人信息或者重要数据。尽管该数据行为在物理意义上属于跨境,但不属于法律规定上的数据出境,因此可以得到监管豁免。
那么,除了上述的数据过境行为,其他不涉及境内个人信息和重要数据的非数据出境行为,也有可能获得监管的豁免,因此判断自身的数据行为是否属于数据出境行为十分重要。
根据目前现有的规定,数据出境行为包括以下三种情形[2]:
数据处理者将在境内运营中收集和产生的数据传输至境外;
数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
符合《个人信息保护法》第三条第二款[3]情形,在境外处理境内自然人个人信息等其他数据处理活动。
若企业可以论证自身的数据行为不属于上述数据出境的范围,则有可能并不属于数据出境行为,因而可以不适用“三选一”出境义务。
总而言之,企业需要根据自身的情况进行判断和论证,在不确定的情况下,建议向监管部门咨询自身的行为是否属于监管豁免的范围之内。
本文注释:
[1] 《数据安全技术数据分类分级规则》
[2] 《数据出境安全评估申报指南(第二版)》
[3] 《个人信息保护法》第三条在中华人民共和国境内处理自然人个人信息的活动,适用本法。
在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:
(一)以向境内自然人提供产品或者服务为目的;
(二)分析、评估境内自然人的行为;
(三)法律、行政法规规定的其他情形。
本文下篇将继续分享:
合同履行、跨境人力资源和紧急情况下个人信息出境义务豁免
自贸区数据出境负面清单制度便利数据跨境流动
“三选一”出境义务的个人信息数量标准放宽
豁免情形下仍需履行的数据出境义务
关注我们 了解更多前沿法律资讯
本文作者
顾珈妮
合伙人
顾律师业务领域主要集中在在私募股权投资、境内外并购重组、跨境投资、诉讼仲裁以及金融合规、企业合规等。顾律师执业十余年以来,参与过多种类型的私募投资基金管理人的设立,并为各类基金提供募、投、管、退全生命周期的法律服务,包括政府类引导基金、国有资本/社会资本/境外资本参与的私募投资基金。
Jiani.Gu@brightstonelawyers.com
孙 斌
律师
孙律师,毕业于中国政法大学法学博士,拥有证券从业、基金从业、银行从业、会计从业、数据合规师等资格。主要业务领域为商事争议解决,现服务于私募基金、数据安全、医疗、商业租赁、大宗贸易等行业领域,担任多家公司法律顾问,致力于提供商事领域全方位法律合规服务。
Bin.Sun@brightstonelawyers.com
莫琳琪
实习生
Linqi.Mo@brightstonelawyers.com
往期回顾
商法专家策略
私募基金系列
哪些主体承担健康医疗数据保护之责?
什么是健康医疗数据?
免责声明:本文及其内容本材料是为提供一般信息的用途编制,并非旨在成为可依赖的法律意见,不代表磐明律师事务所对有关问题的法律意见。同时我们并不保证将会在发表之后继续对有关内容进行更新,不建议您依据本文中的全部或部分内容而进行任何决策。如您需相关方面专业意见,建议您与具有相关资格的专业人士进一步沟通。
