本文作者丨顾珈妮 孙斌 莫琳琪
2024年3月22日国家网信办颁布了《促进和规范数据跨境流动规定》(以下简称“《新规》”),并于公布当日开始实行。
《新规》的实行对于企业数据出境行为来说是重大利好的消息,相较于之前的《数据出境安全评估办法》和《个人信息出境标准合同办法》等数据出境相关的法律法规,《新规》新增特别场景下的数据出境监管豁免情形,同时调整了数据出境安全评估、个人信息出境标准合同和个人信息保护认证三种不同出境“三选一”义务的适用标准,还设置了自贸区负面清单制度,使得对数据出境的监管更为灵活、实际,能有效促进数据的跨境流动,同时也能满足当前企业便利数据出境的需求。
接下来,本文分上下篇针对《新规》中的企业数据出境义务以及需要重点关注的内容进行分析解读,以便企业厘清目前应当如何应对数据出境的监管。
点击图片跳转本文上篇
01
《新规》重点内容解读
合同履行、跨境人力资源和紧急情况下个人信息出境义务豁免
根据《新规》规定,下列三种个人信息出境场景可以获得监管豁免:
1.为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的;
2. 按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;
3. 紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的。
其中,第三种情况相对前两种情况来说不太常见,属于特别情况下的个人信息传输,因此获得该场景豁免的重点在于“确需”论证,注意证明事情的紧急性、传输数据的目的和方式合理、传输行为的紧迫性和合法性以及采取了必要的保障措施。
前两种情况则容易出现在日常的信息传输过程当中,特别是在实施跨境人力资源场景下的员工个人信息传输,需要注意以下的适用条件:
有依法制定的劳动规章制度和依法签订的集体合同作为前提;
实施跨境人力资源管理;
出境的字段满足“确需”向境外传输员工个人信息的要求。
然而,在现实的员工个人信息出境场景中可能会出现更复杂的情况,例如在需要传输“实习生”“外包人员”还有“求职者”的个人信息时,就并不一定能合理适用此豁免理由,三者并不属于公司的正式员工,不能当然地根据人力资源管理需求进行个人信息传输。
此时,可以考虑适用“为订立、履行个人作为一方当事人的合同”这一豁免理由。“实习生”“外包人员”以及“求职者”与公司之间的关系,或是已经签订了协议或是正在谋求签订协议,所以可以论证该出境行为符合“为订立、履行合同”的规定。除此之外,还应当注意论证在此情形下,出境的字段是“确需”的。
企业若想适用上述出境场景豁免的规定,可以提前做好如下准备:
依法合规地制定、完善公司的劳动规章制度和依法签订的集体合同,并留存过程记录;
在公司章程、劳动规章制度、集体合同以及劳动合同中加入关于员工个人信息跨境传输的规定;
在进行员工个人信息传输之前,做好传输字段“确需”论证的准备工作,并做好合规留痕;
针对不确定的情况,及时与监管部门进行沟通确认。
自贸区数据出境负面清单制度便利数据跨境流动
自贸区数据出境负面清单制度是指“自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单”,意味着自贸区对于数据出境字段的范围具有一定的自由裁量空间,该制度既可以便利自贸区内企业数据的流动,又可以保障自贸区内企业的利益。
但是自贸区数据出境负面清单的制定并非不受限制,相较于此前的征求意见稿版本来说,《新规》针对负面清单的条款增加了“在国家数据分类分级保护制度框架下”这一前提条件,说明自贸区内制定的负面清单仍应符合国家对数据分类分级保护的规定,特别是不能跳脱出对重要数据的规定。
例如,上海自贸区印发的《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》规定,“核心数据禁止跨境,重要数据形成重要数据目录,一般数据形成一般数据清单”“数据处理者对重要数据目录内的数据,可通过临港新片区数据跨境服务中心申报数据出境安全评估”“数据处理者对在一般数据清单内的数据,可向临港新片区管委会申请登记备案,并在满足相关管理要求下自由流动”“若相关领域出台场景化重要数据目录,则该领域的一般数据清单自动失效”。
上述上海自贸区规定的清单更像是一种正面清单,根据数据的级别进行分类,分为重要数据清单和一般数据清单。
重要数据清单上的数据出境需要进行安全评估,在一般数据清单上的数据则可以自由流动,此即自贸区范围内的例外豁免情形。但是一旦一般数据清单中的数据被其他行业的主管/监管部门发布的重要数据清单纳入范围内,就不能以自贸区清单豁免为由进行自由流动。所以尽管自贸区针对出境数据的豁免具有一定的自由裁量权,但是并不能与其他重要数据清单相违背。
截至本文发布之日,已有天津自贸区和上海自贸区临港新片区发布了自贸区数据清单,两者制定清单的角度有一定区别,天津自贸区的清单是从“数据基本特征和描述”的角度来规定了十三类“需要通过数据出境安全评估的数据”;而上海自贸区临港新片区则是在智能网联汽车领域、生物医药领域和公募基金领域三个领域制定了一般数据清单。天津和上海临港自贸区数据清单的发布对于该区域内的企业来说是利好消息,相关企业可以根据自身情况进行适用。
其他自贸区的企业也可以未雨绸缪,提前针对自身的数据进行梳理,做好数据分类分级工作,明确自身数据存量中是否存在相关重要数据,该数据是否有出境需求,以更好地应对未来负面清单的发布,便利自身的数据出境行为。
“三选一”出境义务的个人信息数量标准得到放宽
(该表格仅针对排除了其他豁免情形后的个人信息出境情况)
上表总结了各数据出境规定下,不同个人信息和敏感个人信息出境数据量级对应的出境“三选一”义务,可以看出监管标准是逐渐放宽的,逐步便利企业数据出境行为。一开始的《数据出境安全评估办法》和《个人信息出境标准合同办法》,针对企业主体和出境数据存量以及流量均设置了较严格的标准,企业的出境义务较重;《新规》继续维持了对关键信息基础设施运营者的要求,而对非关键信息基础设施运营者则改为个人信息和敏感个人信息的流量角度进行标准规定,降低了标准要求,平衡了数据出境流动便利与数据安全保护之间的关系。
具体如何进行出境个人信息数量计算,可参考下表:
计算时间:从当年1月1日到12月31日
计算范围:个人信息和敏感个人信息分别单独计算
计算单位:以自然人为计算单位,而非人次
计算豁免:不包括各豁免情形下的数据
豁免情形下仍需履行的数据出境义务
根据《新规》规定,尽管在一定情形下免除了企业的数据出境安全评估、个人信息出境标准合同、个人信息保护认证这三种出境监管义务,但还是需要履行《个人信息保护法》下应尽的数据出境义务。因此,企业进行数据出境前,应当进行下列合规动作。
1. 确保数据出境行为目的合理:数据出境行为应当是数据处理者因业务等需要,确需向中华人民共和国境外提供的个人信息的行为。
2. 对信息个人的告知义务:应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使权利的方式和程序等事项,并取得个人的单独同意。
3. 对出境数据采集安全保障措施:个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到《个保法》规定的个人信息保护标准。
4. 与接收方签订数据处理协议:约定双方对于数据处理的权利与义务,保障信息个人的合法权利。
5. 进行个人信息保护影响评估:在进行实际的数据出境活动前,应当进行PIA,并对处理情况进行记录和相应的合规留痕。
本文作者
顾珈妮
合伙人
顾律师业务领域主要集中在在私募股权投资、境内外并购重组、跨境投资、诉讼仲裁以及金融合规、企业合规等。顾律师执业十余年以来,参与过多种类型的私募投资基金管理人的设立,并为各类基金提供募、投、管、退全生命周期的法律服务,包括政府类引导基金、国有资本/社会资本/境外资本参与的私募投资基金。
Jiani.Gu@brightstonelawyers.com
孙 斌
律师
孙律师,毕业于中国政法大学法学博士,拥有证券从业、基金从业、银行从业、会计从业、数据合规师等资格。主要业务领域为商事争议解决,现服务于私募基金、数据安全、医疗、商业租赁、大宗贸易等行业领域,担任多家公司法律顾问,致力于提供商事领域全方位法律合规服务。
Bin.Sun@brightstonelawyers.com
莫琳琪
实习生
Linqi.Mo@brightstonelawyers.com
往期回顾
商法专家策略
私募基金系列
哪些主体承担健康医疗数据保护之责?
什么是健康医疗数据?
免责声明:本文及其内容本材料是为提供一般信息的用途编制,并非旨在成为可依赖的法律意见,不代表磐明律师事务所对有关问题的法律意见。同时我们并不保证将会在发表之后继续对有关内容进行更新,不建议您依据本文中的全部或部分内容而进行任何决策。如您需相关方面专业意见,建议您与具有相关资格的专业人士进一步沟通。
暂无留言