数据跨境新规征求意见:降低合规成本,促进数据流动
时间:2023年10月底(周末两天)
地点:上海交大附近,广州、北京同步招生
联系:手机(朱老师 )138 1664 6268;微信(徐博士) heguilvshi
“
《规范和促进数据跨境流动规定(征求意见稿)》明确,涉及数据出境的多个场景可豁免前置程序,这是对现有数据出境监管制度的进一步完善。
本文字数2908,阅读时长约10分钟
文|财经E法 樊朔
编辑|郭丽琴
国庆长假前一天(9月28日)的下午,国家网信办公布了《规范和促进数据跨境流动规定(征求意见稿)》(点击阅读)。
根据《征求意见稿》第一至七条规定,涉及数据出境的多个场景可豁免前置程序,即不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。其第十一条还明确,“《数据出境安全评估办法》《个人信息出境标准合同办法》等相关规定与本规定不一致的,按照本规定执行”。
北京师范大学法学院博士生导师、中国互联网协会研究中心副主任吴沈括认为,《征求意见稿》是对现有数据出境监管制度的进一步完善。
多位受访人士对财经E法指出,《征求意见稿》对数据出境进行了适度松绑,将减轻数据合规成本,有益于促进开放的营商环境。
01
多个数据出境场景豁免前置程序
2021年11月1日生效的《个人信息保护法》确定了个人信息出境的三条路径:通过网信部门组织的安全评估、经专业机构进行个人信息保护认证,以及与境外接收方订立国家网信部门制定的标准合同。
自2022年以来,《数据出境安全评估办法》《个人信息跨境处理活动安全认证规范》以及《个人信息出境标准合同办法》相继发布,对这三条路径进行了进一步细化。
例如,2022年9月实施的《数据出境安全评估办法》明确了需进行数据安全评估的四种情形:一是数据处理者向境外提供重要数据。二是关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息。三是自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。四是国家网信部门规定的其他需要申报数据出境安全评估的情形。
《征求意见稿》第一条规定,国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
《征求意见稿》第四条则规定了三类不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形。包含:(一)为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的;(二)按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的;(三)紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的。
上海华诚律师事务所高级合伙人吴月琴总结,本次《征求意见稿》对涉及数据出境的多个场景均豁免前置程序,即不再需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
吴沈括告诉财经E法,《征求意见稿》明确了数据出境三条路径的适用范围,也限缩了需要使用三种机制的低风险情形。“总体来说,反映了一个便捷合规操作、促进数据流动的基本立场,是一个很重要的演进”。
《征求意见稿》还规定,不是在境内收集产生的个人信息向境外提供,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
对此,吴月琴提出,关于“不是在境内收集产生的个人信息”是以个人信息处理者、个人信息主体,还是服务器或系统所在地为界定标准,仍需进一步明确。
02
未被告知为重要数据可不申报
按照《数据出境安全评估办法》的规定,数据处理者向境外提供重要数据的,需申报数据出境安全评估。
但一直以来,企业在进行数据出境合规时往往不知道该如何划定“重要数据”的范围。上海市协力律师事务所高级合伙人江翔宇表示,鉴于重要数据范围界定目前在很多领域还不明确,有些企业都对可能被纳入重要数据而被要求申报出境安全评估有所顾虑。
此次《征求意见稿》第二条明确,未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
江翔宇认为,这一规定采取了排除法,即未被相关部门、地区告知或者公开发布为重要数据的,企业作为数据处理者就不需要作为重要数据进行申报。
一位知情人士对财经E法透露,此前已有企业接到了相关部门通知,告知其涉及“重要数据”。
吴沈括告诉财经E法,对于“重要数据”范围的划定,相关的国家标准在推动中,监管执法当中的试点也在推进。“但更为具体的重要数据的范围还需要进一步的观察。”
03
降低合规成本,促进数据流动
多位受访人士认为,《征求意见稿》降低了数据出境的合规成本,有助于改善营商环境。
《征求意见稿》第五条指出,预计一年内向境外提供不满1万人个人信息的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。
第六条提出,预计一年内向境外提供1万人以上、不满100万人个人信息,与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的,可以不申报数据出境安全评估;向境外提供100万人以上个人信息的,应当申报数据出境安全评估。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。
北京理工大学法学院教授洪延青撰文指出,上述两条规定体现出,监管部门将对数据出境的必要性判断的优先性,给了向境外提供数据的一方,但不排除监管部门的事中、事后的监管。
吴月琴则表示,“预计一年内向境外提供”是指“存量”还是“增量”,有待明确。其次,《征求意见稿》也并未涉及对敏感个人信息的处理。最后,《征求意见稿》第五条、第六条如何与《个人信息出境标准合同办法》第四条的规定进行衔接也有待进一步解决。
此外,《征求意见稿》第七条规定,自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),报经省级网络安全和信息化委员会批准后,报国家网信部门备案。负面清单外数据出境,可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
吴沈括表示,《征求意见稿》明确了常见棘手场景的准确定性,以及是否需要履行相应数据出境手续的必要性。比如签证、旅游酒店、机票等等。其次,进一步明确了需要履行制定相关手续的范围,限缩了需要履行法定手续的应用场景,加大了数据自由流动的实现范围。间接或直接地降低了合规成本。此外,《征求意见稿》引入负面清单对于自贸区相关制度的完善也具有重要的意义,也为企业提供了便捷相关流程的实现方式。
吴月琴认为,根据此前的相关要求,向境外提供个人信息的诸多场景,包括跨境快递、转账均需履行前置程序,在实践中落实的难度较大,而《征求意见稿》进一步简化规则并降低触发合规出境路径的阈值,体现了对合规实践中难点的反思。
吴月琴还指出,对数字市场来说,《征求意见稿》将大力提振市场信心,有利于形成更为灵活便捷的数据跨境流动机制,助力经济发展,回应国际数据流动新形势。
江翔宇认为,《征求意见稿》对改善对外开放的营商环境有很大意义,“这个文件实事求是,减少了企业的负担,明确了预期”。
微信扫码关注该文公众号作者